Täglicher IT-Security-Lagebericht – 05.04.2026

Sehr geehrte Leserinnen und Leser,

Willkommen zum täglichen IT-Security-Lagebericht für den 05. April 2026. Dieser Bericht bietet Ihnen einen kompakten Überblick über die wichtigsten Entwicklungen und Empfehlungen im Bereich der Informationssicherheit. Die heutige Lage ist geprägt von kritischen Schwachstellen, akuten Angriffskampagnen und wichtigen administrativen Maßnahmen, die sofortige Aufmerksamkeit erfordern.

1. Aktuelle CVEs und Schwachstellen

Die folgenden kritischen und hochriskanten Schwachstellen wurden kürzlich bekannt oder sind weiterhin relevant. Sie betreffen eine Vielzahl von Systemen und Anwendungen, von Content-Management-Systemen bis hin zu Netzwerkgeräten und Entwicklerwerkzeugen.

Kritikalität (CVSS) CVE-ID / Titel Kurzbeschreibung
CRITICAL (9.8) CVE-2019-25687: Pegasus CMS Remote Code Execution Unauthentifizierte Angreifer können durch eine RCE-Schwachstelle im extra_fields.php Plugin von Pegasus CMS 1.0 beliebigen Code ausführen, indem sie unsichere Eval-Funktionen ausnutzen.
HIGH (8.8) CVE-2026-5544: UTT HiPER 1250GW Stack-based Buffer Overflow Eine Schwachstelle in UTT HiPER 1250GW (bis 3.2.7-210907-180535) ermöglicht einen Stack-basierten Buffer Overflow durch Manipulation des Arguments ‚Profile‘ in der Datei /goform/formRemoteControl. Remote ausnutzbar, Exploit öffentlich.
HIGH (8.8) CVE-2026-5548: Tenda AC10 Stack-based Buffer Overflow Eine Schwachstelle in Tenda AC10 (16.03.10.10_multi_TDE01) ermöglicht einen Stack-basierten Buffer Overflow durch Manipulation des Arguments ’sys.userpass‘ in der Funktion fromSysToolChangePwd der Datei /bin/httpd. Remote ausnutzbar.
HIGH (8.8) CVE-2026-5550: Tenda AC10 Stack-based Buffer Overflow (Multi-Endpoint) Eine ähnliche Schwachstelle in Tenda AC10 (16.03.10.10_multi_TDE01) ermöglicht einen Stack-basierten Buffer Overflow in der Funktion fromSysToolChangePwd der Datei /bin/httpd. Remote ausnutzbar, mehrere Endpunkte betroffen.
HIGH (8.8) CVE-2026-5566: UTT HiPER 1250GW Buffer Overflow (NatStaticMap) Eine Schwachstelle in UTT HiPER 1250GW (bis 3.2.7-210907-180535) ermöglicht einen Buffer Overflow durch Manipulation des Arguments ‚NatBind‘ in der Funktion strcpy der Datei /goform/formNatStaticMap. Remote ausnutzbar, Exploit öffentlich.
HIGH (8.8) CVE-2026-5567: Tenda M3 Buffer Overflow Eine Schwachstelle in Tenda M3 (1.0.0.10) ermöglicht einen Buffer Overflow durch Manipulation des Arguments ‚policyType‘ in der Funktion setAdvPolicyData der Datei /goform/setAdvPolicyData. Remote ausnutzbar, Exploit veröffentlicht.
HIGH (8.8) CVE-2019-25671: VA MAX Remote Code Execution Authentifizierte Angreifer können in VA MAX 8.3.4 beliebigen Code ausführen, indem sie Shell-Metazeichen in den mtu_eth0 Parameter der changeip.php-Endpunkt injizieren.
HIGH (8.8) CVE-2019-25673: UniSharp Laravel File Manager Arbitrary File Upload Authentifizierte Angreifer können in UniSharp Laravel File Manager v2.0.0-alpha7 und v2.0 bösartige Dateien hochladen und beliebigen Code ausführen.
HIGH (8.8) CVE-2019-25685: phpBB Arbitrary File Upload Authentifizierte Angreifer können in phpBB bösartige Dateien hochladen, indem sie die plupload-Funktionalität und den phar:// stream wrapper ausnutzen.
HIGH (8.8) CVE-2026-5604: Tenda CH22 Stack-based Buffer Overflow Eine Schwachstelle in Tenda CH22 (1.0.0.1) ermöglicht einen Stack-basierten Buffer Overflow durch Manipulation des Arguments ’standard‘ in der Funktion formCertLocalPrecreate. Remote ausnutzbar, Exploit öffentlich.
HIGH (8.4) CVE-2019-25656: R i386 Local Buffer Overflow Lokale Angreifer können in R i386 3.5.0 einen SEH-Overwrite auslösen und Code ausführen, indem sie bösartige Eingaben in das GUI Preferences Dialogfeld liefern.
HIGH (8.4) CVE-2019-25670: River Past Video Cleaner SEH Buffer Overflow Lokale Angreifer können in River Past Video Cleaner 7.6.3 beliebigen Code ausführen, indem sie eine bösartige Zeichenkette in das Lame_enc.dll-Feld liefern.
HIGH (8.4) CVE-2019-25681: Xlight FTP Server SEH Overwrite Lokale Angreifer können in Xlight FTP Server 3.9.1 die Anwendung abstürzen lassen und SEH-Pointer überschreiben, indem sie eine manipulierte Pufferzeichenkette liefern.
HIGH (8.2) CVE-2019-25662: ResourceSpace SQL Injection Unauthentifizierte Angreifer können in ResourceSpace 8.6 beliebige SQL-Abfragen ausführen, indem sie bösartigen Code über den ‚ref‘-Parameter injizieren.
HIGH (8.2) CVE-2019-25668: News Website Script SQL Injection Unauthentifizierte Angreifer können in News Website Script 2.0.5 Datenbankabfragen manipulieren, indem sie SQL-Code über den News-ID-Parameter injizieren.

2. Bedrohungsanalysen und Angriffskampagnen

Kritische FortiClient-EMS-Lücke wird aktiv ausgenutzt

Es wird erneut vor einer kritischen Schwachstelle im FortiClient EMS gewarnt, die aktiv von Angreifern ausgenutzt wird. Eine Notfallpatch wurde bereits veröffentlicht. Unternehmen, die FortiClient EMS einsetzen, sind dringend aufgerufen, die Updates unverzüglich einzuspielen, um Codeausführung durch Angreifer zu verhindern und potenzielle Kompromittierungen zu vermeiden.

Kritischer Supply Chain Angriff auf XZ Utils aufgedeckt

Eine der gravierendsten Entdeckungen der letzten Zeit betrifft die Open-Source-Bibliothek XZ Utils. Es wurde bekannt, dass Versionen 5.6.0 und 5.6.1 mit einer heimlich eingeschleusten Backdoor ausgeliefert wurden, die potenziell Remote Code Execution über SSH ermöglichen kann. Obwohl ein Sicherheitsupdate (z.B. 5.8.3) existiert, ist das volle Ausmaß der Kompromittierung und mögliche Nachwirkungen noch unklar. Organisationen, die diese Versionen einsetzen, müssen dringend eine Überprüfung ihrer Systeme vornehmen und auf eine sichere Version zurückrollen oder aktualisieren.

Zunehmende Phishing-Kampagnen mit neuen Taktiken

Aktuelle Phishing-Kampagnen zeigen neue und raffinierte Taktiken: Verkehrsstrafen-Scams nutzen nun QR-Codes in SMS-Nachrichten, um Opfer auf bösartige Seiten zu locken. Zudem wird ein starker Anstieg bei sogenannten Device-Code-Phishing-Angriffen beobachtet, die sich neuer Kits bedienen und um das 37-fache zugenommen haben. Auch die Ausnutzung von „React2Shell“ für automatisierte Anmeldeinformationsdiebstähle wird von Hackern aktiv betrieben. Dies unterstreicht die Notwendigkeit erhöhter Wachsamkeit bei E-Mails, SMS und unbekannten Links, sowie die Stärkung der menschlichen Firewall.

3. Datenschutz & Kryptografie

D-Trust Zertifikatstausch erforderlich

Admins sind aufgefordert, bestimmte D-Trust-Zertifikate auszutauschen. Diese Maßnahme ist notwendig, um die Integrität und Vertrauenswürdigkeit von Kommunikationskanälen und Authentifizierungsprozessen sicherzustellen. Die Frist für den Austausch endet am Ostermontag. Es ist entscheidend, dieser Aufforderung umgehend nachzukommen, um Unterbrechungen und potenzielle Sicherheitsrisiken durch ungültige oder als unsicher eingestufte Zertifikate zu vermeiden.

4. Handlungsempfehlungen

Auf Basis der aktuellen Lage empfehlen wir folgende Maßnahmen:

  • Sofortiges Patchen von FortiClient EMS: Stellen Sie sicher, dass alle FortiClient EMS-Installationen unverzüglich auf die neueste, gepatchte Version aktualisiert werden, da eine kritische Lücke aktiv ausgenutzt wird.
  • Überprüfung und Rollback/Update von XZ Utils: Überprüfen Sie Ihre Systeme umgehend auf die Verwendung von XZ Utils Versionen 5.6.0 und 5.6.1. Ersetzen Sie diese umgehend durch eine sichere Version (z.B. 5.4.x oder eine verifizierte, saubere neue Version), um eine potenzielle Backdoor zu eliminieren.
  • Allgemeines Patch-Management: Priorisieren Sie das Einspielen von Patches für alle als kritisch oder hoch eingestuften CVEs, insbesondere für Pegasus CMS, UTT HiPER, Tenda AC10/M3/CH22, VA MAX, UniSharp Laravel File Manager, phpBB, ResourceSpace und News Website Script, um bekannte Schwachstellen zu schließen. Achten Sie auch auf Cisco-Produkte, für die aktuelle Updates vorliegen.
  • D-Trust Zertifikate erneuern: Tauschen Sie die betroffenen D-Trust-Zertifikate fristgerecht vor Ostermontag aus, um die Sicherheit Ihrer Infrastruktur zu gewährleisten.
  • Erhöhte Phishing-Sensibilisierung: Schulen Sie Ihre Mitarbeiter regelmäßig im Umgang mit Phishing-Versuchen, insbesondere bei neuen Taktiken wie QR-Codes in SMS oder Device-Code-Phishing. Betonen Sie die Notwendigkeit, bei verdächtigen Nachrichten äußerste Vorsicht walten zu lassen und niemals auf ungeprüfte Links oder QR-Codes zu klicken.
  • Implementierung von MFA: Stellen Sie sicher, dass Multi-Faktor-Authentifizierung (MFA) überall dort eingesetzt wird, wo sensible Daten oder Zugriffe geschützt werden müssen, um den Erfolg von Credential-Theft-Kampagnen zu minimieren.

Fazit

Der heutige Lagebericht unterstreicht die anhaltend hohe Bedrohung durch gezielte Angriffe und die ständige Notwendigkeit eines proaktiven Sicherheitsmanagements. Die schnelle Reaktion auf bekannt gewordene Schwachstellen, die konsequente Implementierung von Updates und eine kontinuierliche Sensibilisierung der Mitarbeiter sind unerlässlich, um die digitale Widerstandsfähigkeit Ihrer Organisation zu stärken. Bleiben Sie wachsam und handeln Sie präventiv.

Ihr IT-Security-Analyst

Trending

Täglicher IT-Security-Lagebericht – 10.04.2026
Digital Detox: Der Schlüssel zu mehr Kreativität und Wohlbefinden?
Wie Ihr Toaster das nächste Opfer eines Cyberangriffs werden könnte
Sicherheitsbedrohungen durch IoT-Geräte und wie man sich schützen kann
WordPress Appliance - Powered by TurnKey Linux