Guten Tag und herzlich willkommen zum täglichen IT-Security-Lagebericht für den 21. April 2026. Dieser Bericht bietet Ihnen einen prägnanten Überblick über die jüngsten kritischen Schwachstellen, aktuellen Bedrohungen und relevante Entwicklungen im Bereich Datenschutz und Kryptografie, ergänzt durch unsere Handlungsempfehlungen. Die heutige Lage ist geprägt von einer Vielzahl hochkritischer Schwachstellen in weit verbreiteten Anwendungen und Systemen sowie anhaltenden aktiven Angriffskampagnen.
1. Aktuelle CVEs und Schwachstellen
Die folgende Tabelle listet eine Auswahl der kritischsten neuen und kürzlich veröffentlichten Schwachstellen, die eine sofortige Aufmerksamkeit erfordern.
| Kritikalität (CVSS) | CVE-ID / Titel | Kurzbeschreibung |
|---|---|---|
| CRITICAL (10.0) | CVE-2017-20230 / Perl Storable Stack Overflow | Stack-Overflow-Schwachstelle in Perl-Modul „Storable“ (Versionen vor 3.05). Ermöglicht Angreifern durch manipulierte Daten einen Overflow auszulösen. |
| CRITICAL (10.0) | CVE-2025-15638 / Net::Dropbear Libtomcrypt Vulnerability | Net::Dropbear (Versionen vor 0.14) enthält anfällige libtomcrypt-Versionen (v1.18.1 oder älter), die von CVE-2016-6129 und CVE-2018-12437 betroffen sind. |
| CRITICAL (10.0) | CVE-2026-40911 / WWBN AVideo RCE | Remote Code Execution (RCE) und Account Takeover in WWBN AVideo (Versionen 29.0 und älter) durch unsanitisierte `eval()`-Sinks im YPTSocket-Plugin. Unauthentifizierte Angreifer können beliebigen JavaScript-Code ausführen. |
| CRITICAL (9.9) | CVE-2026-41329 / OpenClaw Sandbox Bypass | Sandbox-Bypass und Privilege Escalation in OpenClaw (vor 2026.3.31) durch Kontextvererbung und Parameter-Manipulation. |
| CRITICAL (9.9) | CVE-2026-40906 / ElectricSQL SQL Injection | SQL Injection in ElectricSQL (1.1.12 bis vor 1.5.0) über den order_by-Parameter der /v1/shape API. Authentifizierte Benutzer können Lese-, Schreib- und Löschzugriff auf die PostgreSQL-Datenbank erhalten. |
| CRITICAL (9.9) | CVE-2026-40933 / Flowise RCE | Remote Command Execution in Flowise (vor 3.1.0) aufgrund unsicherer Serialisierung von stdio-Befehlen im MCP-Adapter, ermöglicht authentifizierten Angreifern die Ausführung beliebiger Befehle. |
| CRITICAL (9.8) | CVE-2026-5965 / NewSoftOA OS Command Injection | OS Command Injection in NewSoftOA, ermöglicht unauthentifizierten lokalen Angreifern die Ausführung beliebiger OS-Befehle auf dem Server. |
| CRITICAL (9.8) | CVE-2026-6748 / Firefox/Thunderbird Uninitialized Memory | Schwachstelle durch uninitialisierten Speicher in der Audio/Video: Web Codecs Komponente. Betrifft Firefox vor 150 und Thunderbird vor 150. |
| CRITICAL (9.8) | CVE-2026-40050 / CrowdStrike LogScale Path Traversal | Kritische, unauthentifizierte Path Traversal Schwachstelle in LogScale (selbst gehostete Versionen), die das Auslesen beliebiger Dateien vom Server-Dateisystem ohne Authentifizierung ermöglicht. CrowdStrike hat SaaS-Kunden bereits abgesichert. |
| CRITICAL (9.8) | CVE-2026-40884 / goshs SFTP Auth Bypass | SFTP-Authentifizierungs-Bypass in goshs (vor 2.0.0-beta.6), wenn die leere-Benutzername-Basic-Auth-Syntax mit SFTP verwendet wird. |
| CRITICAL (9.8) | CVE-2026-34275 / Oracle Advanced Inbound Telephony Takeover | Leicht ausnutzbare Schwachstelle in Oracle Advanced Inbound Telephony (E-Business Suite, 12.2.3-12.2.15). Ermöglicht unauthentifizierten Angreifern mit Netzwerkzugriff über HTTP die vollständige Übernahme. |
2. Bedrohungsanalysen und Angriffskampagnen
Die Bedrohungslandschaft bleibt dynamisch und aggressiv. Mehrere kritische Angriffskampagnen sind aktuell aktiv:
-
Umfassende Angriffe auf Enterprise-Systeme
Es werden vermehrt Angriffe auf eine Reihe gängiger Enterprise-Lösungen beobachtet. Dazu gehören Cisco SD-WAN, Zimbra, TeamCity, PaperCut sowie weitere Systeme. Insbesondere die von CISA bestätigte aktive Ausnutzung einer neuen SD-WAN-Schwachstelle unterstreicht die Dringlichkeit, Patches für diese Infrastrukturkomponenten zeitnah einzuspielen und die Systeme auf Kompromittierung zu überprüfen.
-
Aktive Ausnutzung ungepatchter Windows Zero-Days
Berichte bestätigen die aktive Ausnutzung mehrerer ungepatchter Windows Zero-Day-Schwachstellen, bekannt als RedSun, UnDefend und BlueHammer. Diese Angriffe stellen ein erhebliches Risiko für Windows-basierte Infrastrukturen dar, da noch keine offiziellen Patches verfügbar sind. Organisationen sollten erhöhte Überwachungsmaßnahmen implementieren und, wo möglich, auf temporäre Mitigationen zurückgreifen, bis Microsoft entsprechende Updates bereitstellt.
-
Neue Daten-Wiper-Malware „Lotus“ im Einsatz
Eine neue Daten-Wiper-Malware namens „Lotus“ wird aktiv gegen Energie- und Versorgungsunternehmen in Venezuela eingesetzt. Solche Angriffe zielen auf die Zerstörung von Daten und Systemen ab und können weitreichende Störungen der kritischen Infrastruktur verursachen. Unternehmen sollten ihre Resilienz gegenüber Daten-Wiper-Angriffen prüfen und robuste Backup-Strategien sowie Notfallpläne bereithalten.
3. Datenschutz & Kryptografie
-
Datenleck bei französischer Regierungsbehörde
Eine französische Regierungsbehörde hat ein Datenleck bestätigt, nachdem Hacker angeboten hatten, gestohlene Daten zu verkaufen. Dies unterstreicht die anhaltende Bedrohung durch gezielte Angriffe auf staatliche Einrichtungen und die Notwendigkeit robuster Datensicherheitsmaßnahmen und Incident-Response-Prozesse, um sensible Informationen zu schützen und schnell auf Kompromittierungen reagieren zu können.
4. Handlungsempfehlungen
Basierend auf den aktuellen Erkenntnissen empfehlen wir dringend die folgenden Maßnahmen:
- Priorisierte Patch-Verwaltung:
- Führen Sie umgehend Updates für WWBN AVideo auf Version 29.1 oder höher durch, um die kritische RCE-Schwachstelle (CVE-2026-40911) zu beheben.
- Patchen Sie OpenClaw auf Version 2026.3.31 oder höher, um den Sandbox-Bypass (CVE-2026-41329) zu schließen.
- Aktualisieren Sie ElectricSQL auf Version 1.5.0 und Flowise auf Version 3.1.0, um die kritischen Injektions- und RCE-Schwachstellen (CVE-2026-40906, CVE-2026-40933) zu mitigieren.
- Für Perl-Anwendungen: Aktualisieren Sie das Storable-Modul auf Version 3.05 oder höher und Net::Dropbear auf Version 0.14 oder höher.
- Stellen Sie sicher, dass NewSoftOA-Installationen auf die neuesten gepatchten Versionen aktualisiert werden, um die OS Command Injection (CVE-2026-5965) zu beheben.
- Aktualisieren Sie Mozilla Firefox auf Version 150 (oder ESR 140.10) und Thunderbird auf Version 150 (oder 140.10), um die genannten kritischen Schwachstellen (z.B. CVE-2026-6748) zu schließen.
- CrowdStrike LogScale (Self-hosted): Führen Sie umgehend ein Upgrade auf eine gepatchte Version durch, um CVE-2026-40050 zu adressieren. SaaS-Kunden sind nicht betroffen.
- goshs: Aktualisieren Sie auf Version 2.0.0-beta.6, um den SFTP-Authentifizierungs-Bypass (CVE-2026-40884) zu schließen.
- Esri Portal for ArcGIS: Überprüfen und installieren Sie die entsprechenden Patches für die Versionen 11.4, 11.5 und 12.0, um die Privilege Assignment und Authorization Vulnerabilities (CVE-2026-33518, CVE-2026-33519) zu beheben.
- Oracle Advanced Inbound Telephony: Patchen Sie die betroffenen Versionen (12.2.3-12.2.15) gemäß den Oracle-Sicherheitshinweisen.
- Überwachung und Reaktion:
- Für die aktiv ausgenutzten Schwachstellen in Cisco SD-WAN, Zimbra, TeamCity, PaperCut und den Windows Zero-Days (RedSun, UnDefend, BlueHammer) halten Sie die Augen nach Vendor-Advisories und Notfall-Patches offen. Implementieren Sie temporäre Mitigationen und verstärken Sie die Überwachung auf verdächtige Aktivitäten.
- Überprüfen Sie regelmäßig Ihre Protokolldateien und Intrusion Detection/Prevention-Systeme auf Anzeichen einer Kompromittierung.
- Sicherheitsbewusstsein:
- Sensibilisieren Sie Ihre Mitarbeiter für die aktuelle Bedrohungslage, insbesondere im Hinblick auf Phishing-Versuche, die darauf abzielen könnten, Zugang zu anfälligen Systemen zu erhalten.
Fazit
Der 21. April 2026 zeigt eine weiterhin angespannte Sicherheitslage mit einer hohen Dichte an kritischen Schwachstellen, von denen viele aktiv ausgenutzt werden könnten oder bereits werden. Die schnelle Reaktion auf bekannte Schwachstellen durch Patches und die Implementierung robuster Überwachungsmechanismen sind entscheidend, um die Widerstandsfähigkeit gegen Cyberangriffe zu gewährleisten. Bleiben Sie wachsam und proaktiv.
