27. Februar 2026
Security-Alert: Diese vier Hersteller haben kritische Lücken gepatcht. Dringendes Handeln ist jetzt erforderlich!
Cisco
Cisco warnt vor einer kritischen Sicherheitslücke in Cisco Catalyst SD-WAN (CVE-2026-20127), die die Umgehung der Authentifizierung ermöglicht. Diese Sicherheitslücke wurde aktiv in Zero-Day-Angriffen ausgenutzt, wodurch Angreifer aus der Ferne Controller kompromittieren und bösartige, nicht autorisierte Peers in die Zielnetzwerke einbinden konnten.
CVE-2026-20127 hat einen Schweregrad von maximal 10.0 und betrifft Cisco Catalyst SD-WAN Controller (ehemals vSmart) und Cisco Catalyst SD-WAN Manager (ehemals vManage) in On-Premise- und SD-WAN-Cloud-Installationen.
Cisco dankt dem Australian Cyber Security Centre (ACSC) des Australian Signals Directorate für die Meldung der Sicherheitslücke.
In einer heute veröffentlichten Mitteilung erklärte Cisco, dass das Problem auf einen Peering-Authentifizierungsmechanismus zurückzuführen ist, der „nicht ordnungsgemäss funktioniert“.
„Diese Schwachstelle besteht, weil der Peering-Authentifizierungsmechanismus in einem betroffenen System nicht ordnungsgemäss funktioniert. Ein Angreifer kann diese Schwachstelle ausnutzen, indem er speziell präparierte Anfragen an ein betroffenes System sendet“, heisst es in der Cisco-Sicherheitswarnung CVE-2026-20127.
„Ein erfolgreicher Angriff könnte es dem Angreifer ermöglichen, sich mit einem internen, privilegierten Benutzerkonto (kein Root-Benutzer) an einem betroffenen Cisco Catalyst SD-WAN Controller anzumelden. Mit diesem Konto könnte der Angreifer auf NETCONF zugreifen und so die Netzwerkkonfiguration des SD-WAN-Fabric manipulieren.“
Cisco Catalyst SD-WAN ist eine softwarebasierte Netzwerkplattform, die Zweigstellen, Rechenzentren und Cloud-Umgebungen über ein zentral verwaltetes System verbindet. Sie verwendet einen Controller, um den Datenverkehr zwischen den Standorten sicher über verschlüsselte Verbindungen zu leiten.
Trend Micro
Das japanische Cybersicherheitsunternehmen Trend Micro hat zwei kritische Sicherheitslücken in Apex One geschlossen, die Angreifern die Ausführung von Schadcode auf anfälligen Windows-Systemen ermöglichten.
Apex One ist eine Endpoint-Security-Plattform, die Sicherheitsbedrohungen wie Malware, Spyware, Schadprogramme und Sicherheitslücken erkennt und darauf reagiert.
Die erste kritische Sicherheitslücke in Apex One, die diese Woche behoben wurde (CVE-2025-71210), beruht auf einer Path-Traversal-Schwachstelle in der Managementkonsole von Trend Micro Apex One. Dadurch können Angreifer ohne entsprechende Berechtigungen Schadcode auf ungepatchten Systemen ausführen.
Die zweite Schwachstelle, CVE-2025-71211, ist ebenfalls eine Path-Traversal-Schwachstelle in der Managementkonsole von Apex One. Sie ist vom Umfang her ähnlich wie CVE-2025-71210, betrifft jedoch eine andere ausführbare Datei.
Wie Trend Micro in einer Sicherheitswarnung vom Dienstag erklärte, erfordert eine erfolgreiche Ausnutzung dieser Schwachstelle, dass Angreifer „Zugriff auf die Trend Micro Apex One Management Console haben. Kunden, deren Konsolen-IP-Adresse extern zugänglich ist, sollten daher – sofern noch nicht geschehen – Schutzmassnahmen wie Quellcodebeschränkungen in Betracht ziehen.“
„Auch wenn für eine erfolgreiche Ausnutzung mehrere spezifische Bedingungen erfüllt sein müssen, empfiehlt Trend Micro seinen Kunden dringend, so schnell wie möglich auf die neuesten Versionen zu aktualisieren“, warnte das Unternehmen.
Um diese kritischen Sicherheitslücken zu beheben, hat Trend Micro die Schwachstellen in den SaaS-Versionen von Apex One behoben und den Critical Patch Build 14136 veröffentlicht. Dieser behebt ausserdem zwei schwerwiegende Schwachstellen zur Rechteausweitung im Windows-Agenten sowie vier weitere im macOS-Agenten.
Obwohl Trend Micro diese Schwachstellen nicht als aktiv ausgenutzt gemeldet hat, haben Angreifer in den letzten Jahren andere Apex One-Versionen für Angriffe missbraucht.
Trend Micro warnte beispielsweise im August 2025 seine Kunden vor einer aktiv ausgenutzten RCE-Schwachstelle in Apex One (CVE-2025-54948) und schloss zwei weitere Zero-Day-Schwachstellen in Apex One, die im September 2022 (CVE-2022-40139) und im September 2023 (CVE-2023-41179) aktiv ausgenutzt wurden.
Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) überwacht derzeit zehn Trend Micro Apex-Schwachstellen, die entweder bereits ausgenutzt wurden oder noch aktiv ausgenutzt werden.
Zyxel
Der taiwanesische Netzwerkausrüster Zyxel hat Sicherheitsupdates veröffentlicht, um eine kritische Schwachstelle zu beheben, die über ein Dutzend Routermodelle betrifft. Diese Schwachstelle ermöglicht es nicht authentifizierten Angreifern, Befehle auf ungepatchten Geräten auszuführen.
Die als CVE-2025-13942 geführte Sicherheitslücke, die das Einschleusen von Befehlen ermöglicht, wurde in der UPnP-Funktion von Zyxel 4G LTE/5G NR CPE, DSL/Ethernet CPE, Glasfaser-ONTs und WLAN-Repeatern entdeckt.
Laut Zyxel können nicht authentifizierte Angreifer diese Schwachstelle ausnutzen, um mithilfe manipulierter UPnP-SOAP-Anfragen Betriebssystembefehle auf betroffenen Geräten auszuführen.
Angriffe auf CVE-2025-13942 dürften jedoch weniger schwerwiegend sein als die Schweregradeinstufung vermuten lässt, da für eine erfolgreiche Ausnutzung UPnP und WAN-Zugriff aktiviert sein müssen. Letzterer ist standardmässig deaktiviert.
„Es ist wichtig zu beachten, dass der WAN-Zugriff auf diesen Geräten standardmässig deaktiviert ist und der Angriff nur dann aus der Ferne durchgeführt werden kann, wenn sowohl der WAN-Zugriff als auch die anfällige UPnP-Funktion aktiviert sind“, so Zyxel. „Benutzern wird dringend empfohlen, die Patches zu installieren, um optimalen Schutz zu gewährleisten.“
Am Dienstag schloss Zyxel ausserdem zwei schwerwiegende Sicherheitslücken (CVE-2025-13943 und CVE-2026-1459), die es Angreifern ermöglichen, mit kompromittierten Anmeldeinformationen Befehle des Betriebssystems auszuführen.
Der Internet-Sicherheitsdienst Shadowserver überwacht derzeit fast 120.000 mit dem Internet verbundene Zyxel-Geräte, darunter über 76.000 Router.
Internet-exponierte Zyxel-Geräte
Internet-exponierte Zyxel-Geräte (Shadowserver)
Zyxel-Geräte sind häufig Ziel von Angriffen, da sie von vielen Internetanbietern weltweit standardmässig bei der Aktivierung eines neuen Internetvertrags bereitgestellt werden.
Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) verfolgt derzeit zwölf Zyxel-Sicherheitslücken, die Router, Firewalls und NAS-Geräte des Unternehmens betreffen und aktiv ausgenutzt wurden oder werden.
Anfang des Monats warnte Zyxel, dass es keine Pläne gibt, zwei Zero-Day-Sicherheitslücken (CVE-2024-40891 und CVE-2024-40891) zu beheben, die aktiv für Angriffe ausgenutzt werden und Router betreffen, deren Lebenszyklus bereits abgelaufen ist und die noch online erhältlich sind. Stattdessen empfahl das Unternehmen seinen Kunden dringend, ihre Router durch neuere Produkte mit bereits aktualisierter Firmware zu ersetzen.
„Die Modelle VMG1312-B10A, VMG1312-B10B, VMG1312-B10E, VMG3312-B10A, VMG3313-B10A, VMG3926-B10B, VMG4325-B10A, VMG4380-B10A, VMG8324-B10A, VMG8924-B10A, SBG3300 und SBG3500 sind ältere Produkte, deren Lebenszyklus (EOL) bereits seit Jahren abgelaufen ist“, so Zyxel. „Wir empfehlen Nutzern daher dringend, diese durch Produkte der neueren Generation zu ersetzen, um optimalen Schutz zu gewährleisten.“
Zyxel gibt an, dass mehr als eine Million Unternehmen in 150 Märkten seine Netzwerkprodukte einsetzen.
Juniper Networks
Eine kritische Schwachstelle im Netzwerkbetriebssystem Junos OS Evolved, das auf Routern der PTX-Serie von Juniper Networks läuft, ermöglicht es einem nicht authentifizierten Angreifer, Code mit Root-Rechten aus der Ferne auszuführen.
Router der PTX-Serie sind leistungsstarke Core- und Peering-Router, die für hohen Durchsatz, geringe Latenz und Skalierbarkeit ausgelegt sind. Sie werden häufig von Internetdienstanbietern, Telekommunikationsunternehmen und Cloud-Netzwerkanwendungen eingesetzt.
Das Sicherheitsproblem ist unter CVE-2026-21902 bekannt und wird durch eine fehlerhafte Berechtigungsvergabe im Framework „On-Box Anomaly Detection“ verursacht. Dieses Framework sollte eigentlich nur internen Prozessen über die interne Routing-Schnittstelle zugänglich sein.
Laut einer Sicherheitswarnung von Juniper Networks ermöglicht der Fehler jedoch den Zugriff auf das Framework über einen extern freigegebenen Port.
Da der Dienst als Root ausgeführt wird und standardmässig aktiviert ist, könnte ein Angreifer, der sich bereits im Netzwerk befindet, im Erfolgsfall ohne Authentifizierung die vollständige Kontrolle über das Gerät erlangen.
Das Problem betrifft Junos OS Evolved-Versionen vor 25.4R1-S1-EVO und 25.4R2-EVO auf Routern der PTX-Serie. Ältere Versionen können ebenfalls betroffen sein, jedoch bewertet der Hersteller keine Versionen, die das Ende des technischen Supports (EoL) oder des Produktlebenszyklus (End of Life, EoL) erreicht haben.
Versionen vor 25.4R1-EVO sowie Standardversionen (nicht Evolved) von Junos OS sind von CVE-2026-21902 nicht betroffen. Juniper Networks hat in den Versionen 25.4R1-S1-EVO, 25.4R2-EVO und 26.2R1-EVO des Produkts Korrekturen bereitgestellt.
Das Security Incident Response Team (SIRT) von Juniper gab an, zum Zeitpunkt der Veröffentlichung des Sicherheitsbulletins keine Kenntnis von einer missbräuchlichen Ausnutzung der Schwachstelle gehabt zu haben.
Wenn ein sofortiger Patch nicht möglich ist, empfiehlt der Hersteller, den Zugriff auf die anfälligen Endpunkte mithilfe von Firewall-Filtern oder Zugriffskontrolllisten (ACLs) auf vertrauenswürdige Netzwerke zu beschränken. Alternativ können Administratoren den anfälligen Dienst mit folgendem Befehl vollständig deaktivieren:
‘request pfe anomalies disable’
Produkte von Juniper Networks sind typischerweise ein attraktives Ziel für fortgeschrittene Hacker, da die Netzwerkgeräte von Dienstanbietern mit hohem Bandbreitenbedarf, wie z. B. Cloud-Rechenzentren und grossen Unternehmen, eingesetzt werden.
Im März 2025 wurde bekannt, dass chinesische Cyber-Spionageakteure benutzerdefinierte Hintertüren auf EoL-Junos-OS-MX-Routern installierten, um verschiedene Varianten der Hintertür „TinyShell“ einzuschleusen.
Im Januar 2025 zielte eine Malware-Kampagne mit dem Namen „J-Magic“ auf Juniper-VPN-Gateways ab, die in der Halbleiter-, Energie-, Fertigungs- und IT-Branche eingesetzt werden. Dabei wurde Netzwerk-Sniffing-Malware eingesetzt, die sich beim Empfang eines „Magic Packets“ aktivierte.
Im Dezember 2024 wurden Juniper Networks Smart Router zum Ziel von Mirai-Botnetz-Kampagnen und in verteilte Denial-of-Service-Angriffe (DDoS) eingebunden.
