Täglicher IT-Security-Lagebericht – 18.06.2026

Sehr geehrte Leserinnen und Leser,

willkommen zum täglichen IT-Security-Lagebericht für den 18. Juni 2026. Die aktuelle Bedrohungslandschaft bleibt dynamisch, mit einer Reihe kritischer Schwachstellen, die zeitnahes Handeln erfordern. Insbesondere aktive Ausnutzungen von Systemen wie FortiSandbox und neue Angriffsmethoden von Ransomware-Gruppen prägen das Bild. Auch im Bereich des Datenschutzes gab es relevante Vorkommnisse. Wir fassen die wichtigsten Entwicklungen des Tages zusammen und geben konkrete Handlungsempfehlungen.

1. Aktuelle CVEs und Schwachstellen

Die nachfolgende Tabelle listet kritische Schwachstellen, die kürzlich bekannt wurden und umgehende Aufmerksamkeit erfordern:

Kritikalität (CVSS) CVE-ID / Titel Kurzbeschreibung
CRITICAL (10.0) CVE-2026-49257: mcp-pinot – Unauthentifizierter Server ermöglicht vollen Cluster-Zugriff Die Python-basierte MCP-Server-Implementierung mcp-pinot läuft standardmäßig mit einem unauthentifizierten HTTP-Server (0.0.0.0:8080). Dies ermöglicht Netzwerk-Adjacent-Angreifern vollen Lese-/Schreibzugriff auf konfigurierte Apache Pinot Cluster. (Behoben in v3.1.0)
CRITICAL (9.9) CVE-2026-49252: deepstream – Prototype Pollution führt zu Privilegieneskalation Versionen von deepstream vor 10.0.5 sind anfällig für Prototype Pollution, was eine potenzielle Privilegieneskalation für authentifizierte Benutzer mit Schreibberechtigung auf Records ermöglicht. (Behoben in v10.0.5)
CRITICAL (9.9) CVE-2026-47647: Microsoft Dynamics 365 – Fehlerhafte Zugriffskontrolle Eine unsachgemäße Zugriffskontrolle in Microsoft Dynamics 365 erlaubt es einem autorisierten Angreifer, über ein Netzwerk Privilegien zu eskalieren.
CRITICAL (9.8) CVE-2026-55740: Nur-Alam39 bus-ticket – Unauthentifizierte SQL-Injection Die Anwendung bus-ticket enthält eine unauthentifizierte SQL-Injection-Schwachstelle in bus_info.php über den ‚busid‘-Parameter, die das Auslesen beliebiger Datenbankdaten ermöglicht. Die Anwendung nutzt den MySQL-Root-Account ohne Passwort.
CRITICAL (9.8) CVE-2026-54419: claudiopizzillo PIAF-HMS – Mehrere unauthentifizierte SQL-Injections Das PIAF-HMS enthält mehrere unauthentifizierte SQL-Injection-Schwachstellen, die es Angreifern ermöglichen, beliebige Daten in der Datenbank zu lesen, zu ändern oder zu löschen.
CRITICAL (9.8) CVE-2026-8024: ibaPDA / ibaDatCoordinator – Deserialisierung von nicht vertrauenswürdigen Daten Ein entfernter, unauthentifizierter Angreifer kann eine Deserialisierungs-Schwachstelle ausnutzen, um vollen Zugriff auf die betroffenen Systeme zu erhalten.
CRITICAL (9.8) CVE-2026-38714: InHand Networks IR912/IR915 – Command Injection (Python Config) InHand Networks IR912 und IR915 Router enthalten eine Command Injection Schwachstelle in der Python-Konfigurationsfunktion, die Remote Code Execution als Root ermöglicht.
CRITICAL (9.8) CVE-2026-38715: InHand Networks IR912/IR915 – Command Injection (Log Viewing) InHand Networks IR912 und IR915 Router enthalten eine Command Injection Schwachstelle in der Log-Viewing-Funktion, die Remote Code Execution als Root ermöglicht.
CRITICAL (9.8) CVE-2026-38716: InHand Networks IR912/IR915 – Command Injection (Python Export) InHand Networks IR912 und IR915 Router enthalten eine Command Injection Schwachstelle in der Python-Anwendungsexportfunktion, die Remote Code Execution als Root ermöglicht.
CRITICAL (9.8) CVE-2026-38717: InHand Networks IR912/IR915 – Command Injection (File Upload) InHand Networks IR912 und IR915 Router enthalten eine Command Injection Schwachstelle in der Dateiupload-Funktion, die Remote Code Execution als Root ermöglicht.
CRITICAL (9.8) CVE-2026-54103: US GAO EPDS / CBCA EDS – Unauthentifizierte Passwortänderung Das US GAO Electronic Protest Docketing System (EPDS) und das Civilian Board of Contract Appeals (CBCA) Electronic Docketing System (EDS) authentifizieren keine Passwortänderungsanfragen an den API-Endpunkt ‚/update-profile/N‘, was unauthentifizierten Angreifern die Änderung beliebiger Benutzerpasswörter ermöglicht.
CRITICAL (9.8) CVE-2026-54390: JTL Shop – Server-Side Template Injection (SSTI) mit RCE-Potenzial JTL Shop Versionen 5.2.0 bis 5.7.1 sind anfällig für Server-Side Template Injection, die unauthentifizierten Angreifern das Auslesen sensibler Daten und potenziell die Ausführung beliebiger Befehle ermöglicht.
CRITICAL (9.8) CVE-2026-47846: Bitnami Cassandra Container Images – Beibehaltener Standard-Superuser Bitnami Cassandra Container-Images können den Standard-Superuser-Account ‚cassandra:cassandra‘ aktiv lassen, selbst wenn ein benutzerdefinierter Admin-Account konfiguriert wird, was einen unbeabsichtigten Zugriffspfad darstellt.
CRITICAL (9.8) CVE-2026-54130: M365 Copilot – Fehlende Authentifizierung führt zu Informationspreisgabe Eine fehlende Authentifizierung für eine kritische Funktion in M365 Copilot ermöglicht unautorisierten Angreifern die Offenlegung von Informationen über ein Netzwerk.
CRITICAL (9.6) CVE-2026-55742: Cotonti – CSRF in Admin Rights Handler führt zu Privilegieneskalation Cotonti 1.0.0 ist anfällig für Cross-Site Request Forgery (CSRF) im Administrationsrechte-Handler, was die Privilegieneskalation für einen Angreifer ermöglicht, wenn ein Administrator eine bösartige Seite besucht.

2. Bedrohungsanalysen und Angriffskampagnen

Die aktuellen Nachrichten zeigen eine anhaltend hohe Bedrohung durch gezielte Angriffe und neue Malware-Entwicklungen:

  • Aktive Ausnutzung von FortiSandbox-Schwachstellen: Es wurden Berichte über aktive Angriffe auf kritische Schwachstellen in FortiSandbox-Appliances veröffentlicht. Dies unterstreicht die Notwendigkeit, Sicherheitsprodukte und Appliances nicht nur zu patchen, sondern auch sorgfältig auf ungewöhnliche Aktivitäten zu überwachen.
  • Malware in JetBrains-IDEs: Mehrere Plug-ins für beliebte JetBrains-IDEs wurden entdeckt, die API-Keys für Dienste wie OpenAI und DeepSeek stehlen. Dies ist ein alarmierendes Beispiel für Supply-Chain-Angriffe, die Entwicklertools und -umgebungen kompromittieren, um sensible Zugangsdaten abzugreifen. Organisationen müssen die Verwendung von Drittanbieter-Plugins streng überwachen und Entwickler auf die Risiken hinweisen.
  • „Gentlemen“ Ransomware mit EDR-Killer-Funktionen: Die neue Ransomware-Familie „Gentlemen“ zeichnet sich dadurch aus, dass sie mehrere EDR-Killer-Module verwendet, um Sicherheitslösungen auf Systemen zu deaktivieren, bevor die Verschlüsselung stattfindet. Dies demonstriert eine fortgeschrittene Taktik von Ransomware-Gruppen, die darauf abzielt, die Erkennung und Reaktion zu erschweren.

3. Datenschutz & Kryptografie

Im Bereich Datenschutz gab es folgende relevante Vorkommnisse:

  • Datendiebstahl bei Nintendo über WebMD-Tochterunternehmen: Nintendo hat bestätigt, dass im Rahmen eines Cyberangriffs auf ein Tochterunternehmen von WebMD Daten gestohlen wurden. Dies unterstreicht die Risiken von Drittanbieter-Integrationen und die Notwendigkeit robuster Sicherheitsmaßnahmen über die gesamte Lieferkette hinweg.
  • Klue OAuth-Leak und Salesforce-Datendiebstahl: Ein OAuth-Leck bei Klue wird mit den „Icarus“-Angriffen in Verbindung gebracht, die zum Diebstahl von Salesforce-Daten führten. Dies ist ein weiteres Beispiel dafür, wie kompromittierte Zugangsmechanismen bei Drittanbietern weitreichende Folgen für verknüpfte Dienste haben können.

4. Handlungsempfehlungen

Basierend auf den aktuellen Erkenntnissen empfehlen wir folgende Maßnahmen:

  • Umgehende Patch-Verwaltung:
    • Überprüfen und patchen Sie umgehend alle mcp-pinot-Installationen auf Version 3.1.0 oder höher.
    • Aktualisieren Sie deepstream auf Version 10.0.5 oder höher.
    • Implementieren Sie die von Microsoft bereitgestellten Patches für Microsoft Dynamics 365.
    • Nutzer von ibaPDA oder ibaDatCoordinator sollten die Herstellerhinweise zur Behebung der Deserialisierungs-Schwachstelle beachten und entsprechende Updates einspielen.
    • Für Besitzer von InHand Networks IR912/IR915-Geräten sind dringend Firmware-Updates erforderlich, um die zahlreichen Command-Injection-Schwachstellen zu beheben.
    • JTL Shop-Installationen der Versionen 5.2.0 bis 5.7.1 müssen umgehend auf eine gepatchte Version aktualisiert werden, um Server-Side Template Injection zu verhindern.
    • Administratoren von Bitnami Cassandra Container-Images sollten sicherstellen, dass der Standard-Superuser ‚cassandra‘ korrekt entfernt wird, nachdem ein benutzerdefinierter Admin konfiguriert wurde. Überprüfen Sie die Konfiguration gemäß Herstelleranweisungen.
    • Prüfen und beheben Sie die fehlende Authentifizierung in M365 Copilot gemäß den Anweisungen von Microsoft.
    • Cotonti-Nutzer sollten auf die neueste Version aktualisieren, um die CSRF-Schwachstelle zu mitigieren.
    • Berücksichtigen Sie das Oracle Critical Security Patch Update mit 245 Sicherheitsupdates und planen Sie die zeitnahe Implementierung relevanter Patches.
  • Allgemeine Sicherheitspraktiken:
    • Führen Sie regelmäßige Sicherheitsscans und Audits für alle Webanwendungen durch, um SQL-Injection und andere gängige Schwachstellen zu identifizieren und zu beheben.
    • Stellen Sie sicher, dass alle Systeme und Anwendungen nur die minimal notwendigen Privilegien besitzen und dass Standardkonten sicher konfiguriert oder deaktiviert sind (z.B. Root-Accounts ohne Passwort).
    • Implementieren Sie strenge Authentifizierungs- und Autorisierungsmechanismen für alle API-Endpunkte und kritischen Funktionen.
    • Überwachen Sie aktiv die Nutzung von Drittanbieter-Plugins in Entwicklungsumgebungen (z.B. JetBrains IDEs) und verwenden Sie nur vertrauenswürdige Quellen. Sensibilisieren Sie Entwickler für die Risiken.
    • Überprüfen Sie Ihre EDR-Lösungen und Sicherheitsstrategien, um sich gegen fortgeschrittene Ransomware-Taktiken wie die Deaktivierung von Sicherheitstools zu wappnen.
    • Sorgen Sie für umfassende Backups aller geschäftskritischen Daten und testen Sie regelmäßig deren Wiederherstellung.
    • Informieren Sie sich über die Sicherheits-Patches für Android 17, sobald diese verfügbar sind, um mobile Geräte aktuell zu halten.

Fazit

Der heutige Lagebericht zeigt eine breite Palette an Sicherheitsrisiken, von kritischen Software-Schwachstellen bis hin zu raffinierten Angriffskampagnen. Die Notwendigkeit proaktiver Patch-Verwaltung, verstärkter Überwachung und der Sensibilisierung der Mitarbeiter für Bedrohungen ist unverändert hoch. Bleiben Sie wachsam und priorisieren Sie die Umsetzung der empfohlenen Sicherheitsmaßnahmen, um Ihre IT-Infrastruktur effektiv zu schützen.

Trending

Täglicher IT-Security-Lagebericht – 18.06.2026
Digital Detox: Der Schlüssel zu mehr Kreativität und Wohlbefinden?
Wie Ihr Toaster das nächste Opfer eines Cyberangriffs werden könnte
Sicherheitsbedrohungen durch IoT-Geräte und wie man sich schützen kann
WordPress Appliance - Powered by TurnKey Linux