Hackerangriffe auf Router und Netzwerkgeräte nehmen dramatisch zu – Hersteller reagieren mit Notfall-Updates.
Die Sicherheitslage in der globalen Netzwerkinfrastruktur hat sich in den vergangenen Tagen drastisch verschärft. Gleich mehrere kritische Sicherheitslücken wurden entdeckt, darunter ein Hintertür-Mechanismus in Routern des chinesischen Herstellers Tenda sowie eine großangelegte Kampagne der russischen Hackergruppe APT28. Hersteller und Open-Source-Projekte haben mit Notfall-Patches und überarbeiteten Nutzungsbedingungen reagiert – letztere auch als direkte Folge neuer EU-Regulierungen.
Kritische Hintertür in Tenda-Routern entdeckt
Sicherheitsforscher haben eine schwerwiegende Sicherheitslücke in der Firmware von Tenda-Routern aufgespürt. Die als CVE-2026-11405 gelistete Schwachstelle steckt in der Anmeldefunktion der Weboberfläche. Ein undokumentierter Mechanismus erlaubt Angreifern vollen Administrationszugriff – ohne gültiges Passwort. Die Überprüfung der Zugangsdaten erfolgt lediglich gegen ein Klartextfeld.
Betroffen sind mehrere Modelle, darunter die Serien FH1201, W15E, AC10, AC5, AC6, F3 und N300 in verschiedenen Firmware-Versionen. Experten beobachten bereits aktive Angriffe im Internet. Ein öffentlich verfügbarer Proof-of-Concept-Code zielt auf den UDP-Port 7329. Tenda hat bislang keinen Patch veröffentlicht. Netzwerkadministratoren wird dringend empfohlen, die Fernverwaltung zu deaktivieren und den Datenverkehr auf dem genannten Port zu überwachen.
Cisco und Arcadyan: Alte Lücken, neue Angriffe
Auch beim Netzwerkausrüster Cisco schrillen die Alarmglocken. Für die Schwachstelle CVE-2026-20230 im Unified Communications Manager wurde aktive Ausnutzung bestätigt. Parallel dazu nutzen Botnetze wie Mirai weiterhin ältere Sicherheitslücken in Arcadyan-basierter Firmware aus. Die Angriffe setzen auf Path-Traversal-Techniken und haben Hardware von 17 Herstellern in elf Ländern ins Visier genommen – darunter Modelle von Asus, BT, der Deutschen Telekom und Verizon.
EU-Regulierung zwingt AVM zu neuen AGB
Der Berliner Router-Hersteller AVM hat diese Woche FritzOS 8.25 für fünf Modelle veröffentlicht: die FritzBoxen 7630, 4690, 4060, 6850 4G/LTE und 6825 4G. Das Update bringt über 20 funktionale Verbesserungen, darunter optimierte Browser-Kompatibilität und erweiterte Kindersicherungen. Doch der eigentliche Paukenschlag steckt im Kleingedruckten.
Die APT28-Kampagne hat bereits 18.000 Router in 120 Ländern gekapert – darunter auch MikroTik- und TP-Link-Modelle, die in vielen KMU im Einsatz sind. Mit der Checkliste in diesem Report härten Sie Ihre Geräte in 5 Schritten und schließen die kritischen Lücken, bevor Angreifer sie ausnutzen. Jetzt kostenlosen Sicherheits-Report anfordern
Die am 5. Juli veröffentlichten überarbeiteten Nutzungsbedingungen erlauben die Erfassung von Geräte-Metadaten wie MAC-Adressen, Provider-IDs und Diagnosedaten. AVM begründet den Schritt mit dem EU Data Act und dem Digital Omnibus on AI. Die neuen Regelungen drohen bei Verstößen mit Strafen von bis zu 35 Millionen Euro oder sieben Prozent des globalen Jahresumsatzes. Nutzer können die Diagnosefunktionen zwar ablehnen – müssen dann aber mit Einschränkungen bei bestimmten Diensten rechnen.
Open-Source-Projekte schließen Sicherheitslücken
Auch die Open-Source-Gemeinschaft ist gefordert. Das OPNsense-Projekt hat am 6. Juli die Versionen 26.1.11 und 26.4.1(p1) veröffentlicht. Sie schließen die Schwachstelle CVE-2026-57155 mit einem CVSS-Score von 9,9 – die höchste Risikostufe. Entdeckt wurde das Problem von Jonas Ampferl in der GeoIP-Alias-Komponente. Angreifer mit niedrigen Zugriffsrechten könnten sich Root-Zugriff verschaffen und Code aus der Ferne ausführen.
Das OpenWrt-Projekt hat ebenfalls Sicherheitsupdates bereitgestellt. Betroffen war unter anderem die LuCI-Weboberfläche in Kombination mit Tailscale, was eine Root-Code-Ausführung ermöglichte. Weitere Patches betrafen die odhcpd-Komponente sowie Schwachstellen, die Denial-of-Service-Angriffe und Cross-Site-Scripting ermöglichten.
Parallel dazu ist der OpenWrt One-Router nun allgemein verfügbar. Das Gerät setzt auf ein modulares Design und vorinstallierte Open-Source-Firmware – eine Alternative für datenschutzbewusste Nutzer und Entwickler, die proprietäre Hardware mit ihren oft undurchsichtigen Sicherheitslücken meiden wollen.
APT28: Russische Hacker kapern 18.000 Router weltweit
Die wohl größte Bedrohung geht jedoch von staatlich gesteuerten Akteuren aus. Die russische Hackergruppe APT28, auch bekannt als Fancy Bear, hat nach Erkenntnissen von Strafverfolgungsbehörden und Geheimdiensten mehr als 18.000 Geräte in 120 Ländern kompromittiert. Im Fokus stehen Router von MikroTik und TP-Link.
Alte Lücken in Arcadyan-basierter Firmware werden weiterhin von Botnetzen wie Mirai ausgenutzt – Hardware von 17 Herstellern ist betroffen. Dieser Report zeigt Ihnen, wie Sie Path-Traversal-Angriffe erkennen und Ihre Router mit einem Notfall-Update-Guide absichern. Notfall-Update-Guide jetzt sichern
Die Angreifer nutzen DNS-Hijacking, um Zugangsdaten abzugreifen – darunter auch Accounts britischer Regierungsbehörden. Der britische Geheimdienst NCSC hatte die Kampagne bereits im April 2026 offiziell attribuiert. Ermittler gehen jedoch davon aus, dass die Angriffe seit mindestens 2024 laufen.
Das FBI hat mit der Operation Masquerade einen Gegenangriff gestartet, um das kompromittierte Routernetzwerk zu neutralisieren. Behörden empfehlen allen Nutzern der betroffenen Marken, die Firmware umgehend zu aktualisieren und die Fernverwaltungsfunktionen zu deaktivieren.

