Consecur Weekly Update zu Bedrohungsinfos in KW 02/2026

ConSecur GmbH ConSecur GmbH   |
  • Malware, Schwachstellen- und Patch-Management
  • Experte
Consecur Weekly Update

Consecur Weekly Update zu Bedrohungsinfos in KW 02/2026.

In der vergangenen Woche machte sich die „GlassWorm“ Malware bemerkbar, wurde eine neue Schwachstelle mit der Bezeichnung MongoBleed entdeckt und eine kritische Schwachstelle in D-Link-DSL-Routern  aktiv ausgenutzt .

Zusammenfassung (TL; DR):

  • Glassworm Malware in vierter Ausführung
  • Schwachstelle in MongoDB betrifft 11.500 Instanzen Deutschlandweit
  • Katalog missbrauchter Schwachstellen wächst immer schneller

Glassworm Malware in vierter Ausführung: Die „GlassWorm“ Malware, die durch „unsichtbare“ Unicode Zeichen bekannt wurde und nach ihrer ersten Entdeckung im Oktober bereits mehrfach in modifizierten Versionen zurückkehrte, richtet sich nun in einer vierten Welle ausschließlich an macOS-Systeme, wobei die Zielgruppe weiterhin vor allem Entwickler sind, die Erweiterungen aus VS-Code-Marktplätzen installieren.

Nach Informationen von KoiSecurity, verwendet die neue Variante weder unsichtbaren Unicode, wie in den ersten beiden Wellen, noch kompilierte Rust-Binärdateien wie in der dritten Welle, sondern eine AES-256- CBC-verschlüsselte Payload in kompiliertem JavaScript, versteckt innerhalb von drei OpenVSX-Erweiterungen. Diese wird außerdem erst nach ca. 15 Minuten aktiv, was Analysen in Sandboxes erschweren kann.

Darüber hinaus wird AppleScript statt PowerShell verwendet und LaunchAgents anstelle von Registry-Modifikationen für Persistenz, wobei die neue Iteration außerdem versucht, Keychain Passwörter zu entwenden. Zusätzlich verfügt sie über eine Funktion, den Ziel-Host nach Hardware-Kryptowährungs-Wallet-Apps wie Ledger Live zu durchsuchen und sie durch einen Trojaner zu ersetzen. Laut Bericht scheitert das aktuell noch, die übrigen Funktionen seien jedoch weiter aktiv.

Was jetzt zu tun ist: Betroffenheit prüfen

Schwachstelle in MongoDB betrifft 11.500 Instanzen Deutschlandweit: Eine neue Schwachstelle mit der Bezeichnung MongoBleed (CVE-2025-14847, CVSS 8.7) betrifft weltweit Zehntausende MongoDB-Instanzen, wobei Deutschland mit etwa 11.500 Instanzen auf Platz drei liegt.

Technisch handelt es sich um einen Speicher-Leak im Zusammenhang mit der zlib-Kompression. Bei der Verarbeitung von Netzwerkpaketen wird, anstelle der Länge der dekomprimierten Daten, die Menge des zugewiesenen Speichers zurückgegeben. Mithilfe einer präparierten Nachricht, die nach der Dekomprimierung eine größere Größe vorgibt, kann ein Angreifer einen größeren Puffer erzwingen. Dadurch werden sensible Informationen, wie z.B. Token oder Passwörter aus dem Arbeitsspeicher an den Client weitergegeben.

Die Suchmaschine Shodan zeigt weltweit fast 90.000 verwundbare Instanzen, der Großteil in China, den USA sowie Deutschland. Der deutsche Anbieter Hetzner Online GmbH steht mit 6.828 verwundbaren MongoDB-Servern sogar auf Platz 1 der betroffenen Provider.

Betroffen sind laut Consecur Weekly Update lediglich Instanzen mit aktivierter zlib-Kompression. Da dies allerdings oftmals der Standardkonfiguration entspricht, ist das nur eine geringe Einschränkung. Administratoren wird empfohlen, verwundbare Versionen umgehend zu patchen und auf Anzeichen einer Kompromittierung zu prüfen, da die Schwachstelle bereits ausgenutzt wird. Falls ein Update nicht möglich ist, sollte die zlib-Kompression temporär deaktiviert werden.

Was jetzt zu tun ist:

  • Umgehend patchen
  • ggf. zlib-Kompression deaktivieren

Katalog missbrauchter Schwachstellen wächst immer schneller: Der von der amerikanischen IT-Sicherheitsbehörde CISA gepflegte Katalog missbrauchter Schwachstellen wurde 2025 um etwa 20 Prozent erweitert.

Der 2023 aufgesetzte „Known Exploited Vulnerabilities“-Katalog (KEV) enthält Ende 2025 bereits 1484 Schwachstellen und damit 245 mehr als noch zu Beginn des vergangenen Jahres. 24 der neuen Schwachstellen wurden laut CISA von Ransomware-Gruppen missbraucht, darunter die als „CitrixBleed 2“ bekannte Lücke CVE-2025-5777 sowie die Schwachstellen in der Oracle E-Business-Suite (CVE-2025-61882, CVE-2025-61884).

Eingeteilt nach Herstellern liegt Microsoft mit 39 Schwachstellen vorne, gefolgt von Apple (9) und Cisco (8). Der Katalog hilft Administratoren bei der Priorisierung von Patches.

Kritische Schwachstelle in D-Link-DSL-Routern wird aktiv ausgenutzt: Eine neu entdeckte command injection Schwachstelle in verschiedenen, älteren D-Link Routern wird laut Consecur Weekly Update derzeit aktiv in Angriffen ausgenutzt.

CVE-2026-0625 mit einem CVSS-Score von 9,3 betrifft die dnscfg.cgi-Komponente, wobei DNS-Parameter unzureichend validiert werden. Unauthentifizierte Angreifer können dadurch Shell-Befehle einschleusen, was ihnen die Ausführung von Schadcode ermöglicht.

Betroffene Geräte, u. A. die Modelle DSL-526B (≤ 2.01) und DSL-2640B (≤ 1.07), sind seit 2020 „End-of-Life“ und erhalten keine Firmware-Updates mehr. D-Link untersucht derzeit, ob weitere Modelle betroffen sind.

Da die Schwachstelle DNS-Manipulation ermöglicht, können Angreifer damit den DNS-Verkehr umleiten und so nachgelagerte Systeme hinter dem Router indirekt kompromittieren oder Traffic abfangen. Nutzen wird empfohlen, alte Geräte umgehend durch aktuelle Modelle zu ersetzen.

Was jetzt zu tun ist: Geräte umgehend ersetzen

Zurück zu allen News

Weitere Inhalte zum Thema

Logo Newsletter IT-Sicherheit

Nichts mehr verpassen!

Mit Klick auf „Newsletter anmelden“ erhalten Sie unseren Newsletter. Die Anmeldung wird erst aktiv, nachdem Sie den Bestätigungslink in der E-Mail angeklickt haben. Datenschutzerklärung