Comretix Blog

Angriffe auf die Lieferkette entwickeln sich zu einem erheblichen Sicherheitsrisiko für deutsche Unternehmen: Knapp 28 Prozent der Firmen waren innerhalb von zwölf Monaten von Cyberangriffen auf ihre Zulieferer betroffen oder hatten einen entsprechenden Verdacht. Das geht aus einer aktuellen Studie des Digitalverbands Bitkom hervor, für die mehr als 1000 Unternehmen quer durch alle Branchen befragt wurden.

Konkret gaben 9 Prozent der befragten Firmen an, dass ihre Zulieferer nachweislich Opfer von Industriespionage, Sabotage oder Datendiebstahl wurden. Weitere 19 Prozent hatten einen entsprechenden Verdacht. Die Angreifer nutzen dabei eine klassische Schwachstelle: Auch wenn ein Unternehmen selbst hohe Sicherheitsstandards implementiert hat, können über vernetzte IT-Systeme oder bei Zulieferern liegende Geschäftsunterlagen – zum Beispiel Konstruktionspläne – Angriffsvektoren entstehen.

Die Auswirkungen sollten Firmen laut Bitkom auf keinen Fall unterschätzen: 41 Prozent der Unternehmen, deren Zulieferer attackiert wurden, spürten konkrete Folgen. Diese reichen von Produktionsausfällen über Lieferengpässe bis hin zu Reputationsschäden. Bei knapp der Hälfte (49 Prozent) blieben die Angriffe auf Zulieferer ohne direkte Auswirkungen auf das eigene Geschäft.

"Angreifer suchen sich die schwächste Stelle aus. Gerade bei besonders gut geschützten Unternehmen sind das häufig weniger gut geschützte Zulieferer", erklärt Bitkom-Präsident Ralf Wintergerst. Zur Verbesserung der Cybersicherheit müssten Geschäftspartner entlang der Lieferkette sensibilisiert, Schutzmaßnahmen vereinbart und gemeinsam implementiert werden.

Ebenfalls kritisch: 15 Prozent der befragten Unternehmen wissen nicht, ob ihre Zulieferer angegriffen wurden – oder wollten keine Angaben dazu machen. Lediglich 4 Prozent arbeiten nicht mit Zulieferern zusammen. Die übrigen 53 Prozent gaben an, dass es keine bekannten Angriffe auf ihre Zulieferer gab. Die Studie findet sich als PDF in der Mitteilung des Bitkom.

Die Entwickler der Groupware Zimbra haben aktualisierte Softwarepakete veröffentlicht. Sie schließen gleich mehrere Sicherheitslücken. IT-Verantwortliche sollten die Updates zügig anwenden.

Die Changelogs zu den nun verfügbaren Versionen 10.0.18 und 10.1.13 weisen eine größere Zahl an Sicherheitslücken aus, die darin geschlossen wurden. Für Version 10.0.18 sind das:

Version 10.1.13 stopft noch mehr Sicherheitslücken, zusätzlich zu den vorgenannten:

Detailinformationen nicht vorhanden

Genaue Details zu den geschlossenen Sicherheitslücken und die Schwachstelleneinträge (CVE) nennen die Entwickler bislang nicht. Allerdings sind Schwachstellen in Zimbra oftmals Ziel von Angriffen Cyberkrimineller – auch, weil einige Regierungseinrichtungen etwa in der EU mit der Groupware Zimbra arbeiten.

Das CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI) schätzt den Schweregrad der Schwachstellen jedoch bis hinauf zum CVSS-Wert 9.8, also Risiko "kritisch" ein. Die Analysten gehen davon aus, dass Angreifer durch die Sicherheitslücken unter anderem auch beliebigen Schadcode ausführen und Sicherheitsmaßnahmen umgehen können.

Seit Ende September sind Angriffe auf drei Sicherheitslücken in Ciscos ASA- und FTD-Firewalls bekannt. Updates zum Schließen der Lücken stehen seitdem zur Verfügung. Anfang November sind jedoch noch immer mehr als Tausend Cisco-Geräte in Deutschland im Netz erreichbar und verwundbar. Nun meldet Cisco auch noch, dass Angreifer neue Wege zum Missbrauch von zwei der drei Schwachstellen nutzen.

Im Laufe des Mittwochs hat Cisco seine Warnung vor laufenden Angriffen auf die Sicherheitslücken auf die VPN-Komponente der Firewalls aktualisiert. Der Hersteller schreibt, dass er am Mittwoch eine neue Angriffsvariante auf beide Schwachstellen bemerkt hat. Die Cyberattacken können auf nicht gepatchten Geräten dazu führen, dass diese unerwartet neu starten, was in Denial-of-Service-Situationen mündet. Cisco empfiehlt nachdrücklich, auf die korrigierten Softwareversionen zu aktualisieren.

Aktuelle Zahlen der Shadowserver Foundation zu den für die Schwachstellen anfälligen Geräte zeigen viele Tausende weltweit. Ganz vorne stehen die USA mit derzeit mehr als 13.500 anfälligen Cisco-Firewalls. Aber auch Deutschland fällt negativ auf, mit aktuell noch 1160 verwundbaren Cisco-ASA- und FTD-Firewalls. Seit Anfang Oktober haben Admins also nicht einmal die Hälfte der damals lückenhaften Cisco-Geräte mit den Sicherheitsupdates versorgt.

Insgesamt geht es laut Cisco um drei Sicherheitslücken: Bei der ersten können authentifizierte Angreifer aus dem Netz beliebigen Code auf Ciscos ASA- und FTD-Firewalls schieben und ausführen (CVE-2025-20333, CVSS 9.9, Risiko "kritisch"). Als Ursache nennt Cisco die unzureichende Prüfung von HTTP(S)-Anfragen, die Nutzern mit gültigen VPN-Zugangsdaten solche Attacken ermöglicht. Die zweite Lücke erlaubt es nicht angemeldeten Nutzern (bei Ciscos ASA und FTD) sowie angemeldeten Angreifern mit niedrigen Rechten (in Ciscos IOS, IOS XE und IOS XR), beliebigen Code auf betroffenen Geräten auszuführen. Auch das geht auf unzureichende Validierung von HTTP-Anfragen zurück (CVE-2025-20363, CVSS 9.0, Risiko "kritisch"). Die letzte Schwachstelle ermöglicht nicht authentifizierten Angreifern aus dem Netz den Zugriff auf zugriffsbeschränkte URL-Endpunkte, die zum VPN-Fernzugriff gehören (CVE-2025-20362, CVSS 6.5, Risiko "mittel").

Die neu beobachteten Angriffsvarianten betreffen die Schwachstellen CVE-2025-20333 und CVE-2025-20362. IT-Verantwortliche sollten Ciscos Warnungen ernst nehmen und die bereitstehenden Aktualisierungen zeitnah anwenden.

Die Windows-Sicherheitsupdates, die Microsoft zum Oktober-Patchday verteilt hat, können dazu führen, dass beim Rechnerneustart die Bitlocker-Wiederherstellung gestartet wird. Der Startvorgang ist dann nur mit der Eingabe des Wiederherstellungsschlüssels möglich.

Das hat Microsoft nicht öffentlich in den Windows-Release-Health-Notzien eingeräumt, sondern in nur zahlenden Admins zugänglichen Eintrag im Micosoft-Admin-Center versteckt. Dort schreibt der Hersteller: "Nach der Installation der Windows-Updates, die am oder nach dem 14. Oktober 2025 veröffentlicht wurden (KB5066835), können bei einigen Geräten Probleme beim Neustart oder Start auftreten. Betroffene Geräte starten möglicherweise mit dem BitLocker-Wiederherstellungsbildschirm, sodass Benutzer den Wiederherstellungsschlüssel einmal eingeben müssen. Nach Eingabe des Schlüssels und Neustart des Geräts wird es normal gestartet, ohne dass weitere BitLocker-Eingabeaufforderungen angezeigt werden."

Das Unternehmen erklärt weiter: "Das Problem scheint vorrangig Intel-basierte Geräte zu betreffen, die Connected Standby unterstützen – einer Funktion, die den Geräten ermöglicht, auch in einem Stromsparmodus mit dem Netzwerk verbunden zu bleiben". Um das Problem zu lösen, bietet Microsoft einen Known Issues Rollback (KIR) an, also eine Teil-Deinstallation der Windows-Updates. Admins, die das in ihrer Einrichtung umsetzen wollen, sollen dazu den Microsoft-Support kontaktieren.

Betroffen sind Microsofts Angaben zufolge alle unterstützten Client-Betriebssysteme: Windows 10 22H2, Windows 11 22H2, 23H2, 24H2 und 25H2. Server zeigen offenbar keine derartigen Probleme. Microsoft gibt an, das Problem noch weiter zu untersuchen.

Wer Windows einsetzt, sollte sicherstellen, eine Kopie des Bitlocker-Wiederherstellungsschlüssels im Zugriff zu haben oder in dem eigenen Microsoft-Konto zu hinterlegen. Insbesondere in Windows-Home-Versionen ist Bitlocker öfter aktiviert, ohne, dass die Nutzerinnen und Nutzer ein Backup angelegt haben. In solchen Situationen laufen Betroffene dann Gefahr, den Zugriff auf ihre Daten auf dem Rechner zu verlieren.

Mitglieder der Unions- und SPD-Fraktion haben sich bei der Überarbeitung der Cybersicherheitsvorgaben für Kritische Infrastrukturen geeinigt. Kurz vor Ende kam noch einmal kräftig Bewegung in die Diskussionen zwischen den Beteiligten: Wie genau soll im Fall der Fälle der Betrieb einer betriebskritischen Komponente in den kritischen Anlagen verboten werden können? Bereits heute gibt es im BSI-Gesetz die Möglichkeit, dass der Einsatz kritischer Komponenten vom Bundesinnenministerium untersagt werden kann. Mit der Ausweitung der Betroffenen des dann überarbeiteten BSI-Gesetzes auf voraussichtlich etwa 30.000 Betreiber wird das wesentlich relevanter.

Künftig sollen in einer Kabinettsverordnung die jeweils als kritisch erachteten Komponenten aufgelistet werden, für die dann ein Verbot möglich wäre, wenn die Hersteller nicht als vertrauenswürdig gelten.

Zugleich wird aber die Reihenfolge geändert: Von einer Ex-Ante, also einer Prüfung im Vorhinein, wird dann auf Ex-Post umgestellt – die Betreiber können auf eigenes Risiko also Komponenten einsetzen, müssen deren Verwendung aber dem BSI anzeigen und im Nachgang bei einem Verbot auch wieder ausbauen. Da die Entscheidung über ein Verbot aber immer auch eine politische Dimension hat, muss dieses von der Hausleitung des Bundesinnenministeriums ausgesprochen werden. Dessen Staatssekretär Hans-Georg Engelke zeigte sich am Mittwochabend auch "ganz zufrieden" mit der gefundenen Lösung.

Dells Verschlüsselungs- und Key-Managementlösung CloudLink und Command Monitor zum Verwalten von PC-Beständen in Firmen sind verwundbar. Im schlimmsten Fall können Angreifer die volle Kontrolle über Systeme erlangen.

In einem Beitrag führen die Entwickler aus, dass CloudLink unter anderem über zwei als "kritisch" eingestufte Sicherheitslücken (CVE-2025-45378, CVE-2025-46364) attackierbar ist. In beiden Fällen kann ein Angreifer PCs vollständig kompromittieren. Dafür muss er aber über nicht näher ausgeführte Rechte verfügen.

In den anderen Fällen ist unter anderem Zugriff auf sensible Informationen möglich. Angreifer können aber auch DoS-Zustände herbeiführen. Die verbleibenden Sicherheitslücken sind mit dem Bedrohungsgrad "hoch" (CVE-2025-30479, CVE-2025-45379) und "mittel" (CVE-2025-46365, CVE-2025-46366, CVE-2025-46424) eingestuft. Weitere Lücken betreffen die OpenSSH-Komponente (CVE-2025-26465 "mittel", CVE-2025-26466 "mittel"). Daran können Angreifer etwa für eine DoS-Attacke ansetzen.

Die Entwickler versichern, die Schwachstellen in den CloudLink-Ausgaben 8.1.1 und 8.2 gelöst zu haben. Alle vorigen Versionen sollen angreifbar sein. Bislang gibt es keine Berichte, dass Angreifer die Lücken bereits ausnutzen. Admins sollten trotzdem zeitnah handeln.

Durch das erfolgreiche Ausnutzen der Schwachstelle (CVE-2025-46990 "hoch") in Command Monitor können sich Angreifer, die bereits über niedrige Nutzerrechte verfügen, hochstufen. Wie solche Attacken im Detail ablaufen könnten, ist bislang nicht bekannt.

Troy Hunt, Betreiber des Dienstes Have-I-Been-Pwned, hat der Datensammlung nun 1,3 Milliarden einzigartige Passwörter hinzugefügt. Sie stammen aus der erweiterten "Synthient"-Datensammlung.

Synthient hat offen zugängliche Daten in aus dem Internet zugreifbaren Cloudspeichern oder etwa Telegram-Gruppen gesammelt, von wo Troy Hunt sie auch erhalten hat. Einen ersten Teil dieser Daten hatte Hunt gefiltert und vor etwa zwei Wochen zunächst rund 183 Millionen Zugangsdaten daraus in die HIBP-Sammlung ergänzt. Dabei handelte es sich insbesondere um Daten, die Infostealer ausgeleitet haben.

Infostealer sind Trojaner, die auf Rechner oder Smartphones installiert werden und dort mitschneiden, wenn Opfer sich in Dienste anmelden. Diese Zugangsdaten leiten sie an Command-and-Control-Server weiter. Diese Daten landen oftmals offen einsehbar im Netz. Solche Infostealer installieren sich Opfer etwa als Dreingabe zu vermeintlichen Cracks für populäre Software, sie können jedoch auch durch Sicherheitslücken in installierter Software auf die Geräte gelangen.

Synthient hat jedoch weitaus mehr Datensätze gesammelt, die Sammlung besteht aus Daten aus diversen Datenlecks – Hunt bezeichnet sie auch als "Credential Stuffing"-Einträge. Insgesamt umfasst die Datensammlung rund 2 Milliarden einzigartige E-Mail-Adressen. Wie Troy Hunt zu der Ankündigung der nun hinzugefügten 1,3 Milliarden Passwörter erörtert – davon 625 Millionen bislang unbekannte –, nutzen Angreifer diese Daten, um andere Konten von Opfern zu knacken, bei denen dieselben Passwörter (wieder-)benutzt werden. Das Durchtesten dieser Zugangsdaten nennt sich Credential Stuffing.

Dass das eine erfolgreiche Taktik ist, hat Hunt beim Verifizieren der Daten bestätigen können. Laut seines Berichts hat er einige Abonnenten von HIBP befragt, ob die Daten echt seien. Gleich die erste Antwort lieferte Klarheit: "[Passwort] #1 ist ein altes Passwort, das ich nicht mehr nutze. #2 ist ein aktuelleres Passwort. Danke für die Vorwarnung, ich bin hingegangen und habe die Passwörter für alle kritischen Zugänge geändert, die eines davon genutzt haben". Ein weiterer Nutzer berichtete, dass es sich um ein Wegwerf-Passwort für unwichtige Konten handelte, das er zwischen 20 und 10 Jahren zuvor genutzt hatte. Weitere Antworten deuten ebenfalls in die Richtung alter, lange nicht mehr genutzter Passwörter. Die Datensammlung umfasst also auch sehr alte Einträge.

In mehreren Produkten aus dem Portfolio von Cisco hat das Unternehmen Sicherheitslücken gemeldet. Aktualisierungen stehen für die zum Teil als kritisches Risiko eingestuften Schwachstellen bereit. IT-Verantwortliche sollten prüfen, ob sie verwundbare Systeme einsetzen und die Updates zügig installieren.

Am gravierendsten sind laut Cisco Sicherheitslücken in Cisco Unified Contact Center Express (Unified CCX). Aufgrund mehrerer Schwachstellen in der darin genutzten Java Remote Method Invocation (RMI) können Angreifer aus dem Netz ohne vorherige Authentifizierung beliebige Befehle ausführen, ihre Rechte zu "root" ausweiten, Authentifizierung umgehen und beliebige Dateien hochladen – sprich, das System vollständig kompromittieren (CVE-2025-20354, CVSS 9.8; CVE-2025-20358, CVSS 9.4; beide Risiko "kritisch"). Cisco Unified CCX 12.5 SU3 ES07 und 15.0 ES01 stopfen die Sicherheitslecks.

Als hochriskant stuft Cisco eine Schwachstelle im Radius-Server ein. Die Einstellung "Reject RADIUS requests from clients with repeated failures" der Cisco Identity Services Engine (ISE) ermöglicht nicht authentifizierten Angreifern aus dem Netz, Cisco ISE unerwartet neu starten zu lassen. Das mündet in einen Denial-of-Service (DoS). Angreifer können das mit einer bestimmten Sequenz von manipulierten Radius-Anfragen auslösen (CVE-2025-20343, CVSS 8.6, Risiko "hoch"). Die Einstellung ist standardmäßig aktiv. Betroffen ist Cisco ISE 3.4, die Fassungen davor und die neueren 3.5er-Versionen sollen dafür nicht anfällig sein. Die Version 3.4 Patch 4 soll das Problem lösen.

In Ciscos Unified Contact Center Express (Unified CCX), Cisco Unified Contact Center Enterprise (Unified CCE), Cisco Packaged Contact Center Enterprise (Packaged CCE) und Cisco Unified Intelligence Center (CUIC) können angemeldete Angreifer aus dem Netz beliebigen Code einschleusen und ausführen, ihre Rechte zu "root" ausweiten, sensible Informationen auslesen und beliebige Dateien herunterladen (CVE-2025-20375, CVE-2025-20376; beide CVSS 6.5; CVE-2025-20374, CVSS 4.9; alle Risiko "mittel"). Die Sicherheitsmitteilung nennt als korrigierte Softwareversionen Cisco Unified CCX 12.5 SU3 ES07 und 15.0 ES01 sowie Cisco Unified Intelligence Center 15.0(01) ES202508; wer noch Version 12.6 oder älter einsetzt, soll auf eine unterstützte Version migrieren.

Schließlich können angemeldete Angreifer aus dem Netz sensible Informationen auslesen oder Cross-Site-Scripting-Angriffe in Ciscos Identity Services Engine (ISE) und Cisco ISE Passive Identity Connector (ISE-PIC) ausführen (CVE-2025-20303, CVE-2025-20304, CVSS 5.4; CVE-2025-20289, CVSS 4.8; CVE-2025-20305, CVSS 4.3; alle Risiko "mittel"). Anfällig sind Cisco-ISE-Releases 3.4 und ältere, die jüngere Fassung 3.5 hingegen nicht. Wer noch 3.1 einsetzt, soll auf eine unterstützte Version migrieren, für die anderen Entwicklungszweige schließen die Versionen 3.2 Patch 8 (im Dezember 2025), 3.3 Patch 8 (im November 2025) und 3.4 Patch 4 die Sicherheitslücken.

Die Internetseite der Stadt Trier ist nach den Cyberattacken vom Wochenende wieder online. Der Dienstleister der Stadt habe wieder teilweise Zugriff auf die Schutzmechanismen, teilte die Stadtverwaltung mit. "Es gibt aber vorerst keine Entwarnung, denn die Angriffe auf die Seite trier.de und weitere Internetseiten der Stadt gehen weiter", berichtete die Stadt.

Die Internetseiten der Stadt liegen den Angaben zufolge auf externen Servern. Diese Systeme seien von weiteren Systemen des Rathauses streng getrennt. Durch die Angriffe auf die Internetseite seien keinerlei Daten von Bürgerinnen und Bürgern betroffen. "Die Arbeit der Verwaltung konnte ganz normal weiterlaufen", betonte die Stadtverwaltung.

Die Auswertung der letzten sieben Tage habe nach Einschätzung des Dienstleisters eindeutig gezeigt, dass es sich um einen koordinierten Cyberangriff auf den externen Internetserver der Stadt handele, einen sogenannten DDoS-Angriff (Distributed Denial of Service), erklärte die Stadtverwaltung.

Dabei versuchten Angreifer, mit Botnetzen eine Webseite gezielt mit Zugriffen zu überlasten und sie so lahmzulegen. "Diese Zugriffe auf trier.de sind in den vergangenen Tagen auf ein Vielfaches der üblichen Zahl angestiegen", hieß es.

Bereits Ende Juli hatte es den Angaben zufolge eine ähnliche Attacke gegeben. Sie war auf ein russisches Hacker-Kollektiv zurückzuführen. Der Angriff vom Wochenende soll allerdings viel heftiger als die Attacke im Sommer gewesen sein.

Fast jeder achte Online-Shopper ist in den vergangenen zwei Jahren auf einen betrügerischen Fakeshop hereingefallen. Das geht aus einer Forsa-Umfrage im Auftrag des Verbraucherzentrale Bundesverbands hervor, der der Deutschen Presse-Agentur vorliegt.

Täuschend echt aussehende Fakeshops im Internet kassieren Geld für die Bestellung von Waren, die niemals beim vermeintlichen Käufer ankommen. Über einen besseren Schutz der Konsumenten soll an diesem Donnerstag beim Deutschen Verbrauchertag in Berlin diskutiert werden.

Der Verbraucherzentrale Bundesverband (vzbv) sieht große Online-Plattformen wie Google und Meta in der Pflicht. "Wer mit Werbung sein Geld verdient, darf sich nicht aus der Verantwortung stehlen", mahnte die vzbv-Chefin Ramona Pop. Die Hälfte der von der Verbraucherzentrale untersuchten Fakeshops schalten Werbung auf diesen großen Plattformen.

Das Meinungsforschungsinstitut Forsa hatte im Auftrag des Verbraucherzentrale Bundesverbands zwischen dem 1. und 12. September 2025 eine repräsentative Telefonbefragung mit 1503 Personen ab 14 Jahren durchgeführt. Die statistische Fehlertoleranz liegt bei +/- 3 Prozentpunkten. Die Frage lautete: "Ist es in den letzten zwei Jahren vorgekommen, dass Sie in einem Online-Shop etwas bestellt und bezahlt haben - dann aber keine Ware kam, so dass Sie im Nachhinein davon ausgehen, dass der Shop gar nicht echt war, sondern es sich um einen sogenannten 'Fake-Shop' gehandelt hat?"

Der australische Geheimdienst Australian Signals Directorate (ASD) warnt vor der Malware "Badcandy", die staatlich unterstützte Akteure durch eine alte Sicherheitslücke in Cisco IOS XE installieren. Die Sicherheitslücke ist seit 2023 bekannt. Cisco hat auch Softwareupdates zum Schließen davon veröffentlicht.

Die australischen Beamten erörtern, dass derzeit immer noch Angriffe auf die Sicherheitslücke (CVE-2023-20198, CVSS 10.0, Risiko "kritisch") zu beobachten sind. Die Malware Badcandy wurde bereits seit Oktober 2023 durch die Schwachstelle auf verwundbare Cisco-Geräte verfrachtet. Erneute Aktivitäten damit waren sowohl im Jahr 2024 als auch 2025 zu beobachten.

Bei der Schadsoftware handelt es sich um eine Lua-basierte Web-Shell. Bösartige Akteure haben typischerweise nach solch einer Kompromittierung der Geräte durch die Schwachstelle eine nicht-persistente Version einen Patch installiert, um die Anfälligkeit der Geräte für die Sicherheitslücke zu vertuschen. Auch die Badcandy-Malware überlebt einen Geräte-Neustart nicht. Angreifer können jedoch über Zugangsdaten oder andere Formen von Persistenz verfügen und so dennoch weiterhin Zugriff auf das Netzwerk oder Geräte behalten.

Um einen erneuten Missbrauch der Schwachstelle und die Re-Infektion des Geräts zu verhindern, müssen IT-Verantwortliche den verfügbaren Softwareflicken anwenden. Allein in Australien hat der ASD in diesem Jahr mehr als 400 potenziell mit Badcandy kompromittierte Geräte gefunden, Ende Oktober waren es noch immer mehr als 150 Cisco-Geräte – der ASD hat Opfern Benachrichtigungen mit Anleitungen zum Patchen, Rebooten und Härten der Geräte geschickt.

Die Shadowserver Foundation hat nun auf Mastodon ebenfalls aktualisierte Zahlen veröffentlicht. Demnach sind weltweit noch rund 15.000 Cisco-IOS-XE-Geräte mit einer bösartigen Hintertür versehen. Ebenso seien häufige Re-Infektions-Kampagnen zu beobachten. In der Aufschlüsselung nach Ländern von der Shadowserver Foundation sind in Deutschland derzeit 90 Cisco-Geräte mit Badcandy unterwandert – damit liegt die Bundesrepublik auf Platz 33 der Liste. Dennoch ist das ein Hinweis, dass hier IT-Verantwortliche ebenfalls noch aktiv werden müssen. Möglicherweise wurde aufgrund des non-persistenten Patches das eine oder andere Gerät auch nicht als verwundbar erkannt.

Es näselt leicht im Passwort-Podcast: Co-Host Christopher hat die herbstliche Erkältungswelle erwischt. Doch das hindert die Sicherheits-Spezis nicht daran, sich durch verschiedene Themen rund um ihr Steckenpferd zu wühlen. Und derer gibt es – wie üblich – reichlich, begonnen bei einem verräterischen Exploitverkäufer.

Mit einem auf den ersten Blick eher untypischen Thema geht es weiter, nämlich dem folgenschweren Ausfall bei Amazons Clouddienst AWS sowie dem erst vor wenigen Tagen ausgefallenen Cloud-Loadbalancer beim Konkurrenten Microsoft. Doch wie Sylvester erläutert, gehört die Verfügbarkeit als gleichberechtigter Bestandteil ebenso zur "CIA-Triade" wie die Vertraulichkeit und Integrität von Informationen. Doch nicht nur dieser Formalismus macht die Ausfälle zum Podcast-Thema, sondern auch, dass sie lehrbuchartig für das Schmetterlingsprinzip stehen: Ein kleiner Ablauffehler in einem automatischen Vorgang führte zu tagelangen weltweiten Verfügbarkeitsproblemen.

In dem WordPress-Plug-in AI Engine klafft eine Sicherheitslücke, die Angreifern das Ausweiten der Rechte bis zur Kompromittierung der WordPress-Instanz erlauben kann. Ein Update für das Plug-in, das auf mehr als 100.000 Webseiten zum Einsatz kommt, steht zur Verfügung.

Laut Plug-in-Beschreibung von AI Engine dient es dazu, Chatbots zu programmieren sowie Inhalte und KI-Formulare zu erstellen und um Aufgaben mit KI-Modellen zu automatisieren. Die IT-Sicherheitsforscher von Wordfence warnen nun vor einer Sicherheitslücke darin, die es Angreifern ohne vorherige Authentifizierung ermöglicht, den sogenannten "Bearer Token" auszulesen und vollen Zugriff auf das für die KI-Anbindung genutzte MCP (Model Context Protocol) zu erlangen. Das gelingt etwa durch Zugriff auf den REST-API-Endpunkt "/mcp/v1/".

Dem können sie dann Befehle übergeben, die es ausführt – etwa "wp_update_user", womit bösartige Akteure ihre Rechte beispielsweise zum Administrator ausweiten können. Damit lässt sich die WordPress-Instanz dann übernehmen. Eine kleine Einschränkung nennt Wordfence jedoch – die Lücke besteht nur dann, wenn in den MCP-Einstellungen die Option "No-Auth URL" aktiviert ist, was standardmäßig jedoch nicht der Fall ist (CVE-2025-11749, CVSS 9.8, Risiko "kritisch").

In der Analyse von Wordfence gehen die IT-Forscher für Interessierte noch genauer ins Detail. Für Admins wichtig zu wissen: Betroffen sind AI-Engine-Versionen bis einschließlich 3.1.3, die Version 3.1.4 und neuere schließen die Sicherheitslücke.

Am Dienstag dieser Woche wurden Angriffe auf eine Sicherheitslücke im populären WordPress-Plug-in Post SMTP bekannt. Es kommt auf mehr als 400.000 WordPress-Instanzen zum Einsatz. Bösartige Akteure können die Lücke missbrauchen, um die Instanzen schlussendlich zu übernehmen. Auch hier steht eine aktualisierte Plug-in-Version bereit, die das Sicherheitsleck abdichtet.

Bei der Apache Software Foundation soll es im Kontext von OpenOffice zu einer Cyberattacke gekommen sein, bei der Kriminelle interne Daten kopiert haben. Das gibt zumindest die Ransomwarebande Akira auf ihrer Website an. Nun schaltet sich Apache ein und dementiert eine Attacke.

Das geht aus einem offiziellen Statement hervor, das unter anderem der IT-Nachrichtenwebsite BleepingComputer vorliegt. Akira behauptet, beim IT-Einbruch 23 Gigabyte an Daten kopiert zu haben. In dem Archiv sollen sich unter anderem persönliche Daten von Mitarbeitern, wie Adressen und Kreditkartendaten befinden. Weiterhin sollen darin geschäftliche Daten über Finanzen und Supportdokumente gespeichert sein.

Akira gibt an, dass sie die Daten zeitnah in ihrem Leakportal hochladen wollen. Das ist aber bislang nicht geschehen. Die Vorgehensweise einer Veröffentlichung dient in der Regel als Druckmittel, damit Opfer ein Lösegeld zahlen. Oft werden solche Daten aber auch zum Kauf angeboten. In diesem Fall gibt es derzeit von der Erpresserseite keine weiterführenden Informationen zum weiteren Verlauf.

In der Stellungnahme führt Apache OpenOffice aus, dass es bislang keine Lösegeldforderung gegeben hat. Weil OpenOffice ein Open-Source-Projekt ist und Mitarbeiter dementsprechend nicht bezahlt werden, gebe es die von Akira aufgeführten Daten gar nicht. Weil die Entwicklung des Office-Pakets öffentlich einsehbar ist, seien ohnehin alle relevanten Daten bekannt und für alle verfügbar.

Zum jetzigen Zeitpunkt bestreiten sie eine Cyberattacke und haben dementsprechend auch keine Strafermittler eingeschaltet.

Inzwischen sollte es sattsam bekannt sein: Microsoft hat den Support für Windows 10 offiziell zum 14. Oktober 2025 eingestellt. Privatnutzer in der EU bekommen nach langem Hin und Her ein Jahr kostenlos erweiterten Support (Extended Security Updates, ESU), wenn sie sich dafür anmelden. Auch in Organisationen müssen IT-Verantwortliche aktiv werden, damit die Windows-10-Geräte weiterhin Sicherheitsupdates erhalten. Microsoft gibt dafür nun Tipps und Hinweise.

Privatanwender können sich seit Kurzem für das ESU-Programm anmelden. Im kommerziellen Umfeld ist jedoch keine kostenlose Variante vorgesehen, weshalb Microsoft jetzt eine Anleitung im Windows-IT-Pro-Blog veröffentlicht hat, die Admins bei der Vorbereitung zum Ausrollen des ESUs helfen soll.

Um einen "Multiple Activation Key" (MAK) aus dem Windows-10-ESU-Kauf zu aktivieren, müssen die Maschinen einige Voraussetzungen erfüllen. Zunächst muss Windows 10 auf den Stand 22H2 gebracht werden. Der minimale Update-Stand muss die Aktualisierung auf den Stand vom Oktober-Patchday 2025 sein (KB5066791, Build-Nummern 19044.6456 respektive 19045.6456 und neuere). Microsoft listet zudem eine ganze Reihe an URLs auf, die als Aktivierungsendpunkte für die Maschinen erreichbar sein müssen.

Den zur ESU-Lizenz gehörenden MAK finden Admins im Microsoft 365 Admin-Center unter "Billing" – "Your Products" – "Volume Licensing". Dort gibt es den Punkt "View contracts", wo auch der ESU-Kauf liegen sollte. "View product keys" zeigt dann die verfügbaren MAKs an.

Um die ESU-Lizenzen auf die Geräte zu verteilen, kommt "slmgr.vbs" zum Einsatz. Das kann mit Verwaltungswerkzeugen wie Microsoft Intune oder dem Microsoft Configuration Manager erfolgen. Zudem sei der Einsatz des Volume Activation Management Tool (VAMT) dafür möglich, oder das manuelle Laufenlassen eines Skripts für die Kommandozeile auf betroffenen Rechnern. Die ESU-Keys lassen sich schließlich auch telefonisch aktivieren.

Cyberkriminelle unterwandern die IT von Logistikunternehmen und stehlen deren Fracht. Darauf sind nun IT-Sicherheitsforscher gestoßen. Es handelt sich um ein Multi-Millionen-Geschäft für die Täter. Die zunehmende Vernetzung im Internet der Logistiker führt demnach zu einer Zunahme von Netz-basiertem physischem Diebstahl.

Das erklären IT-Sicherheitsforscher von Proofpoint in einem Blog-Beitrag. Angreifer kompromittieren die Logistiker und nutzen den IT-Zugang, um auf Frachttransporte zu bieten, die Ladung dann zu stehlen und sie zu verkaufen. Eine Auffälligkeit ist demnach, dass die Akteure "Remote Monitoring and Management (RMM)"-Werkzeuge installieren, was allgemein ein Trend in der Bedrohungslandschaft ist, dem Cyberkriminelle als ersten Schritt nach Einbruch in die IT von Unternehmen derzeit folgen.

Proofpoints Analysten haben ihre eigenen Beobachtungen mit öffentlich zugänglichen Informationen angereichert und kommen dadurch zu der Erkenntnis, dass die Bedrohungsakteure mit Gruppen des organisierten Verbrechens zusammenarbeiten, um Einrichtungen des Transportwesens zu kompromittieren. Im Speziellen haben sie Fracht-Fernverkehr und Fracht-Makler im Visier, um Frachtladungen zu entführen und damit physische Güter zu stehlen. "Die gestohlene Fracht wird höchstwahrscheinlich online verkauft oder nach Übersee verschifft", erklären die IT-Analysten. Diese Straftaten können massive Einschränkungen in Lieferketten verursachen und Unternehmen Millionen kosten. Die Täter stehlen dabei alles vom Energy-Drink bis zu Elektronik.

Bei den beobachteten Angriffskampagnen haben die Täter versucht, Unternehmen zu infiltrieren und die betrügerischen Zugänge zum Bieten auf das Verfrachten von echten Gütern zu nutzen, um diese am Ende zu stehlen. Laut der Analyse beträgt der jährliche Schaden 34 Milliarden US-Dollar. Allerdings sind nicht nur die USA betroffen. Proofpoint nennt Zahlen von Munich Re, wonach globale Diebstahl-Schwerpunkte Brasilien, Chile, Deutschland, Indien, Südafrika und die USA umfassen. Zumeist sind Transporte von Nahrungsmitteln und Getränken im Visier der Kriminellen. IT-gestützter Diebstahl ist demnach eine der häufigsten Formen des Frachtdiebstahls und basiert auf Social Engineering und Kenntnissen über die Funktionsweise der Lkw- und Transportbranche.

Die nun beobachteten Fälle fingen mindestens im Juni dieses Jahres an, wobei es Hinweise darauf gibt, dass die Kampagnen der Gruppierung bereits im Januar anfingen. Die Angreifer haben eine Reihe von RMM-Tools einschließlich ScreenConnect, SimpleHelp, PDQ Connect, Fleetdeck, N-able und LogMeIn Resolve installiert, wobei diese oftmals zu zweit eingesetzt wurden: So sei PDQ Connect dabei beobachtet worden, ScreenConnect und SimpleHelp herunterzuladen und zu installieren. Es ist den Kriminellen also wichtig, sich nachhaltig in die kompromittierten Netzwerke einzunisten.

Die Entwickler der In-Memory-Datenbank Redis haben eine Sicherheitslücke darin geschlossen. Sie ermöglicht Angreifern, beliebigen Schadcode auszuführen.

Im Github-Repository von Redis findet sich ein Schwachstelleneintrag, der die Sicherheitslücke erörtert. Demnach können Nutzerinnen und Nutzer den Befehl XACKDEL mit mehreren IDs aufrufen und dadurch einen Stack-basierten Pufferüberlauf auslösen. Das wiederum kann zur Ausführung von zuvor eingeschleustem Code führen (CVE-2025-62507, CVSS zwischen 7.7 und 9.8, Risiko "hoch" bis "kritisch"). Das Problem liegt darin, dass der Redis-Code den Fall nicht abfängt, wenn die Anzahl an IDs über die STREAMID_STATIC_VECTOR_LEN hinausgeht. Dadurch überspringt er eine Reallokation, die schließlich in den Stack-basierten Pufferüberlauf mündet.

Die Redis-Entwickler rechnen einen CVSS4-Wert von 7.7 aus, was einem hohen Risiko entspricht. Die SUSE-Maintainer kommen hingegen auf CVSS4 9.3 respektive CVSS3.1 9.8, beides der Risikostufe "kritisch" entsprechend.

Das Problem tritt ab Redis 8.2 auf. Die Version 8.2.3 und neuere enthalten den Fehler hingegen nicht mehr. Admins, die Redis einsetzen, sollten auf diese oder neuere Fassungen der Datenbank aktualisieren. Wer das Update noch nicht durchführen kann, sollte temporäre Gegenmaßnahmen einleiten. Die Redis-Programmierer erklären, dass Nutzerinnen und Nutzer von der Ausführung des anfälligen Befehls XACKDEL ausgeschlossen werden können. Dazu lässt sich der Zugriff auf den Befehl mittels ACL (Access Control List) beschränken.

Vor rund vier Wochen haben die Programmierer bereits eine als kritisches Risiko eingestufte Sicherheitslücke in Redis geschlossen. Mit sorgsam präparierten LUA-Skripten war es möglich, eine Use-after-free-Situation zu provozieren und dabei eingeschleusten Programmcode auszuführen. Das hat die Vorversion 8.2.2 von Redis korrigiert.

Das WordPress-Plug-in Post SMTP kommt auf mehr als 400.000 aktive Installationen. IT-Forscher haben darin eine Sicherheitslücke entdeckt, die nicht angemeldeten Angreifern die Übernahme von Konten und in der Folge der kompletten WordPress-Instanz ermöglichen. Es laufen seit dem Wochenende bereits Angriffe auf die Schwachstelle. Ein aktualisiertes Plug-in steht bereit.

Das meldet das auf WordPress spezialisierte IT-Sicherheitsunternehmen WordFence in einem aktuellen Blog-Beitrag. Die Schwachstelle im Plug-in Post SMTP erlaubt nicht authentifizierten Angreifern, E-Mail-Logs einzusehen, einschließlich Passwort-Reset-E-Mails. Dadurch können sie Passwörter beliebiger Nutzer ändern, einschließlich der von Administratoren. Damit können bösartige Akteure die Konten und in der Folge die komplette WordPress-Website übernehmen (CVE-2025-11833, CVSS 9.8, Risiko "kritisch").

Die Firewall-Systeme von Wordfence haben vom 1. November bis zum Montag dieser Woche bereits mehr als 4500 Angriffe auf die Schwachstelle abgewehrt, erklärt das Unternehmen. IT-Verantwortliche sollten daher sicherstellen, so schnell wie möglich auf eine fehlerkorrigierte Fassung des Plug-ins zu aktualisieren. Seit dem 29. Oktober steht die Version 3.6.1 von Post SMTP bereit, die die sicherheitsrelevanten Fehler in den verwendbaren Fassungen 3.6.0 und älter korrigiert.

Post SMTP ist ein Plug-in, das vom Anbieter bereits im Namen als "komplette SMTP-Lösung mit Logs, Alarmen, Backup, SMTP und mobiler App" beschrieben wird. Es soll helfen, wenn Admins auf ein Problem mit dem E-Mail-Versand durch WordPress stoßen. Das ist insbesondere in einigen Hosting-Umgebungen der Fall, die keinen Mailversand über PHP-E-Mail erlauben. Laut Eintrag im WordPress-Verzeichnis kommt es auf mehr als 400.000 aktive Installationen.

WordPress-Plug-ins leiden öfter unter schwerwiegenden Sicherheitslücken, die die Kompromittierung von Konten oder gar Instanzen erlauben. Ende August hat es etwa das Plug-in Dokan Pro getroffen. Dabei handelt es sich um ein Marktplatzsystem, bei dem sich Nutzerinnen und Nutzer als Verkäufer mit einem eigenen Marktplatz-Shop registrieren können.

Besitzer von noch im Support befindlichen Android-Smartphones oder -Tablets sollten ihre Geräte aus Sicherheitsgründen auf den aktuellen Stand bringen. Geschieht das nicht, können Angreifer Schwachstellen ausnutzen und Geräte kompromittieren.

Wie aus einer Warnmeldung hervorgeht, haben die Entwickler an diesem Patchday lediglich zwei System-Sicherheitslücken (CVE-2025-48593 "kritisch", CVE-2025-48581 "hoch") geschlossen. Die kritische Lücke betrifft Android 13, 14, 15 und 16. Darüber können entfernte Angreifer Schadcode auf Geräte schieben und ausführen. Dafür benötigen Angreifer Googles Beschreibung zufolge keine besonderen Rechte und sind nicht auf die Interaktion von Opfern angewiesen. Wie so ein Angriff im Detail ablaufen könnten, bleibt aber bislang unklar.

Die zweite Schwachstelle betrifft ausschließlich Android 16. An dieser Stelle können sich Angreifer höhere Nutzerrechte verschaffen. Für beide Fälle gibt es zurzeit keine Berichte zu laufenden Attacken. Besitzer von Androidgeräten sollten trotzdem dafür sorgen, dass sie die aktuellen Sicherheitsupdates installiert haben.

Die Entwickler versichern, die beiden Sicherheitslücken im Patch Level 2025-11-01 geschlossen zu haben. Das installierte Patch Level kann man in den Systemeinstellungen prüfen. Neben Google veröffentlicht unter anderem auch Samsung für ausgewählte Smartphones monatlich Sicherheitsupdates (siehe Kasten).

Im Oktober gab es zwar einen Eintrag zu neuen Android-Sicherheitspatches, doch darin wurden keine konkreten Sicherheitslücken aufgelistet. Am Patchday im September dieses Jahres haben Angreifer Lücken bereits ausgenutzt.