Guten Tag, liebe Leser,
willkommen zu Ihrem täglichen IT-Security-Lagebericht für den 10. März 2026. Die Bedrohungslandschaft bleibt dynamisch, mit einer Fülle kritischer Schwachstellen, die zeitnahe Patches erfordern, sowie neuen, raffinierten Angriffstechniken, die wachsame Abwehrmechanismen herausfordern. Heute fokussieren wir uns auf eine Reihe von Critical CVEs, die eine unmittelbare Bedrohung darstellen, und aktuelle Meldungen über gezielte Kampagnen sowie neuartige Malware-Taktiken.
1. Aktuelle CVEs und Schwachstellen
Die nachfolgende Tabelle listet einige der kritischsten Schwachstellen, die derzeit bekannt sind und ein hohes Risiko für betroffene Systeme darstellen:
| Kritikalität (CVSS) | CVE-ID / Titel | Kurzbeschreibung |
|---|---|---|
| CRITICAL (10.0) | CVE-2025-48611: Desync in persistence due to missing bounds check | Mögliche Desynchronisation in der Persistenz aufgrund einer fehlenden Bereichsprüfung, die zu einer lokalen Eskalation von Privilegien ohne zusätzliche Ausführungsrechte führen könnte. |
| CRITICAL (10.0) | CVE-2026-30966: Parse Server Internal Table Access via REST/GraphQL API | Parse Server ermöglicht direkten Zugriff auf interne Relationstabellen (z.B. Rollenmitgliedschaften) über die REST- oder GraphQL-API nur mit dem Anwendungsschlüssel, ohne Master Key. Angreifer können Daten manipulieren und sich in Rollen injizieren, was zu vollständigem Lese-, Schreib- und Löschzugriff führt. Fix in 9.5.2-alpha.7 und 8.6.20. |
| CRITICAL (9.9) | CVE-2026-30887: OneUptime RCE via Node.js vm sandbox bypass | OneUptime ermöglicht das Ausführen von benutzerdefiniertem Playwright/JavaScript-Code in Synthetic Monitoren, der unsicher im Node.js vm-Modul ausgeführt wird. Ein Angreifer kann die Sandbox umgehen, auf den zugrunde liegenden Node.js-Prozess zugreifen und beliebige Systembefehle (RCE) ausführen. Fix in 10.0.18. |
| CRITICAL (9.9) | CVE-2026-30921: OneUptime Server-side RCE via Playwright objects | OneUptime Synthetic Monitore erlauben niedrig privilegierten Nutzern das Ausführen von benutzerdefiniertem Playwright-Code, der auf dem oneuptime-probe-Dienst ausgeführt wird. Unsicherer Code wird im Node’s vm ausgeführt und erhält live Host Playwright Objekte, was direkte server-seitige RCE ermöglicht, indem der Angreifer Arbiträre ausführbare Dateien starten kann. Fix in 10.0.20. |
| CRITICAL (9.9) | CVE-2026-30956: OneUptime Authorization Bypass & Tenant Isolation Bypass | Niedrig privilegierte Benutzer können in OneUptime v10.0.20 und früher die Autorisierung und Tenant-Isolation umgehen, indem sie einen gefälschten ‚is-multi-tenant-query‘-Header mit einem kontrollierten ‚projectid‘-Header senden. Dies ermöglicht den Zugriff auf Projektdaten anderer Mandanten, das Auslesen sensibler Benutzerfelder und das Zurücksetzen von Passwörtern, was zu vollständiger Kontoübernahme führen kann. Fix in 10.0.21. |
| CRITICAL (9.9) | CVE-2026-30957: OneUptime Arbitrary Command Execution via Playwright APIs | OneUptime Synthetic Monitore ermöglichen authentifizierten, niedrig privilegierten Benutzern die Ausführung beliebiger Befehle auf dem oneuptime-probe Server/Container. Untrusted Synthetic Monitor Code wird im Node’s vm ausgeführt, während Live-Host-Realm Playwright Browser- und Page-Objekte exponiert sind. Fix in 10.0.21. |
| CRITICAL (9.8) | CVE-2026-0953: Tutor LMS Pro Authentication Bypass | Das Tutor LMS Pro Plugin für WordPress (alle Versionen bis einschließlich 3.9.5) ist anfällig für Authentifizierungsumgehungen über das Social Login Addon. Angreifer können sich als beliebige Benutzer, einschließlich Administratoren, anmelden. |
| CRITICAL (9.8) | CVE-2025-56422: LimeSurvey Deserialization Vulnerability | Eine Deserialisierungs-Schwachstelle in LimeSurvey vor v6.15.0+250623 erlaubt einem entfernten Angreifer, beliebigen Code auf dem Server auszuführen. |
| CRITICAL (9.8) | CVE-2026-3843: Nefteprodukttekhnika BUK TS-G SQL Injection | Nefteprodukttekhnika BUK TS-G Gas Station Automation System 2.9.1 enthält eine SQL-Injection-Schwachstelle (CWE-89) im Systemkonfigurationsmodul, die zu RCE führen kann. |
| CRITICAL (9.8) | CVE-2026-28292: simple-git Remote Code Execution Bypass | simple-git (Versionen 3.15.0 bis 3.32.2) ermöglicht Angreifern, frühere CVE-Fixes zu umgehen und vollständige Remote Code Execution auf dem Host zu erreichen. Fix in Version 3.23.0. |
| CRITICAL (9.6) | CVE-2026-28495: GetSimple CMS massiveAdmin Plugin RCE via CSRF | Das massiveAdmin Plugin (v6.0.3) in GetSimpleCMS-CE v3.3.22 erlaubt authentifizierten Administratoren, die gsconfig.php-Datei mit beliebigem PHP-Code zu überschreiben. Fehlender CSRF-Schutz ermöglicht unauthentifizierten Angreifern RCE. |
| CRITICAL (9.4) | CVE-2025-69614: Deutsche Telekom AG Account Management Portal – Incorrect Access Control | Fehlerhafte Zugriffskontrolle über Wiederverwendung von Aktivierungstoken am Passwort-Reset-Endpunkt, was unautorisierte Passwort-Resets und vollständige Kontoübernahme ermöglicht. Betroffen sind Versionen vor dem 27.10.2025, behoben am 31.10.2025. |
| CRITICAL (9.3) | CVE-2026-30869: SiYuan Path Traversal Vulnerability | Eine Path-Traversal-Schwachstelle im /export-Endpunkt von SiYuan (vor 3.5.10) ermöglicht das Auslesen beliebiger Dateien vom Server-Dateisystem, einschließlich sensitiver Konfigurationsdateien, die geheime API-Token enthalten. Fix in 3.5.10. |
2. Bedrohungsanalysen und Angriffskampagnen
Die aktuellen Nachrichtenlage ist geprägt von einer Vielzahl von Warnungen und Berichten über neue Bedrohungen und anhaltende Kampagnen:
- Gezielte Angriffe auf Unternehmenssoftware und Infrastruktur: Die CISA und weitere Sicherheitsexperten warnen eindringlich vor laufenden Angriffen auf weit verbreitete Produkte wie Ivanti Endpoint Manager, SolarWinds Web Help Desk, Hikvision, Rockwell Automation und Apple-Produkte. Diese Angriffe nutzen oft bekannte, aber ungepatchte Schwachstellen aus, um Zugang zu Netzwerken zu erhalten.
- Entwicklung neuer Malware und Evasion-Techniken: Es wurde ein neuer „BlackSanta“ EDR-Killer entdeckt, der gezielt HR-Abteilungen ins Visier nimmt, um Endpunkterkennungssysteme zu umgehen. Darüber hinaus ist die „BeatBanker“ Android-Malware aufgetaucht, die sich als Starlink-App tarnt, um mobile Geräte zu übernehmen. Eine besonders beunruhigende Entwicklung ist die „Zombie ZIP“-Technik, die es Malware ermöglicht, Sicherheitstools zu umgehen, indem sie manipulierte ZIP-Archive nutzt.
- Umfassende Sicherheitsupdates und Schwachstellen in weit verbreiteter Software: Microsoft hat im Rahmen des „Patch Tuesday“ im März 2026 eine große Anzahl von 79 Schwachstellen behoben, darunter zwei Zero-Days und ein Extended Security Update für Windows 10. Auch in anderen kritischen Systemen wie Nextcloud (Flow), Acronis Cyber Protect und Avira-Virenschutz-Produkten wurden zahlreiche und teilweise hochriskante Sicherheitslücken gemeldet, die Codeschmuggel und weitere Kompromittierungen ermöglichen könnten.
3. Datenschutz & Kryptografie
Basierend auf den vorliegenden Nachrichten gibt es heute keine besonderen Vorkommnisse oder neuen Entwicklungen im Bereich Datenschutz oder Kryptografie, die über die allgemeinen Sicherheitswarnungen hinausgehen.
4. Handlungsempfehlungen
Angesichts der aktuellen Bedrohungslandschaft empfehlen wir folgende konkrete Maßnahmen:
- Priorisierte Patch-Verwaltung: Implementieren Sie umgehend alle verfügbaren Patches für die kritischen Schwachstellen, insbesondere für Parse Server (auf Version 9.5.2-alpha.7 oder 8.6.20), OneUptime (auf 10.0.18, 10.0.20, 10.0.21), Tutor LMS Pro (über 3.9.5), LimeSurvey (über v6.15.0+250623), simple-git (auf 3.23.0), GetSimple CMS (massivAdmin Plugin aktualisieren), SiYuan (auf 3.5.10) und Deutsche Telekom AG Telekom Account Management Portal (Fixes vom 31.10.2025). Überprüfen und installieren Sie die neuesten Microsoft-Updates für Ihre Windows-Systeme sowie Patches für Ivanti, SolarWinds, Nextcloud, Acronis, Avira, Hikvision, Rockwell Automation und Apple-Produkte.
- Überprüfung von Authentifizierungsmechanismen: Bei Systemen, die von Authentifizierungs-Bypass-Schwachstellen betroffen sind (z.B. Tutor LMS Pro, Deutsche Telekom Account Management Portal), sollten Sie nicht nur patchen, sondern auch Audit-Logs auf verdächtige Anmeldeversuche oder Kontoübernahmen überprüfen. Erwägen Sie die Implementierung von Multi-Faktor-Authentifizierung (MFA), wo immer möglich.
- Sensibilisierung und Schulung: Informieren Sie Ihre Mitarbeiter über die neuesten Phishing-Versuche, insbesondere solche, die neue Malware wie „BeatBanker“ nutzen oder sich als bekannte Anwendungen tarnen. Sensibilisieren Sie für Social-Engineering-Taktiken, die auf HR-Abteilungen abzielen.
- Erweiterte Endpunktsicherheit: Überprüfen und verstärken Sie Ihre Endpoint Detection and Response (EDR)-Lösungen, um neuen EDR-Killern wie „BlackSanta“ entgegenzuwirken. Achten Sie auf ungewöhnliche Prozessaktivitäten.
- Überwachung von Dateitransfers: Seien Sie vorsichtig mit der Verarbeitung von ZIP-Archiven und implementieren Sie entsprechende Scans, um die „Zombie ZIP“-Technik zu erkennen und zu verhindern.
- Regelmäßige Audits und Penetrationstests: Führen Sie regelmäßige Sicherheitsaudits und Penetrationstests durch, um unerkannte Schwachstellen und Fehlkonfigurationen in Ihrer Umgebung aufzudecken.
Fazit
Der heutige Bericht unterstreicht die anhaltende Notwendigkeit einer proaktiven und mehrschichtigen Sicherheitsstrategie. Die hohe Anzahl kritischer Schwachstellen in weit verbreiteter Software sowie die Entstehung neuer, raffinierter Angriffsmethoden erfordert eine ständige Wachsamkeit. Priorisieren Sie das Patchen Ihrer Systeme, stärken Sie Ihre Abwehrmaßnahmen gegen neue Malware-Techniken und halten Sie Ihre Mitarbeiter durch regelmäßige Schulungen auf dem neuesten Stand.
Bleiben Sie sicher!
Ihr IT-Security-Analyst
