Täglicher IT-Security-Lagebericht – 16.03.2026

Als erfahrener IT-Security-Analyst präsentiere ich Ihnen den täglichen IT-Security-Lagebericht für den 16. März 2026.

Einleitung

Der heutige Lagebericht hebt eine Reihe kritischer Schwachstellen in weit verbreiteter Software und Geräten hervor, die umgehende Aufmerksamkeit erfordern. Besonders besorgniserregend sind weiterhin aktiv ausgenutzte Schwachstellen in Webbrowsern und Backup-Lösungen, sowie eine Flut an neuen kritischen CVEs. Darüber hinaus gab es Berichte über Datenschutzverletzungen, die die Notwendigkeit robuster Sicherheitsmaßnahmen unterstreichen.

1. Aktuelle CVEs und Schwachstellen

Die nachfolgende Tabelle listet die kritischsten Schwachstellen, die aktuell bekannt sind und umgehende Maßnahmen erfordern.

Kritikalität (CVSS) CVE-ID / Titel Kurzbeschreibung
KRITISCH (9.9) CVE-2026-32621: Apollo Federation Prototype Pollution Eine Schwachstelle in der Abfrageplan-Ausführung im Gateway von Apollo Federation (Versionen vor 2.9.6, 2.10.5, 2.11.6, 2.12.3, und 2.13.2) ermöglicht die Manipulation von Object.prototype durch bösartige Clients oder kompromittierte Subgraphs. Dies kann zur Ausführung von Remote Code führen.
KRITISCH (9.8) CVE-2016-20024: ZKTeco ZKTime.Net 3.0.1.6 Insecure File Permissions Unsichere Dateiberechtigungen in ZKTeco ZKTime.Net 3.0.1.6 erlauben unprivilegierten Benutzern die Eskalation von Rechten durch Modifikation ausführbarer Dateien im weltweit beschreibbaren ZKTimeNet3.0-Verzeichnis.
KRITISCH (9.8) CVE-2016-20026: ZKTeco ZKBioSecurity 3.0 Hardcoded Credentials ZKTeco ZKBioSecurity 3.0 enthält fest verdrahtete Anmeldeinformationen im gebündelten Apache Tomcat-Server, die unauthentifizierten Angreifern den Zugriff auf die Manager-Anwendung ermöglichen und die Ausführung von beliebigem Code mit SYSTEM-Rechten erlauben.
KRITISCH (9.8) CVE-2016-20030: ZKTeco ZKBioSecurity 3.0 User Enumeration Eine Benutzer-Enumerations-Schwachstelle in ZKTeco ZKBioSecurity 3.0 ermöglicht es unauthentifizierten Angreifern, gültige Benutzernamen durch partielle Eingaben zu ermitteln.
KRITISCH (9.8) CVE-2017-20223: Telesquare SKT LTE Router SDT-CS3B1 Insecure Direct Object Reference Die Firmware-Version 1.2.0 des Telesquare SKT LTE Routers SDT-CS3B1 enthält eine I-DOR-Schwachstelle, die Angreifern ermöglicht, die Autorisierung zu umgehen und auf Ressourcen zuzugreifen, um sensible Informationen abzurufen.
KRITISCH (9.8) CVE-2017-20224: Telesquare SKT LTE Router SDT-CS3B1 Arbitrary File Upload Die Version 1.2.0 des Telesquare SKT LTE Routers SDT-CS3B1 ermöglicht unauthentifizierten Angreifern das Hochladen bösartiger Inhalte durch die Ausnutzung aktivierter WebDAV HTTP-Methoden, was zu Remote Code Execution oder Denial of Service führen kann.
KRITISCH (9.8) CVE-2025-15060: claude-hovercraft Command Injection RCE Diese Schwachstelle in claude-hovercraft ermöglicht die Remote Code Execution durch Command Injection ohne Authentifizierung. Sie resultiert aus mangelnder Validierung benutzereingabierter Strings im `executeClaudeCode`-Methode.
KRITISCH (9.8) CVE-2025-69246: Raytha CMS Brute Force Protection Bypass Raytha CMS vor Version 1.4.6 verfügt über keinen Brute-Force-Schutzmechanismus, der Angreifern unbegrenzte Anmeldeversuche ermöglicht, ohne Sperrungen oder Drosselungen auszulösen.
KRITISCH (9.8) CVE-2026-4163: Wavlink WL-WN579A3 Command Injection Eine Schwachstelle in Wavlink WL-WN579A3 (Firmware 220323) ermöglicht Command Injection über eine manipulierte POST-Anfrage an `/cgi-bin/wireless.cgi` im Funktion SetName/GuestWifi. Der Exploit ist öffentlich verfügbar.
KRITISCH (9.8) CVE-2026-4164: Wavlink WL-WN578W2 Command Injection Eine Schwachstelle in Wavlink WL-WN578W2 (Firmware 221110) ermöglicht Command Injection über eine manipulierte POST-Anfrage an `/cgi-bin/wireless.cgi` in den Funktionen Delete_Mac_list/SetName/GuestWifi. Der Exploit ist öffentlich verfügbar.
KRITISCH (9.8) CVE-2026-4170: Topsec TopACM 3.0 OS Command Injection Eine Schwachstelle in Topsec TopACM 3.0 ermöglicht OS Command Injection über eine manipulierte HTTP-Anfrage an `/view/systemConfig/management/nmc_sync.php` im Argument `template_path`. Der Exploit ist öffentlich verfügbar.
KRITISCH (9.8) CVE-2026-4181: D-Link DIR-816 1.10CNB05 Stack-based Buffer Overflow (form2RepeaterStep2.cgi) Ein Stack-based Buffer Overflow in D-Link DIR-816 (Firmware 1.10CNB05) via Manipulation von `key1/key2/key3/key4/pskValue` in `/goform/form2RepeaterStep2.cgi`. Der Exploit ist öffentlich. Betrifft nicht mehr unterstützte Produkte.
KRITISCH (9.8) CVE-2026-4182: D-Link DIR-816 1.10CNB05 Stack-based Buffer Overflow (form2Wl5RepeaterStep2.cgi) Ein Stack-based Buffer Overflow in D-Link DIR-816 (Firmware 1.10CNB05) via Manipulation von `key1/key2/key3/key4/pskValue` in `/goform/form2Wl5RepeaterStep2.cgi`. Der Exploit ist öffentlich. Betrifft nicht mehr unterstützte Produkte.
KRITISCH (9.8) CVE-2026-4183: D-Link DIR-816 1.10CNB05 Stack-based Buffer Overflow (form2WlanBasicSetup.cgi) Ein Stack-based Buffer Overflow in D-Link DIR-816 (Firmware 1.10CNB05) via Manipulation von `pskValue` in `/goform/form2WlanBasicSetup.cgi`. Der Exploit ist öffentlich. Betrifft nicht mehr unterstützte Produkte.
KRITISCH (9.8) CVE-2026-4184: D-Link DIR-816 1.10CNB05 Stack-based Buffer Overflow (form2Wl5BasicSetup.cgi) Ein Stack-based Buffer Overflow in D-Link DIR-816 (Firmware 1.10CNB05) via Manipulation von `pskValue` in `/goform/form2Wl5BasicSetup.cgi`. Der Exploit ist öffentlich. Betrifft nicht mehr unterstützte Produkte.

2. Bedrohungsanalysen und Angriffskampagnen

  • Fortgesetzte Notfall-Updates für Google Chrome und aktive Ausnutzung: Google hat erneut ein Notfall-Update für Chrome veröffentlicht, da ein erster Fix nicht ausreichend war, um alle aktiv ausgenutzten Schwachstellen zu beheben. Dies unterstreicht die Dringlichkeit, Browser-Updates umgehend zu installieren, da diese Lücken oft als Einfallstore für weitere Angriffe genutzt werden. Die Angriffe auf diese Codeschmuggel-Lücken sind im Gange.
  • Kritische Lücken in Veeam Backup & Replication und Wing FTP Server: Veeam hat Updates zur Behebung kritischer Sicherheitslücken in seiner Backup & Replication-Software veröffentlicht, die das Einschleusen von Schadcode ermöglichen. Gleichzeitig warnte CISA vor einer aktiv ausgenutzten Schwachstelle im Wing FTP Server, die ebenfalls umgehende Patches erfordert. Der erfolgreiche Angriff auf solche Infrastruktur-Software kann weitreichende Folgen haben.
  • WordPress Plugin „Ally“ gefährdet 400.000 Websites: Eine Sicherheitslücke im populären WordPress Plugin „Ally“ birgt das Potenzial, bis zu 400.000 Websites zu kompromittieren. Dies zeigt einmal mehr das hohe Risiko, das durch Schwachstellen in weit verbreiteten Third-Party-Komponenten entsteht, und wie Angreifer diese für groß angelegte Kampagnen nutzen können.

3. Datenschutz & Kryptografie

Im Bereich Datenschutz wurde bekannt, dass das britische Unternehmensregister (Companies House) eine Sicherheitslücke bestätigte, die Geschäftsdaten offengelegt hat. Solche Vorfälle unterstreichen die Notwendigkeit robuster Datenschutzmaßnahmen und der regelmäßigen Überprüfung von Systemen, die sensible Informationen verwalten. Für den Bereich Kryptografie gab es keine besonderen Vorkommnisse.

4. Handlungsempfehlungen

Basierend auf den aktuellen Erkenntnissen werden folgende konkrete Handlungsempfehlungen ausgesprochen:

  • Software-Updates umgehend installieren:
    • Google Chrome: Stellen Sie sicher, dass alle Instanzen des Browsers auf die neueste Version aktualisiert werden, um die aktiv ausgenutzten Sicherheitslücken zu schließen.
    • Veeam Backup & Replication: Spielen Sie die von Veeam bereitgestellten Updates umgehend ein, um die kritischen Schadcode-Schmuggel-Lücken zu beheben.
    • WordPress Plugin „Ally“: Betreiber von WordPress-Websites, die das „Ally“-Plugin verwenden, sollten unverzüglich auf die sichere Version aktualisieren oder das Plugin deaktivieren, falls kein Update verfügbar ist.
    • Apollo Federation: Aktualisieren Sie Ihre Gateway-Instanzen auf die Versionen 2.9.6, 2.10.5, 2.11.6, 2.12.3 oder 2.13.2, um die Prototype Pollution-Schwachstelle (CVE-2026-32621) zu beheben.
    • Raytha CMS: Aktualisieren Sie auf Version 1.4.6, um den Brute-Force-Schutz zu implementieren (CVE-2025-69246).
    • claude-hovercraft: Prüfen und patchen Sie betroffene Installationen, um die Remote Code Execution Schwachstelle (CVE-2025-15060) zu beheben.
    • Topsec TopACM 3.0: Patchen Sie die Software, um die OS Command Injection (CVE-2026-4170) zu schließen.
  • Firmware- und Hardware-Prüfung/Erneuerung:
    • Wavlink WL-WN579A3 / WL-WN578W2: Aktualisieren Sie die Firmware der betroffenen Geräte, um die Command Injection-Schwachstellen (CVE-2026-4163, CVE-2026-4164) zu beheben.
    • D-Link DIR-816 1.10CNB05: Da diese Produkte nicht mehr unterstützt werden, wird dringend empfohlen, betroffene Geräte umgehend durch aktuelle, unterstützte Hardware zu ersetzen, um die kritischen Buffer Overflow-Schwachstellen (CVE-2026-4181, CVE-2026-4182, CVE-2026-4183, CVE-2026-4184) zu eliminieren.
    • Telesquare SKT LTE Router SDT-CS3B1: Prüfen Sie die Firmware-Version. Falls weiterhin im Einsatz, sollte eine Aktualisierung oder ein Austausch in Betracht gezogen werden, um die kritischen I-DOR und Arbitrary File Upload Schwachstellen (CVE-2017-20223, CVE-2017-20224) zu beheben.
    • ZKTeco ZKTime.Net 3.0.1.6 und ZKBioSecurity 3.0: Diese älteren Versionen weisen schwerwiegende Schwachstellen auf (Dateiberechtigungen, Hardcoded Credentials, Benutzer-Enumeration – CVE-2016-20024, CVE-2016-20026, CVE-2016-20030). Es wird dringend empfohlen, diese Systeme zu aktualisieren oder vollständig zu ersetzen und sicherzustellen, dass keine Standard-Anmeldeinformationen verwendet werden.
  • Zugriffs- und Berechtigungskontrollen überprüfen:
    • Stellen Sie sicher, dass Dateiberechtigungen auf Servern und Systemen korrekt konfiguriert sind und keine weltweit beschreibbaren Verzeichnisse für ausführbare Dateien existieren.
    • Überprüfen Sie alle System- und Anwendungszugangsdaten auf Festverdrahtung oder leicht erratbare Werte. Erzwingen Sie die Nutzung starker, einzigartiger Passwörter.
  • Überwachung und Logging verstärken:
    • Intensivieren Sie die Überwachung auf ungewöhnliche Anmeldeversuche, Dateizugriffe und Systemaktivitäten, insbesondere bei den genannten kritischen Systemen.

Fazit

Der heutige Tag unterstreicht die anhaltende und dynamische Bedrohungslage im Bereich der IT-Sicherheit. Die Kombination aus neuen kritischen Schwachstellen in weit verbreiteter Software und die fortgesetzte Ausnutzung bekannter Lücken erfordert eine proaktive und entschlossene Vorgehensweise. Insbesondere das zeitnahe Einspielen von Updates und die Prüfung älterer, nicht mehr unterstützter Hardware sind von größter Bedeutung, um die Resilienz gegenüber Cyberangriffen zu gewährleisten und potenzielle Datenlecks zu verhindern.

Trending

Täglicher IT-Security-Lagebericht – 16.03.2026
Digital Detox: Der Schlüssel zu mehr Kreativität und Wohlbefinden?
Wie Ihr Toaster das nächste Opfer eines Cyberangriffs werden könnte
Sicherheitsbedrohungen durch IoT-Geräte und wie man sich schützen kann
WordPress Appliance - Powered by TurnKey Linux