Comretix Blog

Admins, die Anwendungsentwicklungssysteme mit HCL Domingo verwalten, sollten das Add-on Leap (ehemals Volt) aus Sicherheitsgründen auf den aktuellen Stand bringen. Ohne aktuelle Sicherheitspatches sind Systeme verwundbar.

Wie aus einem Supportbeitrag hervorgeht, können Angreifer insgesamt an neun Softwareschwachstellen ansetzen. Auch wenn der Großteil der Lücken mit dem Bedrohungsgrad "mittel" eingestuft ist, sollten Admins mit dem Patchen nicht zu lange warten. Schließlich stellen auf kompromittierten Systemen erstellte Anwendungen ein Sicherheitsrisiko dar.

Über die am gefährlichsten eingestufte Schwachstelle (CVE-2023-37535 "hoch") können Angreifer eigene Skripte in den Arbeitsablauf bringen. Außerdem können Angreifer unrechtmäßig auf eigentlich geschützte Daten zugreifen (CVE-2023-37517 "niedrig").

Die Entwickler versichern, die Lücken in den Ausgaben 1.1.1, 1.1.2, 1.1.3, 1.1.4 und 1.1.5 geschlossen zu haben.

Docker Inc. stellt mit den Docker Hardened Images (DHI) eine Auswahl an sicherheitsoptimierten und unternehmensgerechten Container-Images zur Verfügung. Die Pakete sollen höchste Sicherheits-Anforderungen an die Software-Lieferkette erfüllen. Die DHI sind im Kern minimalistisch aufgebaut und werden laut Docker kontinuierlich weiterentwickelt, um den Compliance-Standards von Unternehmen zu genügen.

Die Docker Hardened Images (DHI) stehen auf Docker Hub speziell gekennzeichnet zum Download bereit.

(Bild: Docker)

Zuletzt gab es immer wieder Angriffe auf Docker Hub und andere öffentliche Repositorys. Dabei wurden unter anderem 2,8 Millionen Docker-Hub-Repositorys mit Malware oder Phishing verseucht.

Laut Docker erfüllt jedes DHI das SLSA-Level 3, unterstützt Compliance-Werkzeuge wie SBOM und VEX und läuft als non-root mit den geringsten Privilegien, um Sicherheitsrisiken zu minimieren. Durch ihr minimalistisches Design sollen die Softwarepakete zudem schneller starten und gegenüber nicht gehärteten Images eine um bis zu 95 Prozent reduzierte Angriffsfläche gegenüber Manipulationen aufweisen.

Die erste deutsche Ausgabe des Exploit-Wettbewerbs "Pwn2Own" ist zuende und brachte seinen Teilnehmern über eine Million US-Dollar Preisgeld ein. Sieger des Wettbewerbs und frischgekürter "Master of Pwn" war das Team von "STAR Labs" aus Singapur. Der einzige deutsche Teilnehmer Manfred Paul hatte einen Firefox-Exploit im Gepäck.

Der dreitägige Exploit-Wettbewerb fand parallel zur "OffensiveCon", einer Fachkonferenz für Exploit-Autoren und andere Experten offensiver IT-Sicherheit, statt und zog Teilnehmer aus der ganzen Welt an. Diese brachten reichlich unveröffentlichte Sicherheitslücken mit: Insgesamt 28 verschiedene "Zero-Days" kaufte die ausrichtende Zero Day Initiative (ZDI) des Sicherheitsunternehmens Trend Micro an. Nach einer Analyse durch eigene Experten gibt ZDI die Lücken an die Hersteller weiter, die zudem eigene Mitarbeiter als Beobachter vor Ort hatten.

Zwei asiatische Teams setzten sich an die Spitze des Teilnehmerfelds: STAR Labs aus Singapur trugen mit 320.000 Dollar Prämie den Gesamtsieg davon, das Security-Team der vietnamesischen Telefongesellschaft Viettel erreichte Platz 2. Auf den Plätzen 3 bis 5 lagen zwei französische Teams und die Sicherheitsforscher von Wiz.

Manfred Paul war der einzige deutsche Teilnehmer. Er "popped calc", wie es im Pwn2Own-Jargon heißt, rief also den Windows-Taschenrechner mittels einer Sicherheitslücke aus Firefox heraus auf. Das brachte dem vormaligen Gewinner des "Master of Pwn"-Titels immerhin 50.000 US-Dollar Prämie ein. Die Siegprämien für erfolgreiche Teilnehmende sind zugleich der Kaufpreis für die zugehörige Sicherheitslücke bei der ZDI.

Die 28 auf der Pwn2Own verwendeten Sicherheitslücken betrafen zu einem Viertel AI-Produkte, darunter Nvidias Triton-Inferenzserver. Doch auch Broadcoms Virtualisierer VMware, Virtualbox, Docker und natürlich Windows waren beliebte Angriffsziele der Exploit-Profis.

Sicherheitsforscher und Curl-Maintainer Daniel Stenberg hat in seinem Blog auf ein Sicherheitsproblem durch Unicode-Schwindel aufmerksam gemacht, das für Reviewer, Merger und CI-Jobs schlecht zu erkennen ist.

Stenberg zeigt in seinem Blog, wie ein Angreifer ein gängiges ASCII-Zeichen im Code durch ein fast identisches aus der Unicode-Tabelle ersetzt. Das ist im Code-Editor nicht zu erkennen, ergibt aber beispielsweise eine andere URL, hinter der sich bösartiger Code verstecken kann. Als Beispiel verwendet der Blogger ein armenisches g.

Die Zahl möglicher Verwechselungen ist groß: Auf der Seite von Unicode.org lassen sich die vielen ähnlichen Zeichen auflisten, hier im Bild am Beispiel von heise.

Die Zahl der ähnlichen, für einen URL-Schwindel geeigneten Zeichen ist groß.

(Bild: Screenshot Unicode.org)

Angreifer können Anfragen der Fernzugriffslösung Sonicwall SMA1000 umleiten. Ein Sicherheitspatch schafft Abhilfe.

In einer Warnmeldung führt der Anbieter von Netzwerktechnik aus, dass Angreifer im Zuge einer Server-side-request-forgery-Attacke (SSRF) Anfragen an etwa von ihnen kontrollierte Server umleiten können (CVE-2025-40595 "hoch").

Im Kontext einer Fernzugriffslösung, über die Mitarbeiter mit ihren Geräten eigentlich sichere Verbindungen aufbauen sollen, kann das weitreichende Folgen haben. Attacken sollen aus der Ferne und ohne Authentifizierung möglich sein.

Bislang gibt es keine Berichte zu laufenden Angriffen. Netzwerkadmins sollten dennoch zeitnah reagieren und die Version 12.4.3-02963 (platform-hotfix) installieren, um die Lücke im Appliance-Work-Place- Interface zu schließen

Am zweiten Tag des Exploit-Wettbewerbs Pwn2Own in Berlin nutzten Sicherheitsforscher auf der Bühne Lücken in Redis, VirtualBox und Windows 11 aus. Besonders beliebt war jedoch NVidias KI-Server Triton, an dem sich gleich mehrere Wettbewerbsteilnehmer ausprobierten. Ausrichter Trend Micro hat bereits über 600.000 US-Dollar Preisgeld verteilt.

Das Finden und Ausnutzen von Sicherheitslücken findet in aller Regel im Verborgenen statt – ob durch "Whitehat"-Sicherheitsforscher oder Cyberkriminelle. Nur wenige der Sicherheitsexperten suchen eine Bühne, um ihre Zero-Day-Exploits öffentlich auszuprobieren. Diejenigen, die die Aussicht auf Ruhm und fünf- bis sechsstellige Preisgelder auf die Pwn2Own lockt, tun jedoch genau das.

In verschiedenen Kategorien wie AI, cloud-native-Anwendungen oder Webbrowser nutzen die Teilnehmer im Wettbewerb zuvor gefundene Sicherheitslücken aus, die dem Hersteller unbekannt sind – die berühmt-berüchtigten "Zero Days". Dazu erhalten sie vom Veranstalter Laptops mit der Zielanwendung, etwa dem Browser Firefox, und dreißig Minuten Zeit. Schaffen die Hacker es etwa, in dieser Zeit Root-Zugriff zu erhalten oder aus der Browser- oder Virtualisierungsumgebung auszubrechen, erhalten sie das Preisgeld.

Und das kann beträchtlich ausfallen: Für einen Ausbruch aus ESXi strich ein singapurisches Team 150.000 US-Dollar ein, am Ende des zweiten Wettbewerbstages hatte die Zero Day Initiative (ZDI) bereits über 695.000 Dollar ausbezahlt. Insgesamt prognostizieren die Ausrichter, knapp eine Million Dollar auszuzahlen.

Auf Youtube erschien ohne vorherige Ankündigung ein Video des IT-Sicherheitsprofessors Dominik Merli von der TH Augsburg. Eine etwas andere Herangehensweise soll für mehr Cybersicherheit werben. Dazu schlüpft Merli in die Rolle seines Alter Egos MC Blackhat.

Angreifer können Firewalls von Palo Alto Networks attackieren. Zusätzlich sind Attacken auf Cortex XDR Broker, GlobalProtect, MetaDefender Endpoint Security SDK und Prisma Access Browser vorstellbar.

Wie aus dem Sicherheitsbereich der Palo-Alto-Webseite hervorgeht, betreffen die meisten Sicherheitslücken das Firewall-Betriebssystem PAN-OS. Irreführend ist, dass Palo Alto an dieser Stelle den Schweregrad der Lücken mit dem CVSS-BT Score 4.0 angibt. Ausschlaggebend für die Einordnung der von Schwachstellen ausgehenden Gefahr ist aber der Base Score (CVSS-B). Das hat zur Folge, dass in der Übersicht viele Lücken mit dem Bedrohungsgrad "mittel" angezeigt werden, während für CVSS-B "hoch" gilt.

Angreifer können etwa ohne Authentifizierung mit präparierten Pakten an einer PAN-OS-Lücke (CVE-2025-0130 "hoch") für DoS-Attacken ansetzen. Davon sind verschiedene Versionsstränge von PAN-OS 11 betroffen. PAN-OS 10 ist in diesem Kontext nicht verwundbar. Für PAN-OS 11.0 ist der Support ausgelaufen und dafür gibt es keine Sicherheitsupdates mehr. Hier ist ein Upgrade fällig. Abgesichert sind die Ausgaben 11.1.6-h1, 11.1.7-h2, 11-1-8 und 11.2.5.

Die Sicherheitslösung GlobalProtect ist für mehrere Attacken anfällig. So kann sich etwa ein lokal authentifizierter Angreifer System-Rechte verschaffen (CVE-2025-0132 "hoch"). Die Entwickler geben an, das Sicherheitsproblem in den Ausgaben 6.2.8 und 6.3.3 gelöst zu haben.

Mehrere Lücken bedrohen Prisma Access Browser; insgesamt fällt die Einstufung als "kritisch" aus. An diesen Stellen können Angreifer Speicherfehler auslösen. Darüber gelangt oft Schadcode auf Computer. Dagegen sind die Versionen 135.16.8.96 und 136.11.9.93 abgesichert.

Die Cybersicherheitsbehörde der USA, CISA, warnt aktuell vor beobachteten Angriffen auf eine neue SAP-Netweaver-Sicherheitslücke sowie auf Google Chrome und auf Draytek-Vigor-Router. Zwar gibt es keine näheren Informationen zu den Angriffen selbst, IT-Verantwortliche sollten jedoch zügig die attackierten Schwachstellen mit den verfügbaren Software-Updates ausbessern.

Zwar warnt die CISA in einer Sicherheitsmitteilung vor den Angriffen in freier Wildbahn, nennt dort jedoch wie üblich keinerlei Details dazu, wie die Angriffe aussehen und welchen Umfang sie haben. Im Fokus der Angreifer steht derzeit demnach eine neue kritische Sicherheitslücke in SAP Netweaver, die das Unternehmen erst am Dienstag dieser Woche am SAP-Patchday mit einem Update abgedichtet hat. Die Lücke betrifft erneut den Visual Composer, der auf vielen Netweaver-Installationen installiert wird.

Nutzer mit Zugangsrechten können nicht vertrauenswürdige oder bösartige Inhalte hochladen, die deserialisiert und dadurch offenbar ausgeführt werden (CVE-2025-42999 / EUVD-2025-14349, CVSS 9.1, Risiko "kritisch"). Die Aktualisierung sollten Admins rasch anwenden – und auch die aus dem April, da inzwischen in weiteren Angriffswellen Ransomware-Banden die erst vor etwa drei Wochen gepatchte Netweaver-Lücke ebenfalls attackieren.

Außerdem hat die CISA die Sicherheitslücke in Googles Chromium-Browser in den Katalog bekannt missbrauchter Schwachstellen (Known Exploited Vulnerabilities Catalogue, KEV) aufgenommen. Google hat sie in der Nacht zum Donnerstag mit einem Sicherheitsupdate geschlossen. Dabei gaben die Entwickler bekannt, von Exploit-Code in freier Wildbahn Kenntnis zu haben. Der wird nun offenbar für Angriffe auf Chrome-Nutzerinnen und -Nutzer missbraucht (CVE-2025-4664 / EUVD-2025-14909, CVSS 4.1, Risiko "mittel", laut Google jedoch "hoch").

Zudem müssen Admins mit Draytek-Routern Vigor2960 und Vigor300B die Firmware aktualisieren, sofern sie noch den Stand 1.5.1.4 oder älter hat. Das Skript /cgi-bin/mainfunction.cgi/apmcfgupload lässt sich mit manipulierten Argumenten zum Einschleusen von Befehlen missbrauchen, und das machen Angreifer aus dem Netz inzwischen auch. Bereits im Dezember war Exploit-Code verfügbar, der nun wohl zum EInsatz kommt. Firmware 1.5.1.5 oder neuer stopfen das Sicherheitsleck (CVE-2024-12987 / EUVD-2024-51246, CVSS 6.9, Risiko "mittel").

Die neue Regierungskoalition hat sich einiges vorgenommen, um den Datenschutz in Deutschland neu auszurichten. Im Koalitionsvertrag ist von "Entbürokratisierung" und "Zentralisierung" die Rede. Doch was bedeutet das konkret? Droht ein Abschied vom föderalen Modell der Datenschutzaufsicht? Und welche Rolle spielt dabei das neue Bundesministerium für Digitalisierung und Verwaltungsmondernisierung (BMDV) und dessen Quereinsteiger-Chef, der neue Bundesminister Karsten Wildberger?

Dr. Stefan Brink beim Podcasten in der Auslegungssache

Diesen Fragen gehen c't-Redakteur Holger Bleich, Verlagsjustiziar Joerg Heidrich und der ehemalige Landesdatenschutzbeauftragte von Baden-Württemberg, Dr. Stefan Brink, in der aktuellen Episode des c't-Datenschutz-Podcasts nach. Brink warnt davor, den Datenschutz vorschnell als "Bürokratie" abzustempeln. Vielmehr gehe es um ein Grundrecht, das in Einklang mit anderen Interessen wie der Datennutzung gebracht werden müsse.

Eine Zentralisierung der Datenschutzaufsicht beim Bund, wie im Koalitionsvertrag angedeutet, sieht Brink kritisch. Ihm zufolge würde sie einen massiven Umbau bedeuten: Drei Viertel der Stellen in den Ländern würden wegfallen. Brink sieht die Gefahr, dass dadurch die Beratung vor Ort leidet und das Datenschutzniveau sinkt.

Auch das neue Digitalministerium wird diskutiert: Es übernimmt viele Kompetenzen, die bislang auf verschiedene Ressorts verteilt waren, doch der Datenschutz bleibt beim Innenministerium. Brink sieht das als verpasste Chance, den Datenschutz stärker mit der Digitalpolitik zu verzahnen. Zudem kritisiert er, dass die Bundesregierung der Bundesdatenschutzbeauftragten eine neue Rolle als "Beauftragte für Datennutzung, Datenschutz und Informationsfreiheit" zuschreiben will.

Das US-Unternehmen Proofpoint übernimmt den deutschen Spezialisten für E-Mail-Sicherheit Hornetsecurity. Das geht aus einer Mitteilung beider Unternehmen hervor. Der Kaufpreis ist geheim, CNBC berichtet jedoch von einer Summe jenseits einer Milliarde US-Dollar. Proofpoint möchte mit dem Kauf seine Position im Markt der Cloud-Security für Microsofts M365 stärken.

Das Hannoveraner Unternehmen Hornetsecurity spezialisiert sich mit seinem Produkt "365 Total Protection" auf E-Mail-Sicherheit und Awareness. Im Produktumfang enthalten sind neben Spam- und Malwarefiltern auch Online-Schulungen für Mitarbeiter zu Themen wie Phishing und Social Engineering. Das Leitungsteam rund um Gründer und Geschäftsführer Daniel Hofmann wird auch nach dem Verkauf an Bord bleiben und "Total Protection" weiterentwickeln.

Hornetsecurity-CTO Dr. Yvonne Bernard kommentierte den Merger gegenüber heise online positiv: "Unser ganzes Team freut sich auf dieses aufregende neue Kapitel und auf die tolle Möglichkeit, nach Abschluss der Transaktion mit unserer Plattform für MSPs und deren Kunden künftig weltweit den Schutz der Mitarbeiter, Daten und Abläufe von noch mehr Unternehmen zu unterstützen."

Proofpoint, das derzeit der Private-Equity-Firma Thoma Bravo gehört, plant für 2026 einen Börsengang, berichtet CNBC. Durch strategische Zukäufe möchte das Unternehmen vor diesem Schritt seine Marktposition stärken. Der Hornetsecurity-Zukauf soll in der zweiten Jahreshälfte 2025 vollzogen werden.

Die Kryptobörse Coinbase ist Opfer eines IT-Vorfalls geworden. Dabei konnten Angreifer sensible Daten erbeuten. Sie erpressen das Unternehmen damit, die Daten zu veröffentlichen. Unklar ist derzeit, welche Cyber-Bande hinter dem Angriff steckt.

In einer Meldung an die Securities and Exchange Commission (SEC) der USA mit einem 8-K-Formular liefert Coinbase einige Information zu dem Vorfall. Demnach hat die Tochterfirma Coinbase Inc. der Coinbase Global Inc. eine E-Mail von unbekannten Bedrohungsakteuren erhalten, in der diese behaupten, Informationen zu bestimmten Coinbase-Kundenkonten sowie interne Coinbase-Dokumentation einschließlich Materialien zum Kundendienst und Kontenverwaltungssystemen erlangt zu haben.

Damit die Täter die Informationen nicht veröffentlichen, soll Coinbase Geld zahlen – den geforderten Betrag nennt das Unternehmen jedoch nicht. "Der Bedrohungsakteur scheint sich diese Informationen beschafft zu haben, indem er mehrere Auftragnehmer oder Angestellte bezahlte, die in unterstützenden Funktionen außerhalb der Vereinigten Staaten arbeiteten, um Informationen von internen Coinbase-Systemen zu sammeln, auf die sie für ihre Aufgaben Zugriff hatten", erörtert Coinbase in dem Meldeformular.

Das Unternehmen erklärt weiter: "Diese Fälle, in denen diese Mitarbeiter ohne geschäftliche Notwendigkeit auf Daten zugriffen, wurden in den vorangegangenen Monaten unabhängig voneinander durch die Sicherheitsüberwachung des Unternehmens aufgedeckt. Nach der Entdeckung hatte das Unternehmen die betroffenen Mitarbeiter sofort entlassen und außerdem verstärkte Schutzmaßnahmen zur Betrugsüberwachung eingeführt. Zudem wurden die Kunden, auf deren Daten möglicherweise zugegriffen wurde, gewarnt, um den Missbrauch der kompromittierten Daten zu verhindern."

Die Untersuchungen seit dem Empfang der E-Mail haben ergeben, dass diese offenbar echt ist. Die vorherigen Vorkommnisse mit unbefugten Datenzugriffen sind demnach Teil einer einzelnen Kampagne – dem jetzigen IT-Vorfall. Coinbase hat die Geldforderung der Angreifer nicht gezahlt und arbeitet mit Strafverfolgern bei der Untersuchung des Vorfalls zusammen.

Mit Dell PowerScale InsightIQ überwachen Admins NAS-Systeme mit dem Betriebssystem PowerScale OneFS. Nun können Angreifer an zwei Sicherheitslücken ansetzen, um Instanzen zu attackieren. Sicherheitspatches schaffen Abhilfe.

In einer Warnmeldung führen die Entwickler die Schwachstellen auf. Der Beschreibung zufolge können entfernte Angreifer ohne Authentifizierung an beiden Lücken (CVE-2025-30475 "hoch", CVE-2025-30476 "mittel") ansetzen. Im ersten Fall können sie sich höhere Nutzerrechte verschaffen. Im zweiten Fall sind DoS-Attacken möglich.

Wie Angriffe im Detail ablaufen könnten, ist bislang nicht bekannt. Zum jetzigen Zeitpunkt gibt es keine Berichte zu laufenden Attacken. Aus der Warnmeldung geht nicht hervor, an welchen Parametern sich attackierte NAS-Systeme erkennen lassen.

Die Entwickler versichern, die Schwachstellen in der Ausgabe 6.0 geschlossen zu haben.

Die kritische Sicherheitslücke in SAP Netweaver, die SAP zur Veröffentlichung aktualisierter Software außerhalb des regulären Patch-Zeitplans veranlasste, wird weiterhin in mehreren Wellen attackiert. IT-Sicherheitsforscher beobachten inzwischen, dass Ransomware-Gruppierungen die Lücke in ihr Repertoire aufgenommen haben.

Die IT-Forscher von EclecticIQ ordnen in einer aktuellen Analyse seit Ende April beobachtete Ransomware-Attacken chinesischen APTs (Advanced Persistent Threats) zu. Sie sehen die Cyber-Spionage-Einheiten UNC5221, UNC5174 und CL-STA-0048 hinter den Angriffen, die Palo Alto Networks etwa mit dem chinesischen Staatssicherheitsministerium verbindet. Die Analyse liefert Einblicke in die einzelnen Angriffe und darin, was die Kriminellen dann nach erfolgreichem Einbruch an Malware und Backdoors installiert haben.

Die Analysten von Reliaquest haben ebenfalls chinesische Bedrohungsakteure ausgemacht. In jüngeren Angriffen beobachteten sie aber auch die russische Ransomware-Bande "BianLian" sowie die Drahtzieher hinter der "RansomEXX"-Ransomware – die Microsoft unter dem Handle "Storm-2460" listet. RansomEXX verteilt dabei eine modulare Backdoor namens "PipeMagic".

Die Attacken sind weltweit zu beobachten. Kriminelle Gruppierungen missbrauchen die Schwachstelle im Visual Composer, durch die Angreifer ohne vorherige Authentifizierung Binärdateien hochladen und dadurch Schadcode auf verwundbaren Systemen ausführen können (CVE-2025-31324 / EUVD-2025-11987, CVSS 10.0, Risiko "kritisch").

IT-Verantwortliche, die die aktualisierte Software noch nicht installiert haben, sollten das Update nun schleunigst nachholen. Beide genannte Analysen bringen auch Indicators of Compromise (IOCs, Hinweise auf Angriffe) mit, anhand derer Admins prüfen können, ob ihre Systeme attackiert wurden.