Comretix Blog

In Broadcoms Brocade SANnav klaffen Sicherheitslücken, durch die Angreifer unbefugt an Zugangsdaten gelangen oder diverse Attacken ausführen können. Aktualisierte Softwarepakete sollen die Schwachstellen ausbessern.

Anzeige

Insgesamt vor fünf Sicherheitslücken in der Storage-Area-Network-Verwaltungssoftware hat Broadcom nun gewarnt. Am schwerwiegendsten stufen die Entwickler eine Lücke ein, durch die Brocade SANnav bei bestimmten Fehlern während der Installation oder eines Upgrades die Verschlüsselungs-Keys in einen Brocade SANnav Supportsave speichert. Angreifer mit erhöhten Rechten zum Zugriff auf die Brocade-Datenbank können diesen Verschlüsselungs-Key nutzen, um an Passwörter zu gelangen, die SANnav einsetzt.

Der Docker-Daemon in Brocade SANnav läuft ohne sogenanntes Auditing. Das ermöglicht angemeldeten Angreifern aus dem Netz, diverse Attacken auszuführen. Ursache dafür ist, dass Dokcer-Operationen mit erhöhten Rechten und mit unbeschränktem Zugriff im Host-System erfolgen.

Weiterhin ist die Verschlüsselung für SSH auf Port 22 unsicher: Brocade SANnav aktiviert veraltete SHA1-Einstellungen für den Fernzugriff. Das macht die Verschlüsselung für Kollisionsattacken anfällig.

In Broadcoms Brocade SANnav klaffen Sicherheitslücken, durch die Angreifer unbefugt an Zugangsdaten gelangen oder diverse Attacken ausführen können. Aktualisierte Softwarepakete sollen die Schwachstellen ausbessern.

Anzeige

Insgesamt vor fünf Sicherheitslücken in der Storage-Area-Network-Verwaltungssoftware hat Broadcom nun gewarnt. Am schwerwiegendsten stufen die Entwickler eine Lücke ein, durch die Brocade SANnav bei bestimmten Fehlern während der Installation oder eines Upgrades die Verschlüsselungs-Keys in einen Brocade SANnav Supportsave speichert. Angreifer mit erhöhten Rechten zum Zugriff auf die Brocade-Datenbank können diesen Verschlüsselungs-Key nutzen, um an Passwörter zu gelangen, die SANnav einsetzt.

Der Docker-Daemon in Brocade SANnav läuft ohne sogenanntes Auditing. Das ermöglicht angemeldeten Angreifern aus dem Netz, diverse Attacken auszuführen. Ursache dafür ist, dass Dokcer-Operationen mit erhöhten Rechten und mit unbeschränktem Zugriff im Host-System erfolgen.

Weiterhin ist die Verschlüsselung für SSH auf Port 22 unsicher: Brocade SANnav aktiviert veraltete SHA1-Einstellungen für den Fernzugriff. Das macht die Verschlüsselung für Kollisionsattacken anfällig.

Im Packprogramm Winzip haben IT-Sicherheitsforscher eine Sicherheitslücke entdeckt. Sie ermöglicht Angreifern, Opfern mit manipulierten Archiven Schadcode unterzujubeln. Beim Öffnen einer bösartigen Webseite oder eines sorgsam präparierten Archivs mit Winzip können Angreifer aus dem Netz so beliebigen Code ausführen.

Anzeige

Die IT-Forscher von Trend Micros Zero-Day-Initiative (ZDI) haben die Lücke aufgespürt und eine Sicherheitsmitteilung dazu veröffentlicht. Das Problem besteht beim Verarbeiten von 7-Zip-Dateien (7z). "Das Problem resultiert aus mangelnder Überprüfung von Nutzer-übergebenen Daten, wodurch Schreibzugriffe über die Grenzen eines allokierten Speicherbereichs hinaus möglich sind", erklären die IT-Forscher.

"Angreifer können die Schwachstelle ausnutzen, um beliebigen Code im Kontext des aktuellen Prozesses auszuführen", erörtert das ZDI-Team weiter (CVE-2025-1240, CVSS 7.8, Risiko "hoch"). Entdeckt wurde die Lücke demnach im vergangenen September. Die Sicherheitsmitteilung mit einem CVE-Eintrag erfolgte jetzt vor wenigen Tagen.

Winzip 29.0 enthält die Schwachstelle nicht mehr. In den Release-Notes erwähnen die Entwickler jedoch keine Sicherheitskorrekturen. Allerdings nennen sie aktualisierte RAR- und 7-Zip-Bibliotheken für die Version 29.

Im Packprogramm Winzip haben IT-Sicherheitsforscher eine Sicherheitslücke entdeckt. Sie ermöglicht Angreifern, Opfern mit manipulierten Archiven Schadcode unterzujubeln. Beim Öffnen einer bösartigen Webseite oder eines sorgsam präparierten Archivs mit Winzip können Angreifer aus dem Netz so beliebigen Code ausführen.

Anzeige

Die IT-Forscher von Trend Micros Zero-Day-Initiative (ZDI) haben die Lücke aufgespürt und eine Sicherheitsmitteilung dazu veröffentlicht. Das Problem besteht beim Verarbeiten von 7-Zip-Dateien (7z). "Das Problem resultiert aus mangelnder Überprüfung von Nutzer-übergebenen Daten, wodurch Schreibzugriffe über die Grenzen eines allokierten Speicherbereichs hinaus möglich sind", erklären die IT-Forscher.

"Angreifer können die Schwachstelle ausnutzen, um beliebigen Code im Kontext des aktuellen Prozesses auszuführen", erörtert das ZDI-Team weiter (CVE-2025-1240, CVSS 7.8, Risiko "hoch"). Entdeckt wurde die Lücke demnach im vergangenen September. Die Sicherheitsmitteilung mit einem CVE-Eintrag erfolgte jetzt vor wenigen Tagen.

Winzip 29.0 enthält die Schwachstelle nicht mehr. In den Release-Notes erwähnen die Entwickler jedoch keine Sicherheitskorrekturen. Allerdings nennen sie aktualisierte RAR- und 7-Zip-Bibliotheken für die Version 29.

Google will seinen Safe-Browsing-Ansatz zum sichereren Abruf von Websites und Downloads verbessern. Dabei soll die Analyse von Bedrohungen aus dem Internet nun auf KI-Basis mittels Large Language Model (LLM) Nutzer noch effektiver warnen.

Anzeige

Die Ende vergangenen Jahres bekannt gewordene Erweiterung des Schutzes ist inzwischen live. Wer das Sicherheitsfeature im Webbrowser nutzen möchte, muss es aber manuell aktivieren.

Der Safe-Browsing-Ansatz analysiert unter anderem betrügerische Websites und warnt Nutzer vor dem Besuch, dass Cyberkriminelle auf solchen Seiten persönliche Daten kopieren können. Google gibt an, dass die KI-basierte Variante unter anderem die Erkennungsrate verbessern soll.

Unter macOS konnten wir den neuen KI-Schutz mit Chrome 133.0.6943.99 aktivieren.

Google will seinen Safe-Browsing-Ansatz zum sichereren Abruf von Websites und Downloads verbessern. Dabei soll die Analyse von Bedrohungen aus dem Internet nun auf KI-Basis mittels Large Language Model (LLM) Nutzer noch effektiver warnen.

Anzeige

Die Ende vergangenen Jahres bekannt gewordene Erweiterung des Schutzes ist inzwischen live. Wer das Sicherheitsfeature im Webbrowser nutzen möchte, muss es aber manuell aktivieren.

Der Safe-Browsing-Ansatz analysiert unter anderem betrügerische Websites und warnt Nutzer vor dem Besuch, dass Cyberkriminelle auf solchen Seiten persönliche Daten kopieren können. Google gibt an, dass die KI-basierte Variante unter anderem die Erkennungsrate verbessern soll.

Unter macOS konnten wir den neuen KI-Schutz mit Chrome 133.0.6943.99 aktivieren.

Mittels Mobile Device Management (MDM) können Administratoren Apple-Geräte weitgehend einrichten und steuern. Darunter fallen auch eine Reihe von Funktionen, die eigentlich der Sicherheit dienen, wie sich Apples MDM-Doku entnehmen lässt. Dennoch sollten sich IT-Abteilungen und andere MDM-Verantwortliche genau überlegen, ob sie entsprechende Einstellungen vornehmen. Eine besonders wichtige ist der sogenannte USB-Restricted-Mode. Denn auch dieser kann von Admins auf Wunsch mittels MDM-Einstellungen abgeschaltet werden.

Anzeige

Eigentlich fragen sowohl der Mac als auch ein iPhone oder ein iPad nach, wenn ein USB-C-Gerät eingesteckt wird. Das ist wichtig, weil es verschiedene Angriffsmethoden gibt, die kabelgebunden arbeiten. Das beginnt bei Hacking-"Spielzeugen" wie Rubber Ducky oder dem Flipper Zero und endet mit professionellen Öffnungswerkzeugen, die Polizeibehörden und Geheimdienste verwenden. Entsprechend wichtig sind diese Nachfragen, dass sie eine Geräteverbindung verhindern, über die dann Angriffe erfolgen könnten. Zwar nerven die Prompts viele User, sie dienen aber der Sicherheit.

Wie Apples Dokumentation zu entnehmen ist, dürfen Admins auf Macs nun aber das sogenannte "allowUSBRestrictedMode"-Flag setzen. Es verhindert, dass die Nachfrage überhaupt kommt. Sinn der Sache sei es, dass es in "manchen Umgebungen" notwendig sei, dies zu erlauben, so Apple. Zwar können Nutzer dies grundsätzlich selbst vornehmen, doch müssten sie sich dazu in die Tiefen der Systemeinstellungen begeben, was die wenigsten tun dürften.

Bei iPhones und iPads können Admins wiederum das sogenannte Host-Pairing kontrollieren. Auch hier sollte man äußerst vorsichtig sein. Die Restriktionseinstellung "Allow pairing with non-Apple Configurator hosts" macht es möglich, das Gerät mit potenziell problematischen anderen Maschinen zu verbinden. Apple empfiehlt, dies zu verbieten, damit sichergestellt ist, dass sich ein Firmengerät nicht mit problematischen anderen Geräten verbindet.

Mittels Mobile Device Management (MDM) können Administratoren Apple-Geräte weitgehend einrichten und steuern. Darunter fallen auch eine Reihe von Funktionen, die eigentlich der Sicherheit dienen, wie sich Apples MDM-Doku entnehmen lässt. Dennoch sollten sich IT-Abteilungen und andere MDM-Verantwortliche genau überlegen, ob sie entsprechende Einstellungen vornehmen. Eine besonders wichtige ist der sogenannte USB-Restricted-Mode. Denn auch dieser kann von Admins auf Wunsch mittels MDM-Einstellungen abgeschaltet werden.

Anzeige

Eigentlich fragen sowohl der Mac als auch ein iPhone oder ein iPad nach, wenn ein USB-C-Gerät eingesteckt wird. Das ist wichtig, weil es verschiedene Angriffsmethoden gibt, die kabelgebunden arbeiten. Das beginnt bei Hacking-"Spielzeugen" wie Rubber Ducky oder dem Flipper Zero und endet mit professionellen Öffnungswerkzeugen, die Polizeibehörden und Geheimdienste verwenden. Entsprechend wichtig sind diese Nachfragen, dass sie eine Geräteverbindung verhindern, über die dann Angriffe erfolgen könnten. Zwar nerven die Prompts viele User, sie dienen aber der Sicherheit.

Wie Apples Dokumentation zu entnehmen ist, dürfen Admins auf Macs nun aber das sogenannte "allowUSBRestrictedMode"-Flag setzen. Es verhindert, dass die Nachfrage überhaupt kommt. Sinn der Sache sei es, dass es in "manchen Umgebungen" notwendig sei, dies zu erlauben, so Apple. Zwar können Nutzer dies grundsätzlich selbst vornehmen, doch müssten sie sich dazu in die Tiefen der Systemeinstellungen begeben, was die wenigsten tun dürften.

Bei iPhones und iPads können Admins wiederum das sogenannte Host-Pairing kontrollieren. Auch hier sollte man äußerst vorsichtig sein. Die Restriktionseinstellung "Allow pairing with non-Apple Configurator hosts" macht es möglich, das Gerät mit potenziell problematischen anderen Maschinen zu verbinden. Apple empfiehlt, dies zu verbieten, damit sichergestellt ist, dass sich ein Firmengerät nicht mit problematischen anderen Geräten verbindet.

Zahlreiche HP-Laserdrucker sind von Schwachstellen betroffen, durch die Angreifer Schadcode einschleusen und ausführen können. Der Hersteller stellt aktualisierte Firmware zum Schließen der Sicherheitslücken bereit. IT-Verantwortliche sollten sie rasch installieren.

Anzeige

In einer Sicherheitsmitteilung warnt HP vor den Sicherheitslücken. Bei den Details gibt sich HP zugeknöpft: "Bestimmte HP Laserjet Pro-, Laserjet Enterprise- und HP Laserjet Managed-Drucker könnten möglicherweise anfällig für Codeschmuggel aus dem Netz und die Ausweitung der Rechte beim Verarbeiten eines Postscript-Druckauftrags sein", lautet die beschwichtigende Zusammenfassung. Weitere Details sind jedoch Fehlanzeige.

Insgesamt handelt es sich um ein Bündel von drei Sicherheitslücken, die sich die Beschreibung teilen. CVE-2025-26506 erhält die CVSS-Bewertung 9.2 und stellt somit ein kritisches Risiko dar, CVE-2025-26508 gilt hingegen mit CVSS 8.3 als hoher Bedrohungsgrad. Die dritte Schwachstelle CVE-2025-26507 bewerten die Entwickler mit CVSS 6.3 als mittleres Risiko.

Die Anzahl der betroffenen Druckermodelle geht in die Hunderte, allein die Auflistung der teils zusammengefassten Baureihen addiert sich auf 120 Geräte-Serien. Sie alle aufzulisten, würde den Rahmen der Meldung sprengen, daher sei auf die Auflistung in der Sicherheitsmitteilung verwiesen. Admins sollten nachsehen, ob verwundbare Modelle in ihren Netzen arbeiten und die bereitstehenden Firmware-Updates zeitnah herunterladen und installieren.

Zahlreiche HP-Laserdrucker sind von Schwachstellen betroffen, durch die Angreifer Schadcode einschleusen und ausführen können. Der Hersteller stellt aktualisierte Firmware zum Schließen der Sicherheitslücken bereit. IT-Verantwortliche sollten sie rasch installieren.

Anzeige

In einer Sicherheitsmitteilung warnt HP vor den Sicherheitslücken. Bei den Details gibt sich HP zugeknöpft: "Bestimmte HP Laserjet Pro-, Laserjet Enterprise- und HP Laserjet Managed-Drucker könnten möglicherweise anfällig für Codeschmuggel aus dem Netz und die Ausweitung der Rechte beim Verarbeiten eines Postscript-Druckauftrags sein", lautet die beschwichtigende Zusammenfassung. Weitere Details sind jedoch Fehlanzeige.

Insgesamt handelt es sich um ein Bündel von drei Sicherheitslücken, die sich die Beschreibung teilen. CVE-2025-26506 erhält die CVSS-Bewertung 9.2 und stellt somit ein kritisches Risiko dar, CVE-2025-26508 gilt hingegen mit CVSS 8.3 als hoher Bedrohungsgrad. Die dritte Schwachstelle CVE-2025-26507 bewerten die Entwickler mit CVSS 6.3 als mittleres Risiko.

Die Anzahl der betroffenen Druckermodelle geht in die Hunderte, allein die Auflistung der teils zusammengefassten Baureihen addiert sich auf 120 Geräte-Serien. Sie alle aufzulisten, würde den Rahmen der Meldung sprengen, daher sei auf die Auflistung in der Sicherheitsmitteilung verwiesen. Admins sollten nachsehen, ob verwundbare Modelle in ihren Netzen arbeiten und die bereitstehenden Firmware-Updates zeitnah herunterladen und installieren.

In mehreren Produkten werden Angriffe auf Sicherheitslücken beobachtet. Betroffen sind Apples iOS, iPadOS, Mitels SIP-Phones und Palo Altos PAN-OS. Zum Schließen der Lücken stehen Updates bereit, die IT-Verantwortliche zügig installieren sollten.

Anzeige

Die US-amerikanische IT-Sicherheitsbehörde CISA warnt etwa vor Cyber-Attacken auf Schwachstellen in iOS und iPadOS (CVE-2025-24200). Angreifer mit physischem Zugriff können sich Zugriff verschaffen, indem sie die Lücke im Accessibility-Modul für Barrierefreiheit zum Aufheben des eingeschränkten USB-Zugriffs missbrauchen – die Lücke hat Apple in der vergangenen Woche mit iOS und iPadOS 18.3.1 sowie 17.7.5 gestopft.

Ende Januar wurden zudem Angriffe auf eine Sicherheitslücke in SIP-Phones von Mitel bekannt. Das Mirai-Botnet nistet sich in verwundbare Geräte ein. Die Lücke CVE-2024-41710 wurde bereits im August 2024 bekannt, vor der nun auch die CISA warnt, Admins sollten die Aktualisierungen nun rasch nachholen. Bei beiden angegriffenen Lücken nennt die CISA wie üblich keine Details, die wurden aber dieses Mal auf anderen Wegen zuvor bekannt.

Gegen Ende der vergangenen Woche wurden zudem Schwachstellen in Palo Altos Firewall-Betriebssystem PAN-OS bekannt. Für die gravierendste Sicherheitslücke CVE-2025-0108 stand bereits Exploit-Code zur Verfügung.

In mehreren Produkten werden Angriffe auf Sicherheitslücken beobachtet. Betroffen sind Apples iOS, iPadOS, Mitels SIP-Phones und Palo Altos PAN-OS. Zum Schließen der Lücken stehen Updates bereit, die IT-Verantwortliche zügig installieren sollten.

Anzeige

Die US-amerikanische IT-Sicherheitsbehörde CISA warnt etwa vor Cyber-Attacken auf Schwachstellen in iOS und iPadOS (CVE-2025-24200). Angreifer mit physischem Zugriff können sich Zugriff verschaffen, indem sie die Lücke im Accessibility-Modul für Barrierefreiheit zum Aufheben des eingeschränkten USB-Zugriffs missbrauchen – die Lücke hat Apple in der vergangenen Woche mit iOS und iPadOS 18.3.1 sowie 17.7.5 gestopft.

Ende Januar wurden zudem Angriffe auf eine Sicherheitslücke in SIP-Phones von Mitel bekannt. Das Mirai-Botnet nistet sich in verwundbare Geräte ein. Die Lücke CVE-2024-41710 wurde bereits im August 2024 bekannt, vor der nun auch die CISA warnt, Admins sollten die Aktualisierungen nun rasch nachholen. Bei beiden angegriffenen Lücken nennt die CISA wie üblich keine Details, die wurden aber dieses Mal auf anderen Wegen zuvor bekannt.

Gegen Ende der vergangenen Woche wurden zudem Schwachstellen in Palo Altos Firewall-Betriebssystem PAN-OS bekannt. Für die gravierendste Sicherheitslücke CVE-2025-0108 stand bereits Exploit-Code zur Verfügung.

Die Staatsregierung in Bayern ist Ziel eines Cyberangriffs geworden. Man gehe mit hoher Sicherheit davon aus, dass die Attacke im Zusammenhang mit "prorussischem Hacktivismus" stehe, teilte das Landesamt für Sicherheit in der Informationstechnik am Sonntagabend auf Nachfrage mit.

Anzeige

Betroffen gewesen seien am Freitag die Staatskanzlei und das Staatsministerium für Digitales. Es sei aber kein Schaden entstanden und es seien auch keine Daten oder Informationen abgeflossen oder verschlüsselt worden. Die betroffenen Webseiten seien lediglich vorübergehend nicht erreichbar gewesen.

Vom Landeskriminalamt in Bayern hieß es, es könnte nicht beurteilt werden, ob der Angriff im Zusammenhang mit der Münchner Sicherheitskonferenz gestanden habe. Die Ermittlungen liefen. Der Bayerische Rundfunk hatte zuvor über den Angriff berichtet.

Das Landesamt für Sicherheit in der Informationstechnik erklärte, es habe sich um einen Distributed Denial-of-Service-Angriff (DDoS) gehandelt. Der Vorgang werde nach abgeschlossener Analyse zur Strafverfolgung an die Polizei übergeben.

Die Staatsregierung in Bayern ist Ziel eines Cyberangriffs geworden. Man gehe mit hoher Sicherheit davon aus, dass die Attacke im Zusammenhang mit "prorussischem Hacktivismus" stehe, teilte das Landesamt für Sicherheit in der Informationstechnik am Sonntagabend auf Nachfrage mit.

Anzeige

Betroffen gewesen seien am Freitag die Staatskanzlei und das Staatsministerium für Digitales. Es sei aber kein Schaden entstanden und es seien auch keine Daten oder Informationen abgeflossen oder verschlüsselt worden. Die betroffenen Webseiten seien lediglich vorübergehend nicht erreichbar gewesen.

Vom Landeskriminalamt in Bayern hieß es, es könnte nicht beurteilt werden, ob der Angriff im Zusammenhang mit der Münchner Sicherheitskonferenz gestanden habe. Die Ermittlungen liefen. Der Bayerische Rundfunk hatte zuvor über den Angriff berichtet.

Das Landesamt für Sicherheit in der Informationstechnik erklärte, es habe sich um einen Distributed Denial-of-Service-Angriff (DDoS) gehandelt. Der Vorgang werde nach abgeschlossener Analyse zur Strafverfolgung an die Polizei übergeben.

Die südkoreanische Regierung hat die Benutzung der chinesischen KI-Anwendung DeepSeek verboten. Sie begründet den Schritt mit einem unzureichenden Datenschutz. Das berichtet die Nachrichtenagentur Yonhap unter Berufung auf die Kommission für den Schutz personenbezogener Daten (PIPC). Das am Wochenende verhängte Verbot werde erst aufgehoben, wenn "Verbesserungen und Abhilfemaßnahmen" umgesetzt werden, die dafür sorgen, dass Südkoreas Datenschutzgesetzen entsprochen werde. Vorher hätten schon mehrere Ministerien und Regierungsbehörden den Zugriff auf die KI-Anwendung gesperrt und das mit der Datensammlung begründet.

Anzeige

Südkorea ist mit den Bedenken nicht allein. Derart weitgehende Konsequenzen wurden aber bislang lediglich in Italien gezogen. Auch in Deutschland haben Behörden und IT-Sicherheitsfachleute aber gravierende Sicherheitsbedenken gegen DeepSeek angemeldet. Kritisiert wird auch hierzulande die offenkundig sehr weitreichende Speicherung von Nutzerdaten. Aber auch die mögliche Manipulierbarkeit der Anwendung für kriminelle Zwecke und die Frage, inwieweit der chinesische Spionage- und Überwachungsapparat Zugriff auf Nutzerdaten hat, treffen auf Vorbehalte. In Deutschland wird deshalb unter anderem in Rheinland-Pfalz ein Prüfverfahren vorbereitet, DeepSeek hat bislang keinen EU-Vertreter benannt.

Laut Yonhap hat Südkoreas Datenschutzkommission bereits im Januar eine Anfrage an DeepSeek übermittelt, um Klarheit über die Sammlung und Speicherung von Daten zu erhalten. Hierzulande hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) darauf hingewiesen, dass DeepSeek nach eigenen Angaben "Tastatureingabemuster oder -rhythmen" erfasst. Damit sollen Nutzer und Nutzerinnen identifiziert werden können. Womöglich lassen sich Tastatureingaben aber innerhalb der App mitlesen, noch bevor sie abgeschickt werden. Zwar handle es sich nicht um einen Keylogger, trotzdem sei das Verhalten "mindestens für sicherheitskritische Bereiche bedenklich".

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Offensichtlich kam es bei Zacks erneut zu einem IT-Sicherheitsvorfall, bei dem Angreifer Zugriff auf Kundendaten hatten: In einem Untergrundforum wurde ein Datenpaket mit 12 Millionen Einträgen zu Zacks-Nutzern veröffentlicht. In dem Forum werden regelmäßig aus Cyberattacken stammende Datenpakete zum Verkauf angeboten.

Anzeige

Zacks ist ein Onlinetool, um unter anderem den Verlauf von Aktienkursen zu visualisieren. Über das Datenleak berichten Sicherheitsforscher von Malwarebytes. Dem Bericht zufolge soll das Datenpaket aus einer Cyberattacke im Juni 2024 stammen. Darin seien unter anderem Datenbankeinträge und Sourcecode der Zacks-Website und weiteren firmeninternen Seiten zu finden.

Weiterhin gibt es den Forschern Einträge mit persönlichen Daten von 12 Millionen Zacks-Kunden. Darunter fallen etwa E-Mail-Adressen, Namen und Telefonnummern. In den Einträgen sollen sich auch geschützte Passwörter (unsalted SHA-256-Hash) finden. Damit können Kriminelle also nicht ohne Weiteres etwas anfangen.

Als Beweis hat der Leaker mit dem Pseudonym Jurak Ausschnitte aus dem Archiv veröffentlicht. Sicherheitsforscher gehen derzeit davon aus, dass die Daten echt sind. Er gibt an, dass er sich als Domainadmin Zugriff auf das Active Directory von Zacks verschaffen konnte. Wie die Attacke ablief, ist bislang unklar. Auf der Website Have I Been Pnwed kann man prüfen, ob man von dem Datenleak betroffen ist.

Bestimmte Firewalls von Sonicwall sind verwundbar, und Angreifer nutzen derzeit eine Sicherheitslücke aktiv aus. Dabei kapern sie VPN-Verbindungen.

Anzeige

Davor warnen Sicherheitsforscher von Arctic Wolf in einem Beitrag. Die Attacken begannen kurz nach der Veröffentlichung von Proof-of-concept-Code (PoC). Die Schwachstelle (CVE-2024-53704 "hoch") ist seit Anfang 2025 bekannt. Bereits zu diesem Zeitpunkt warnte Sonicwall, dass Attacken mit hoher Wahrscheinlichkeit bevorstehen. Das hat sich nun bestätigt. Den Forschern zufolge waren Anfang Februar noch rund 4500 verwundbare Firewalls über das Internet erreichbar. Admins sollten zügig handeln.

Die Lücke betrifft die SonicOS-SSLVPN-Komponente. Weil ein Authentifizierungs-Algorithmus nicht korrekt implementiert ist, kommt es bei der Verarbeitung von Base64-Cookies zu Fehlern, und Angreifer können die Authentifizierung umgehen. Attacken sind aus der Ferne und ohne Authentifizierung möglich. Weitere technische Details zum Ablauf von Angriffen haben die Forscher in einem Bericht zusammengetragen.

Im Anschluss übernehmen Angreifer die Kontrolle über VPN-Sessions. In so einer Position können sie sich im Netzwerk ausbreiten und etwa Ransomware installieren. Welche konkreten Auswirkungen die derzeitigen Attacken haben und in welchem Umfang sie ablaufen, ist zurzeit nicht bekannt.

Im Bereich der Cybersicherheit kann Europa aus den Erfahrungen der Ukraine im Krieg gegen Russland lernen. Russlands hybrider Krieg habe das Land gezwungen, seine IT-Systeme fortlaufend besser abzusichern, sagten Vertreter ukrainischer Sicherheitsbehörden am Donnerstag auf der Münchner Cybersecurity-Konferenz (MCSC). Die Ukrainer warben auch um Europa als Partner, nachdem das Einfrieren der US-Hilfen über USAID erhebliche Lücken ins Budget der Sicherheitsprogramme gerissen hat.

Anzeige

Rund 4300 Attacken auf kritische Systeme notierte der "State Service of Special Communications and Information Protection of Ukraine" im vergangenen Jahr. "Zwölf Angriffe täglich, und es handelt sich nicht um Kleinigkeiten", berichtete Ihor Malchenyuk, Director des Cyber Defence Department der Behörde. "Für uns ist jeder Tag 'Tag Null'."

Malchenyuk versicherte, man wolle keineswegs für die Ukraine in Anspruch nehmen, "dass wir schon alles gesehen haben oder gar alles wissen". Die russischen Angreifer – Malchenyuks Behörde hat insgesamt 155 Angreifergruppen identifiziert – zwingen den Verteidigern jedoch eine extreme Reaktionsdynamik auf. Sicherheit durch Compliance habe diese neue Realität nicht überlebt.

Auch mit dem Einsatz von Large-Language-Modellen (LLM) durch die Angreifer haben die Ukrainer Erfahrung: "Sobald Hacker Zugang zu einem System erhalten, werden damit beispielsweise alle wichtigen Adressdaten herausgefiltert." So seien regelmäßig Spearphishing-Attacken auf dieser Basis zu beobachten.

Kritische Infrastrukturen (KRITIS) unterliegen nach § 8a Abs. 1 BSIG besonderen Sicherheitsanforderungen. Die Betreiber dieser Unternehmen und öffentlichen Einrichtungen sind verpflichtet, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) regelmäßig nachzuweisen, dass ihre IT-Sicherheit dem aktuellen Stand der Technik entspricht. Dazu müssen sie angemessene organisatorische und technische Maßnahmen ergreifen, um Störungen zu vermeiden, die die Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität ihrer IT-Systeme gefährden können.

Anzeige

In unserem zweitägigen Workshop KRITIS: Spezielle Prüfverfahrenskompetenz für § 8a BSIG erhalten Sie einen umfassenden Überblick über die Anforderungen von KRITIS und können sich gezielt auf Prüfungen für § 8a BSIG vorbereiten. Nach bestandener Abschlussprüfung am Ende der Schulung erhalten die Teilnehmenden die Zusatzqualifikation "Spezielle Prüfverfahrenskompetenz für § 8a BSIG". Damit sind sie berechtigt, Sicherheitsprüfungen für § 8a BSIG im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik durchzuführen.

Der Workshop wird von Andre Windsch geleitet. Als Senior Expert bei der HiSolutions AG verantwortet er dort das Themenfeld „Kritische Infrastrukturen“ nach BSI-Gesetz. In seinem Aufgabenbereich unterstützt er Betreiber Kritischer Infrastrukturen aus den unterschiedlichsten Branchen und Sektoren bei der Umsetzung der spezifischen Anforderungen.

Dieser iX-Workshop folgt dem BSI-Schulungskonzept und richtet sich insbesondere an Auditoren wie interne Revisoren, Revisoren, Wirtschaftsprüfer mit IT-Revisionserfahrung sowie Mitarbeitende von Revisionsgesellschaften und Betreibern kritischer Infrastrukturen. Um einen intensiven Austausch untereinander und eine optimale Vorbereitung auf die Prüfung und Zertifizierung zu ermöglichen, ist diese Schulung auf 12 Teilnehmende beschränkt.