Januar 2026 Threat Report: Ein turbulenter Start – Teil 2

Bislang hat das Jahr 2026 turbulent begonnen. Angesichts der zahlreichen Aktivitäten im Bereich der Software-Sicherheitslücken sind die Bedenken globaler Führungskräfte, die in Teil 1 des Threat Reports Januar 2026 erörtert wurden, einfach nachzuvollziehen. Diese Volatilität unterstreicht auch den Wert der branchenführenden Erkennungsabdeckung von Greenbone. In Teil 2 des Threat Reports behandeln wir weitere kritische Sicherheitslücken, die im ersten Monat des Jahres 2026 aufgedeckt wurden.

Sicherheitsbeauftragte müssen umfassende und häufige Scans durchführen, um neue Bedrohungen in ihrer Infrastruktur zu erkennen und Maßnahmen zur Risikominderung entsprechend den potenziellen Auswirkungen auf den Geschäftsbetrieb, Datenschutzbestimmungen und andere Compliance-Verpflichtungen zu priorisieren. Sicherheitsbeauftragte, die nach Möglichkeiten zur Erkennung und zum Schutz suchen, können Greenbones Flaggschiffprodukt OPENVAS BASIC kostenlos testen, einschließlich einer zweiwöchigen kostenlosen Testversion des OPENVAS ENTERPRISE FEED.

CVE-2025-69258: TrendMicro Apex Central ermöglicht nicht authentifizierten RCE als SYSTEM

CVE-2025-69258 (CVSS 9.8) betrifft Trend Micro Apex Central On-Premises für Windows und ermöglicht nicht authentifizierten RCE mit SYSTEM-Rechten. Zwei weitere CVEs, CVE-2025-69259 und CVE-2025-69260 (beide CVSS 7.5), die zur gleichen Zeit veröffentlicht wurden, ermöglichen Denial-of-Service-Bedingungen (DoS). Die Ursache für CVE-2025-69258 ist ein Pufferüberlauf [CWE-120] aufgrund einer unsicheren Verwendung von LoadLibraryEx und einer unsachgemäßen Nachrichtenverarbeitung. Der Fehler führt zu DLL-Injektionen, NULL-Verarbeitungsfehlern und Lesevorgängen außerhalb des zulässigen Bereichs.

Apex Central ist ein zentrales Verwaltungssystem für die Administration und Überwachung von Trend Micro-Sicherheitsprodukten in einem Unternehmen und damit ein bevorzugtes Ziel für Angriffe. Lokale Windows-Builds unter 7190 sind anfällig. Apex Central verfügt über keinen automatischen Update-Mechanismus; Admins müssen Patches und Upgrades manuell installieren. In der offiziellen Sicherheitsempfehlung werden die erforderlichen Softwarevoraussetzungen (z. B. Service Packs) beschrieben, die möglicherweise installiert werden müssen, bevor das Critical Patch Build 7190 installiert werden kann.

Es gibt keine Bestätigung dafür, dass die CVEs aktiv ausgenutzt werden, aber für alle drei CVEs wurden vollständige technische Details und Proof-of-Concept-Exploits veröffentlicht, was ihr Risiko erheblich erhöht. Der OPENVAS ENTERPRISE FEED von Greenbone enthält eine lokale Registrierungsprüfung, um alle oben genannten CVEs zu erkennen.

Zwei neue aktiv ausgenutzte Ivanti EPMM-Sicherheitslücken

Zwei neue Schwachstellen, die Ivanti Endpoint Manager Mobile (EPMM) betreffen, CVE-2026-1281 und CVE-2026-1340 (beide CVSS 9.8), wurden am 29. Januar 2026 veröffentlicht, und CVE-2026-1281 wurde noch am selben Tag in die KEV-Liste der CISA aufgenommen. Beide CVEs ermöglichen eine nicht authentifizierte RCE über Code-Injektion aufgrund einer unsachgemäßen Kontrolle von generierten Code [CWE-94]. Beide werden durch vorab authentifizierte Apache RewriteMap-Integrationen verursacht, die von Angreifenden kontrollierte HTTP-Parameter an ein Bash-Skript weiterleiten, das Befehlssubstitution und die Ausführung von Remote-Shell-Befehlen ermöglicht.

Sobald ein EPMM-Gerät kompromittiert wurde, besteht ein Risiko für den Einsatz von Backdoors [TA0011], laterale Bewegung innerhalb des Netzwerks des Opfers [TA0008] oder das Stehlen sensibler Informationen [T1005], die auf dem EPMM-Gerät gespeichert sind. Dazu können Adminanmeldedaten [TA0006] und Daten von Mobilgeräten gehören, darunter GPS-Standorte [T1430] und IMEI-Werte [T1426]. Die Ausnutzung ermöglicht auch die Manipulation von Konfigurationen [T1562] über die API oder die Webkonsole [T1102].

Eine detaillierte technische Analyse wurde von watchTowr Labs veröffentlicht, aber Push-Button-Exploit-Kits sind nicht öffentlich verfügbar. Darüber hinaus wurde die Ausnutzung bisher nicht mit Ransomware-Operationen in Verbindung gebracht. Der OPENVAS ENTERPRISE FEED von Greenbone enthält eine Remote-Banner-Versionsprüfung, um betroffene Instanzen zu identifizieren. Beide Schwachstellen betreffen lokale Instanzen von Ivanti EPMM. Weitere Informationen zu den betroffenen Versionen, den Schritten zur Installation der Patches und den bekannten Indikatoren für Kompromittierung (IoC) finden Sie in der offiziellen Empfehlung und den Analysehinweisen von Ivanti. Ivanti weist darauf hin, dass die einfache Installation des Patches als Abhilfemaßnahme nicht ausreicht. Sicherheitsverantwortliche sollten auch nach IoC suchen und bei einem Fund einen Incident-Response-Prozess einleiten, gefolgt von einer vollständigen Systemwiederherstellung.

CVE-2025-34026: Versa Concerto wird aktiv ausgenutzt

CVE-2025-34026 (CVSS 7.6, EPSS ≥ 98. Perzentil), veröffentlicht am 21. Mai 2025, wurde am 22. Januar 2026 in die KEV-Liste der CISA aufgenommen. Die Schwachstelle ermöglicht eine Umgehung der Authentifizierung, was zu einem Zugriff auf administrative Endpunkte in der SD-WAN-Orchestrierungsplattform Versa Concerto führt. Die Ursache ist eine unsachgemäße Bearbeitung von Anfragen im exponierten Traefik-Reverse-Proxy und im Spring Boot Actuator-Endpunkt. Durch Ausnutzen dieser Schwachstelle ist der Zugriff auf Heap-Dumps und Trace-Protokolle möglich, die Klartext-Anmeldedaten und Sitzungstoken enthalten können.

Andere Concerto-Schwachstellen, CVE-2025-34027 (CVSS 10, EPSS ≥ 87. Perzentil) und CVE-2025-34025 (CVSS 8.6), können ebenfalls zu einer vollständigen Kompromittierung des Systems führen, aber es gibt keine Berichte über ihre aktive Ausnutzung. Beide zusätzlichen CVEs wurden ebenfalls am 21. Mai 2025 veröffentlicht. Obwohl eine vollständige technische Analyse verfügbar ist, gibt es keine öffentlichen PoC-Exploits.

Der OPENVAS ENTERPRISE FEED enthält seit Mai 2025 eine aktive Überprüfung für CVE-2025-34026 und eine weitere für CVE-2025-34027, sodass Verteidigende frühzeitig informiert werden und Abwehrmaßnahmen ergreifen können. Diese Überprüfungen senden speziell gestaltete HTTP-Anfragen, um anfällige Instanzen zu identifizieren. Die Schwachstelle wurde in der am 16. April 2025 veröffentlichten Version 12.2.1 GA von Concerto behoben. Die Updates sollten dringend installiert werden.

Ni8Mare und die stetige Flut kritischer n8n-CVEs seit Ende 2025

CVE-2026-21858 (auch bekannt als Ni8Mare, CVSS 10, EPSS ≥ 90. Perzentil) ist die kritischste einer ganzen Reihe kritischer n8n-Schwachstellen, die seit Ende 2025 aufgetreten sind und die Versionen 1.x sowohl für selbst gehostete als auch für n8 Cloud-Instanzen betreffen. CVE-2026-21858 kann ohne Authentifizierung aus der Ferne ausgelöst werden und ermöglicht die vollständige Übernahme der Workflow-Automatisierungsplattform. Für CVE-2026-21858 sind mehrere technische Analysen verfügbar [1][2].

n8n ist eine Open-Source-Workflow-Automatisierungsplattform mit fairem Code, mit der Anwendungen, APIs und Dienste visuell zu automatisierten Prozessen verbunden werden können. Das Workflow-Repository von n8n umfasst über 7.800 veröffentlichte Workflows, was darauf hindeutet, dass die Anwendung weit verbreitet ist.

Weitere kritische und schwerwiegende Schwachstellen, die seit Ende 2025 in den n8n-Versionen 0.x und 1.x bekannt sind, umfassen:

• CVE-2026-21877 (CVSS 9.9, EPSS ≥ Perzentil): Authentifizierte Angreifende können einen bösartigen Dateityp [CWE-434] in die n8n-Instanz hochladen, der RCE ermöglicht und möglicherweise zu einer vollständigen Kompromittierung des Systems führt. Admins können das Risiko verringern, indem sie den Git-Knoten deaktivieren und den Zugriff für nicht vertrauenswürdige User einschränken. Es wird jedoch ein Upgrade empfohlen. Dieses Problem wurde in Version 1.121.3 behoben. Weitere Informationen finden Sie in der Sicherheitsempfehlung.
• CVE-2025-68668 (CVSS 9.9, EPSS ≥ 13. Perzentil): Eine Sandbox-Umgehungsschwachstelle [CWE-693] im Python-Code-Knoten, der Pyodide verwendet. Authentifizierte User mit Berechtigungen zum Erstellen oder Ändern von Workflows können beliebige Befehle auf dem Host mit n8n-Prozessrechten ausführen. Zu den Workarounds gehören: vollständige Deaktivierung des Code-Knotens, Deaktivierung der Python-Unterstützung im Code-Knoten und Konfiguration von n8n für die Verwendung der Python-Sandbox des Task-Runners. Eine vollständige Ursachenanalyse für CVE-2025-68668 ist verfügbar, wodurch sich das Risiko erhöht. Das Problem wurde in Version 2.0.0 behoben. Weitere Informationen finden Sie in der offiziellen Sicherheitsempfehlung.
• CVE-2025-68613 (CVSS 8.8, EPSS ≥ 99. Perzentil): Eine RCE-Sicherheitslücke im Auswertesystem für n8n-Workflow-Ausdrücke, die es unter bestimmten Bedingungen ermöglicht, dass von authentifizierten Usern bereitgestellte Ausdrücke in einer nicht Ausführungsumgebung außerhalb der Sandbox [CWE-913] ausgewertet werden. So kann RCE mit n8n-Prozessrechten erreicht werden. Für CVE-2025-68613 sind mehrere PoC-Exploits [3][4][5] und ein Metasploit-Modul verfügbar, die das Risiko erhöhen. Dieses Problem wurde in den Versionen 1.120.4, 1.121.1 und 1.122.0 behoben. Weitere Informationen finden Sie in der Sicherheitsempfehlung.
• CVE-2025-65964 (CVSS 8.8, EPSS ≥ 5. Pctl): Der Vorgang „Add Config” ermöglicht es Workflows, beliebige Git-Konfigurationswerte festzulegen, darunter core.hooksPath, der auf einen bösartigen Git-Hook verweisen kann. Dies könnte die Ausführung beliebiger Befehle auf dem n8n-Host während Git-Vorgängen ermöglichen. Eine vollständige technische Beschreibung und Exploit-Kette ist verfügbar. Die Ausnutzung erfordert n8n-Workflow-Rechte unter Verwendung des Git-Knotens. Zu den Workarounds gehören das Ausschließen des Git-Knotens und das Vermeiden des Klonens oder der Interaktion mit nicht vertrauenswürdigen Repositorys unter Verwendung des Git-Knotens. Dieses Problem wurde in Version 1.119.2 behoben. Weitere Informationen finden Sie in der offiziellen Sicherheitsempfehlung.

Weltweit wurden mehrere CERT-Hinweise zu einer oder mehreren der oben genannten CVEs veröffentlicht [6][7][8][9][10][11][12][13][14]. Aktive Angriffskampagnen, die diese CVEs ausnutzen, wurden nicht bekannt gegeben. Der OPENVAS ENTERPRISE FEED enthält mehrere Remote-Banner-Versionsprüfungen, um alle oben genannten Schwachstellen zu erkennen [15][16] [17][18][19] sowie die Erkennung vieler anderer CVEs, die n8n betreffen.

n8n Version 2.0 wurde im Dezember 2025 veröffentlicht und ist von den oben genannten CVEs nicht betroffen. n8n-Versionen 0.x und 1.x sollten so schnell wie möglich auf die neueste vollständig gepatchte Version aktualisieren.

CVE-2025-15467: Kritische OpenSSL 3 Schwachstelle

CVE-2025-15467 (CVSS 9,8, EPSS ≥ 71. Perzentil) ist die kritischste unter zwölf neuen Schwachstellen, die das weit verbreitete OpenSSL-Toolkit betreffen. Die Schwachstelle wird ausgenutzt, indem eine bösartige Cryptographic Message Syntax (CMS) [RFC5652] AuthEnvelopedData-Nachricht [RFC5083] unter Verwendung einer AEAD-Verschlüsselung (Authenticated Encryption with Associated Data, z. B. AES-GCM) übermittelt wird, um einen übergroßen ASN.1-codierten Initialisierungsvektor (IV) einzuschleusen.

OpenSSL kopiert den übergroßen IV ohne Längenprüfung in einen Stack-Puffer mit fester Größe [CWE-787]. Das Ergebnis ist ein Stack-Überlauf vor der Authentifizierung, der beliebige RCE und DoS ermöglicht.

CVE-2025-15467 hat keine Auswirkungen auf den täglichen SSL/TLS-Betrieb, da TLS den X.509-Zertifikatsstandard [RFC5280] verwendet. E-Mail-Clients oder Plugins, die S/MIME AuthEnvelopedData aus nicht vertrauenswürdigen eingehenden E-Mails unterstützen, sind jedoch ein Beispiel für eine potenzielle Angriffskette. Eine vollständige technische Beschreibung ist für CVE-2025-15467 verfügbar, was das Risiko der Entwicklung von Exploit-Kits erhöht. Weltweit wurden mehrere nationale CERT-Warnungen für CVE-2025-15467 herausgegeben [1][2][3][4][5][6].

Die zwölf CVEs, die vom Sicherheitsforscher Stanislav Fort veröffentlicht wurden, wurden Berichten zufolge durch eine KI-basierte Softwareanalyse entdeckt. Diese Errungenschaft kommt zu einer Zeit, in der andere Software-Maintainer und Sicherheitsforschende behaupten, dass von KI eingereichte Fehlerberichte (als „AI-Slop” bezeichnet) ihre Fehlerverfolgung effektiv stören [7][8][9][10] und in einigen Fällen sind KI-generierte CVE-Meldungen von vornherein keine gültigen Fehler.

Der OPENVAS ENTERPRISE FEED enthält mehrere Erkennungstests für verschiedene Linux-Distributionen und Windows-Installationen von OpenSSL für CVE-2025-15467 und elf weitere kürzlich bekannt gegebene CVEs. Alle zwölf CVEs betreffen die OpenSSL-Versionen 3.0, 3.3, 3.4, 3.5 und 3.6.0 (veröffentlicht am 1. Oktober 2025) und sind in den Versionen 3.0.19, 3.3.6, 3.4.4, 3.5.5 und 3.6.1 behoben.

Hypervisor-Risiko bleibt Anfang 2026 erhöht

Der letzte Threat Report für 2025 beschrieb einen Anstieg der Cyberangriffe auf Hypervisor-Plattformen Ende 2025. Dieser Trend dürfte sich auch 2026 fortsetzen. Im Januar wurden mehrere hochriskante Schwachstellen für beliebte Virtualisierungsplattformen veröffentlicht. Aufgrund der entscheidenden Rolle von Hypervisoren bei der sicheren Isolierung kritischer Workloads in der Netzwerkinfrastruktur von Unternehmen sollten Patches als oberste Priorität betrachtet werden.

CVE-2024-37079: Aktive Kampagnen gegen VMware-Hypervisoren

Im Threat Report vom Dezember 2025 haben wir einen neuen Intelligence-Bericht von Huntress diskutiert, in dem ein starker Anstieg von Cyberangriffen auf Hypervisoren beschrieben wird. Die Angriffe richteten sich gegen VMWare ESXi, Workstation und Fusion und nutzten CVE-2025-22224 (CVSS 8.2), CVE-2025-22225 (CVSS 8.2) und CVE-2025-22226 (CVSS 6.0) aus, indem sie Code als VMX-Prozess ausführten, aus der VMX-Sandbox entkamen und Speicher aus dem VMX-Prozess leckten. Greenbone enthält eine Vielzahl von Prüfungen zur Erkennung dieser aktiv ausgenutzten CVEs [1][2][3][4].

Im Januar 2026 wurde CVE-2024-37079 (CVSS 9.8), das VMware vCenter Server Versionen 7 und 8 betrifft, in die KEV-Liste der CISA aufgenommen. Die Mitte 2024 veröffentlichte Schwachstelle ermöglicht RCE ohne Authentifizierung, indem eine Heap-Überlauf-Schwachstelle ausgenutzt wird, um einen Speicherzugriff außerhalb der Grenzen auszulösen [CWE-787]. CVE-2024-37080 (CVSS 9.8) wurde zur gleichen Zeit veröffentlicht, wurde jedoch noch nicht in aktiven Angriffen beobachtet. Beide CVEs sind Fehler in der DCERPC-Protokollimplementierung (Distributed Computing Environment Remote Procedure Call) von vCenter. DCERPC ist eine Schlüsseltechnologie für die Fernsteuerung benachbarter Remote-Systeme.

Oracle behebt 11 schwerwiegende VirtualBox-Sicherheitslücken in der ersten Patch-Version von 2026

Die Sicherheitspatch-Version von Oracle vom Januar 2026 enthielt elf schwerwiegende CVEs, die VirtualBox Version 7.1.14 (veröffentlicht am 10. Oktober 2025) und Version 7.2.4 (veröffentlicht am 21. Oktober 2025) betrafen. Die meisten Schwachstellen erfordern lokalen Zugriff. Zu den schwerwiegenden Schwachstellen gehören:

• CVE-2026-21955 (CVSS 8.2): Eine schwerwiegende Schwachstelle, die in der Kernkomponente von Oracle VirtualBox gefunden wurde. Die Schwachstelle ermöglicht es privilegierten lokalen Angreifenden, die Virtualisierungssoftware zu kompromittieren, was zu einer vollständigen Übernahme des VirtualBox-Systems und unbefugtem Zugriff auf kritische Daten führen kann.
• CVE-2026-21956 (CVSS 8.2): Eine Schwachstelle in der Kernkomponente von Oracle VirtualBox, die es privilegierten Angreifenden mit Anmeldeberechtigungen ermöglicht, die Integrität von VirtualBox zu kompromittieren und erheblichen Einfluss auf weitere Produkte zu haben.

Die neuen VirtualBox-Schwachstellen werden nicht als aktiv ausgenutzt eingestuft, und es sind keine öffentlichen PoC-Exploits verfügbar. Weltweit wurden mehrere nationale CERT-Warnungen für das neueste Sicherheitsupdate von Oracle herausgegeben [1][2][3][4][5]. Der OPENVAS ENTERPRISE FEED von Greenbone erkennt alle neu bekannt gewordenen VirtualBox-Schwachstellen in Windows-, Linux- und macOS-Umgebungen [5][6][7]. Sie sollten ihre VirtualBox-Instanz so schnell wie möglich auf eine gepatchte Version aktualisieren.

Weitere bemerkenswerte CVEs mit hohem Risiko aus dem Januar 2026

Hier ist eine kurze Übersicht über weitere CVEs mit hohem Risiko, die im Januar 2026 veröffentlicht wurden:

• BIND9 Denial of Service (CVE-2025-13878, CVSS 7.5): Ermöglicht nicht authentifizierten Angreifenden aus der Ferne, einen DoS in ISC BIND 9 zu verursachen. Es gibt keine Berichte über aktive Ausnutzung oder öffentliche PoC-Exploits. Das Problem betrifft sowohl autoritative Server als auch Resolver und wurde in BIND 9.18.44, 9.20.18 und 9.21.17 behoben [1]. Der OPENVAS ENTERPRISE FEED bietet Paket-Level-Erkennung für eine Vielzahl von Linux-Distributionen und eine Remote-Banner-Prüfung für Windows.
• Kritische GitLab-Sicherheitslücke und mehr (CVE-2025-13761, CVSS 9.6): GitLab hat die Sicherheitsupdates7.1, 18.6.3 und 18.5.5 veröffentlicht, um mehrere Sicherheitslücken in selbstverwalteten Instanzen zu schließen. Der Update-Zyklus umfasste kritische, gespeicherte und reflektierte XSS, die die Ausführung beliebigen JavaScript-Codes in den Browsern der User ermöglichen könnten. Insgesamt könnten die Probleme die Integrität, Vertraulichkeit und Verfügbarkeit der meisten Bereitstellungstypen beeinträchtigen. Admins sollten sofort ein Upgrade durchführen und den schnelllebigen Patch-Zyklus von GitLab genau beobachten. Der OPENVAS ENTERPRISE FEED umfasst die Erkennung aller CVEs in diesem Batch.
• Mehrere kritische CVEs, die CoolLabs Coolify betreffen:Elf neue Schwachstellen, die CoolLabs Coolify betreffen, wurden Anfang Januar 2026 als Gruppe veröffentlicht. Coolify ist ein Open-Source-Tool zur Verwaltung von Servern, Anwendungen und Datenbanken, das selbst gehostet werden kann. Das GitHub-Repository des Projekts weist ~50,5k Sterne, ~3,6k Forks und 575 Mitwirkende auf, was auf eine aktive Präsenz hindeutet. Weitere Details finden Sie auf der GitHub-Sicherheitsseite des Produkts. Der OPENVAS ENTERPRISE FEED bietet Erkennung für alle elf CVEs in der Veröffentlichung.
• Nicht authentifizierter RCE in telnetd (CVE-2026-24061, CVSS 9.8): Die Telnet-Fernzugriffsanwendung gilt seit Jahrzehnten als kritisches Sicherheitsrisiko. Sie bietet keine Verschlüsselung für Daten während der Übertragung, wodurch Angriffe vom Typ „Adversary-in-the-Middle“ (AiTM) [T1157] trivial werden. CVE-2026-24061 deckt jedoch ein noch schwerwiegenderes Risiko auf, das bis zur Version 1.9.3 aus dem Mai 2015 zurückreicht.
• CVE-2026-24061 ist eine Authentifizierungsumgehung inGNU InetUtils telnetd, die es Angreifenden ohne Anmeldedaten ermöglicht, aus der Ferne Root-Zugriff zu erlangen. Mehrere Beschreibungen [1][2] und PoC sind verfügbar [3][4][5], und weltweit wurden zahlreiche CERT-Warnungen herausgegeben [6][7][8][9][10]. Für User, die Legacy-Unterstützung vom Telnet-Dienst benötigen, wurden Patches herausgegeben. Andernfalls sollte sichergestellt werden, dass der Dienst deinstalliert wird, da er auch lokal für die Ausweitung von Berechtigungen ausgenutzt werden kann. Der OPENVAS ENTERPRISE FEED bietet eine Reihe von Paketversionsprüfungen für Linux und eine aktive Prüfung, die für alle Betriebssysteme wirksam ist [11].

Zusammenfassung

Angesichts der zahlreichen Aktivitäten im Bereich der Software-Sicherheitslücken sind die Bedenken globaler Führungskräfte, die in Teil 1 des Bedrohungsberichts vom Januar 2026 diskutiert wurden, nachvollziehbar. Diese Volatilität unterstreicht auch den Wert der branchenführenden Erkennungsabdeckung von Greenbone. Der Januar 2026 war so turbulent, dass er zwei Bedrohungsberichte verdient hat. In Teil 2 des Bedrohungsberichts vom Januar 2026 haben wir eine weitere Gruppe neu auftretender Software-Sicherheitslücken mit hohem Risiko untersucht. Verteidigungsteams, die nach Erkennungs- und Schutzmöglichkeiten suchen, können Greenbones Flaggschiffprodukt OPENVAS BASIC kostenlos testen, einschließlich einer zweiwöchigen kostenlosen Testversion von OPENVAS ENTERPRISE FEED.