Bis vor kurzem konnten digitale Produkte auf dem europäischen Markt eingeführt werden, ohne dass ihnen im Wesentlichen verbindliche Cybersicherheitsstandards auferlegt wurden. Die Hersteller entschieden selbst, wie viel Sicherheit sie einbauten, und Käufer hatten keine Garantien und keine Möglichkeit zum Vergleich. Wenn Schwachstellen auftraten, bestand keine gesetzliche Verpflichtung, diese zu melden oder zu beheben. Produkte konnten ohne Vorankündigung vom Markt genommen werden, wodurch sie anfällig für Cyberangriffe blieben.

Der Cyber Resilience Act (CRA) ist die erste EU-Verordnung, die Cybersicherheit als Grundvoraussetzung für die Markteinführung digitaler Produkte vorschreibt. Er wurde im Oktober 2024 verabschiedet, und seine wichtigsten Verpflichtungen treten im September 2026 in Kraft.[1] Wenn Sie ein digitales Produkt herstellen oder vertreiben, das auf dem EU-Markt verkauft wird, gilt diese Verordnung für Sie.

Was bedeutet „Cyber-Resilienz”?

Cyber-Resilienz bezeichnet die Fähigkeit, negative Cybersicherheitsereignisse zu antizipieren, ihnen standzuhalten, sich von ihnen zu erholen und sich an sie anzupassen. Der CRA setzt Cyber-Resilienz auf Marktebene um, indem er allgemeine Cybersicherheitserwartungen in rechtlich durchsetzbare Produktverpflichtungen umwandelt. Produkte müssen so konzipiert sein, dass sie gegen Angriffe widerstandsfähig sind, und Hersteller müssen Schwachstellen während des gesamten Lebenszyklus ihres Produkts aktiv verwalten.

Was ist ein „Produkt mit digitalen Elementen“?

Der CRA verwendet den Begriff „Produkt mit digitalen Elementen“, um seinen Anwendungsbereich zu definieren. Ein Produkt mit digitalen Elementen ist definiert als jedes Software- oder Hardwareprodukt – sowie dessen Lösungen zur Fernverarbeitung von Daten –, das sich direkt oder indirekt mit einem anderen Gerät oder Netzwerk verbinden kann [2]. Alles in allem umfasst dies praktisch jede Software, die auf einem Standard-Desktop-Computer, Laptop oder Mobiltelefon läuft, und sogar einfache Hardwaregeräte wie eine TV-Fernbedienung.

Zu den wichtigsten Produktgruppen gehören:

• Unternehmenssoftwareplattformen: ERP-Systeme, CRM-Software, Sicherheitstools und Kollaborationsplattformen
• Consumer-Hardware: Smart-Home-Geräte, vernetzte Haushaltsgeräte, Router und IP-Kameras
• Industrieprodukte: SPS, SCADA-Systeme, industrielle Sensoren und vernetzte Maschinen
• Entwicklertools: IDEs, CI/CD-Plattformen und Build-Tools mit Netzwerkkonnektivität
• Betriebssysteme: Desktop-, Server- und Embedded-OS-Produkte

Wer muss die Vorschriften einhalten?

Der CRA legt die Hauptpflicht bei den Herstellern: den juristischen Personen, die Produkte mit digitalen Elementen entwerfen, entwickeln oder produzieren und diese unter ihrem eigenen Namen oder ihrer eigenen Marke auf dem EU-Markt in Verkehr bringen. Doch damit ist es nicht getan. Auch Importeure und Händler tragen Verpflichtungen. Wenn Sie ein Produkt eines Drittanbieters auf den EU-Markt bringen oder es innerhalb der EU verfügbar machen, sind Sie dafür verantwortlich, zu überprüfen, ob es die CRA-Anforderungen erfüllt.

Der CRA gilt unabhängig davon, wo Sie ansässig sind. Ein US-amerikanischer Softwareanbieter, der an EU-Kunden verkauft, fällt in den Geltungsbereich. Werden die Produkte eines Nicht-EU-Herstellers von einem europäischen Vertreiber in der EU verkauft, tragen beide Parteien Verpflichtungen – der Hersteller als für das Produkt verantwortliche Stelle und der Vertreiber als Stelle, die es auf dem EU-Markt bereitstellt.

Die Höchststrafe für Verstöße gegen den CRA beträgt 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist – Zahlen, die die Aufmerksamkeit der Unternehmensleitung schnell auf sich ziehen.

Was fällt ausdrücklich nicht in den Geltungsbereich?

• Produkte, die unter gleichwertige branchenspezifische Rechtsvorschriften fallen, wie bestimmte Medizinprodukte, Luftfahrtausrüstung und Kraftfahrzeuge, bei denen bestehende Vorschriften vergleichbare Cybersicherheitsanforderungen vorsehen
• Rein nichtkommerzielle Open-Source-Software (der CRA gilt weiterhin für Open-Source-Komponenten kommerzieller Produkte und Open-Source-Verwalter)
• Produkte im Bereich der nationalen Sicherheit, der Nachrichtendienste und des Militärs
• Produkte, die nicht auf dem Markt erhältlich sind und ausschließlich für bestimmte Zwecke entwickelt wurden, wie z. B. Evaluierungsprototypen

Was verlangt der CRA konkret?

Im Kern verlangt der CRA von den Herstellern vier Dinge:

1. Sichere digitale Produkte entwickeln: Produkte von Anfang an unter Berücksichtigung der Cybersicherheit entwerfen, entwickeln und produzieren – nicht erst nachträglich. Produkte müssen ohne bekannte ausnutzbare Schwachstellen, mit minimaler Angriffsfläche und in einer sicheren Standardkonfiguration ausgeliefert werden.
2. Aktive Unterstützung der Produktsicherheit: Kostenlose Bereitstellung von Sicherheitsupdates für mindestens fünf Jahre. Verantwortungsvolle Dokumentation und Verwaltung von Sicherheitslücken. Führung einer Software-Stückliste (SBOM), in der alle Softwarekomponenten aufgeführt sind.
3. Ausgenutzte Schwachstellen melden: Ab dem 11. September 2026 aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden an die ENISA melden und innerhalb von 72 Stunden vollständige technische Details übermitteln. [3]
4. Konformität bewerten und nachweisen: Führen Sie vor der Markteinführung eine Cybersicherheits-Risikobewertung durch. Bewahren Sie die technische Dokumentation 10 Jahre lang auf. Bringen Sie die CE-Kennzeichnung an, um die Konformität nachzuweisen. [4]

Die Frist im September 2026: Warum sie jetzt wichtig ist

Die meisten Hersteller konzentrieren sich auf das Datum der vollständigen Durchsetzung im Dezember 2027 – doch die unmittelbar dringlichere Frist ist der 11. September 2026, mit dem die Meldepflichten für Sicherheitslücken beginnen. Das ist in weniger als fünf Monaten. Ab diesem Datum muss jede aktiv ausgenutzte Sicherheitslücke in Ihren Produkten innerhalb von 24 Stunden einen formellen Meldeprozess an die europäischen Cybersicherheitsbehörden auslösen. [5]

Der Aufbau und das Testen des internen Prozesses dafür erfordern Vorbereitung. Nicht nur ein Richtliniendokument, sondern ein tatsächlicher operativer Arbeitsablauf mit Tools, Eskalationswegen und Mitarbeiterschulungen. Für Sicherheits- und Technikleiter ist der September 2026 die Frist, die Budgetgespräche jetzt rechtfertigt – nicht erst nach dem Datum der vollständigen Durchsetzung im Jahr 2027, wenn das Zeitfenster für eine geordnete Umsetzung bereits geschlossen sein wird.

Was die CRA-Konformität in der Praxis tatsächlich erfordert

Die Erfüllung dieser Verpflichtungen erfordert eine technische Grundlage: Sie müssen wissen, welche Komponenten in Ihren Produkten enthalten sind, nachverfolgen, welche CVEs diese betreffen, und über eine Möglichkeit verfügen, Prioritäten für die Behebung von Schwachstellen zu setzen. In der Praxis bedeutet dies, dass Tools für das Schwachstellenmanagement in Ihre Pipeline integriert werden müssen – nicht als reine Compliance-Maßnahme, sondern als kontinuierlicher Prozess, der einen CRA-konformen Prüfpfad erzeugt. Der CRA schreibt kein bestimmtes Tool vor, sondern das Ergebnis: eine dokumentierte, nachvollziehbare und wiederholbare Schwachstellenbehandlung.

Richtig umgesetzt können diese Prozesse auch den Arbeitsalltag der Entwickler weniger chaotisch gestalten: weniger Notfall-Patch-Zyklen, umsetzbare Warnmeldungen statt einer Flut von rohen CVE-Daten und klare Prioritäten bei der Triage, sodass das Team das behebt, was tatsächlich wichtig ist, anstatt alles auf einmal.

Wenn Sie gerade planen, wie dieser Prozess in Ihrem Unternehmen aussehen soll, werden unsere kommenden Beiträge die Kernkomponenten eines CRA-fähigen Schwachstellenmanagement-Workflows behandeln – einschließlich dessen, was eine SBOM enthalten muss, wie die Bewertung der Ausnutzbarkeit in der Praxis funktioniert und wo Open-Source-Tools ins Spiel kommen.

Anfang April gab Cisco zwei CVEs mit kritischem Schweregrad sowie weitere Schwachstellen mit hohem und mittlerem Schweregrad bekannt. Insgesamt ermöglichen die Schwachstellen eine Umgehung der Authentifizierung, Rechteausweitung auf ein Adminkonto, die Ausführung von Remote-Code (RCE) ohne Authentifizierung mit Root-Rechten, die Offenlegung von Informationen sowie Denial-of-Service-Zustände. Bei den beiden kritischen Schwachstellen handelt es sich um CVE-2026-20160 (CVSS 9,8), die Cisco Smart Software Manager On-Prem (SSM On-Prem) betrifft, und CVE-2026-20093 (CVSS 9,8), die Cisco Integrated Management Controller (IMC) betrifft.

Der OPENVAS ENTERPRISE FEED von Greenbone enthält seit der Bekanntgabe der Schwachstellen die Erkennung von CVE-2026-20160 und CVE-2026-20093 und hilft Sicherheitsverantwortlichen so, diese sich entwickelnden Bedrohungen abzuwehren. Sicherheitsverantwortliche, die diese Schwachstellen erkennen und sich davor schützen möchten, können die Einstiegsversion OPENVAS BASIC von Greenbone kostenlos testen, einschließlich einer zweiwöchigen Testversion des ENTERPRISE FEED.

Cisco SSM & IMC Schwachstellen

CVE-2026-20160 und CVE-2026-20093 stellen erhebliche Bedrohungen für die Unternehmens-IT dar. Obwohl SSM On-Prem und IMC interne Netzwerkdienste sind, die nicht für die Öffentlichkeit bestimmt sind, könnten diese CVEs Angreifenden, die sich bereits heimlich Zugang verschafft haben, die Möglichkeit bieten, sich lateral zu wertvollen Assets zu bewegen.

Cisco IMC birgt ein besonders hohes Risiko, da es in physische Server- und Edge-Plattformen eingebettet ist, die sich oft in der Nähe der zentralen Unternehmens-Workloads befinden. Mit erreichtem Adminzugriff können Angreifende möglicherweise Dienste stören, in benachbarte Netzwerke vordringen oder das kompromittierte Gerät als Ausgangspunkt nutzen, um sensible interne Systeme anzugreifen. Wenn ein Zielnetzwerk nicht streng nach Abteilungen segmentiert ist oder wenn Zugriffskontrollen nicht streng nach dem Prinzip der geringsten Berechtigungen eingeschränkt sind, erhöht sich das Risiko zusätzlich.

Werfen wir nun einen Blick auf die beiden neuen kritischen CVEs mit und anschließend einige weitere CVEs, die Anfang April 2026 veröffentlicht wurden.

CVE-2026-20160 (CVSS 9.8): Unauthentifizierte RCE in Cisco SSM On-Prem

Ein offengelegter interner Dienst ermöglicht es nicht authentifizierten Angreifenden, beliebige Befehle auf dem zugrunde liegenden Betriebssystem mit Root-Rechten auszuführen. CVE-2026-20160 kann über HTTP-Anfragen an die API des offengelegten Dienstes ausgenutzt werden. Die Schwachstelle ist im Wesentlichen eine unsachgemäße Zugriffskontrolle, die Cisco als „Exposure of Resource to Wrong Sphere“ [CWE-668] klassifiziert hat. Betroffen sind die Versionen 9-202502 bis 9-202510 von Cisco Smart Software Manager On-Prem (SSM On-Prem).

Cisco SSM On-Prem ist ein lokal installierter Server zur Softwarelizenzverwaltung, der als virtuelle Maschine bereitgestellt wird. SSM On-Prem stellt eine Web-Benutzeroberfläche auf Port 8443 für Verwaltungs- und Lizenzierungsabläufe bereit. SSM On-Prem fungiert als lokaler Smart Licensing Manager für Cisco-Produkte, anstatt dass diese eine direkte Verbindung zum cloudbasierten Smart Software Manager von Cisco herstellen müssen.

Zu CVE-2026-20160 wurden mehrere nationale CERT-Hinweise veröffentlicht [1][2][3][4][5][6][7][8]. Eine aktive Ausnutzung, vollständige technische Details oder ein öffentlicher Proof-of-Concept-Exploit (PoC) sind jedoch nicht bestätigt. Der OPENVAS ENTERPRISE FEED enthält eine Remote-Banner-Versionsprüfung zur Identifizierung betroffener Instanzen [9]. Es wird empfohlen, auf Version 9-202601 oder höher zu aktualisieren. Weitere Informationen finden Sie in der offiziellen Sicherheitsmitteilung von Cisco.

CVE-2026-20093 (CVSS 9.8): Authentifizierungsumgehung im Cisco IMC

Eine unsachgemäße Eingabevalidierung [CWE-20] kann bei Passwortänderungsanfragen an den IMC zu einer Umgehung der Authentifizierung führen. Angreifende könnten diese Schwachstelle aus der Ferne über HTTP-Anfragen ausnutzen, um die Passwörter beliebiger Konten im System (einschließlich des Adminkontos) zu ändern und sich damit Zugriff auf das System zu verschaffen.

Cisco IMC ist ein eingebetteter Baseboard Management Controller (BMC), der in Cisco UCS-Rack- und Speicherserverplattformen integriert ist. Die Kernfunktion von Cisco IMC ist die Out-of-Band-Serververwaltung physischer Server, wenn diese im Standalone-Modus über den Redfish-RESTful-API-Standard, SNMP, IPMI v2.0 oder die Cisco IMC XML-API betrieben werden. Mehrere physische Serverprodukte von Cisco sind betroffen, sofern sie den Cisco Integrated Management Controller (IMC) enthalten:

• Enterprise Network Compute Systems (ENCS) der Serie 5000
• Catalyst 8300 Series Edge uCPE
• UCS C-Serie M5- und M6-Rack-Server im Standalone-Modus
• UCS-Server der E-Serie M3
• UCS-Server der E-Serie M6

Zu CVE-2026-20093 wurden mehrere nationale CERT-Warnungen herausgegeben [1][2][3][4][5][6][7]. Eine aktive Ausnutzung, vollständige technische Details oder ein öffentlicher Proof-of-Concept-Exploit (PoC) sind jedoch nicht bestätigt. Der OPENVAS ENTERPRISE FEED von Greenbone enthält eine aktive Überprüfung [9] und eine Remote-Banner-Versionsprüfung [10] für Geräte, die von CVE-2026-20093 betroffen sind. Weitere Informationen, einschließlich einer Liste der behobenen Versionen für betroffene Produkte, finden Sie in der offiziellen Sicherheitswarnung von Cisco.

Weitere Cisco-Schwachstellen: Hoher und mittlerer Schweregrad

Cisco hat außerdem mehrere Schwachstellen mit hohem und mittlerem Schweregrad offengelegt, die das Risiko für Unternehmenskundschaft erhöhen. Zwar erfordern alle unten aufgeführten CVEs einen gültigen Kontozugang, um ausgenutzt zu werden, doch ist der Diebstahl von Anmeldedaten eine gängige Taktik, die bei vielen raffinierten Cyberangriffen zum Einsatz kommt. Wenn diese Schwachstellen nicht gepatcht werden, könnten sie dennoch zur Ausführung von Befehlen, zur Rechteausweitung, zu Denial-of-Service-Angriffen oder zur Offenlegung sensibler Informationen führen.

• CVE-2026-20094 (CVSS 8.8): Eine Sicherheitslücke durch Befehlsinjektion aufgrund einer unzureichenden Validierung von Benutzereingaben [CWE-77] ermöglicht es authentifizierten Angreifenden aus der Ferne mit Lesezugriff, beliebige Befehle auf dem zugrunde liegenden Betriebssystem mit Root-Rechten auszuführen. Die Sicherheitslücke kann über HTTP-Anfragen ausgenutzt werden. Betroffen ist die webbasierte Verwaltungsschnittstelle von Cisco IMC und Cisco Enterprise NFVIS Version 4.18.x und früher. Eine vollständige Liste der betroffenen Produkte und der behobenen Versionen ist in der offiziellen Sicherheitsmitteilung von Cisco verfügbar.
• CVE-2026-20155 (CVSS 8.0): Unsachgemäße Autorisierungsprüfungen [CWE-862] an einem API-Endpunkt ermöglichen es authentifizierten Angreifenden aus der Ferne mit geringen Berechtigungen, ohne Autorisierung auf sensible Informationen zuzugreifen. Die Schwachstelle betrifft die webbasierte Verwaltungsschnittstelle von Cisco Evolved Programmable Network Manager (EPNM)-Geräten vor Version 8.1.2 für alle Konfigurationen. Weitere Informationen finden Sie im offiziellen Advisory von Cisco.
• CVE-2026-20151 (CVSS 7.3): Aufgrund der unsachgemäßen Übertragung sensibler Benutzerinformationen [CWE-201] können Angreifende Sitzungsanmeldedaten aus Statusmeldungen abrufen, um ihre Berechtigungen von einem Konto mit geringen Berechtigungen auf Administratorrechte zu erhö Betroffen sind SSM On-Prem Version 9-202510 und frühere Versionen in allen Konfigurationen. Weitere Informationen finden Sie im offiziellen Advisory von Cisco.
• CVE-2026-20095 (CVSS 6.5): Aufgrund einer unsachgemäßen Validierung von Benutzereingaben können authentifizierte Remote-Nutzende beliebigen Code oder Befehle [CWE-77] auf dem zugrunde liegenden Betriebssystem eines betroffenen Systems ausführen und seine Berechtigungen erweitern. Die Schwachstelle ist über HTTP-Anfragen ausnutzbar. Betroffen ist die webbasierte Verwaltungsschnittstelle von Cisco IMC und Cisco Enterprise NFVIS Version 4.18.x und früher. Eine vollständige Liste der betroffenen Produkte und der behobenen Versionen finden Sie in der offiziellen Sicherheitsmitteilung von Cisco.
• CVE-2026-20096 (CVSS 6.5): Aufgrund einer unzureichenden Validierung von Benutzereingaben können authentifizierte Remote-Admins beliebige Befehle [CWE-77] auf dem zugrunde liegenden Betriebssystem mit Root-Rechten ausführen. Die Schwachstelle ist über HTTP-Anfragen ausnutzbar. Betroffen ist die webbasierte Verwaltungsschnittstelle von Cisco IMC und Cisco Enterprise NFVIS der Version 4.18.x und früher. Eine vollständige Liste der betroffenen Produkte und der behobenen Versionen ist in der offiziellen Sicherheitsmitteilung von Cisco verfügbar.
• CVE-2026-20097 (CVSS 6.5): Aufgrund einer unzureichenden Validierung von Benutzereingaben können authentifizierte Remote-Admins beliebige Befehle [CWE-77] auf dem zugrunde liegenden Betriebssystem mit Root-Rechten ausführen. Betroffen ist die webbasierte Verwaltungsschnittstelle von Cisco IMC und Cisco Enterprise NFVIS Version 4.18.x und früher. Eine vollständige Liste der betroffenen Produkte und der behobenen Versionen finden Sie in der offiziellen Sicherheitsmitteilung von Cisco.
• CVE-2026-20110 (CVSS 6.5): Eine Schwachstelle in der CLI der Cisco IOS XE-Software könnte es authentifizierten lokalen Angreifenden ermöglichen, einen Denial-of-Service-Zustand (DoS) herbeizuführen. Diese Schwachstelle besteht, weil dem Befehl „start maintenance“ falsche Berechtigungen zugewiesen sind. Alle Versionen der Cisco IOS XE-Software sind betroffen, sofern der Befehl „start maintenance“ unterstützt wird. Weitere Informationen finden Sie in der offiziellen Sicherheitsmitteilung von Cisco.

Cisco hat den CVEs 2026-20095, 2026-20096 und 2026-20097 eine Sicherheitsauswirkungsbewertung (SIR) von „Hoch“ zugewiesen, was über ihrer CVSS-Einstufung von „Mittel“ liegt, da zusätzliche Sicherheitsauswirkungen bestehen, wenn Root-Zugriff erlangt wird. Der OPENVAS ENTERPRISE FEED enthält Erkennungstests für alle oben genannten CVEs [1][2][3][4][5].

Zusammenfassung

Die Sicherheitsmitteilungen von Cisco von Anfang April 2026 weisen auf ein erhöhtes Risiko bei mehreren Produkten hin. Dazu gehören der SSM On-Prem-Lizenzverwaltungsserver des Anbieters und der Cisco Integrated Management Controller (IMC), was eine Vielzahl physischer Hardwareprodukte betrifft, darunter Cisco UCS-Rack- und Speicherserverplattformen. Die schwerwiegendsten neuen Schwachstellen ermöglichen eine Umgehung der Authentifizierung und unauthentifizierte RCE mit Root-Rechten.

Obwohl eine öffentliche Ausnutzung noch nicht bestätigt wurde, handelt es sich bei den betroffenen Systemen um hochwertige interne Ressourcen, die attraktive Ziele für fortgeschrittene persistente Bedrohungsakteure (APT) darstellen. Unternehmen sollten prüfen, ob sie diesen und anderen Software-Schwachstellen ausgesetzt sind, und der Installation von Patches Priorität einräumen. Sicherheitsverantwortliche, die diese Schwachstellen erkennen und Schutzmaßnahmen ergreifen möchten, können die Einstiegsversion OPENVAS BASIC von Greenbone kostenlos testen, einschließlich einer zweiwöchigen Testversion des ENTERPRISE FEED.

In diesem Monat wurden neue Cybersicherheitsrisiken auf allen Ebenen der IT-Infrastruktur von Unternehmen aufgedeckt. Neue kritische Sicherheitslücken traten in Peripherie-Netzwerkgeräten und Kernnetzwerkgeräten auf. Zu den weiteren Risiken zählten aktiv ausgenutzte Schwachstellen in gängigen Browsern, E-Mail-Clients für Unternehmen, agentenbasierten Workflow-Plattformen, Kernkomponenten von Betriebssystemen und praktisch jedem anderen Aspekt des IT-Ökosystems von Unternehmen. Im Jahr 2026 ist die regelmäßige Suche nach neuen Schwachstellen eine grundlegende Cybersicherheitsmaßnahme und ein wesentlicher Bestandteil eines Exposure-Management-Ansatzes für Cybersicherheit.

März 2026 Threat Report

Sicherheitsverantwortliche, die Schwachstellen erkennen und Schutzmaßnahmen ergreifen möchten, können Greenbones OPENVAS BASIC kostenlos testen, einschließlich einer zweiwöchigen Testversion des OPENVAS ENTERPRISE FEED.

CitrixBleed 3 (CVE-2026-3055): Memory-Disclosure-Angriff auf Citrix NetScaler ohne Authentifizierung

CVE-2026-3055 (CVSS 9.3) ist eine Speicheroffenlegungsschwachstelle, die aus der Ferne und ohne Authentifizierung ausgenutzt werden kann. Die Ursache ist eine unzureichende Eingabevalidierung, die einen Speicherzugriff außerhalb des zulässigen Bereichs ermöglicht [CWE-125]. Die Schwachstelle betrifft NetScaler ADC- und NetScaler Gateway-Appliances, die als SAML-Identitätsanbieter (IDP) konfiguriert sind, was Berichten zufolge eine gängige Single-Sign-On-Konfiguration (SSO) ist.

Drei Tage nach der Offenlegung wurde von aktiven Erkundungsversuchen nach Authentifizierungsmethoden im Endpunkt /cgi/GetAuthMethods berichtet. Am 30. März wurde CVE-2026-3055 in die KEV-Liste der CISA aufgenommen und von anderen Quellen als aktiv ausgenutzt gemeldet. Eine vollständige technische Analyse mit Exploit-Code wurde veröffentlicht. Die Schwachstelle ähnelt früheren Speicherleck-Schwachstellen, die Netscaler ADC und Gateway betreffen und als CitrixBleed und CitrixBleed 2 bezeichnet werden, deren Nutzung für den Erstzugriff gut dokumentiert ist [1][2][3][4]. Mehrere nationale Cybersicherheitsbehörden haben Warnungen zu den neuen CVEs herausgegeben [5][6][7][8][9][10][11][12][13][14][15][16][17][18].

Citrix meldete in demselben Bericht eine weitere Schwachstelle mit hohem Schweregrad. CVE-2026-4368 (CVSS 7.7) ist ein Race-Condition-Fehler, der bei Gateway- oder AAA-Virtual-Server-Konfigurationen zu einer Verwechslung von Benutzersitzungen führen kann. Weitere Informationen, einschließlich der betroffenen Versionen für beide neuen CVEs, finden Sie im offiziellen Sicherheitshinweis. Der OPENVAS ENTERPRISE FEED von Greenbone enthält eine Remote-Banner-Prüfung zur Identifizierung von Appliances, die potenziell anfällig für CVE-2026-3055 [19] sind, sowie eine ähnliche Prüfung für CVE-2026-4368 [20].

Microsoft SharePoint RCE (CVE-2026-20963) aktiv ausgenutzt – RegPwn und weitere kritische Windows-Schwachstellen

CVE-2026-20963 (CVSS 8,8, EPSS ≥ 91. Perzentil), das Microsoft SharePoint betrifft und im Januar 2026 veröffentlicht wurde, wurde im März in die KEV-Liste der CISA aufgenommen. Die Schwachstelle wird durch eine unsachgemäße Deserialisierung nicht vertrauenswürdiger Daten [CWE-502] verursacht und könnte authentifizierten Angreifenden die Ausführung von beliebigem Remote-Code (RCE) ermöglichen. Die Schwachstelle erregte weltweit Aufmerksamkeit bei nationalen CERT-Behörden [1][2][3][4][5][6][7][8][9][10][11]. Der OPENVAS ENTERPRISE FEED von Greenbone umfasst die Erkennung für Microsoft SharePoint Server 2019 und Microsoft SharePoint Enterprise Server 2016 [12][13].

Weitere schwerwiegende Risiken, die Microsoft-Produkte im März 2026 betreffen, sind:

• CVE-2026-24291 (CVSS 7.8): Eine fehlerhafte Berechtigungszuweisung für eine kritische Ressource [CWE-732] in der Windows Accessibility Infrastructure (ATBroker.exe) ermöglicht es autorisierten lokalen Angreifenden, Berechtigungen zu erweitern und Windows-Registrierungsschlüssel zu ändern. Unter dem Namen „RegPwn“ sind vollständige technische Beschreibungen [14][15] und Proof-of-Concept-Exploit-Code öffentlich verfügbar, was das Risiko erhöht. Der OPENVAS ENTERPRISE FEED umfasst Registrierungsprüfungen zur Erkennung von Schwachstellen in allen Windows-Betriebssystemversionen.
• CVE-2026-26110 (CVSS 7.8): Eine Schwachstelle durch Typverwechslung [CWE-843] in Microsoft Office ermöglicht es unbefugten lokalen Angreifenden, beliebigen Code mit hohen Berechtigungen auszuführen. Der OPENVAS ENTERPRISE FEED umfasst die Erkennung der Paketversion für Windows- und macOS-Versionen von Microsoft Office [16][17].
• CVE-2026-26113 (CVSS 7.8): Eine Sicherheitslücke durch Dereferenzierung eines nicht vertrauenswürdigen Zeigers [CWE-822] in Microsoft Office ermöglicht es unbefugten lokalen Angreifenden, beliebigen Code mit hohen Berechtigungen auszuführen. Der OPENVAS ENTERPRISE FEED umfasst die Erkennung von Paketversionen für Windows- und macOS-Versionen von Microsoft Office [16][17] sowie SharePoint für Windows [18][19].

Langflow KI-Plattform: Unauthentifizierte Remote Code Execution via API (CVE-2026-33017, CVSS 9.8)

CVE-2026-33017 (CVSS 9,8, EPSS ≥ 90. Perzentil) ist eine Schwachstelle für unauthentifizierten RCE, die über böswillige HTTP-Anfragen ausgenutzt werden kann. Die CVE betrifft alle netzwerkseitig exponierten Langflow-Instanzen vor Version 1.9.0. CVE-2026-33017 wurde von mehreren Quellen als aktiv ausgenutzt gemeldet [1][2]. Es liegen mehrere technische Analysen [2][3][4] und öffentliche PoC-Exploits [3] vor, was das Risiko erhöht. Weltweit wurden mehrere CERT-Warnungen herausgegeben [5][6][7][8][9].

Langflow ist eine Open-Source-„Low-Code“-Plattform zum Erstellen, Testen und Bereitstellen von agentenbasierten KI- und LLM-fähigen Workflows. Die Schwachstelle besteht im API-Endpunkt von Langflow zum Erstellen öffentlicher Flows. Der Endpunkt POST /api/v1/build_public_tmp/{flow_id}/flow ermöglicht es von Haus aus, öffentliche Flows ohne Authentifizierung zu erstellen. In der offiziellen Langflow-API-Dokumentation heißt es, dass „Build Public Tmp“ nur für Workflows funktioniert, die in der Datenbank als öffentlich markiert sind. Die Schwachstelle tritt auf, wenn der optionale Datenparameter übergeben wird: Langflow verwendet dann einen böswillig kontrollierten Flow-Code, der beliebigen Python-Code enthalten kann, anstatt den in der Datenbank gespeicherten Code. Dieser Code wird ohne Sandboxing an exec() übergeben, was zu unauthentifiziertem RCE führt.

Der OPENVAS ENTERPRISE FEED enthält eine Remote-Banner-Prüfung zur Identifizierung anfälliger Langflow-Instanzen. Nutzende sollten auf Version 1.9.0 aktualisieren.

Netzwerkperimeter unter Beschuss: Kritische Schwachstellen in Firewall- und Edge-Geräten (März 2026)

Die Ausnutzung von Perimeter-Netzwerkgeräten wird durchweg als einer der wichtigsten Erstzugriffsvektoren bei Cyberangriffen eingestuft. Es werden ständig neue Schwachstellen veröffentlicht, die wichtige Perimeter-Geräte betreffen, und Verteidiger müssen in der Lage sein, diese exponierten Einstiegspunkte zuverlässig zu erkennen und zu patchen. Hier sind einige hochriskante Schwachstellen, die Perimeter-Netzwerkgeräte betreffen und im März 2026 aufgetreten sind:

CVE-2026-20131 (CVSS 10): Aktiv ausgenutzte RCE-Schwachstelle im Cisco Firewall Management Center

Cisco veröffentlichte eine Gruppe von 48 CVEs, die seine Firewall-Produktlinie betreffen, darunter zwei kritische CVSS-10-Schwachstellen. Eine davon, CVE-2026-20131, wurde bald in die KEV-Liste der CISA aufgenommen. Eine aktive Ausnutzung wurde ebenfalls von Cisco bestätigt. Ransomware-Angriffe, die CVE-2026-20131 ausnutzen, wurden dem Bedrohungsakteur „Interlock“ zugeschrieben. Weltweit wurden zahlreiche nationale CERT-Warnungen herausgegeben [1][2][3][4][5][6][7][8][9][10][11][12][13][14].

Der OPENVAS ENTERPRISE FEED von Greenbone enthält Erkennungstests für alle 48 CVEs, die in der Sicherheitswarnung von Cisco offengelegt wurden, sowie eine Reihe von Tests, die speziell auf Sicherheitslücken in Cisco-Software ausgerichtet sind. Es wird empfohlen, betroffene Produkte im Netzwerk zu identifizieren, Patches unverzüglich zu installieren und Sicherheitslückenbewertungen durchzuführen, indem nach Indikatoren für Kompromittierung (IoCs) gesucht wird [15]. Die CVEs mit dem höchsten Risiko aus dieser Gruppe werden im Folgenden beschrieben:

• CVE-2026-20131 (CVSS 10, EPSS 71. Perzentil): Eine unsichere Deserialisierung [CWE-502] eines vom User bereitgestellten Java-Byte-Stroms ermöglicht eine nicht authentifizierte Java-RCE mit Root-Rechten. Die Schwachstelle betrifft die webbasierte Verwaltungsschnittstelle des Cisco Secure Firewall Management Center (FMC). Ist die FMC-Verwaltungsschnittstelle nicht über das Internet erreichbar, verringert sich die Angriffsfläche erheblich.
• CVE-2026-20079 (CVSS 10, EPSS 90. Perzentil): Beim Systemstart wird ein fehlerhafter Systemprozess erstellt, der es Angreifenden aus der Ferne ermöglicht, die Authentifizierung [CWE-288] über manipulierte HTTP-Anfragen zu umgehen und Skriptdateien auszuführen. Dies macht es möglich, Root-Rechte auf dem zugrunde liegenden Betriebssystem zu erlangen. Eine vollständige technische Analyse und PoC-Exploit-Code sind öffentlich verfügbar, was das Risiko erhöht. CVE-2026-20079 betrifft die Weboberfläche von Cisco Secure FMC.

Ubiquiti UniFi Network Application: Kritische Sicherheitslücke erlaubt Kontoübernahme ohne Authentifizierung (CVE-2026-22557)

CVE-2026-22557 (CVSS 10) ermöglicht eine unbefugte Kontoübernahme durch eine Path-Traversal-Schwachstelle [CWE-22], die es Angreifenden erlaubt, Dateien auf dem zugrunde liegenden System zu manipulieren. Öffentliche technische Details sind verfügbar, und Forschende schätzen, dass eine automatisierte Ausnutzung trivial ist. Das Risiko ist zudem erhöht, da Ubiquiti-Netzwerkprodukte weit verbreitet sind. Mehrere nationale CERT-Behörden haben weltweit Warnungen herausgegeben [1][2][3][4][5].

Eine weitere CVE, die im selben Hersteller-Hinweis veröffentlicht wurde, birgt ein zusätzliches hohes Risiko:

• CVE-2026-22559 (CVSS 8.8): Eine Schwachstelle bei der Eingabevalidierung, die über Social Engineering ausgenutzt werden kann, wenn ein Schadakteur das Opfer mit Netzwerkzugriff auf eine Webschnittstelle der Ubiquiti UniFi Network Application dazu verleiten kann, auf einen bösartigen Link zu klicken.

CVE-2026-22557 betrifft die Ubiquiti UniFi Network Application Version 10.1.85 und früher, Release Candidate 10.2.93 und früher sowie UniFi Express Version 9.0.114 und früher. OPENVAS ENTERPRISE FEED enthält eine Remote-Banner-Prüfung zur Identifizierung betroffener Instanzen. Anweisungen zur Behebung beider oben genannter CVEs sind im offiziellen Sicherheitshinweis des Herstellers verfügbar.

Weitere kritische Schwachstellen in Perimeter-Geräten: F5 BIG-IP, Juniper Junos OS und HPE Aruba (März 2026)

Zu den weiteren aufkommenden Bedrohungen für Perimeter-Netzwerkgeräte im März 2026 gehören:

F5 BIG-IP APM-Zugriffsrichtlinie

CVE-2025-53521 (CVSS 7.5) ist eine aktiv ausgenutzte Schwachstelle, die es Angreifenden ermöglicht, einen Denial-of-Service-Angriff (DoS) auf F5 BIG-IP auszulösen, wenn eine APM-Zugriffsrichtlinie auf einem virtuellen Server konfiguriert ist. Nationale CERT-Behörden haben Warnungen herausgegeben [1][2][3][4][5][6][7][8][9][10][11][12][13][14]. Der OPENVAS ENTERPRISE FEED bietet Erkennung auf Paketebene für CVE-2025-53521 sowie eine spezielle Familie von F5-Sicherheitsprüfungen.

Juniper Networks Junos OS Evolved auf der PTX-Serie

CVE-2026-21902 (CVSS 9,8) ist eine Schwachstelle durch falsche Berechtigungszuweisung für kritische Ressourcen [CWE-732], die unauthentifizierten RCE als Root ermöglicht. CVE-2026-21902 betrifft das On-Box-Anomalieerkennungs-Framework von Juniper Networks Junos OS Evolved auf der PTX-Serie. Das On-Box-Framework zur Erkennung von Anomalien ist standardmäßig aktiviert. Diese Schwachstelle betrifft alle Versionen der PTX-Serie 25.4 vor 25.4R1-S1-EVO und 25.4R2-EVO. Dieses Problem betrifft keine Versionen von Junos OS Evolved vor 25.4R1-EVO oder Junos OS. Eine detaillierte technische Beschreibung ist öffentlich verfügbar, was die Entwicklung von Exploits erleichtert. Zahlreiche nationale CERT-Behörden haben Warnmeldungen veröffentlicht [1][2][3][4][5][6][7][8][9][10][11]. Eine aktive Überprüfung und eine Remote-Banner-Prüfung sind im OPENVAS ENTERPRISE FEED sowie in einer speziellen Reihe von authentifizierten Sicherheitsprüfungen für JunOS verfügbar. Weitere Informationen finden Sie im offiziellen Advisory des Herstellers.

HPE Aruba AOS-CX: Kritische Authentifizierungslücke (CVE-2026-23813, CVSS 9.8) und vier weitere Schwachstellen

Hewlett-Packard Enterprise (HPE) veröffentlichte am 10. März einen Sicherheitshinweis, in dem ein kritischer und drei hochgradig schwerwiegende CVEs in ihren Aruba-Netzwerk-Switches vom Typ AOS-CX offengelegt wurden. Weltweit wurden mehrere nationale CERT-Sicherheitshinweise zu dieser Gruppe von Sicherheitslücken herausgegeben [1][2][3][4][5][6][7][8][9][10][11][12]. Der OPENVAS ENTERPRISE FEED von Greenbone enthält eine Remote-Banner-Prüfung für alle in der Sicherheitsmitteilung offengelegten CVEs, die im Folgenden beschrieben werden. Nutzenden wird dringend empfohlen, alle anfälligen AOS-CX-Geräte in ihrer Umgebung zu identifizieren und auf die neueste Version zu aktualisieren.

• CVE-2026-23813 (CVSS 9.8): Eine Schwachstelle bei der Authentifizierung [CWE-287] in der webbasierten Verwaltungsschnittstelle von AOS-CX-Switches ermöglicht es nicht authentifizierten Angreifenden aus der Ferne, bestehende Authentifizierungskontrollen zu umgehen, einschließlich des Zurücksetzens des Admin-Passworts.
• CVE-2026-23814 (CVSS 8.8): Eine Schwachstelle durch Befehlsinjektion [CWE-77], die die Parameter bestimmter Befehle der AOS-CX-Befehlszeilenschnittstelle (CLI) betrifft, könnte es authentifizierten Remote-Angreifenden mit geringen Berechtigungen ermöglichen, bösartige Befehle einzuschleusen.
• CVE-2026-23815 (CVSS 7.2): Eine Schwachstelle durch Befehlsinjektion [CWE-77] in einer userdefinierten Binärdatei, die in der AOS-CX-CLI verwendet wird, könnte es authentifizierten Angreifenden mit hohen Berechtigungen ermöglichen, nicht autorisierte Befehle auszuführen.
• CVE-2026-23816 (CVSS 7.2): Eine Schwachstelle für Befehlsinjektion [CWE-77] in der Befehlszeilenschnittstelle von AOS-CX-Switches könnte es authentifizierten Angreifenden aus der Ferne ermöglichen, beliebige Befehle auf dem zugrunde liegenden Betriebssystem auszuführen.
• CVE-2026-23817 (CVSS 6.5): Eine Schwachstelle in der webbasierten Verwaltungsschnittstelle von AOS-CX-Switches könnte es nicht authentifizierten Angreifenden aus der Ferne ermöglichen, User auf eine beliebige URL umzuleiten [CWE-601].

Shadow-IT-Risiko: OpenClaw KI-Agent (ehemals Clawd/Moltbot) mit über 200 CVEs – Sicherheitswarnung für Unternehmen

OpenClaw (früher Clawd und Moltbot) ist ein Open-Source-Agent-KI-Assistent, der im Auftrag eines menschlichen Nutzenden Aufgaben auf Systemebene ausführen kann. Zu den Funktionen von OpenClaw gehören das Versenden von E-Mails, das Lesen und Schreiben von Dateien sowie die Interaktion mit Webdiensten und APIs. Die Software wurde ursprünglich im November 2025 als Clawd veröffentlicht, Anfang 2026 in Moltbot umbenannt und anschließend erneut in OpenClaw umbenannt [1].

Trotz der steigenden Beliebtheit von OpenClaw war die Kritik seitens der Sicherheitsgemeinschaft heftig [2][3][4][5]. Das deutsche BSI listete über 60 Schwachstellen auf, und seit seiner Veröffentlichung wurden über 200 CVEs für den beliebten, aber instabilen KI-Agenten veröffentlicht, darunter 32 CVEs mit kritischem Schweregrad, die allein im März 2026 veröffentlicht wurden. Die schwerwiegendsten dieser Schwachstellen ermöglichen unauthentifizierten RCE im OpenClaw-Kontext. Für das Produkt wurden nationale CERT-Warnungen herausgegeben [1][2][3].

Angesichts der operativen Risiken hinsichtlich unbefugten Zugriffs und Datensicherheit, die OpenClaw für Unternehmen darstellt, sollte seine Nutzung untersagt werden. Der OPENVAS ENTERPRISE FEED umfasst die Erkennung von OpenClaw sowohl aus der Ferne als auch lokal nach Authentifizierung. Sicherheitsteams können Warnmeldungen einrichten, um benachrichtigt zu werden, wenn OpenClaw in ihrem Netzwerk erkannt wird.

Nicht authentifizierte RCE in Wazuh Manager über Worker-Knoten im Cluster-Modus

CVE-2026-25769 (CVSS 9.1) ist ein RCE, der es autorisierten Angreifenden mit Zugriff auf einen Cluster-Worker-Knoten ermöglicht, Code auf dem Master-Knoten als Root auszuführen. Die Ursache ist eine fehlerhafte Deserialisierung nicht vertrauenswürdiger Daten [CWE-502]. Das Risiko ist erhöht, da eine erfolgreiche Kompromittierung eines beliebigen Workers im Cluster-Modus zu einer vollständigen Kompromittierung des Master-Knotens auf Root-Ebene führen kann. Eine vollständige technische Analyse und ein PoC-Exploit-Kit sind für CVE-2026-25769 öffentlich verfügbar, was die Hürde für Angriffe senkt. Mehrere nationale CERT-Behörden haben Warnungen herausgegeben [1][2][3].

In der Offenlegung von Wazuh wurden fünf weitere CVEs aufgeführt, darunter eine weitere Schwachstelle mit kritischem Schweregrad: CVE-2025-30201 (CVSS 9.1) ermöglicht es authentifizierten Angreifenden, über bösartige UNC-Pfade und mithilfe von Agent-Konfigurationseinstellungen eine NTLM-Authentifizierung zu erzwingen, was potenziell zu NTLM-Relay-Angriffen [CWE-294] zur Rechteausweitung und zur Ausführung von Remote-Code führen kann. Technische Details und ein PoC-Exploit sind online öffentlich verfügbar.

Die neu offengelegten CVEs betreffen verschiedene Versionsbereiche von Wazuh Manager, erfordern jedoch alle ein Patch auf Version 4.14.3 oder höher. Der OPENVAS ENTERPRISE FEED enthält Erkennungsfunktionen für alle oben genannten CVEs [1][2][3][4] sowie für frühere Schwachstellen, die Wazuh betreffen. Nutzende sollten die Sicherheitshinweise von Wazuh lesen, um spezifische Details zu jeder Schwachstelle zu erhalten.

Kritische n8n-Schwachstellen: Authentifizierte Nutzer können Host vollständig kompromittieren (CVE-2026-27495 u.a.)

In den letzten Monaten wurden zahlreiche kritische und hochgradige Schwachstellen in der beliebten agentenbasierten Workflow-Plattform n8n aufgedeckt. Angreifende beginnen, diese auszunutzen; am 11. März 2026 wurde CVE-2025-68613 (CVSS 8.8) in die KEV-Liste der CISA aufgenommen. CVE-2025-68613 und andere n8n-Schwachstellen wurden in Teil 2 des Bedrohungsberichts vom Januar 2026 behandelt.

Die fehlerhafte Auswertung von Ausdrücken ist eine häufige Ursache für Sicherheitslücken. n8n-Ausdrücke sind speziell formatierte Zeichenfolgen, die unter anderem die dynamische Manipulation von Daten für Batch-Verarbeitungsaufgaben ermöglichen. Zu den CVEs mit dem höchsten Risiko, die n8n betreffen und im März 2026 bekannt wurden, gehören:

• CVE-2026-27495 (CVSS 9.9): Authentifizierte User mit Workflow-Berechtigungen können eine Schwachstelle im JavaScript Task Runner ausnutzen, um beliebigen Code außerhalb der Sandbox-Grenzen auszuführen. Auf Instanzen, die die standardmäßigen internen Task Runner verwenden, könnte dies zu einer vollständigen Kompromittierung des n8n-Hosts führen. Die Ausnutzbarkeit hängt davon ab, dass die Task Runner mit der Einstellung N8N_RUNNERS_ENABLED=true aktiviert sind.
• CVE-2026-27577 (CVSS 9.9): Authentifizierte User mit Workflow-Berechtigungen können manipulierte Ausdrucksparameter missbrauchen, um eine unbeabsichtigte Befehlsausführung auf dem n8n-Host auszulösen. Diese Schwachstelle ermöglicht die Umgehung von Sicherheitsmaßnahmen, die zur Einschränkung der Befehlsausführungsmöglichkeiten eingerichtet wurden.
• CVE-2026-33696 (CVSS 8.8): Authentifizierte User mit Workflow-Berechtigungen können eine Prototype-Pollution-Schwachstelle in den XML- und GSuiteAdmin-Knoten ausnutzen. Durch die Angabe manipulierter Parameter als Teil der Knotenkonfiguration könnten Unbefugte Werte in `Object.prototype` schreiben und RCE erreichen.
• CVE-2026-33660 (CVSS 9.4): Authentifizierte User mit Workflow-Berechtigungen können den Modus „Combine by SQL“ des Merge-Knotens nutzen, um lokale Dateien auf dem n8n-Host auszulesen und RCE zu erlangen.

Der OPENVAS ENTERPRISE FEED enthält Erkennungsfunktionen für alle oben genannten CVEs [1][2][3][4] sowie für andere bekannte n8n-Schwachstellen. Jede Schwachstelle betrifft verschiedene v1.x- und v2.x-Instanzen von n8n. In vielen Fällen können Systemadmins, wenn Patches nicht sofort angewendet werden können, betroffene Knoten mithilfe der Umgebungsvariable NODES_EXCLUDE deaktivieren. Es gibt jedoch keine Workarounds, die eine vollständige Abhilfe für eine der CVEs bieten. Die Abhilfe besteht in der Aktualisierung auf die neueste Version von n8n. Eine vollständige Liste der Schwachstellen mit Beschreibungen finden Sie in den Sicherheitshinweisen von n8n.

Weitere kritische CVEs März 2026: ScreenConnect, Nginx UI, Apache ActiveMQ, Ivanti und FortiClientEMS

Lassen Sie uns den Bedrohungsbericht dieses Monats mit einem kurzen Überblick über weitere im März 2026 aufgetretene Bedrohungen abschließen:

CVE-2026-3564 (CVSS 9.0) in ConnectWise ScreenConnect vor Version 26.1

Angreifende mit Zugriff auf Konfigurationsdateien können den Maschinenschlüssel eines Geräts extrahieren und diesen für die Sitzungsauthentifizierung verwenden. ScreenConnect ist eine Plattform für Fernsupport und Fernzugriff, mit der IT-Mitarbeiter eine sichere Verbindung zu überwachten oder unbeaufsichtigten Geräten herstellen können. Es wurden mehrere nationale CERT-Warnungen herausgegeben [1][2][3]. Der OPENVAS ENTERPRISE FEED enthält eine Fernüberprüfung des Banners, um betroffene Instanzen zu identifizieren.

CVE-2026-27944 (CVSS 9.8) in Nginx UI vor Version 2.3.3

Nicht authentifizierte Angreifende können aus der Ferne ein vollständiges Backup des zugrunde liegenden Systems herunterladen, das sensible Daten enthält, darunter Anmeldedaten, Sitzungstoken, private SSL-Schlüssel und Nginx-Serverkonfigurationen. Die Schwachstelle ist darauf zurückzuführen, dass der Endpunkt /api/backup ohne Authentifizierung zugänglich ist und die Verschlüsselungsschlüssel zur Entschlüsselung des Backups preisgibt. Eine vollständige technische Analyse und PoC-Exploits sind öffentlich verfügbar [1][2], und es wurden mehrere nationale CERT-Warnungen herausgegeben [3][4][5][6][7][8]. Nginx UI ist eine Web-Benutzeroberfläche für den Nginx-Webserver. Der OPENVAS ENTERPRISE FEED enthält eine aktive Prüfung zur Identifizierung betroffener Instanzen.

CVE-2025-66168 (CVSS 8.8) im Apache ActiveMQ Message Broker

Ein Integer-Überlauf-Fehler [CWE-190] führt dazu, dass das Feld für die verbleibende Länge des MQTT-Steuerpakets nicht ordnungsgemäß validiert wird. Eine Ausnutzung kann zu unerwartetem Verhalten führen, einschließlich Denial-of-Service (DoS). Der OPENVAS ENTERPRISE FEED enthält eine Remote-Banner-Prüfung zur Identifizierung betroffener Apache ActiveMQ-Instanzen. Weitere Details finden Sie in der Ankündigung des Herstellers.

CVE-2026-1603 (CVSS 7.3, EPSS 65. Perzentil) in Ivanti Endpoint Manager vor 2024 SU5

Eine neue, aktiv ausgenutzte Sicherheitslücke zur Umgehung der Authentifizierung [CWE-288] könnte ausgenutzt werden, um Anmeldedaten von Ivanti Endpoint Manager-Geräten vor Version 2024 SU5 offenzulegen. Der OPENVAS ENTERPRISE FEED enthält eine Remote-Banner-Prüfung zur Erkennung von CVE-2026-1603 und CVE-2026-1602 (CVSS 6,5). Die beiden CVEs wurden im Februar 2026 veröffentlicht, und Patches sind über den Sicherheitshinweis von Ivanti verfügbar. Es sind weder PoC-Exploits noch detaillierte technische Analysen öffentlich zugänglich.

CVE-2026-21643 (CVSS 9.8) in FortiClientEMS v7.4.x vor v7.4.5

Eine unsachgemäße Neutralisierung spezieller Elemente ermöglicht SQL-Injection [CWE-89] in Fortinet FortiClientEMS 7.4.x vor v7.4.5. Die Ausnutzung kann über speziell gestaltete HTTP-Anfragen zu unauthentifiziertem RCE führen. Eine technische Ursachenanalyse wurde veröffentlicht, die eine schnelle Entwicklung von Exploits ermöglichen könnte. Zahlreiche nationale CERT-Warnungen wurden herausgegeben [1][2][3][4][5][6][7][8][9][10][11][12][13]. Der OPENVAS ENTERPRISE FEED bietet eine Remote-Banner-Prüfung für CVE-2026-21643. Aktualisieren Sie auf Version 7.4.5 oder höher. Weitere Informationen finden Sie im offiziellen Advisory von Fortinet.

Zusammenfassung

Der März 2026 brachte neue Cyberrisiken auf allen Ebenen der IT-Infrastruktur von Unternehmen mit sich. Netzwerkgeräte am Perimeter und Netzwerk-Appliances waren besonders stark betroffen. Zu den weiteren aufkommenden Bedrohungen zählten aktiv ausgenutzte Schwachstellen in gängigen Browsern, E-Mail-Clients für Unternehmen, agentenbasierten Workflow-Plattformen, zentralen Betriebssystemkomponenten und praktisch jedem anderen Aspekt des IT-Ökosystems von Unternehmen. Im Jahr 2026 ist die regelmäßige Suche nach neuen Schwachstellen eine grundlegende Cybersicherheitsmaßnahme und ein wesentlicher Bestandteil eines Exposure-Management-Ansatzes für Cybersicherheit.

Sicherheitsverantwortliche, die Schwachstellen erkennen und Schutzmaßnahmen ergreifen möchten, können Greenbones OPENVAS BASIC kostenlos testen, einschließlich einer zweiwöchigen Testversion des OPENVAS ENTERPRISE FEED.

Ein Erfahrungsbericht über Open Source, Wettbewerb, Durchsetzung von Rechten und die Frage, wie man ein faires und nachhaltiges Open-Source-Ökosystem verteidigt.

Zusammenfassung

Dieser Bericht beschreibt einen realen Fall missbräuchlicher Nutzung von Open-Source-Software am Beispiel von OPENVAS, dem von uns entwickelten Open-Source-Schwachstellenmanagement. Ein Marktteilnehmer hatte systematisch Open-Source-Code und -Daten unter Verletzung von Lizenz- und Urheberrechten in eigene Produkte integriert und als eigene Leistung ausgegeben. Wir berichten hier über die technischen, forensischen und juristischen Schritte, die notwendig waren, um den Missbrauch nachzuweisen und wirksam zu unterbinden, einschließlich Abmahnung, einstweiliger Verfügung und der Einbindung von Plattformbetreibern. Besonderer Augenmerk liegt auf einem in Deutschland erstmals erfolgreich geführten Verfahren zur Durchsetzung der Open Database License (ODbL). Der Beitrag richtet sich an Open-Source-Entwickler, Unternehmen und Anwender und zeigt, welche Voraussetzungen und Aufwände mit der Durchsetzung von Open-Source-Lizenzen verbunden sind – und warum deren konsequente Verteidigung entscheidend für ein faires und nachhaltiges Open-Source-Ökosystem ist.

Eine vertiefende Analyse aus juristischer Fachperspektive ist bei IFROSS veröffentlicht.

Die Pfauen und die Krähe in der IT-Sicherheit

Wenn sich Anbieter von Softwareprodukten mit fremdem Federn schmücken wollen, bietet sich Open Source als einfache Quelle an. Natürlich ist das nicht mit den Open Source Lizenzen vereinbar, aber wen kümmert’s. „Was soll schon passieren?“ scheinen sich manche zu sagen, die sogar eigene Geschäftsmodelle auf der Arbeit anderer aufbauen, die sie noch dazu als eigene Werke ausgeben. Wer sich dagegen wehren will, muss einen weiten Weg gehen, und macht dabei viele interessante und nicht nur angenehme Erfahrungen. Wir haben das getan, und hier ist unser Bericht dazu.

Wir stellen mit OPENVAS ein weltweit beliebtes und verbreitetes Open Source Schwachstellenmanagement her. Durch unser Projekt wird die Suche nach Sicherheitslücken von IT-Systemen automatisierbar. Wir haben etwa 200.000 Tests, um Sicherheitslücken zu finden, dazu Scanner, um diese auszuführen und Applikationen, um den ganzen Prozess vom Scan bis zum Bericht zu steuern. Wir stellen eine Open Source Lösung kostenlos bereit sowie zusätzliche Module und Leistungen für unsere zahlenden Kunden. Dadurch finanzieren wir uns und ermöglichen auch die kostenlose Bereitstellung für die Community. Wir sind mit dem, was wir tun, gegenüber dem proprietären Mitbewerbern (große internationale Anbieter, meist aus den US) mindestens konkurrenzfähig, teilweise sogar besser. Das macht auch unseren Code zu einer verlockenden Beute.

Wir kennen viele kleine Anbieter auf der ganzen Welt, die auf Basis unserer Open Source Lösung eigene Produkte anbieten. Größere schließen mit uns Verträge. Viele halten sich an die Lizenzen, andere nicht. Das ärgert uns natürlich, aber andererseits wollen wir unsere Energie lieber für unser Projekt einsetzen als Rechtsstreitigkeiten irgendwo auf der Welt zu führen. Aber wenn es ein Mitbewerber zu wild treibt, dann handeln wir. „Zu wild treiben“ bedeutet: Copyright Vermerke in unserem Code zu verändern und unseren Namen durch den eigenen Firmennamen zu ersetzen, Attributierungspflichten zu ignorieren, Open Source Lizenzen zu verletzen.

Einen solchen Fall haben wir gerade erfolgreich verfolgt. Wir glauben, dass die Geschichte für verschiedene Gruppen interessant ist: für Open Source Entwickler, Projekte und Unternehmen, für an Rechtsfragen interessierte Personen (immerhin haben wir auf unserem Wege einen juristischen Präzedenzfall geschaffen – dazu später mehr) und auch die Anwender von Open Source Produkten und Projekten, die sich für die Sicherheit ihrer Supply Chain interessieren.

Was es braucht, um sich gegen missbräuchliche Nutzung erfolgreich zu wehren sind im Wesentlichen fünf Dinge: Zeit, Geld und Expertise sowie starke Nerven und viel Geduld. Zur Expertise gehört die juristische: das bedeutet einen guten Anwalt, der sich mit Open Source Lizenzen auskennt. Natürlich ist es auch ein entscheidender Faktor, an welchem Gerichtsstand man sich verteidigen möchte, da wird man immer das Land bevorzugen, in dem sich der eigene Firmensitz befindet, denn das hat einige Vorzüge, die sich auch in den Kosten bemerkbar machen. Nach welchem Recht verhandelt wird, ist wichtig. Wer sich international verteidigen will, braucht auch eine entsprechende ausgestattete oder vernetzte Anwaltskanzlei. Wer nicht gerade ein großes Unternehmen ist und reichlich Ressourcen besitzt, wird diesen Weg nicht wählen wollen. Die Verfahren, von denen hier die Rede sein wird, haben wir daher in Deutschland geführt, wo auch der Hauptsitz unseres Unternehmens ist. Ein anderer Teil der Expertise ist die technische und forensische. Man muss schließlich den Nachweis führen, dass der eigene Code in der missbräuchlichen Nutzung verbaut wurden. Wenn die Gegenseite die Open Source Pflichten nicht erfüllt und den Quellcode zur Verfügung stellt, muss man sich den entsprechenden Code beschaffen und den Nachweis führen, dass der eigene Anteil daran Bestandteil der Produkte ist, die die Gegenseite in Verkehr bringt. Es bietet sich an, über Dritte einen Kauf der Produkte zu tätigen, um den Nachweis führen zu können.

Wenn der Nachweis geführt ist, folgen die nächsten Schritte: Abmahnung erstellen, und sollte der Hersteller nicht reagieren, bei Gericht eine einstweilige Verfügung erwirken. Diese verhindert das Inverkehrbringen der Produkte, bis der Mangel (die missbräuchliche und nicht lizenzgemäße Nutzung der Software) abgestellt ist. In unserem Fall wurden die Produkte auch über Hyperscaler Plattformen, wie zum Beispiel Microsoft Azure, verbreitet. Hier kann man den Betreiber auf der Basis des Digital Services Act darauf hinweisen, dass Lizenzen verletzt werden, was dazu führt, dass die Produkte dort nicht mehr vertreiben werden können, weil Microsoft (im Fall von Azure) diese im Store sperrt, wenn man dort z.B. auf die einstweilige Verfügung hinweist. Das ist eine sehr schöne Sache, weil es den Produktanbieter zusätzlich unter Druck setzt. Natürlich ist das nur möglich, wenn man einen plausiblen Nachweis hat, dessen Erlangung ein gutes Stück Arbeit sein kann, je nachdem wieviel Energie der Produktanbieter aufgewendet hat, um die nicht lizenzgemäße Nutzung von Drittkomponenten zu verschleiern. Wir haben die Erfahrung gemacht, das fortgeschrittene Verschleierungstechniken weniger häufig genutzt werden als erwartet: wir konnten einen eindeutigen Nachweis führen, sowohl darüber, dass es sich um unsere Quellen handelt, als auch darüber, dass es kein Versehen war.

In unserem Fall wurden zudem Erweiterungen mit unseren Bibliotheken verlinkt und dabei das Copyleft missachtet. Dabei wurde, um die Lizenzverletzung zu verschleiern, unser Copyright Hinweis den eigenen Erweiterungen hinzugefügt. Als wir diese Manipulationen entdeckten, haben wir natürlich über die Dreistigkeit gestaunt und auch gleich etwas weiter geforscht. Wir haben dabei festgestellt, dass wir nicht die einzigen Opfer des Anbieters sind, haben uns aber entschlossen uns erst einmal auf unsere Verfahren zu konzentrieren.

Wir hatten drei Ziele, als wir das Projekt begonnen haben: die missbräuchliche Nutzung abzustellen, möglicherweise Schadensersatz zu bekommen und am Ende die nicht ganz unerheblichen Kosten der Verfahren der Gegenseite aufzuerlegen. Ein Ziel haben wir bereits erreicht, unsere Verfügung ist rechtswirksam und kann auch nicht mehr angefochten werden.

Einen schönen juristischen Erfolg haben wir mit unseren Verfahren bereits erzielt, und der hat etwas mit der Lizenzierung der Datenbankinhalte unseres Produktes zu tun. Zum Hintergrund: unsere Lösungen bestehen aus drei Komponenten: dem Anwendungs- und Systemcode und zugehörige Binaries, viele tausend Testskripte zur Schwachstellensuche, die zusammen mit Informationen zu bereits bekannten Schwachstellen und Input zu deren Behebung eine große Datenbank bilden. Diese Datenbank ist für unser Communityprodukt unter der Open Database Public License (ODbL) lizenziert. Die ODbL erlaubt es, eine Datenbank frei zu kopieren, weiterzugeben, zu verändern und zu nutzen (z.B. für eigene Anwendungen oder Analysen). Gleichzeitig stellt sie sicher, dass abgeleitete Datenbanken unter denselben Freiheiten verfügbar bleiben. Die bekannte Geodatenbank OpenStreetMap steht unter der ODbL. Wer eine ODbL Datenbank mit eigenen proprietären Inhalten mischt, muss auch diese modifizierte Datenbank unter die ODbL stellen, es handelt sich daher um eine Copyleft Lizenz. In unserem Verfahren wurde zum ersten Mal in Deutschland eine ODbL Datenbank erfolgreich in einem Lizenzstreit verteidigt. Dadurch wurde eine Musterentscheidung erzielt, auf die sich andere nun beziehen können. Das freut uns sehr.

Und wir machen noch weiter: Aktuell haben wir Klage erhoben. Hier wird es um die urheberrechtliche und wettbewerbsrechtliche Thematik gehen, und auch das Thema Schadensersatz adressiert werden.

Soweit die Zusammenfassung eines Vorgangs, der sich über einige Monate hinzugezogen hat und noch in die Zukunft reicht. Das derzeitige Fazit ist positiv: wir haben bisher in allen wichtigen Belangen gewonnen. Wir machen Open Source stärker, wenn wir ihre Regeln auch durchsetzen. Open Source ist eine Grundlage unseres Geschäftsmodells, deswegen ist es uns wichtig, diese Grundlage zu verteidigen. Andererseits ist der Aufwand erheblich. Unser Geschäftszweck ist es, unseren Nutzern die größtmögliche Sicherheit ihrer IT-Infrastruktur zu ermöglichen und nicht, Rechtsstreitigkeiten zu führen. Wir möchten das nur sehr dosiert tun und auch nur dort, wo die Erfolgsaussichten groß und die Rahmenbedingungen günstig sind (wie in unserem Fall hier, wo wir im gewohnten Rechtssystem agieren können). Unser Dank gilt unserer hervorragenden rechtlichen Vertretung durch Dr. Till Jaeger von JBViniol und der großartigen forensischen Expertise von DN-Systems – ohne deren Hilfe hätten wir diese Erfolge nicht erreichen können.

Wir haben eine Liste mit etwas über 100 Verdachtsfällen, wir bekommen sehr regelmäßig Hinweise von Partnern, Community und Mitarbeitenden über solche Fälle. Nicht immer sind die Rahmenbedingungen so günstig wie im vorliegenden Fall, und nicht immer ist die Relevanz groß genug. Dort wo es so ist, werden wir – trotz des großen Aufwandes – wieder gegen Anbieter vorgehen. Wir wollen ein faires und gesundes Open Source Ökosystem, und besonders dreiste Verstöße – wie der hier berichtete – triggern uns natürlich. Mit diesem Bericht wollen wir auch andere ermutigen, und – ganz der Open Source Idee folgend – unser Wissen teilen.

Download
LG Berlin II – Urteil, Az. 15 O 299/25 (geschwärzte Fassung) – PDF

Die Schlagzeilen zum Thema Cybersicherheit im Februar 2026 wurden von dem plötzlich aufgetretenen Risiko durch CVE-2026-20127 dominiert, einer kritischen Sicherheitslücke in Cisco Catalyst SD-WAN. In diesem Monat öffneten jedoch auch andere hochriskante Sicherheitslücken, die weit verbreitete Unternehmenssoftware betreffen, neue Lücken, die für Angriffe genutzt werden können. Um ihre IT-Infrastruktur wirksam zu verteidigen, benötigen Sicherheitsteams detaillierte Transparenz, zuverlässige Bedrohungsinformationen für die Priorisierung und eine starke Führung für strategische Entscheidungen. Sicherheitsbeauftragte, die nach Möglichkeiten zur Erkennung und zum Schutz suchen, können das Einstiegsprodukt OPENVAS BASIC von Greenbone kostenlos testen, einschließlich einer zweiwöchigen Testversion des OPENVAS ENTERPRISE FEED.

Werfen wir einen Blick auf die Schwachstellen mit dem höchsten Risiko in Unternehmenssoftware aus dem Februar 2026.

Februar 2026 Threat Report

CVE-2026-1731: Ransomware-Angriffe, die eine kritische Schwachstelle in BeyondTrust ausnutzen

CVE-2026-1731 (CVSS 9,8, EPSS ≥ 98. Perzentil) wurde am 6. Februar 2026 veröffentlicht, eine Woche später in die Liste der bekannten ausgenutzten Schwachstellen (KEV) der CISA aufgenommen und schnell für Ransomware-Angriffe markiert. Die Schwachstelle ermöglicht die Ausführung von Remote-Code (RCE) vor der Authentifizierung über eine OS-Befehlsinjektion [CWE-78] in BeyondTrust Remote Support (RS) und Privileged Remote Access (PRA). Die CISA setzte den zivilen Bundesbehörden eine aggressive Frist von drei Tagen für die Behebung der Schwachstelle, möglicherweise aufgrund der Tatsache, dass RS und PRA im Dezember 2024 bei einem Angriff auf das US-Finanzministerium ausgenutzt wurden.

Die Ursache liegt in einer unzureichenden Überprüfung der User-Eingabe „remoteVersion” im thin-scc-wrapper-WebSocket-Handshake. Die nicht bereinigten Daten werden in eine Bash-Arithmetikauswertung injiziert, was die Ausführung beliebiger Shell-Befehle ermöglichen kann. Ein PoC-Exploit wurde am 10. Februar öffentlich zugänglich gemacht, und eine detaillierte technische Beschreibung hat die Entwicklung von Exploits vereinfacht. Laut Hacktron waren ursprünglich etwa 11.000 betroffene Instanzen dem Internet ausgesetzt, darunter etwa 8.500 lokale Bereitstellungen. CVE-2026-1731 hat weltweit zahlreiche Warnungen von nationalen CERT-Behörden ausgelöst [1][2][3][4][5][6][7][8][9].

Nach dem ersten Zugriff erstellten die Eindringlinge gefälschte Konten, setzten Web-Shells für RCE ein, installierten Command-and-Control-Tools (C2), umgingen die Abwehrmaßnahmen durch DNS-Tunneling, nutzten PSexec- und SMB2-Setup-Anfragen für laterale Bewegungen und exfiltrierten Daten, darunter vollständige PostgreSQL-Dumps [10][11]. Die Incident Responder stellten außerdem den Einsatz der Malware SparkRAT und VShell fest.

Zeitachse der Ereignisse von der Offenlegung bis zur Ausnutzung:

• 31.01.2026: Hacktron meldete CVE-2026-1731 verantwortungsbewusst an BeyondTrust.
• 02.02.2026: BeyondTrust veröffentlicht Patches für betroffene RS- und PRA-Produkte.
• 06.02.2026: BeyondTrust veröffentlicht die Sicherheitsempfehlung BT26-02 und CVE-2026-1731 wird veröffentlicht.
• 09.02.2026: Greenbone erstellt Erkennungstests für den OPENVAS ENTERPRISE FEED [12][13].
• 10.02.2026: Die technische Analyse und der PoC-Exploit-Code werden öffentlich zugänglich gemacht.
• 12.02.2026: GreyNoise meldet die Beobachtung von Erkundungsscans und watchTowr Threat Intelligence berichtet über Exploits in freier Wildbahn.
• 13.02.2026: CISA nimmt CVE-2026-1731 in den KEV-Katalog auf, und Incident Responder geben Indikatoren für Kompromittierung (IoC) und Verhaltensindikatoren weiter [10].
• 16.02.2026: CISA verschiebt die Frist für die Behebung des Problems auf Montag, den 16.02.2026.
• 19.02.2026: Weitere Vorfallberichte enthüllen zusätzliche IoCs, TTPs sowie betroffene Sektoren und geografische Regionen [11].

Der OPENVAS ENTERPRISE FEED von Greenbone hat Remote-Banner-Prüfungen integriert, um betroffene RS- [12] und PRA- [13] Instanzen vor der aktiven Ausnutzung von CVE-2026-1731 zu identifizieren. Betroffene Versionen sind RS ≤ 25.3.1 und PRA ≤ 24.3.4. Patches sind seit dem 2. Februar 2026 verfügbar.

CVE-2026-22769: CVSS 10 in Dell RecoverPoint für VMs aktiv ausgenutzt

CVE-2026-22769 (CVSS 10, EPSS ≥ 97. Perzentil) ist eine neue kritische Sicherheitslücke, die Dell RecoverPoint for Virtual Machines (RP4VMs) betrifft und laut Sicherheitsanalysen seit mindestens Mitte 2024 heimlich ausgenutzt wird. Die CISA hat CVE-2026-22769 am 28. Februar in ihre KEV-Liste aufgenommen und von den Bundesbehörden verlangt, innerhalb von drei Tagen Patches zu installieren. Die Ursache liegt in fest codierten Admin-Anmeldedaten [CWE-798] in der Apache Tomcat Manager-Konfiguration von RP4VMs. Angreifende, die diese Anmeldedaten kennen, können sich unbefugten Root-Zugriff und Persistenz auf den betroffenen Geräten verschaffen.

RP4VMs ist ein auf VMware ausgerichtetes Produkt für Datenschutz und Replikation, das als Softwarekomponenten innerhalb einer VMware vSphere-Umgebung implementiert ist. Seine Architektur umfasst einen in den Hypervisor eingebetteten RecoverPoint-Write-Splitter und einen auf jedem ESXi-Host installierten Splitter-Agenten.

Es ist kein öffentlicher PoC bekannt, und es wurden keine Opfer von Ransomware gemeldet. Frühere Exploits wurden dem Bedrohungsakteur UNC6201 zugeschrieben, dessen Ziel Spionage war. Laut Google Threat Intelligence wurden bei den Angriffen die Webshell Slaystyle [1], Brickstorm [2][3] und eine neuartige Backdoor namens Grimbolt – eine vorkompilierte C#-Binärdatei – eingesetzt. Mehrere Länder haben nationale CERT-Warnungen herausgegeben [1][2][3][4][5][6][7][8].


Der OPENVAS ENTERPRISE FEED enthält eine Remote-Banner-Prüfung, um betroffene Instanzen zu identifizieren. Betroffen sind RP4VM-Versionen vor 6.0.3.1 HF1. Dell hat aufgefordert, sofort auf 6.0.3.1 HF1 zu aktualisieren oder offizielle Abhilfemaßnahmen zu ergreifen.

Microsoft Patch Tuesday umfasst sechs aktiv ausgenutzte und weitere Schwachstellen

Der Patch-Zyklus von Microsoft für Februar 2026 hat sechs aktiv ausgenutzte Schwachstellen aufgedeckt und fünf weitere als „Exploitation More Likely” (Ausnutzung eher wahrscheinlich) eingestuft. Alle Schwachstellen erfordern Software-Updates zum Schutz; es sind keine Workarounds oder Abhilfemaßnahmen verfügbar. Die neuen aktiv ausgenutzten Microsoft-Schwachstellen sind:

• CVE-2026-21510 (CVSS 8.8, EPSS ≥ 86. Perzentil): Ein Fehler im Schutzmechanismus [CWE-693] in der Windows-Shell ermöglicht es unbefugten Angreifenden, eine Sicherheitsfunktion über ein Netzwerk zu umgehen.
• CVE-2026-21513 (CVSS 8,8, EPSS ≥ 88. Perzentil): Ein Fehler im Schutzmechanismus [CWE-693] im MSHTML-Framework ermöglicht es unbefugten Angreifenden, eine Sicherheitsfunktion über ein Netzwerk zu umgehen.
• CVE-2026-21514 (CVSS 7,8, EPSS ≥ 84. Perzentil): Microsoft Office Word stützt sich bei einer Sicherheitsentscheidung auf nicht vertrauenswürdige Eingaben [CWE-807], wodurch nicht autorisierte Angreifende eine Sicherheitsfunktion lokal umgehen können.
• CVE-2026-21519 (CVSS 7,8, EPSS ≥ 84. Perzentil): Eine Typverwechslung [CWE-843] im Desktop Window Manager (dwm.exe) ermöglicht es autorisierten Angreifenden, lokal Berechtigungen zu erweitern.
• CVE-2026-21533 (CVSS 7,8, EPSS ≥ 82. Perzentil): Durch unsachgemäße Rechteverwaltung [CWE-269] in Windows Remote Desktop können autorisierte Angreifende lokal ihre Rechte erweitern.
• CVE-2026-21525 (CVSS 6,2, EPSS ≥ 84. Perzentil): Eine NULL-Zeiger-Dereferenzierung [CWE-476] im Windows Remote Access Connection Manager ermöglicht es nicht autorisierten Angreifenden, den Dienst lokal zu verweigern.

Neben der regelmäßigen Veröffentlichung von Patches durch Microsoft wurden im Februar 2026 zwei weitere CVEs mit hohem Risiko außerhalb des regulären Zeitplans bekannt gegeben:

• CVE-2026-26119 (CVSS 8.8): Eine unsachgemäße Authentifizierungslücke [CWE-287] im Windows Admin Center (WAC) ermöglicht es autorisierten Angreifenden, ihre Berechtigungen über ein Netzwerk zu erweitern. Bei Ausnutzung dieser Schwachstelle könnte ein Standarduser die vollständige Kontrolle über die Domäne erlangen. Der Fehler wird nicht als aktiv ausgenutzt angesehen, sondern von Microsoft als „Ausnutzung eher wahrscheinlich” eingestuft. CVE-2026-26119 wurde in der WAC-Version 2511 gepatcht, die im Dezember 2025 veröffentlicht wurde.
• CVE-2026-2636 (CVSS 5.5): Eine fehlerhafte Verarbeitung ungültiger Sonderelemente [CWE‑159] kann einen Aufruf der Funktion „KeBugCheckEx“ erzwingen, was zu einer nicht behebbaren Inkonsistenz im Treiber „CLFS.sys“ führt. Durch Ausnutzung dieser Schwachstelle können nicht privilegierte User einen Systemabsturz auslösen. CVE-2026-2636 wurde im kumulativen Update vom September 2025 für Windows 11 2024 LTSC und Windows Server 2025 gepatcht. Öffentlicher PoC-Code und eine vollständige technische Analyse sind verfügbar, was das Risiko einer Ausnutzung in der Praxis erhöht.

Greenbone umfasst die Erkennung aller oben genannten CVEs, die Microsoft-Produkte betreffen, und erstellt regelmäßig Schwachstellenerkennungsprüfungen für Microsoft Security Bulletins [15][16] und andere Windows-Schwachstellen. Sicherheitsverantwortliche sollten die Sicherheitspatch-Level kontinuierlich überprüfen, um sicherzustellen, dass neu aufgedeckte Schwachstellen behoben werden.

Neue SolarWinds Serv-U-CVEs stellen ein hohes Risiko für die Unternehmens-IT dar

Am 24. Februar 2026 wurden vier CVEs veröffentlicht, die das verwaltete Dateiübertragungstool SolarWinds Serv-U betreffen. Während das NIST einen CVSS-Score von 7,2 vergeben hat, stuft SolarWinds jede einzelne als CVSS 9,1 ein – also als kritisch. Alle Schwachstellen ermöglichen RCE als Root unter Linux und potenziell mit SYSTEM-Rechten unter Windows. Allerdings sind für die Ausnutzung aller vier CVEs Adminrechte erforderlich.

Obwohl keine aktive Ausnutzung gemeldet wurde und keine öffentlichen PoC oder detaillierten Ausnutzungsberichte verfügbar sind, wurde eine Schwachstelle in SolarWinds Serv-U aus dem Jahr 2024 innerhalb weniger Wochen ausgenutzt. Die Beliebtheit von SolarWinds bei großen Unternehmen macht es zu einem beliebten Ziel. Der OPENVAS ENTERPRISE FEED von Greenbone enthält eine Remote-Banner-Prüfung, um anfällige Instanzen von Serv-U zu identifizieren. Es sollte so schnell wie möglich auf v15.5.4 aktualisiert werden.



Die vier neuen CVEs mit hohem Risiko, die SolarWinds Serv-U betreffen, sind:

• CVE-2025-40538 (CVSS 7.2): Eine fehlerhafte Zugriffskontrolle [CWE-269] ermöglicht es einem authentifizierten Serv-U-Admin-User, einen System-Admin-User anzulegen und beliebigen Code als privilegierter Domänen-Admin oder Gruppen-Admin auszuführen.
• CVE-2025-40539 (CVSS 7.2): Eine Typverwirrungs-Sicherheitslücke [CWE-704] ermöglicht es authentifizierten Angreifenden, beliebigen nativen Code als privilegiertes Konto auszuführen.
• CVE-2025-40540 (CVSS 7.2): Eine Typverwirrungslücke [CWE-704] ermöglicht es einem authentifizierten User, beliebigen nativen Code als privilegierter User auszuführen.
• CVE-2025-40541 (CVSS 7.2): Eine Unsichere direkte Objektreferenz (IDOR) ermöglicht es einem authentifizierten Serv-U-Admin, nativen Code als privilegiertes Konto auszuführen.

CVE-2026-2329: PoC-Exploit für neue IP-Telefone der Grandstream GXP1600-Serie

CVE-2026-2329 (CVSS 9.8, EPSS ≥ 97. Perzentil) ermöglicht eine nicht authentifizierte RCE als Root-User des Geräts auf VoIP-Telefonen der Grandstream GXP1600-Serie. CVE-2026-2329 ist eine stapelbasierte Pufferüberlauf-Sicherheitslücke [CWE-121], die durch eine unsachgemäße Bereichsprüfung in der HTTP-API /cgi-bin/api.values.get verursacht wird. Es ist nicht bekannt, dass diese Sicherheitslücke aktiv ausgenutzt wird. Es liegen jedoch eine vollständige technische Analyse und ein Metasploit-Exploit-Modul vor, wodurch das Risiko von Angriffen steigt.

Die Ausnutzung von CVE-2026-2329 könnte Angreifenden Folgendes ermöglichen:

• Beliebige Betriebssystembefehle [T1059] auf dem Telefon als Root-User auszuführen
• Dauerhaften Zugriff auf kompromittierte Geräte aufrechtzuerhalten [T1543]
• Gespeicherte Geheimnisse [T1552] vom Gerät, wie lokale Konten und SIP-Kontoanmeldedaten, auslesen und für nachfolgende Angriffe [T1078] nutzen
• SIP-Einstellungen so zu konfigurieren, dass sie auf einen vom Angreifer kontrollierten SIP-Proxy verweisen, wodurch transparentes Abhören von Anrufen [T1557] und Audio-Abhören [T1040] ermöglicht wird

Der OPENVAS ENTERPRISE FEED enthält eine Remote-Banner-Prüfung, um anfällige Geräte zu identifizieren. Betroffen sind Grandstream GXP1610-, GXP1615-, GXP1620-, GXP1625-, GXP1628- und GXP1630-Geräte mit einer Firmware-Version vor 1.0.7.81. Es sollte auf die Firmware-Version 1.0.7.81 oder höher aktualisiert werden.

Nicht authentifizierter RCE in VMware Aria Operations während der unterstützten Migration und mehr

Seit Ende 2025 berichten Sicherheitsforschende von einem zunehmenden Risiko für VM-Umgebungen [1][2]. In diesem Monat gab es in diesem Bereich neue Bedrohungen, darunter mehrere neue Schwachstellen, die VMware Aria Operations betreffen. Aria Operations ist eine weitgehend automatisierte Plattform für die Überwachung, Leistungsanalyse und Planung von vSphere-VM-Flotten und Hybrid-Cloud-Infrastrukturen.

Die neuen CVEs, die VMware Aria Operations betreffen, sind:

• CVE-2026-22719 (CVSS 8.1): Eine Schwachstelle bei der Befehlsinjektion [CWE-77] ermöglicht es einem nicht authentifizierten Bedrohungsakteur, während einer unterstützten Produktmigration beliebige Befehle aus der Ferne auszuführen. Die unterstützte Produktmigration ist ein Workflow, an dem der VMware-Support im Rahmen einer Produktumstellung/einem Produkt-Upgrade beteiligt ist.
• CVE-2026-22720 (CVSS 8.0): Eine gespeicherte Cross-Site-Scripting-Sicherheitslücke [CWE-79] ermöglicht es Angreifenden mit Berechtigungen, benutzerdefinierte Benchmarks zu erstellen und Skripte einzuschleusen, um administrative Aktionen durchzuführen.
• CVE-2026-22721 (CVSS 6.2): Eine Schwachstelle bei der Rechteausweitung [CWE-269] ermöglicht mit vCenter, auf Aria Operations zuzugreifen, um Administratorrechte zu erlangen.

VMware Aria Operations Version 8.x ist betroffen, und v8.18.6 behebt alle drei CVEs. Eine Abhilfe für CVE-2026-22719 wurde als Shell-Skript bereitgestellt, das passwortlose sudo-Berechtigungen in der Datei /etc/sudoers entfernt und ein Migrations-Launcher-Skript löscht. Die Abhilfe behebt nicht die Sicherheitslücken CVE-2026-22720 und CVE-2026-22721. Der OPENVAS ENTERPRISE FEED enthält eine Remote-Banner-Prüfung, um betroffene Aria Operations-Knoten zu erkennen.

Weitere kritische CVEs betreffen Trend Micro Apex One

Erst letzten Monat wurde im Greenbone Threat Report eine authentifizierte RCE-Sicherheitslücke in Trend Micro Apex One untersucht. Im Februar veröffentlichte Trend Micro ein weiteres Notfall-Sicherheitsbulletin, in dem neun neue Schwachstellen in der Endpoint-Sicherheitsplattform Apex One offengelegt wurden. Seltsamerweise sind die veröffentlichten CVE-IDs bis zum 3. März 2026 weder im MITRE CVE-Repository noch im NIST NVD aufgetaucht.

Laut Trend Micro reichen die Schweregrade der Schwachstellen von CVSS 7,2 (hoch) bis 9,8 (kritisch). Die beiden CVEs mit kritischem Schweregrad ermöglichen eine nicht authentifizierte RCE über das Hochladen bösartiger Dateien, während die CVEs mit hohem Schweregrad alle eine lokale Privilegieneskalation ermöglichen. Der OPENVAS ENTERPRISE FEED enthält eine Windows-Registrierungsversionsprüfung für betroffene Instanzen von Apex One für Windows. Betroffene sollten so schnell wie möglich den Critical Patch (CP) Build 14136 für Apex One 2019 (vor Ort) installieren.

Neue authentifizierte RCE-Sicherheitslücken betreffen den Kubernetes Ingress NGINX Controller

Es wurden zwei neue CVEs mit hohem Schweregrad bekannt, die den Kubernetes Ingress NGINX Controller betreffen, sowie eine CVE mit mittlerem und eine weitere mit niedrigem Schweregrad. Beide neuen Schwachstellen mit hohem Schweregrad erfordern Kubernetes-API-/RBAC-Rechte, und es sind nur Instanzen mit der Ingress NGINX-Komponente betroffen. Ingress NGINX ist eine von mehreren Ingress-Controller-Implementierungen für Kubernetes. Es ist wichtig zu beachten, dass der Support für Ingress NGINX im März 2026 endet. Der Kubernetes-Blog empfiehlt die Migration zur Gateway-API. Es wurden mehrere nationale CERT-Warnungen herausgegeben [1][2][3][4][5].

Die CVEs mit hohem Schweregrad sind:

• CVE-2026-1580 (CVSS 8.8): Die Ingress-Anmerkung ingress.kubernetes.io/auth-method kann zum Einfügen von nginx-Konfigurationen verwendet werden, was zu einer beliebigen authentifizierten RCE im Kontext des Ingress-nginx-Controllers und möglicherweise zur Offenlegung aller Geheimnisse im gesamten Cluster führt.
• CVE-2026-24512 (CVSS 8.8): Das Ingress-Feld http.paths.path kann zum Einfügen von nginx-Konfigurationen verwendet werden, was zu einer beliebigen authentifizierten RCE im Kontext des ingress-nginx-Controllers und möglicherweise zur Offenlegung aller Geheimnisse im gesamten Cluster führt.

Der OPENVAS ENTERPRISE FEED hat innerhalb weniger Stunden nach Bekanntgabe eine ausführbare Versionsprüfung für alle neuen CVEs in der Sicherheitswarnung hinzugefügt. Betroffen sind Ingress NGINX-Versionen 1.13.x vor 1.13.7 und 1.14.x vor v1.14.3. Unternehmen, die auf Ingress NGINX angewiesen sind, sollten auf v1.13.7, v1.14.3 oder höher aktualisieren.

Zusammenfassung

Der Threat Report dieses Monats fasst die Schwachstellen mit den größten Auswirkungen und die Exploit-Trends zusammen, die im Februar 2026 beobachtet wurden. Mehrere neue CVEs wurden mit Exploit-Aktivitäten in freier Wildbahn, Ransomware-Operationen und der raschen Entwicklung von Exploits in Verbindung gebracht. Sicherheitsbeauftragte, die Schwachstellen erkennen und Schutzmaßnahmen ergreifen möchten, können das Einstiegsprodukt OPENVAS BASIC von Greenbone kostenlos testen, einschließlich einer zweiwöchigen Testversion des OPENVAS ENTERPRISE FEED.