3. Mai 2026 | Artikel drucken |

Samsung MagicINFO-Lücken von Botnets ausgenutzt

6 Min. Lesezeit

Die CISA hat innerhalb einer Woche Ende April 2026 acht neue Einträge in ihren Known Exploited Vulnerabilities Catalog aufgenommen. Drei Systeme stechen heraus: Samsung MagicINFO 9 Server, SimpleHelp Remote Support und D-Link-Router-Modelle. In allen drei Fällen ist aktive Ausnutzung durch Botnets oder Ransomware-Gruppen dokumentiert. Für DACH-IT-Teams läuft die Patch-Deadline am 8. Mai 2026 ab.

Das Wichtigste in Kürze

  • 8 KEV-Einträge, 3 kritische Systeme. CISA hat Ende April 2026 eine der dichtesten KEV-Batches seit Q1 eingeliefert. Samsung MagicINFO, SimpleHelp und D-Link haben aktive In-the-Wild-Ausnutzung bestätigt.
  • Botnet und Ransomware direkt beteiligt. Für Samsung MagicINFO ist Mirai-Varianten-Nutzung für DDoS-Rekrutierung nachgewiesen. SimpleHelp-Lücken wurden für Ransomware-Staging verwendet.
  • Patch-Deadline 8. Mai 2026. CISA verpflichtet US-Bundesbehörden bis 8. Mai. DACH-Unternehmen mit NIS2-Pflichten sollten dieselbe Frist als Orientierung nutzen.
  • EOL-Geräte im Scope. Mehrere D-Link-Modelle in dieser KEV-Batch erhalten keinen Patch mehr. Sofort-Maßnahme: Netzsegmentierung und Ersatzbeschaffung priorisieren.

Was ist der CISA KEV Catalog? Der CISA Known Exploited Vulnerabilities Catalog ist eine von der US-Cybersecurity and Infrastructure Security Agency gepflegte Liste von CVEs, für die aktive Ausnutzung in realen Angriffen nachgewiesen ist. Der Catalog dient als verbindliche Patch-Liste für US-Bundesbehörden und als De-facto-Priorisierungswerkzeug für Sicherheitsteams weltweit.

Verwandt: Fortinet CVE-2026-35616: Zwei kritische FortiClient-EMS-Lücken

Samsung MagicINFO: Pfad-Traversal wird zu Botnet-Zugang

Samsung MagicINFO 9 Server ist eine Digital-Signage-Managementplattform, die in Hotels, Krankenhäusern, Einkaufszentren und Unternehmenslobys weltweit eingesetzt wird. CVE-2024-7399 ist eine Pfad-Traversal-Schwachstelle mit CVSS-Score 8.8, die es authentifizierten Nutzern erlaubt, beliebige Dateien auf dem Server zu schreiben – einschließlich ausführbarer Web-Shell-Komponenten.

Was die CISA-Aufnahme Ende April 2026 von früheren Meldungen unterscheidet: Shadowserver Foundation und weitere Honeypot-Betreiber haben aktiven Scanning-Traffic und erfolgreiche Exploitation durch Mirai-basierte Botnet-Varianten dokumentiert. Die Angreifer nutzen MagicINFO-Server primär für DDoS-Kapazität, sekundär als Pivoting-Punkt in angrenzte Netzwerksegmente.

Für DACH-IT-Teams: Samsung hat Patches für alle betroffenen MagicINFO 9-Versionen bereitgestellt. Die kritische Frage ist, ob MagicINFO-Server im eigenen Netz direkt aus dem Internet erreichbar sind. In vielen Installationen ist das der Fall – die Plattform verwaltet Displays über HTTP/HTTPS und ist häufig ohne VPN-Schutz deployed.

SimpleHelp: Authentifizierungs-Bypass ebnet Weg für Ransomware

SimpleHelp ist eine Remote-Support-Software, die als günstigere Alternative zu TeamViewer oder AnyDesk im KMU-Segment und bei Managed Service Providern verbreitet ist. Drei Schwachstellen wurden Anfang 2025 gemeldet und gepacht: CVE-2024-57727 (Path Traversal vor der Authentifizierung), CVE-2024-57728 (willkürliches Hochladen von Dateien) und CVE-2024-57729 (Privilege Escalation für Techniker-Accounts).

Die Kombination dieser drei CVEs ist problematisch: Ein Angreifer kann über CVE-2024-57727 auf Konfigurationsdateien zugreifen, Zugangsdaten extrahieren und sich dann über CVE-2024-57729 zu einem Admin-Account eskalieren. Field CIRT-Teams mehrerer US-Behörden haben diese Angriffskette im April 2026 in aktiven Incident-Response-Einsätzen dokumentiert – die Exploitation wurde als Staging-Schritt vor Ransomware-Deployment identifiziert.

Die spezifische Gefahr für MSPs: Wenn SimpleHelp-Server als zentraler Remote-Access-Punkt für Kundensysteme dienen, hat ein Angreifer nach erfolgreicher Kompromittierung potenziell Zugang zu allen verwalteten Endpunkten. Die CISA-Aufnahme erhöht den Druck, ungepatchte SimpleHelp-Installationen sofort zu identifizieren.

Zahlen und Fakten: CISA KEV April 2026

8

neue KEV-Einträge in der letzten April-Woche 2026

3

SimpleHelp-CVEs in einer Angriffskette kombinierbar

08.05.

Patch-Deadline für US-Bundesbehörden (CISA BOD 22-01)

D-Link EOL-Geräte: Kein Patch, sofort handeln

Mehrere D-Link-Modelle in der April-Batch gehören zur End-of-Life-Kategorie. D-Link hat für diese Geräte explizit erklärt, keine Sicherheits-Updates mehr auszuliefern. Die KEV-Aufnahme durch CISA ändert daran nichts – der einzige sichere Weg ist die Außerbetriebnahme oder strikte Netzsegmentierung.

In DACH-Netzwerken tauchen D-Link-Geräte häufig als günstige Perimeter-Komponenten auf, die seit Jahren unverändert im Betrieb sind. Das Muster ist aus früheren Incident-Response-Fällen bekannt: Ein veralteter Router im Außennetz als initialer Access Point, von dem aus sich Angreifer ins interne Netz bewegen. NIS2-Artikel 21 verpflichtet DACH-Unternehmen zum Risikomanagement für Netzwerkkomponenten – EOL-Geräte mit bekannter aktiver Exploitation sind in dieser Pflicht explizit adressiert.

Prioritäts-Matrix für DACH-IT-Teams bis 8. Mai

Sofort patchen (Kritisch)

  • Samsung MagicINFO 9 Server – alle Versionen vor Fix
  • SimpleHelp Server – alle Versionen vor 5.3.9 / 5.4.10
  • Alle D-Link-Geräte mit bekannten CVEs aus KEV-Batch
  • Exponierte Geräte prüfen: direkt internet-facing?

Sofortmaßnahmen ohne Patch

  • D-Link EOL: Netzsegmentierung, kein direkter Internet-Zugang
  • SimpleHelp: Logs auf Staging-Aktivität prüfen (letzte 30 Tage)
  • MagicINFO: Web-Shell-Scan auf Server-Verzeichnissen
  • MSPs: Alle Kundensysteme auf SimpleHelp-Version prüfen

Quelle Fakten: CISA Known Exploited Vulnerabilities Catalog, Shadowserver Foundation April 2026, NVD CVE-Datenbank.

Häufige Fragen

Gilt die CISA-Patch-Deadline auch für DACH-Unternehmen?

Die CISA Binding Operational Directive 22-01 ist formell nur für US-Bundesbehörden verbindlich. Für DACH-Unternehmen hat sie keine direkte Rechtswirkung. Faktisch aber haben NIS2-Pflichten (§ 21 NIS2UmsuCG) und BSI-IT-Grundschutz-Anforderungen eine vergleichbare Logik: Bekannte ausgenutzte Schwachstellen müssen mit risikoangemessener Geschwindigkeit behoben werden. Die CISA-Deadline ist als bewährte Orientierung nutzbar – insbesondere wenn eigene Richtlinien keine spezifischen Fristen vorgeben.

Wie prüfe ich, ob SimpleHelp bei uns betroffen ist?

Zwei Prüfpfade: Erstens, Version verifizieren – die kritischen CVEs betreffen SimpleHelp vor Version 5.3.9 (für den 5.3.x-Branch) und vor 5.4.10 (für den 5.4.x-Branch). Zweitens, Logs prüfen – verdächtige Aktivitäten für CVE-2024-57727 zeigen sich in ungewöhnlichen HTTP-Requests auf den Pfad /interface/interface.html mit Path-Traversal-Mustern wie ../../. Ein SIEM-Alert auf diese Pattern für die letzten 30 Tage ist ein sinnvoller Quick-Check.

Was tun, wenn das betroffene D-Link-Gerät nicht ersetzt werden kann?

Pragmatische Überbrückungsmaßnahmen: Das Gerät aus dem direkten Internet-Pfad nehmen und hinter ein gepatchtes UTM/Firewall-Gerät stellen. Management-Interface auf einem separaten, nicht-gerouteten Management-VLAN isolieren. Remote-Zugang zum Gerät über VPN erzwingen statt direkt. Diese Maßnahmen reduzieren die Angriffsfläche signifikant, ersetzen aber langfristig nicht die Geräteerneuerung.

Wie viele KEV-Einträge hat CISA bisher 2026 veröffentlicht?

Stand Ende April 2026 hat die CISA in 2026 über 80 neue KEV-Einträge veröffentlicht. Das Tempo liegt leicht über dem Vergleichszeitraum 2025. Der aktuelle April-Batch ist einer der größten Einzelzusätze in diesem Jahr. Die CISA-Website (cisa.gov/known-exploited-vulnerabilities-catalog) führt alle Einträge mit Hinzufügungsdatum und Patch-Deadline.

Quelle Titelbild: Pexels / Pavel Danilyuk (px:7658364)

Artikel drucken
Benedikt Langer

Hier schreibt Benedikt Langer für Sie

Mehr Artikel vom Autor

Auch verfügbar in

FrançaisEspañolEnglish
Ein Magazin der Evernine Media GmbH