Februar 2026 Threat Report

Die Schlagzeilen zum Thema Cybersicherheit im Februar 2026 wurden von dem plötzlich aufgetretenen Risiko durch CVE-2026-20127 dominiert, einer kritischen Sicherheitslücke in Cisco Catalyst SD-WAN. In diesem Monat öffneten jedoch auch andere hochriskante Sicherheitslücken, die weit verbreitete Unternehmenssoftware betreffen, neue Lücken, die für Angriffe genutzt werden können. Um ihre IT-Infrastruktur wirksam zu verteidigen, benötigen Sicherheitsteams detaillierte Transparenz, zuverlässige Bedrohungsinformationen für die Priorisierung und eine starke Führung für strategische Entscheidungen. Sicherheitsbeauftragte, die nach Möglichkeiten zur Erkennung und zum Schutz suchen, können das Flaggschiffprodukt OPENVAS BASIC von Greenbone kostenlos testen, einschließlich einer zweiwöchigen Testversion des OPENVAS ENTERPRISE FEED.

Werfen wir einen Blick auf die Schwachstellen mit dem höchsten Risiko in Unternehmenssoftware aus dem Februar 2026.

CVE-2026-1731: Ransomware-Angriffe, die eine kritische Schwachstelle in BeyondTrust ausnutzen

CVE-2026-1731 (CVSS 9,8, EPSS ≥ 98. Perzentil) wurde am 6. Februar 2026 veröffentlicht, eine Woche später in die Liste der bekannten ausgenutzten Schwachstellen (KEV) der CISA aufgenommen und schnell für Ransomware-Angriffe markiert. Die Schwachstelle ermöglicht die Ausführung von Remote-Code (RCE) vor der Authentifizierung über eine OS-Befehlsinjektion [CWE-78] in BeyondTrust Remote Support (RS) und Privileged Remote Access (PRA). Die CISA setzte den zivilen Bundesbehörden eine aggressive Frist von drei Tagen für die Behebung der Schwachstelle, möglicherweise aufgrund der Tatsache, dass RS und PRA im Dezember 2024 bei einem Angriff auf das US-Finanzministerium ausgenutzt wurden.

Die Ursache liegt in einer unzureichenden Überprüfung der User-Eingabe „remoteVersion” im thin-scc-wrapper-WebSocket-Handshake. Die nicht bereinigten Daten werden in eine Bash-Arithmetikauswertung injiziert, was die Ausführung beliebiger Shell-Befehle ermöglichen kann. Ein PoC-Exploit wurde am 10. Februar öffentlich zugänglich gemacht, und eine detaillierte technische Beschreibung hat die Entwicklung von Exploits vereinfacht. Laut Hacktron waren ursprünglich etwa 11.000 betroffene Instanzen dem Internet ausgesetzt, darunter etwa 8.500 lokale Bereitstellungen. CVE-2026-1731 hat weltweit zahlreiche Warnungen von nationalen CERT-Behörden ausgelöst [1][2][3][4][5][6][7][8][9].

Nach dem ersten Zugriff erstellten die Eindringlinge gefälschte Konten, setzten Web-Shells für RCE ein, installierten Command-and-Control-Tools (C2), umgingen die Abwehrmaßnahmen durch DNS-Tunneling, nutzten PSexec- und SMB2-Setup-Anfragen für laterale Bewegungen und exfiltrierten Daten, darunter vollständige PostgreSQL-Dumps [10][11]. Die Incident Responder stellten außerdem den Einsatz der Malware SparkRAT und VShell fest.

Zeitachse der Ereignisse von der Offenlegung bis zur Ausnutzung:

• 31.01.2026: Hacktron meldete CVE-2026-1731 verantwortungsbewusst an BeyondTrust.
• 02.02.2026: BeyondTrust veröffentlicht Patches für betroffene RS- und PRA-Produkte.
• 06.02.2026: BeyondTrust veröffentlicht die Sicherheitsempfehlung BT26-02 und CVE-2026-1731 wird veröffentlicht.
• 09.02.2026: Greenbone erstellt Erkennungstests für den OPENVAS ENTERPRISE FEED [12][13].
• 10.02.2026: Die technische Analyse und der PoC-Exploit-Code werden öffentlich zugänglich gemacht.
• 12.02.2026: GreyNoise meldet die Beobachtung von Erkundungsscans und watchTowr Threat Intelligence berichtet über Exploits in freier Wildbahn.
• 13.02.2026: CISA nimmt CVE-2026-1731 in den KEV-Katalog auf, und Incident Responder geben Indikatoren für Kompromittierung (IoC) und Verhaltensindikatoren weiter [10].
• 16.02.2026: CISA verschiebt die Frist für die Behebung des Problems auf Montag, den 16.02.2026.
• 19.02.2026: Weitere Vorfallberichte enthüllen zusätzliche IoCs, TTPs sowie betroffene Sektoren und geografische Regionen [11].

Der OPENVAS ENTERPRISE FEED von Greenbone hat Remote-Banner-Prüfungen integriert, um betroffene RS- [12] und PRA- [13] Instanzen vor der aktiven Ausnutzung von CVE-2026-1731 zu identifizieren. Betroffene Versionen sind RS ≤ 25.3.1 und PRA ≤ 24.3.4. Patches sind seit dem 2. Februar 2026 verfügbar.

CVE-2026-22769: CVSS 10 in Dell RecoverPoint für VMs aktiv ausgenutzt

CVE-2026-22769 (CVSS 10, EPSS ≥ 97. Perzentil) ist eine neue kritische Sicherheitslücke, die Dell RecoverPoint for Virtual Machines (RP4VMs) betrifft und laut Sicherheitsanalysen seit mindestens Mitte 2024 heimlich ausgenutzt wird. Die CISA hat CVE-2026-22769 am 28. Februar in ihre KEV-Liste aufgenommen und von den Bundesbehörden verlangt, innerhalb von drei Tagen Patches zu installieren. Die Ursache liegt in fest codierten Admin-Anmeldedaten [CWE-798] in der Apache Tomcat Manager-Konfiguration von RP4VMs. Angreifende, die diese Anmeldedaten kennen, können sich unbefugten Root-Zugriff und Persistenz auf den betroffenen Geräten verschaffen.

RP4VMs ist ein auf VMware ausgerichtetes Produkt für Datenschutz und Replikation, das als Softwarekomponenten innerhalb einer VMware vSphere-Umgebung implementiert ist. Seine Architektur umfasst einen in den Hypervisor eingebetteten RecoverPoint-Write-Splitter und einen auf jedem ESXi-Host installierten Splitter-Agenten.

Es ist kein öffentlicher PoC bekannt, und es wurden keine Opfer von Ransomware gemeldet. Frühere Exploits wurden dem Bedrohungsakteur UNC6201 zugeschrieben, dessen Ziel Spionage war. Laut Google Threat Intelligence wurden bei den Angriffen die Webshell Slaystyle [1], Brickstorm [2][3] und eine neuartige Backdoor namens Grimbolt – eine vorkompilierte C#-Binärdatei – eingesetzt. Mehrere Länder haben nationale CERT-Warnungen herausgegeben [1][2][3][4][5][6][7][8].


Der OPENVAS ENTERPRISE FEED enthält eine Remote-Banner-Prüfung, um betroffene Instanzen zu identifizieren. Betroffen sind RP4VM-Versionen vor 6.0.3.1 HF1. Dell hat aufgefordert, sofort auf 6.0.3.1 HF1 zu aktualisieren oder offizielle Abhilfemaßnahmen zu ergreifen.

Microsoft Patch Tuesday umfasst sechs aktiv ausgenutzte und weitere Schwachstellen

Der Patch-Zyklus von Microsoft für Februar 2026 hat sechs aktiv ausgenutzte Schwachstellen aufgedeckt und fünf weitere als „Exploitation More Likely” (Ausnutzung eher wahrscheinlich) eingestuft. Alle Schwachstellen erfordern Software-Updates zum Schutz; es sind keine Workarounds oder Abhilfemaßnahmen verfügbar. Die neuen aktiv ausgenutzten Microsoft-Schwachstellen sind:

• CVE-2026-21510 (CVSS 8.8, EPSS ≥ 86. Perzentil): Ein Fehler im Schutzmechanismus [CWE-693] in der Windows-Shell ermöglicht es unbefugten Angreifenden, eine Sicherheitsfunktion über ein Netzwerk zu umgehen.
• CVE-2026-21513 (CVSS 8,8, EPSS ≥ 88. Perzentil): Ein Fehler im Schutzmechanismus [CWE-693] im MSHTML-Framework ermöglicht es unbefugten Angreifenden, eine Sicherheitsfunktion über ein Netzwerk zu umgehen.
• CVE-2026-21514 (CVSS 7,8, EPSS ≥ 84. Perzentil): Microsoft Office Word stützt sich bei einer Sicherheitsentscheidung auf nicht vertrauenswürdige Eingaben [CWE-807], wodurch nicht autorisierte Angreifende eine Sicherheitsfunktion lokal umgehen können.
• CVE-2026-21519 (CVSS 7,8, EPSS ≥ 84. Perzentil): Eine Typverwechslung [CWE-843] im Desktop Window Manager (dwm.exe) ermöglicht es autorisierten Angreifenden, lokal Berechtigungen zu erweitern.
• CVE-2026-21533 (CVSS 7,8, EPSS ≥ 82. Perzentil): Durch unsachgemäße Rechteverwaltung [CWE-269] in Windows Remote Desktop können autorisierte Angreifende lokal ihre Rechte erweitern.
• CVE-2026-21525 (CVSS 6,2, EPSS ≥ 84. Perzentil): Eine NULL-Zeiger-Dereferenzierung [CWE-476] im Windows Remote Access Connection Manager ermöglicht es nicht autorisierten Angreifenden, den Dienst lokal zu verweigern.

Neben der regelmäßigen Veröffentlichung von Patches durch Microsoft wurden im Februar 2026 zwei weitere CVEs mit hohem Risiko außerhalb des regulären Zeitplans bekannt gegeben:

• CVE-2026-26119 (CVSS 8.8): Eine unsachgemäße Authentifizierungslücke [CWE-287] im Windows Admin Center (WAC) ermöglicht es autorisierten Angreifenden, ihre Berechtigungen über ein Netzwerk zu erweitern. Bei Ausnutzung dieser Schwachstelle könnte ein Standarduser die vollständige Kontrolle über die Domäne erlangen. Der Fehler wird nicht als aktiv ausgenutzt angesehen, sondern von Microsoft als „Ausnutzung eher wahrscheinlich” eingestuft. CVE-2026-26119 wurde in der WAC-Version 2511 gepatcht, die im Dezember 2025 veröffentlicht wurde.
• CVE-2026-2636 (CVSS 5.5): Eine fehlerhafte Verarbeitung ungültiger Sonderelemente [CWE‑159] kann einen Aufruf der Funktion „KeBugCheckEx“ erzwingen, was zu einer nicht behebbaren Inkonsistenz im Treiber „CLFS.sys“ führt. Durch Ausnutzung dieser Schwachstelle können nicht privilegierte User einen Systemabsturz auslösen. CVE-2026-2636 wurde im kumulativen Update vom September 2025 für Windows 11 2024 LTSC und Windows Server 2025 gepatcht. Öffentlicher PoC-Code und eine vollständige technische Analyse sind verfügbar, was das Risiko einer Ausnutzung in der Praxis erhöht.

Greenbone umfasst die Erkennung aller oben genannten CVEs, die Microsoft-Produkte betreffen, und erstellt regelmäßig Schwachstellenerkennungsprüfungen für Microsoft Security Bulletins [15][16] und andere Windows-Schwachstellen. Sicherheitsverantwortliche sollten die Sicherheitspatch-Level kontinuierlich überprüfen, um sicherzustellen, dass neu aufgedeckte Schwachstellen behoben werden.

Neue SolarWinds Serv-U-CVEs stellen ein hohes Risiko für die Unternehmens-IT dar

Am 24. Februar 2026 wurden vier CVEs veröffentlicht, die das verwaltete Dateiübertragungstool SolarWinds Serv-U betreffen. Während das NIST einen CVSS-Score von 7,2 vergeben hat, stuft SolarWinds jede einzelne als CVSS 9,1 ein – also als kritisch. Alle Schwachstellen ermöglichen RCE als Root unter Linux und potenziell mit SYSTEM-Rechten unter Windows. Allerdings sind für die Ausnutzung aller vier CVEs Adminrechte erforderlich.

Obwohl keine aktive Ausnutzung gemeldet wurde und keine öffentlichen PoC oder detaillierten Ausnutzungsberichte verfügbar sind, wurde eine Schwachstelle in SolarWinds Serv-U aus dem Jahr 2024 innerhalb weniger Wochen ausgenutzt. Die Beliebtheit von SolarWinds bei großen Unternehmen macht es zu einem beliebten Ziel. Der OPENVAS ENTERPRISE FEED von Greenbone enthält eine Remote-Banner-Prüfung, um anfällige Instanzen von Serv-U zu identifizieren. Es sollte so schnell wie möglich auf v15.5.4 aktualisiert werden.



Die vier neuen CVEs mit hohem Risiko, die SolarWinds Serv-U betreffen, sind:

• CVE-2025-40538 (CVSS 7.2): Eine fehlerhafte Zugriffskontrolle [CWE-269] ermöglicht es einem authentifizierten Serv-U-Admin-User, einen System-Admin-User anzulegen und beliebigen Code als privilegierter Domänen-Admin oder Gruppen-Admin auszuführen.
• CVE-2025-40539 (CVSS 7.2): Eine Typverwirrungs-Sicherheitslücke [CWE-704] ermöglicht es authentifizierten Angreifenden, beliebigen nativen Code als privilegiertes Konto auszuführen.
• CVE-2025-40540 (CVSS 7.2): Eine Typverwirrungslücke [CWE-704] ermöglicht es einem authentifizierten User, beliebigen nativen Code als privilegierter User auszuführen.
• CVE-2025-40541 (CVSS 7.2): Eine Unsichere direkte Objektreferenz (IDOR) ermöglicht es einem authentifizierten Serv-U-Admin, nativen Code als privilegiertes Konto auszuführen.

CVE-2026-2329: PoC-Exploit für neue IP-Telefone der Grandstream GXP1600-Serie

CVE-2026-2329 (CVSS 9.8, EPSS ≥ 97. Perzentil) ermöglicht eine nicht authentifizierte RCE als Root-User des Geräts auf VoIP-Telefonen der Grandstream GXP1600-Serie. CVE-2026-2329 ist eine stapelbasierte Pufferüberlauf-Sicherheitslücke [CWE-121], die durch eine unsachgemäße Bereichsprüfung in der HTTP-API /cgi-bin/api.values.get verursacht wird. Es ist nicht bekannt, dass diese Sicherheitslücke aktiv ausgenutzt wird. Es liegen jedoch eine vollständige technische Analyse und ein Metasploit-Exploit-Modul vor, wodurch das Risiko von Angriffen steigt.

Die Ausnutzung von CVE-2026-2329 könnte Angreifenden Folgendes ermöglichen:

• Beliebige Betriebssystembefehle [T1059] auf dem Telefon als Root-User auszuführen
• Dauerhaften Zugriff auf kompromittierte Geräte aufrechtzuerhalten [T1543]
• Gespeicherte Geheimnisse [T1552] vom Gerät, wie lokale Konten und SIP-Kontoanmeldedaten, auslesen und für nachfolgende Angriffe [T1078] nutzen
• SIP-Einstellungen so zu konfigurieren, dass sie auf einen vom Angreifer kontrollierten SIP-Proxy verweisen, wodurch transparentes Abhören von Anrufen [T1557] und Audio-Abhören [T1040] ermöglicht wird

Der OPENVAS ENTERPRISE FEED enthält eine Remote-Banner-Prüfung, um anfällige Geräte zu identifizieren. Betroffen sind Grandstream GXP1610-, GXP1615-, GXP1620-, GXP1625-, GXP1628- und GXP1630-Geräte mit einer Firmware-Version vor 1.0.7.81. Es sollte auf die Firmware-Version 1.0.7.81 oder höher aktualisiert werden.

Nicht authentifizierter RCE in VMware Aria Operations während der unterstützten Migration und mehr

Seit Ende 2025 berichten Sicherheitsforschende von einem zunehmenden Risiko für VM-Umgebungen [1][2]. In diesem Monat gab es in diesem Bereich neue Bedrohungen, darunter mehrere neue Schwachstellen, die VMware Aria Operations betreffen. Aria Operations ist eine weitgehend automatisierte Plattform für die Überwachung, Leistungsanalyse und Planung von vSphere-VM-Flotten und Hybrid-Cloud-Infrastrukturen.

Die neuen CVEs, die VMware Aria Operations betreffen, sind:

• CVE-2026-22719 (CVSS 8.1): Eine Schwachstelle bei der Befehlsinjektion [CWE-77] ermöglicht es einem nicht authentifizierten Bedrohungsakteur, während einer unterstützten Produktmigration beliebige Befehle aus der Ferne auszuführen. Die unterstützte Produktmigration ist ein Workflow, an dem der VMware-Support im Rahmen einer Produktumstellung/einem Produkt-Upgrade beteiligt ist.
• CVE-2026-22720 (CVSS 8.0): Eine gespeicherte Cross-Site-Scripting-Sicherheitslücke [CWE-79] ermöglicht es Angreifenden mit Berechtigungen, benutzerdefinierte Benchmarks zu erstellen und Skripte einzuschleusen, um administrative Aktionen durchzuführen.
• CVE-2026-22721 (CVSS 6.2): Eine Schwachstelle bei der Rechteausweitung [CWE-269] ermöglicht mit vCenter, auf Aria Operations zuzugreifen, um Administratorrechte zu erlangen.

VMware Aria Operations Version 8.x ist betroffen, und v8.18.6 behebt alle drei CVEs. Eine Abhilfe für CVE-2026-22719 wurde als Shell-Skript bereitgestellt, das passwortlose sudo-Berechtigungen in der Datei /etc/sudoers entfernt und ein Migrations-Launcher-Skript löscht. Die Abhilfe behebt nicht die Sicherheitslücken CVE-2026-22720 und CVE-2026-22721. Der OPENVAS ENTERPRISE FEED enthält eine Remote-Banner-Prüfung, um betroffene Aria Operations-Knoten zu erkennen.

Weitere kritische CVEs betreffen Trend Micro Apex One

Erst letzten Monat wurde im Greenbone Threat Report eine authentifizierte RCE-Sicherheitslücke in Trend Micro Apex One untersucht. Im Februar veröffentlichte Trend Micro ein weiteres Notfall-Sicherheitsbulletin, in dem neun neue Schwachstellen in der Endpoint-Sicherheitsplattform Apex One offengelegt wurden. Seltsamerweise sind die veröffentlichten CVE-IDs bis zum 3. März 2026 weder im MITRE CVE-Repository noch im NIST NVD aufgetaucht.

Laut Trend Micro reichen die Schweregrade der Schwachstellen von CVSS 7,2 (hoch) bis 9,8 (kritisch). Die beiden CVEs mit kritischem Schweregrad ermöglichen eine nicht authentifizierte RCE über das Hochladen bösartiger Dateien, während die CVEs mit hohem Schweregrad alle eine lokale Privilegieneskalation ermöglichen. Der OPENVAS ENTERPRISE FEED enthält eine Windows-Registrierungsversionsprüfung für betroffene Instanzen von Apex One für Windows. Betroffene sollten so schnell wie möglich den Critical Patch (CP) Build 14136 für Apex One 2019 (vor Ort) installieren.

Neue authentifizierte RCE-Sicherheitslücken betreffen den Kubernetes Ingress NGINX Controller

Es wurden zwei neue CVEs mit hohem Schweregrad bekannt, die den Kubernetes Ingress NGINX Controller betreffen, sowie eine CVE mit mittlerem und eine weitere mit niedrigem Schweregrad. Beide neuen Schwachstellen mit hohem Schweregrad erfordern Kubernetes-API-/RBAC-Rechte, und es sind nur Instanzen mit der Ingress NGINX-Komponente betroffen. Ingress NGINX ist eine von mehreren Ingress-Controller-Implementierungen für Kubernetes. Es ist wichtig zu beachten, dass der Support für Ingress NGINX im März 2026 endet. Der Kubernetes-Blog empfiehlt die Migration zur Gateway-API. Es wurden mehrere nationale CERT-Warnungen herausgegeben [1][2][3][4][5].

Die CVEs mit hohem Schweregrad sind:

• CVE-2026-1580 (CVSS 8.8): Die Ingress-Anmerkung ingress.kubernetes.io/auth-method kann zum Einfügen von nginx-Konfigurationen verwendet werden, was zu einer beliebigen authentifizierten RCE im Kontext des Ingress-nginx-Controllers und möglicherweise zur Offenlegung aller Geheimnisse im gesamten Cluster führt.
• CVE-2026-24512 (CVSS 8.8): Das Ingress-Feld http.paths.path kann zum Einfügen von nginx-Konfigurationen verwendet werden, was zu einer beliebigen authentifizierten RCE im Kontext des ingress-nginx-Controllers und möglicherweise zur Offenlegung aller Geheimnisse im gesamten Cluster führt.

Der OPENVAS ENTERPRISE FEED hat innerhalb weniger Stunden nach Bekanntgabe eine ausführbare Versionsprüfung für alle neuen CVEs in der Sicherheitswarnung hinzugefügt. Betroffen sind Ingress NGINX-Versionen 1.13.x vor 1.13.7 und 1.14.x vor v1.14.3. Unternehmen, die auf Ingress NGINX angewiesen sind, sollten auf v1.13.7, v1.14.3 oder höher aktualisieren.

Zusammenfassung

Der Threat Report dieses Monats fasst die Schwachstellen mit den größten Auswirkungen und die Exploit-Trends zusammen, die im Februar 2026 beobachtet wurden. Mehrere neue CVEs wurden mit Exploit-Aktivitäten in freier Wildbahn, Ransomware-Operationen und der raschen Entwicklung von Exploits in Verbindung gebracht. Sicherheitsbeauftragte, die Schwachstellen erkennen und Schutzmaßnahmen ergreifen möchten, können das Flaggschiffprodukt OPENVAS BASIC von Greenbone kostenlos testen, einschließlich einer zweiwöchigen Testversion des OPENVAS ENTERPRISE FEED.