Täglicher IT-Security-Lagebericht – 07.05.2026

Täglicher IT-Security-Lagebericht vom 07.05.2026

Sehr geehrte Leserschaft,

herzlich willkommen zu unserem täglichen IT-Security-Lagebericht für den 07. Mai 2026. Der heutige Bericht hebt eine besorgniserregende Anzahl kritischer Schwachstellen in verschiedenen Produkten hervor, die sofortige Aufmerksamkeit erfordern. Parallel dazu beobachten wir aktive Angriffskampagnen und das Auftauchen neuer Malware, die auf Anmeldedaten und die Verbreitung über gängige Kommunikationskanäle abzielt. Proaktives Patch-Management und erhöhte Wachsamkeit sind weiterhin unerlässlich, um die digitale Sicherheit zu gewährleisten.

1. Aktuelle CVEs und Schwachstellen

Die nachfolgende Tabelle listet kritische und hochrelevante Common Vulnerabilities and Exposures (CVEs) auf, die in den letzten 24 Stunden oder kürzlich veröffentlicht wurden und ein hohes Risiko darstellen:

Kritikalität (CVSS) CVE-ID / Titel Kurzbeschreibung
CRITICAL (10.0) CVE-2026-33587 / SSTI in Open Notebook Ermöglicht die Ausführung von Python-Code und OS-Befehlen im Docker-Container über Server-Side Template Injection (SSTI) aufgrund fehlender Benutzereingabebereinigung.
CRITICAL (10.0) CVE-2026-42826 / Informationspreisgabe in Azure DevOps Unerlaubte Informationspreisgabe über ein Netzwerk durch einen nicht autorisierten Angreifer.
CRITICAL (9.9) CVE-2026-33109 / Code-Ausführung in Azure Managed Instance for Apache Cassandra Ein autorisierter Angreifer kann Code über ein Netzwerk ausführen, bedingt durch unsachgemäße Zugriffskontrollen.
CRITICAL (9.8) CVE-2026-6508 / ACL-Umgehung in Liderahenk Origin Validation Error-Schwachstelle in TUBITAK BILGEM Software Technologies Research Institute Liderahenk (v2.0.1 vor 2.0.2) ermöglicht Zugriff auf Funktionalität, die nicht ordnungsgemäß durch ACLs eingeschränkt ist.
CRITICAL (9.8) CVE-2026-7414 / Hartcodierte Zugangsdaten in Yarbo Firmware Die Yarbo Firmware v2.3.9 enthält hartcodierte administrative Zugangsdaten, die trivialen unautorisierten Zugriff ermöglichen.
CRITICAL (9.8) CVE-2026-7415 / Unauthentifizierter MQTT-Broker in Yarbo Firmware Der eingebettete MQTT-Broker in Yarbo Firmware v2.3.9 erlaubt anonyme Verbindungen ohne Authentifizierung, was das Abonnieren sensibler Telemetrie und das Senden von Steuernachrichten ermöglicht.
CRITICAL (9.8) CVE-2026-37709 / Insecure Permissions in Snipe-IT Unsichere Berechtigungen in grokability snipe-it v.8.4.0 und früheren Versionen ermöglichen entfernten Angreifern die Ausführung beliebigen Codes über die Komponente app/Http/Controllers/Api/UploadedFilesController.php.
CRITICAL (9.6) CVE-2026-5791 / CSRF in DivvyDrive Cross-Site Request Forgery (CSRF)-Schwachstelle in DivvyDrive Information Technologies Inc. DivvyDrive (v4.8.2.9 vor 4.8.3.2).
CRITICAL (9.6) CVE-2026-41589 / Path Traversal in charm.land/wish/v2 SCP Middleware Die SCP-Middleware in charm.land/wish/v2 (v2.0.0 bis vor 2.0.1) ist anfällig für Path Traversal-Angriffe, die das Lesen/Schreiben beliebiger Dateien und das Erstellen von Verzeichnissen außerhalb des konfigurierten Root-Verzeichnisses ermöglichen.
CRITICAL (9.6) CVE-2026-6795 / Open Redirect in DivvyDrive URL-Umleitung zu einer nicht vertrauenswürdigen Website (‚open redirect‘)-Schwachstelle in DivvyDrive Information Technologies Inc. DivvyDrive (v4.8.2.9 vor 4.8.3.2) ermöglicht Parameter-Injektion.
CRITICAL (9.6) CVE-2026-33823 / Informationspreisgabe in Microsoft Teams Unsachgemäße Autorisierung in Microsoft Teams ermöglicht einem autorisierten Angreifer die Preisgabe von Informationen über ein Netzwerk.
CRITICAL (9.6) CVE-2026-35428 / Command Injection in Azure Cloud Shell Unsachgemäße Neutralisierung spezieller Elemente in einem Befehl (‚command injection‘) in Azure Cloud Shell ermöglicht einem nicht autorisierten Angreifer Spoofing über ein Netzwerk.
CRITICAL (9.6) CVE-2026-42880 / Autorisierungslücke in Argo CD Fehlende Autorisierung und Datenmaskierung in Argo CDs ServerSideDiff-Endpunkt (v3.2.0 bis vor 3.2.11 und v3.3.0 bis vor 3.3.9) ermöglicht Angreifern mit Lesezugriff, Klartext-Kubernetes-Secret-Daten zu extrahieren.
CRITICAL (9.1) CVE-2026-40982 / Directory Traversal in Spring Cloud Config Spring Cloud Config ermöglicht das Bereitstellen beliebiger Text- und Binärdateien. Eine speziell präparierte URL kann zu einem Directory Traversal-Angriff führen.
CRITICAL (9.1) CVE-2026-41201 / Account Takeover & Privilege Escalation in CI4MS In CI4MS v0.31.4.0 kann ein Angreifer eine vollständige Kontoübernahme und Privilegieneskalation über Stored DOM XSS im Dateinamenfeld des Backup-Moduls erreichen.

2. Bedrohungsanalysen und Angriffskampagnen

Die aktuelle Bedrohungslandschaft ist geprägt von einer Mischung aus gezielten Angriffskampagnen und der Verbreitung neuer Malware:

  • Aktive Ausnutzung von Ivanti EPMM Zero-Day: Ivanti hat vor einer neuen Schwachstelle in seiner Enterprise Mobility Management (EPMM)-Plattform gewarnt, die bereits in Zero-Day-Angriffen ausgenutzt wird. Dies unterstreicht die Dringlichkeit, Sicherheitswarnungen von Herstellern zu verfolgen und umgehend zu reagieren.
  • ShinyHunters Extortion-Kampagne gegen Canvas Login-Portale: Die Hackergruppe ShinyHunters führt eine massenhafte Erpressungskampagne durch, bei der Canvas-Login-Portale gehackt werden. Dies betrifft möglicherweise Bildungseinrichtungen und Unternehmen, die diese Portale nutzen, und kann zu erheblichen Datenlecks und Störungen führen.
  • Angriffe auf WordPress-Plug-in Breeze Cache: Es werden derzeit aktive Angriffe auf das WordPress-Plug-in Breeze Cache beobachtet. Nutzer dieses weit verbreiteten Plug-ins sind dringend angehalten, sofort zu patchen, um ihre Websites vor Kompromittierung zu schützen.
  • Neue Malware im Umlauf: Es wurden mehrere neue Malware-Varianten identifiziert:
    • TCLBanker: Eine neue Banking-Malware, die sich über WhatsApp und Outlook selbst verbreitet.
    • PCPJack Worm: Dieser neue Wurm stiehlt Anmeldeinformationen und ist auch in der Lage, TeamPCP-Infektionen zu bereinigen.
    • Vidar Stealer über ClickFix-Angriffe: Australien warnt vor ClickFix-Angriffen, die die Infektion mit der bekannten Infostealer-Malware Vidar zum Ziel haben.
  • Umfassende Updates von Big Playern: Google Chrome Version 148 schließt 127 Sicherheitslücken. Auch Cisco und Apache HTTP Server veröffentlichen wichtige Patches, die hochriskante Lücken adressieren.

3. Datenschutz & Kryptografie

Die beobachteten Angriffskampagnen haben direkte Auswirkungen auf den Datenschutz:

  • Die ShinyHunters-Erpressungskampagne gegen Canvas-Login-Portale ist ein klassisches Beispiel für einen Angriff auf personenbezogene Daten und Anmeldeinformationen. Organisationen, die von dieser Kampagne betroffen sind, müssen mit erheblichen Datenschutzverletzungen rechnen.
  • Die Verbreitung von Malware wie TCLBanker, PCPJack und Vidar Stealer, die auf das Stehlen von Anmeldeinformationen abzielt, stellt eine direkte Bedrohung für die Privatsphäre und die Datensicherheit von Benutzern dar. Diese Angriffe können zum Diebstahl sensibler Informationen und zu weiterführenden Kompromittierungen führen.
  • Obwohl nicht direkt Kryptografie betreffend, weisen die „Ausbrüche aus JavaScript-Sandbox vm2“ in Node.js 25 auf das potenzielle Risiko der Umgehung von Sicherheitsmechanismen hin, die auch indirekt den Schutz von Daten beeinträchtigen könnten.

4. Handlungsempfehlungen

Basierend auf den aktuellen Schwachstellen und Bedrohungen empfehlen wir folgende Maßnahmen:

  • Dringendes Patch-Management:
    • Überprüfen Sie umgehend Ihre Systeme auf die betroffenen Softwareprodukte: Open Notebook, Azure DevOps, Azure Managed Instance for Apache Cassandra, TUBITAK BILGEM Liderahenk, Yarbo Firmware, grokability Snipe-IT, DivvyDrive, charm.land/wish/v2 SCP Middleware, Microsoft Teams, Azure Cloud Shell, Argo CD, Spring Cloud Config und CI4MS. Installieren Sie alle verfügbaren Patches und Updates für die genannten CVEs.
    • Führen Sie umgehend Updates für Cisco Unity Connection, Google Chrome (auf Version 148) und Apache HTTP Server durch.
    • WordPress-Administratoren: Überprüfen und patchen Sie das Breeze Cache Plug-in sofort, um bekannten Angriffen vorzubeugen.
    • Ivanti EPMM-Nutzer: Beachten Sie dringend die Warnungen von Ivanti bezüglich der neuen EPMM-Schwachstelle und implementieren Sie die empfohlenen Abhilfemaßnahmen oder Patches.
  • Mitarbeitersensibilisierung: Schulen Sie Ihre Mitarbeiter erneut hinsichtlich Phishing-E-Mails und verdächtigen Nachrichten (insbesondere auf WhatsApp und Outlook), die zur Verbreitung von Malware wie TCLBanker führen können.
  • Starke Authentifizierung: Implementieren und erzwingen Sie Multi-Faktor-Authentifizierung (MFA) für alle kritischen Systeme und Anwendungen, insbesondere für Login-Portale, um den Diebstahl von Zugangsdaten zu mitigieren.
  • Netzwerksegmentierung und Überwachung: Isolieren Sie kritische Systeme und überwachen Sie den Netzwerkverkehr auf ungewöhnliche Aktivitäten, die auf eine Kompromittierung oder die Ausbreitung von Malware hindeuten könnten.
  • Regelmäßige Backups: Stellen Sie sicher, dass regelmäßige, sichere Backups erstellt und die Wiederherstellungsverfahren getestet werden, um im Falle einer erfolgreichen Erpressungskampagne schnell reagieren zu können.

Fazit

Der 07. Mai 2026 zeigt eine hohe Dichte an kritischen Schwachstellen, die eine sofortige Reaktion erfordern. Die fortgesetzten Zero-Day-Angriffe und die Zunahme von Malware-Kampagnen verdeutlichen die Notwendigkeit einer robusten Verteidigungsstrategie. Proaktives Patch-Management, erhöhte Wachsamkeit der Nutzer und die konsequente Anwendung von Sicherheitsbest Practices sind entscheidend, um die digitale Resilienz unserer Organisationen zu gewährleisten.

Trending

Täglicher IT-Security-Lagebericht – 07.05.2026
Digital Detox: Der Schlüssel zu mehr Kreativität und Wohlbefinden?
Wie Ihr Toaster das nächste Opfer eines Cyberangriffs werden könnte
Sicherheitsbedrohungen durch IoT-Geräte und wie man sich schützen kann
WordPress Appliance - Powered by TurnKey Linux