Consecur Weekly Update zu Bedrohungsinfos in KW 10/2026

ConSecur GmbH ConSecur GmbH   |
  • Schwachstellen- und Patch-Management
  • Experte
Consecur Weekly Update

Consecur Weekly Update zu Bedrohungsinfos in KW 10/2026.

In der vergangenen Woche wurde laut Consecur Weekly Update entdeckt, dass eine kritische Cisco SD-WAN-Schwachstelle seit 2023 als Zero-Day ausgenutzt wird,  dass eine kritische Juniper-Schwachstelle Remote Code Execution mit Root-Rechten auf PTX-Routern erlaubt und eine Qualcomm-Schwachstelle als Android-Zero-Day aktiv ausgenutzt wird.

Zusammenfassung (TL; DR):

  • Kritische Cisco SD-WAN-Schwachstelle wird seit 2023 als Zero-Day ausgenutzt
  • Kritische Juniper-Schwachstelle erlaubt Remote Code Execution mit Root-Rechten auf PTX-Routern
  • Qualcomm-Schwachstelle wird als Android-Zero-Day aktiv ausgenutzt
  • Kompromittierte Chrome-Erweiterung stiehlt Kryptowährungen über ClickFix-Mechanik

Kritische Cisco SD-WAN-Schwachstelle wird seit 2023 als Zero-Day ausgenutzt: Eine Schwachstelle in Cisco Catalyst SD-WAN Controller (ehemals vSmart) und Cisco Catalyst SD-WAN Manager (ehemals vManage) – sowohl in On-Prem- als auch in Cloud-Umgebungen – wird seit 2023 aktiv als Zero-Day ausgenutzt. Die als CVE-2026-20127 geführte Schwachstelle erreicht einen CVSS-Score von 10.0.

Laut Ciscos Security Advisory ermöglicht eine Lücke in der Peering-Authentifizierung einem Angreifer, die Authentifizierung zu umgehen und Administratorrechte auf einem betroffenen System zu erlangen. Über manipulierte Anfragen kann sich der Angreifer als interner, hochprivilegierter Benutzer anmelden, die NETCONF-Datei ändern und ein bösartiges, aber legitim erscheinendes Gerät in die Umgebung einschleusen. Dieses lässt sich anschließend für Lateral Movement nutzen.

Cisco Talos ordnet die beobachtete Aktivität dem Bedrohungsakteur UAT-8616 zu. Die Angreifer führen unter anderem Version-Downgrades durch und stellen die ursprüngliche Firmware-Version wieder her, um Root-Zugriff zu erlangen und Überwachungsmechanismen zu umgehen.

Da die Ausnutzung laut CISA eine unmittelbare Bedrohung für US-Regierungsnetzwerke darstellt, setzte die Behörde eine Patch-Frist bis zum 27. Februar. Einen Workaround gibt es nicht.

Was jetzt zu tun ist:

  • Betroffene Systeme umgehend patchen
  • Internetzugriff auf SD-WAN-Management-Interfaces beschränken und Logs auf verdächtige Aktivitäten sowie veröffentlichte IoCs prüfen.
  • Erwägen, neue Installationen bereitzustellen, statt die bestehende Infrastruktur zu bereinigen – eine Kompromittierung lässt sich bei diesem Angriffsvektor nur schwer vollständig ausschließen.

Kritische Juniper-Schwachstelle erlaubt Remote Code Execution mit Root-Rechten auf PTX-Routern: Eine kritische Schwachstelle in Junipers Junos OS Evolved auf PTX-Routern ermöglicht laut Consecur Weekly Update nicht authentifizierten Angreifern die Ausführung von Remote Code mit Root-Rechten.

Eine fehlerhafte Berechtigungszuweisung im „On-Box Anomaly Detection”-Framework macht dieses über einen externen Port erreichbar. Da der Dienst standardmäßig mit Root-Rechten läuft, kann ein Angreifer über die als CVE-2026-21902 geführte Schwachstelle die vollständige Kontrolle über das Gerät übernehmen.

Was jetzt zu tun ist:

  • Betroffene PTX-Geräte umgehend patchen.
  • Falls kein sofortiges Update möglich ist: Zugriff über Firewall-Regeln oder ACLs einschränken oder den Anomaly-Detection-Dienst vollständig deaktivieren.

 Qualcomm-Schwachstelle wird als Android-Zero-Day aktiv ausgenutzt: Googles Sicherheitsupdates für März 2026 beheben insgesamt 129 Schwachstellen. Darunter befindet sich die Qualcomm-Schwachstelle CVE-2026-21385, zu der laut Google „Hinweise auf eine begrenzte, zielgerichtete Ausnutzung” vorliegen.

Nach Angaben von Qualcomm handelt es sich um einen Integer Overflow in der Grafik-Komponente, der zu Memory Corruption führen kann. Konkrete Details zu den beobachteten Angriffen wurden nicht veröffentlicht. Die Schwachstelle betrifft 235 Qualcomm-Chipsets; Gerätehersteller rollen Updates je nach Modell zeitversetzt aus.

Was jetzt zu tun ist: Verfügbare Android-Sicherheitsupdates umgehend installieren.

Kompromittierte Chrome-Erweiterung stiehlt Kryptowährungen über ClickFix-Mechanik: Die ursprünglich legitime Chrome-Erweiterung „QuickLens – Search Screen with Google Lens” wurde nach einem Besitzerwechsel mit ClickFix-Mechaniken und Infostealer-Funktionen versehen.

Nachdem die Erweiterung über den Marktplatz „ExtensionHub” verkauft wurde, forderte ein Update auf Version 5.8 zusätzliche Browserberechtigungen an. Laut einer Analyse von Annex entfernte die neue Version Sicherheitsheader, die die Ausführung bösartiger Skripte erschweren. Bei jedem Seitenaufruf wurden verschiedene Payloads von einem C2-Server nachgeladen.

Unter anderem zeigte die Erweiterung eine gefälschte Google-Update-Aufforderung an. Bestätigte der Nutzer diese, erschien ein klassischer ClickFix-Prompt. Führte der Nutzer den angezeigten Befehl aus, wurde bösartiger JavaScript-Code heruntergeladen. Ziel der Kampagne war dem Bericht zufolge der Diebstahl von Wallet-, Anmelde- und Zahlungsdaten.

Google hat die Erweiterung mittlerweile aus dem Chrome Web Store entfernt; sie wird automatisch deaktiviert, sofern sie installiert war.

Was jetzt zu tun ist:

  • Verifizieren, dass die Erweiterung tatsächlich entfernt wurde, und das Gerät auf Malware scannen.
  • Im Browser gespeicherte Passwörter ändern und Kryptowährungen gegebenenfalls auf eine neue Wallet transferieren.

 

 

Ungesicherte Datenbank exponiert über eine Milliarde KYC-Datensätze: Eine ungesicherte MongoDB-Instanz im Umfeld des Identitätsprüfungsdienstleisters IDMerit war nach Angaben von Cybernews zeitweise öffentlich erreichbar. Die Datenbank umfasste demnach mehr als 1 TB und enthielt über eine Milliarde Datensätze aus 26 Ländern.

Unter den exponierten Inhalten befanden sich sensible Know-Your-Customer-Informationen (KYC): vollständige Namen, Adressen, Geburtsdaten, Ausweis-Nummern, Telefonnummern und E-Mail-Adressen. Durch Mehrfacheinträge – etwa in Logs – entspricht die Zahl der Datensätze laut Cybernews allerdings nicht zwingend der Zahl betroffener Personen.

IDMerit erklärte, man betreibe zwar eine eigene Plattform, speichere jedoch keine Kundendaten der zugrunde liegenden Datenquellen. Eine interne Prüfung habe keine Kompromittierung der eigenen Umgebung ergeben. Die exponierten Daten können potenziell für Phishing, Identitätsmissbrauch oder Kontoübernahmen missbraucht werden.

Was jetzt zu tun ist:

Wachsamkeit gegenüber potenziellen Phishing-Mails und Social-Engineering-Versuchen erhöhen.

Zwei-Faktor-Authentifizierung aktivieren, Kontoaktivitäten überwachen und gegebenenfalls eine Kreditauskunftssperre einrichten.

Zurück zu allen News

Weitere Inhalte zum Thema

Logo Newsletter IT-Sicherheit

Nichts mehr verpassen!

Mit Klick auf „Newsletter anmelden“ erhalten Sie unseren Newsletter. Die Anmeldung wird erst aktiv, nachdem Sie den Bestätigungslink in der E-Mail angeklickt haben. Datenschutzerklärung