CVE-2026-29116: Denial-of-Service-Schwachstelle in Dahua-Produkten (CVSS 8.7)

Technische Details und Angriffsvektor

Laut dem Sicherheitshinweis von Dahua (DHCC-SA-202606-001) kann die Schwachstelle ohne jegliche Authentifizierung oder Benutzerinteraktion aus der Ferne ausgenutzt werden. Ein Angreifer muss lediglich Netzwerkzugriff auf ein verwundbares Gerät haben. Das manipulierte Paket verursacht eine Ausnahme in der Geräte-Firmware, die zu einem sofortigen Neustart führt. Wiederholte Angriffe können die Verfügbarkeit des Geräts dauerhaft beeinträchtigen.

Der CVSS-Vektor CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N bestätigt dies:

• AV:N (Attack Vector: Network): Der Angriff erfolgt über das Netzwerk.
• PR:N (Privileges Required: None): Es sind keine Zugangsdaten oder Berechtigungen erforderlich.
• VA:H (Vulnerable System Availability: High): Die Auswirkung auf die Verfügbarkeit des Systems ist hoch.

Vertraulichkeit und Integrität der Daten sind laut dieser Bewertung nicht betroffen. Die primäre Informationsquelle ist derzeit das Advisory des Herstellers, da der Eintrag in der National Vulnerability Database (NVD) zum Zeitpunkt der Analyse noch nicht mit weiterführenden Details angereichert war.

Betroffene Systeme und operative Risiken

Die Schwachstelle betrifft eine breite Palette von IoT- und OT-Systemen, die in physischen Sicherheitsinfrastrukturen weit verbreitet sind. Dazu gehören unter anderem:

• IP-Kameras (IPC)
• Netzwerk- und digitale Videorekorder (NVR, XVR)
• Enterprise Video Storage (EVS)
• Video-Türsprechanlagen (VTO/VTH)
• Zutrittskontrollsysteme (ASI)
• Thermalkameras (TPC)

Da der Hersteller bisher keine spezifischen Modellreihen oder Firmware-Versionen benannt hat, ist eine genaue Identifikation betroffener Geräte erschwert. Das operative Risiko ist erheblich: Ein DoS-Angriff auf Überwachungskameras kann tote Winkel in Sicherheitszonen erzeugen, während der Ausfall eines Zutrittskontrollsystems den physischen Zugang zu kritischen Bereichen blockieren kann.

CVE-2026-29116 ist nicht der erste sicherheitsrelevante Vorfall bei Dahua. Im Juli 2025 wurden kritische Schwachstellen (CVE-2025-31700 und CVE-2025-31701, CVSS 8.1) in Dahua-Kamera-Firmware öffentlich, die unauthentifizierten Angreifern Remote Code Execution ermöglichten. Im August 2024 warnte die US-Behörde CISA vor der aktiven Ausnutzung älterer Dahua-Authentifizierungslücken (CVE-2021-33044 und CVE-2021-33045, CVSS 9.8) in freier Wildbahn. Diese wiederkehrenden Vorfälle unterstreichen die Notwendigkeit eines kontinuierlichen Vendor Risk Managements für Technologiepartner mit Dahua-Produkten. Quellen: SecurityAffairs/Bitdefender (Juli 2025); SecurityWeek/CISA KEV (August 2024).

Handlungsempfehlungen für Betreiber

Unternehmen sollten sich auf die Reduzierung der Angriffsfläche konzentrieren und verfügbare Firmware-Updates zeitnah einspielen.

Sofortmaßnahmen:

1. Inventarisierung: Identifizieren Sie alle Dahua-Geräte in Ihrer Infrastruktur. 2. Expositionsanalyse: Prüfen Sie, welche dieser Geräte aus dem Internet erreichbar sind. 3. Netzwerksegmentierung: Isolieren Sie kritische Sicherheitssysteme in geschützten Netzwerksegmenten, um unautorisierten Zugriff zu verhindern. 4. Zugriffsbeschränkung: Blockieren Sie den Netzwerkzugriff auf die Administrationsdienste der Geräte aus nicht vertrauenswürdigen Netzen.

Mittelfristige Maßnahmen:

• Update-Management: Installieren Sie die vom Hersteller bereitgestellten Firmware-Updates nach sorgfältiger Prüfung. Überwachen Sie das Dahua Cybersecurity Center (DHCC) weiterhin auf neue Sicherheitshinweise.
• Sicherer Fernzugriff: Stellen Sie sicher, dass der Fernzugriff auf diese Systeme ausschließlich über gesicherte Verbindungen wie VPNs erfolgt.

Für Betreiber in der DACH-Region ist die Relevanz besonders hoch: Unternehmen und Behörden, die Dahua-Geräte in sicherheitsrelevanten Bereichen einsetzen, können unter die NIS-2-Richtlinie fallen, die für Betreiber kritischer Infrastrukturen verpflichtende Maßnahmen zur Netzwerksicherheit vorschreibt. Sollte ein DoS-Angriff zu einem Ausfall mit Auswirkungen auf personenbezogene Daten führen, greift zudem die 72-Stunden-Meldepflicht gemäß Art. 33 DSGVO. Das BSI empfiehlt grundsätzlich die konsequente Netzwerksegmentierung von IoT-Geräten und deren Isolation vom Unternehmensnetz.

Wie EASM und VRM das Risiko von IoT-Schwachstellen reduzieren

Die Herausforderung bei Geräten wie denen von Dahua liegt oft darin, dass sie als „Schatten-IT“ außerhalb der zentralen IT-Verwaltung existieren. Sie werden von Fachabteilungen oder Dienstleistern installiert und sind oft unzureichend dokumentiert und gesichert – und damit für das Sicherheitsteam schlicht unsichtbar.

Ein External Attack Surface Management (EASM) wie LocateRisk adressiert dieses Problem, indem es kontinuierlich die externe, mit dem Internet verbundene Infrastruktur eines Unternehmens scannt. So werden auch unbekannte oder vergessene Assets wie Kameras, Videorekorder oder Zutrittskontrollsysteme identifiziert und in ein lückenloses Asset-Inventar überführt. Exponierte Administrationsdienste, offene Ports und Konfigurationsdrift werden sichtbar, bevor Angreifer sie ausnutzen können – unabhängig davon, ob ein Gerät von der zentralen IT erfasst wurde oder nicht.

Ergänzend dazu ermöglicht ein kontinuierliches Vendor Risk Management (VRM) die Bewertung der Sicherheitslage von Lieferanten und Technologiepartnern. Angesichts der wiederholten Sicherheitsvorfälle bei Dahua ist ein strukturiertes Monitoring der Vendor-Sicherheitslage ein wichtiger Baustein, um das eigene Risikoprofil realistisch einzuschätzen. LocateRisk ist eine „Made in Germany“-Lösung, die in deutschen Rechenzentren gehostet wird und Unternehmen dabei unterstützt, DSGVO-Anforderungen zu erfüllen sowie das Risiko durch nicht-europäische Datenzugriffe zu reduzieren.

Quellen und weitere Infos

Quellen

• Dahua PSIRT Security Advisory (DHCC-SA-202606-001): dahuasecurity.com
• NVD-Eintrag für CVE-2026-29116: nvd.nist.gov
• SecurityAffairs: Dahua Camera flaws (CVE-2025-31700/-31701), Juli 2025: securityaffairs.com
• SecurityWeek: CISA warnt vor aktiv ausgenutzten Dahua-Schwachstellen (CVE-2021-33044/-33045), August 2024: securityweek.com

Kennen Sie Ihre externe Angriffsfläche?

Eine kontinuierliche Überwachung Ihrer externen IT-Systeme ist entscheidend, um exponierte Geräte und damit verbundene Schwachstellen frühzeitig zu erkennen. LocateRisk bietet eine umfassende Analyse Ihrer Angriffsfläche.

Kostenlosen Sicherheits-Check anfordern

Häufige Fragen

---

Was ist CVE-2026-29116?

CVE-2026-29116 ist eine Schwachstelle in verschiedenen Produkten von Dahua Technology, die am 10. Juni 2026 vom Hersteller offengelegt wurde. Sie erhält einen CVSS 4.0 Score von 8.7 (High) und ermöglicht es einem unauthentifizierten Angreifer aus der Ferne, durch das Senden eines speziell präparierten Netzwerkpakets einen unerwarteten Neustart des Zielsystems auszulösen und damit einen Denial-of-Service-Zustand herbeizuführen.

---

Welche Dahua-Geräte sind betroffen?

Laut dem Hersteller-Advisory (DHCC-SA-202606-001) sind mehrere Produktkategorien betroffen, darunter IP-Kameras, Netzwerk- und Digitalvideorekorder (NVR, XVR), Enterprise Video Storage, Video-Türsprechanlagen, Zutrittskontrollsysteme und Thermalkameras. Spezifische Modellreihen oder betroffene Firmware-Versionen hat Dahua zum Zeitpunkt der Veröffentlichung noch nicht benannt.

---

Wie schütze ich mich, solange kein Patch verfügbar ist?

Als wichtigste Sofortmaßnahme empfiehlt sich die Netzwerksegmentierung: Dahua-Geräte sollten in isolierten Netzwerksegmenten betrieben und nicht direkt aus dem Internet erreichbar sein. Fernzugriff sollte ausschließlich über gesicherte VPN-Verbindungen erfolgen. Darüber hinaus sollten Betreiber das Dahua Cybersecurity Center (DHCC) aktiv auf neue Firmware-Updates überwachen.

Mehr erfahren, Demo buchen oder einfach mal kurz austauschen? Wir freuen uns!

Ihr AnsprechpartnerLukas BaumannCEO

+49 6151 6290246

Jetzt Kontakt aufnehmen

Home

Blog

Über uns

Kontakt

Impressum

Datenschutz

AGB

Jobs

Security

Trust Center

© LocateRisk 2026