Comretix Blog

SAP hat in der neunten Ausgabe seines diesjährigen Sicherheits-Patchdays einundzwanzig neue Sicherheitslücken behoben und stuft vier der Lücken als "HotNews", also besonders kritisch, ein. Administratoren und Managed-Service-Provider sollten schnell reagieren.

Die vier HotNews beziehen sich auf:

Weitere Sicherheitsflicken aus dem Hause SAP gibt es für SAP Commerce Cloud, Datahub, HCM, BusinessObjects, Fiori und weitere Produkte des Softwarekonzerns. Immerhin liefert dieser interessierten Dritten eine Übersicht der behobenen Probleme – für Details und Patches benötigen Betroffene jedoch ein SAP-Konto.

Erst kürzlich waren aktive Angriffe auf eine kritische S/4HANA-Schwachstelle bekannt geworden, unter unsicherer Deserialisierung litt hingegen ein bekanntes Produkt von Mitbewerber Microsoft. Der Sharepoint-Exploit "ToolShell" sorgte im vergangenen Juli für Aufregung und wirkt bis heute nach – etwa durch ein Datenleck bei Infoniqa.

Beim Hersteller des Medienservers Plex haben Cyberkriminelle Nutzerdaten geklaut. Das teilte die Plex Incorporated ihren Kunden per E-Mail mit. Die Angreifer hätten eine "begrenzte Teilmenge" der Daten einer Kundendatenbank unberechtigt abgerufen. Nun sind alle Plex-Nutzer aufgerufen, ihre Passwörter zu ändern und Medienserver neu zu verbinden.

Wie das Plex-Team weiter schreibt, sind E-Mail-Adressen, Benutzernamen und die Hashes der Passwörter abhandengekommen. Letztere seien "in Übereinstimmung mit anerkannten Praktiken" gehasht und somit nicht durch Angreifer lesbar. Kreditkartendaten seien nicht betroffen, versichern die Plex-Betreiber. Man habe den Vorfall schnell eingedämmt und die Sicherheitslücke geschlossen – den Datenabfluss aber nicht verhindern können.

Nutzer des selbst gehosteten Medienservers sollen unverzüglich ihr Passwort ändern und zudem alle verbundenen Geräte von ihrem Konto entkoppeln. Das betrifft alle Abspielgeräte (wie Smartphones, Tablets oder Smart-TVs), aber auch den Medienserver selbst, der dann neu an das Konto gebunden (im Plex-Jargon "claimed") werden muss. Für die Mehrarbeit entschuldigt sich das Plex-Team, rechtfertigt sie jedoch mit der erhöhten Kontosicherheit. Zudem legen sie ihren Kunden nahe, die Zwei-Faktor-Authentifizierung zu aktivieren.

Da die Kriminellen Benutzernamen und E-Mail-Adressen der Plex-Kunden erbeuteten, können sie jetzt sehr realistisch wirkende Phishing-Mails verfassen. Vor dieser Gefahr warnt der Sicherheitshinweis und weist darauf hin, dass man weder per E-Mail nach Passwörtern noch nach Zahlungsdaten frage.

In den Hilfeforen des Herstellers sowie im Plex-Subreddit häufen sich kurz nach der Ankündigung die Anfragen gestresster Kunden. Mehrere Betroffene konnten auf ihren Medienserver nach der Passwortänderung nicht mehr zugreifen, häufig aufgrund Besonderheiten bei containerbasierten oder NAS-Installationen. Wen nach der Passwortänderung ähnliche Schwierigkeiten plagen, der sollte zunächst den Support-Artikel sowie Foreneinträge wie diesen und diesen zu Rate ziehen.

Bereits zum dritten Mal seit 2023 wenden sich Wissenschaftlerinnen und Wissenschaftler von europäischen Forschungseinrichtungen in einem offenen Brief gegen EU-Pläne für eine sogenannte Chatkontrolle. In dem Schreiben an EU-Kommission und Europaparlament warnen rund 400 Forscher vor negativen Folgen für Sicherheit und Grundrechte.

Die Forscher nehmen Stellung zu den neuesten Entwürfen für eine Verordnung zur Chatkontrolle. Damit soll die Suche nach Darstellungen sexuellen Kindesmissbrauchs auf Endgeräten wie Smartphones verpflichtend werden – was nach Meinung der Wissenschaftler jegliche Ende-zu-Ende-Verschlüsselung und andere Methoden für Gerätesicherheit aushebelt.

Solche Mechanismen stellen nach Ansicht der Forschenden einen "single point of failure" dar, also einen Ansatzpunkt etwa für Schadsoftware. Zudem seien diese Detektoren nicht zuverlässig genug: "Bestehende Forschungsergebnisse bestätigen, dass Detektoren nach dem aktuellen Stand der Technik unannehmbar hohe Falsch-Positiv- und Falsch-Negativ-Raten aufweisen."

Auch KI sei dafür keine Lösung, weil sie unter anderem nicht erkennen könne, welche Parteien einander explizites Material schicken würden. Die Wissenschaftler verweisen hier auf Teenager, die einander eventuell Daten schicken könnten. Zudem böten heutige KIs ihrerseits eine große Angriffsfläche für Manipulation, die sich Kriminelle dann zunutze machen könnten, um die Mechanismen zu umgehen.

Überdies habe ein de-facto-Aus für verschlüsselte Chats auch Nebenwirkungen auf Menschen, die vertraulich kommunizieren müssen. Die Wissenschaftler nennen hier Politiker, Strafverfolger, Journalisten und Menschenrechtler. Diese seien auf Werkzeuge wie Signal angewiesen, das im Fall der Umsetzung der Chatkontrolle schon seinen Rückzug aus der EU angekündigt hat.

Ein großer Angriff auf die Lieferkette für Softwarepakete für die weit verbreitete Javascript-Laufzeitumgebung node.js ist am Montag entdeckt worden. Der Angreifer hat über den Paketmanager npm (vormals Node Package Manager) verschleierten Schadcode in zahlreiche populäre Pakete eingeschleust. Es dürfte sich um den bislang größten erfolgreichen Angriff auf npm handeln.

Bekannt sind rund 20 betroffene Pakete aus dem Repertoire des Entwicklers qix, die in Summe mehr als zwei Milliarden mal pro Woche (!) heruntergeladen werden. Schon allein dadurch wirkt der Angriff auf weite Teile des node.js-Universums. Zudem gibt es einen unbestätigten Hinweis darauf, dass auch Pakete anderer Entwickler mit Malware verunreinigt worden sein könnten.

Die bislang entdeckte und untersuchte Malware manipuliert laut JD Staerk bestimmte Browser-Routinen, um Daten im Webbrowser des Opfers abzufangen und zu manipulieren. Das trifft sowohl klassischen Netzwerk-Verkehr als auch solchen von und zu Programmierschnittstellen (API). Zusätzlich werden Routinen in gegebenenfalls installierten Browsererweiterungen für Kryptowährungsportemonnaies (Wallets) verändert.

Ziel des Angreifers ist offenbar der Diebstahl von Einheiten der Kryptowährungen Bitcoin (BTC), Bitcoin Cash (BCH), Ethereum (ETH), Litecoin (LTC), Solana (SOL) und Tron (TRX). Die Schadsoftware wartet auf Zeichenketten, die wie Wallet-Adressen aussehen, und ersetzt die legitimen Adressen durch andere Adressen, die mutmaßlich vom Angreifer kontrolliert werden.

Beauftragt das Opfer eine Überweisung über eine normale Webpage im Browser, ersetzt die Schadsoftware die Zieladresse durch eine falsche – aber nicht irgendeine, sondern eine, deren Zeichenkette optisch sehr ähnlich aussieht. Dazu bedient sich der Angreifer eines Algorithmus', der auf möglichst geringe Levenshtein-Distanz setzt. Das macht es menschlichen Augen schwer, die Unterschiede in der Zieladresse zu erkennen.

Mit wenigen Klicks sollte jedermann in die Lage versetzt werden, leicht Ende-zu-Ende-verschlüsselte E-Mails versenden zu können – die Idee hinter der Volksverschlüsselung war es, Verschlüsselung einem breiten Publikum zugänglich zu machen. Nun wird die kostenlose Volksverschlüsselung-Software nach jahrelangem Betrieb zum 31. Januar 2026 eingestellt. Das gab das Fraunhofer Institut für Sichere Informationstechnologie (Fraunhofer SIT) bekannt.

"Um unsere Ressourcen für neu zu entwickelnde zukunftsorientierte Sicherheitslösungen einsetzen zu können, haben wir uns entschieden, den Volksverschlüsselungsdienst nicht weiterzuführen", heißt es in einer kurzen Erklärung. Der Blick zurück aber fällt positiv aus. Gemeinsam mit seinen Partnern, darunter die Deutsche Telekom, habe man dazu beitragen können, IT-Sicherheit in Deutschland einfacher und alltagstauglicher zu machen, heißt es. Hinter der Open-Source-Anwendung Volksverschlüsselung verbirgt sich eine Infrastruktur, mit der Schlüssel erzeugt, zertifiziert und verteilt werden, damit Anwender eine Ende-zu-Ende-Verschlüsselung beim E-Mail-Versand nutzen können. E-Mails signieren und verschlüsseln sollte so für jede und jeden leicht handhabbar sein.

Für die aktuellen Nutzerinnen und Nutzer ändert sich trotz der Ankündigung zunächst wenig. Der Zugriff auf bestehende Installationen und Zertifikate bleibt bestehen. Ab dem 31. Januar kommenden Jahres aber ist die Registrierung neuer Nutzerinnen und Nutzer nicht mehr möglich. Auch werden ab diesem Zeitpunkt keine Updates oder Support-Leistungen mehr bereitgestellt. Diverse Dienste, wie der Verzeichnis- und Sperrdienst, werden dann eingestellt.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Signal-Backups werden besser: Beim Plattformwechsel zwischen Android und iOS war bislang stets mit einem Verlust des Chatarchivs des Signal-Messengers zu rechnen. Mit einer neuen Beta-Version des Messengers zieht ein hauseigener Cloud-Backup ein, mit dem sorgenfrei zwischen iPhones und Android-Geräten umgezogen werden können soll. Die Beta ist derzeit nur für Android-Geräte über Github als APK-Datei verfügbar.

Im Juni dieses Jahres hatte Signal bereits einen eigenen Cloud-Backupdienst angekündigt. Diesen will das Unternehmen selbst hosten und sämtliche Nachrichten und Medien mittels Ende-zu-Ende-Verschlüsselung absichern, sodass nur der Nutzer oder die Nutzerin mit einem entsprechenden Schlüssel Zugriff darauf erhält.

Ein Vorteil dieser neuen Backup-Funktion ist laut Signal, dass im Unterschied zu den bisherigen Lösungen ein unabhängiges Backup-Format zum Einsatz, das alle Clients lesen können. Damit ist es etwa möglich, Backups auf Android zu erstellen und auf iOS wiederherstellen zu können – oder umgekehrt.

Der Signal.-Messenger erhält neue Backup-Funktionen. Derzeit als Beta für Android.

(Bild: Signal)

Schwachstellenbeschreibungen vom Wochenende erörtern teils hochriskante Sicherheitslücken in Staubsaugerrobotern aus dem Hause Ecovacs. Für die betroffenen Deebot-Modelle stehen bereits seit einiger Zeit Updates bereit, die die Sicherheitslecks abdichten. Besitzer sollten sicherstellen, die Basisstationen und Saugroboter auf den aktuellen Stand zu bringen.

Die US-amerikanische IT-Sicherheitsbehörde CISA hatte bereits im Juli eine aktualisierte Sicherheitsmitteilung veröffentlicht, die die Schwachstellen beschreibt. Die gravierendste Schwachstelle betrifft die Basisstationen der Saugroboter. Diese validieren Firmware-Updates nicht, sodass bösartige Over-the-Air-Updates sich über eine unsichere Verbindung zwischen Saugroboter und Basisstation an die Basis schicken lassen (CVE-2025-30199 / EUVD-2025-27021, CVSS4 8.6, Risiko "hoch").

Zwei weitere Schwachstellen erhalten eine niedrigere Risikoeinstufung. Einmal nutzen die Ecovacs-Geräte einen hartkodierten kryptografischen Schlüssel, mit dem Roboter und Basis eine WPA2-PSK-geschützte WLAN-Verbindung untereinander aufbauen – der Schlüssel lässt sich einfach aus der Geräte-Seriennummer ableiten (CVE-2025-30198 / EUVD-2025-27020, CVSS4 5.3, Risiko "mittel"). Dasselbe gilt aber auch für eine AES-verschlüsselte Verbindung zwischen den Geräten (CVE-2025-30200 / EUVD-2025-27023, CVSS4 5.3, Risiko "mittel").

Die Schwachstellen wurden bereits initial am 8. Mai von Ecovacs gemeldet. Im Juli standen dann für betroffene Geräte Firmware-Updates bereit. In den Fassungen 2.5.38 für X1S Pro und X1 Pro Omni, 2.4.45 für den X1 Omni und Turbo, 1.11.0 für die T10-Baureihe, 1.25.0 für die T20-Reihe und 1.100.0 für die T30-Baureihe der Deebot-Saugroboter und -Basisstationen sind die aufgelisteten Fehler korrigiert. Zum Wochenende wurden nun die CVE-Schwachstelleneinträge veröffentlicht.

Normalerweise sollte das automatische Update die entsprechenden Firmwares bereits angeboten haben. Wer die Updates noch nicht installiert hat, sollte das jedoch umgehend nachholen.

Angreifer missbrauchen eine kritische Sicherheitslücke in SAPs ERP-System S/4HANA. Sie können dadurch Schadcode einschleusen. SAP hatte zum August-Patchday ein Update veröffentlicht, mit dem IT-Verantwortliche die Schwachstelle ausbessern können.

IT-Sicherheitsforscher von SecurityBridge schreiben in einer Mitteilung, dass sie einen Exploit in freier Wildbahn entdeckt haben. Sie konnten zudem verifizieren, dass bösartige Akteure im Internet den Exploit einsetzen. Daher "ist unmittelbares Patchen zwingend erforderlich", schreiben die Autoren.

Die attackierte Schwachstelle hat den CVE-Eintrag CVE-2025-42957 erhalten (EUVD-2025-24203, CVSS 9.9, Risiko "kritisch"). SAP selbst beschrieb die Auswirkung als "Backdoor mit dem Risiko der vollständigen Kompromittierung des Systems". Kurzgefasst können Angreifer mit niedrigen Rechten im System die vollständige Kontrolle darüber übernehmen. Diese Zugriffsrechte können sie beispielsweise mittels Phishing erlangen, die Lücke lässt sich über das Netz ohne weitere Nutzerinteraktion missbrauchen.

Ein weitverbreiteter Missbrauch sei noch nicht gemeldet worden, schreiben die IT-Forscher. Jedoch haben sie konkreten Missbrauch der Schwachstelle verifizieren können. Angreifer wissen demnach, wie der Exploit zu nutzen ist, was nicht gepatchte SAP-Systeme dem ausliefere. Außerdem sei es ein Leichtes, den Patch von SAP mittels Reverse Engineering für die Erstellung eines Exploits zu nutzen, da der SAP ABAP-Code offen für jeden einsehbar sei.

Die Security-Bridge-Mitarbeiter empfehlen als Gegenmaßnahme, so schnell wie möglich die Sicherheitsupdates vom SAP-Patchday im August anzuwenden. Admins sollten zudem die Implementierung von SAP UCON zur Einschränkung der Nutzung von RFC in Betracht ziehen und den Zugriff auf das Objekt "S_DMIS activity 02" begrenzen. Die Überwachung der Log-Dateien und Prüfung auf verdächtige RFC-Aufrufe, neuer Admin-Nutzer oder unerwartete ABAP-Code-Änderungen empfehlen sie weiter. Allgemein sei eine Härtung der Systeme mittels Segmentierung, Backups und SAP-spezifischem Monitoring anzuraten.

Eine frei verfügbare Malware namens Stealerium hält für Opfer eine besonders unangenehme Bedrohung bereit. Die Schadsoftware ist dazu in der Lage, nach einer Infektion zu erkennen, wenn der Nutzer im Browser pornografische Seiten aufruft. Wenn dies erkannt wird, fertigt die Software heimlich Screenshots und Webcam-Aufnahmen an, die per Internet verschickt werden. Damit können Cyberkriminelle an Aufnahmen gelangen, mit denen sie ihre Opfer später erpressen können.

Bereits seit Jahren kursierten Scam-E-Mails, die vorgeben, dass Kriminelle an Fotos von einer Selbstbefriedigung des Nutzers vor dem Computer gelangt seien. Damit sollten die Opfer dazu erpresst werden, Geldzahlungen zu leisten. Allerdings handelte es sich hierbei nur um einen Bluff.

Die Gefahr, die von Stealerium ausgeht, sei hingegen real, befinden Sicherheitsforscher der Firma Proofpoint, die die auf GitHub frei verfügbare Malware untersucht haben. Die in der Programmiersprache C# verfasste Software wird dabei zunächst auf klassischem Wege verbreitet, indem Opfer eine E-Mail mit einem Anhang erhalten, die sie öffnen sollen. Statt eines Bestellbogens oder einer Tabelle installiert sich in Wirklichkeit die Malware.

Stealerium verfüge über eine Vielzahl von Funktionen, um das Gerät des Opfers nach verwertbaren Informationen zu durchsuchen. Dazu zählen ein Keylogger, der Tastatureingaben aufzeichnet, das Auslesen von Bank- und Kryptowährungsdaten, das Ausspähen von Passwörtern, der Zwischenablage und Browser-Datenbanken. Inmitten dieser vielen Funktionen verbirgt sich die Webcam-Funktion zur sogenannten Sextortion (Erpressung, bei der Täter mit der Veröffentlichung von Nacktfotos des Opfers drohen). Die Malware sei in der Lage, verschiedene Schutzmechanismen eines Computers auszuhebeln und zu umgehen.

Die gefundenen Daten verschickt Stealerium wahlweise per E-Mail, über Discord, Telegram oder andere Dienste. Seit Mai 2025 sei eine vermehrte Zahl von Stealerium-basierten Angriffen zu verzeichnen. Der anonyme Urheber der Malware hat diese angeblich zu "Bildungszwecken" online gestellt.

Eine Zertifizierungsstelle (CA) aus Kroatien hat mehrere Zertifikate für die IP-Adresse 1.1.1.1 ausgestellt, ohne die notwendige Genehmigung dafür eingeholt zu haben. Die Adresse gehört zu Cloudflares frei nutzbarem DNS-Server, der auch Anfragen per verschlüsselter HTTP-Verbindung entgegennimmt. Publik wurde der Lapsus eher zufällig, die CA leistete sich jedoch noch mehr Schnitzer.

Digitale Zertifikate sind essenziell für die sichere Kommunikation im Web, daher ist ihre Vergabe an strenge Richtlinien gebunden. Die kroatische CA Fina hielt sich an diese Richtlinien offenbar nicht immer – und das, obwohl sie zumindest in Microsoft-Browsern und der EU-Infrastruktur für qualifizierte Webseiten-Zertifikate (QWAC) als vertrauenswürdig gilt.

Vertrauen unbegründet? Diese Produkte und Infrastrukturen akzeptieren von der Fina-CA ausgestellte Zertifikate.

Ein Nutzer des Forums Hacker News fand ein von Fina ausgestelltes Zertifikat, das ihm seltsam vorkam und mit dem er eine weitreichende Untersuchung in Gang setzte. Es war für die IP-Adresse 1.1.1.1 ausgestellt, die das US-Unternehmen Cloudflare seit 2018 für einen freien DNS- und VPN-Dienst verwendet. Dieser unterstützt auch DNS over HTTPS (DoH) und braucht dafür ein gültiges Zertifikat. Das stammt jedoch nicht von Fina, sondern von DigiCert – die kroatische CA hatte die IP-Adresse offenbar nur für Testzwecke verwendet.

Das hätte sie aber nicht gedurft. Denn: Um ein digitales Zertifikat zu erhalten, muss der Antragsteller seine Berechtigung am Subjekt des Zertifikats – üblicherweise eines vollqualifizierten Domainnamens (FQDN) oder einer IP-Adresse – nachweisen. Das gilt auch, wenn die CA selber ein Zertifikat ausstellt, etwa zu Testzwecken. Und so landete der Vorgang rasch auf der zuständigen Mailingliste des Browserherstellers Mozilla und rief die Experten auf den Plan.

Zum 1. Oktober 2025 will Microsoft die Anmeldung mit zweitem Faktor, die Mehrfaktorauthentifizierung oder kurz MFA, für weitere Azure-Cloud-Dienste zwingend einführen. Die Phase 1 der MFA-Erzwingung startete im Februar dieses Jahres, sie brachte die verbesserte Sicherheit für das Azure-Portal, Microsofts Entra-Admin-Center und das Intune-Admin-Center.

In einem Support-Artikel zu Entra-ID hat Microsoft jetzt die aktualisierten Daten vorgestellt. Demnach kommen die Dienste Azure CLI, Azure PowerShell, Azure Mobile App, IaC-Tools und REST-API-Endpunkte zu denjenigen hinzu, für die Microsoft eine erzwungene MFA vorsieht. Zumindest für die Operationen Create, Delete oder Update. Read-Operationen benötigen keine MFA, erörtert Microsoft, das weicht davon ab, was für die Phase-1-Apps gilt.

Auch für „Notfallzugriffskonten“ gelte die MFA-Anforderung, weshalb die Redmonder empfehlen, für diese bereits jetzt Passkeys (FIDO2) oder zertifikatsbasierte Authentifizierung einzurichten. Beides genüge den MFA-Anforderungen. Wer nutzerbasierte Konten für Dienste verwendet, sollte diese zudem auf "Workload Identities" migrieren, was in der Regel Anpassungen an Skripten und Automatisierungsprozessen erfordert.

Microsoft bietet betroffenen Kunden an, gegebenenfalls mehr Zeit für die MFA-Vorbereitungen zu erhalten. Das gilt für Kunden mit komplexen Umgebungen oder technischen Hürden. Die Phase 1 können sie bis zum 30. September hinauszögern. Das sorgt gleichzeitig dafür, dass Phase 2 bis zum selben Zeitpunkt verschoben wird. Für Phase 2 lässt sich jedoch ein späterer Startzeitpunkt auswählen – maximal bis zum 1. Juli 2026. Die Auswahl erlaubt dabei Drei-Monats-Sprünge.

Microsofts Artikel liefert noch Handreichungen für Admins, wie sie die MFA-Anforderungen erfüllen und etwa Tests ihrer Umgebungen vornehmen können. Zudem geben die Redmonder Hinweise, etwa für Anpassungen bei OAAuth-Systemen oder den Umgang mit föderierten Identitätsprovidern.

Google hat Best Practices für Entwicklerinnen und Entwickler vorgestellt, die die User ihrer Apps zu Passkeys migrieren möchten. Passkeys werden zunehmend beliebter, da sie sicherer sind als Passwörter – zum Beispiel vor Phishing-Angriffen schützen – und dabei eine hohe Benutzerfreundlichkeit aufweisen. Bei der Anwendung von Passkeys kann der Sign-in zu Apps und Websites mittels biometrischem Sensor – etwa per Fingerabdruck oder Gesichtserkennung –, PIN oder Muster erfolgen.

Für Android-Developer steht die Jetpack-API Credential Manager bereit, um Usern die Passkey-Anwendung zu ermöglichen, während sie gleichzeitig traditionelle Sign-in-Methoden wie Passwörter unterstützt.

(Bild: Alexander Supertramp/Shutterstock.com)

Nvidias KI- und Netzwerktechnik BlueField, ConnectX, Cumulus Linux, DGX, DOCA, HGX und Mellanox DPDK sind verwundbar. Nach erfolgreichen Attacken können sich Angreifer in den meisten Fällen höhere Nutzerrechte erschleichen. Bislang gibt es noch keine Berichte zu laufenden Attacken. Sicherheitspatches sind verfügbar.

Wie aus einer Warnmeldung hervorgeht, gilt eine Lücke (CVE-2025-23256, Risiko "hoch") in BlueField am gefährlichsten. Hier können Angreifer unter anderem Daten manipulieren. Dafür müssen sie aber lokalen Zugriff auf das Managementinterface haben. Ist das gegeben, können sie an einer kaputten Authentifizierung ansetzen und sich so unbefugt Zugriff verschaffen, um die Konfiguration des Systems zu manipulieren. Wie solche Angriffe konkret ablaufen könnten, ist bislang unklar.

Über die Schwachstellen in DOCA (CVE-2025-23257 "hoch", CVE-2025-23258 "hoch") können sich Angreifer höhere Nutzerrechte verschaffen. Damit das klappt, müssen sie aber bereits über niedrige Rechte verfügen. Auf Mellanox DPDK, ConnectX und Cumulus Linux sind unter anderem DoS-Attacken möglich. Klappt ein solcher Angriff, stürzen Dienste oder Services ab. Außerdem können Angreifer auf eigentlich abgeschottete Daten zugreifen. Im Kontext von DGX und HGX sind ebenfalls für DoS-Angriffe anfällig.

Die Nennung aller Sicherheitspatches sprengt den Rahmen dieser Meldung. Nvidia hat sie in ihren Warnmeldungen aufgelistet. Um mögliche Attacken vorzubeugen, sollten Admins sicherstellen, dass ihre Systeme auf dem aktuellen Stand sind.

Erst kürzlich haben die Entwickler von Nvidia mehrere Sicherheitslücken in KI-Software wie Apex und Megatron LM geschlossen.

In WhatsApp-Gruppen versuchen Betrüger, an das Geld potenzieller Opfer zu gelangen. Davor warnt aktuell die Verbraucherzentrale Nordrhein-Westfalen. Es handelt sich um Anlagebetrug.

Die Verbraucherzentrale gibt in ihrer Warnung an, zahlreiche Berichte von Betroffenen erhalten zu haben. Demnach wurden sie über WhatsApp-Gruppen in vermeintlich lukrative Geldanlagen gelockt. In den Chats werden sie aufgefordert, bestimmte Kryptowährungen zu erstehen oder auf Online-Handelsplattformen damit zu handeln, oder bestimmte Finanzprodukte zu kaufen. Die Opfer verlieren dabei viel oder alles eingesetzte Geld, anstatt die versprochenen Gewinne einzufahren.

Die Betrüger missbrauchen dabei bekannte Markennamen in den WhatsApp-Gruppen, etwa von bekannten Finanzunternehmen, Börsen- und Finanzexpertinnen und -Experten, Promis oder Politikern. Damit locken die Täter Opfer in die WhatsApp-Gruppen, erklärt die Verbraucherzentrale. Sie werden mit schönen Geschichten geködert: Ein Prominenter habe etwa großen Erfolg mit einem bestimmten Anlagemodell gehabt, oder eine vermeintliche Börsenexpertin erkläre, warum jetzt eine bestimmte Aktie gekauft werden soll. Die missbrauchten Namen haben nichts mit der WhatsApp-Gruppe und den dort beworbenen Angeboten zu tun. Betroffene können in der Regel nicht einmal nachvollziehen, wer tatsächlich hinter den WhatsApp-Gruppen steckt und die dubiosen Empfehlungen gibt.

Die Betrüger arbeiten mit weiteren psychologischen Tricks. So suggerieren sie etwa den Gruppenmitgliedern, zu einer exklusiven Gruppe mit nur begrenzter Mitgliederzahl zu gehören. Sie könnten sich glücklich schätzen, ausgewählt worden zu sein. Wenn die Mitglieder den Anweisungen der angeblichen Experten folgen, könnten sie hohe Gewinne erwarten. Die Gruppen betreut nach Erkenntnissen der Verbraucherzentrale eine Assistenz, es gebe einen regelmäßigen Austausch über Tage und Wochen. Sie beantwortet Fragen und stellt das vermeintliche Anlagemodell näher vor, es gebe sogar Trainings und Workshops dazu.

Die Betrügereien nutzen unterschiedliche Vehikel, den Opfern ihr Geld abzunehmen. Etwa unseriöse Tradingplattformen, auf denen Opfern gelegentlich zunächst sogar kleine Gewinne angezeigt werden, sodass sie größere Summen überweisen – die dann jedoch nicht angelegt werden, sondern bei den Betrügern landen. Eine weitere Variante bringt Opfer dazu, an einer seriösen Kryptobörse Geld in einen Stablecoin zu investieren – und diesen dann auf eine Wallet der Betrüger zu transferieren, womit das Geld ebenfalls futsch ist.

Die US-amerikanische IT-Sicherheitsbehörde CISA warnt vor derzeit laufenden Angriffen auf Schwachstellen in Android, Linux und Sitecore. IT-Verantwortliche sollten die bereitstehenden Updates installieren, um die Lücken abzudichten.

Details nennt die CISA in ihrer Meldung nicht, sondern schreibt lediglich, auf welche Sicherheitslücken bereits Angriffe beobachtet wurden. Etwa im Linux-Kernel attackieren bösartige Akteure eine Time-of-Check Time-of-Use (TOCTOU)-Schwachstelle. Der Beschreibung nach handelt es sich um eine Race-Condition bei den Posix-TImern in den Funktionen handle_posix_cpu_timers() und posix_cpu_timer_del() (CVE-2025-38352 / EUVD-2025-22297, CVSS 7.4, Risiko "hoch"). Informationen zu der Schwachstelle sind seit dem 22. Juli des Jahres bekannt; Patches stehen bereit, die die Linux-Distributionen seitdem aufnehmen konnten. Anfällig sind laut Enisa-Eintrag die Linux-Versionen bis 2.6.36, 5.4.295, 5.10.239, 5.15.186, 6.1.142, 6.6.94, 6.12.34, 6.15.3, 6.16-rc2 und 6.16.

Im Android-Betriebssystem können Angreifer aufgrund einer Use-after-Free-Schwachstelle aus der Chrome-Sandbox ausbrechen und system_server von Android attackieren. Das mündet in einer Rechteausweitung und erfordert keinerlei Nutzerinteraktion (CVE-2025-48543 / EUVD-2025-26791, CVSS 8.8, Risiko "hoch"). Die Lücke hat Google mit den Updates zum September-Patchday geschlossen. Sie betrifft Android 13, 14, 15 und 16.

Zudem bestätigt die CISA auch den Missbrauch einer Schwachstelle im Sitecore-CMS. Es handelt sich um eine Schwachstelle des Typs "Deserialisierung nicht vertrauenswürdiger Daten", durch die Angreifer Schadcode einschleusen können, der zur Ausführung gelangt (CVE-2025-53690 / EUVD-2025-26629, CVSS 9.0, Risiko "kritisch"). Die hat Mandiant bei der Untersuchung eines Angriffs entdeckt. Sie basiert auf einer fehlerhaften Konfiguration mit Beispiel-Maschinen-Schlüsseln in ASP.NET. Gegenmaßnahmen finden sich in unserer Schwachstellenmeldung.

Da Aktualisierungen zum Stopfen der Sicherheitslecks bereitstehen, sollten IT-Verantwortliche nicht zögern, diese auch anzuwenden.

Am 12. September wird der Data Act der EU wirksam. Es steht zu befürchten, dass viele Unternehmen darauf kaum vorbereitet sind. In Episode 142 des c't-Datenschutz-Podcasts diskutieren Redakteur Holger Bleich und heise-Justiziar Joerg Heidrich mit Carolin Loy vom Bayerischen Landesamt für Datenschutzaufsicht über die weitreichenden Folgen der neuen Verordnung.

Carolin Loy von der bayerischen Datenschutzaufsicht in der Auslegungssache

Der Data Act soll Datensilos aufbrechen und Nutzern Zugang zu Daten verschaffen, die bei der Verwendung vernetzter Geräte entstehen, vom Auto über die Kaffeemaschine bis zur Solaranlage. Bisher kontrollieren viele Hersteller diese Daten exklusiv. Künftig müssen sie sie auf Verlangen herausgeben, auch an Dritte. Die EU-Kommission erhofft sich davon jährlich mehr als 200 Milliarden Euro zusätzliches Wirtschaftswachstum durch neue datenbasierte Geschäftsmodelle.

Die praktische Umsetzung stellt Unternehmen vor massive Probleme. Sie müssen ab sofort Datenlizenzverträge mit Nutzern schließen und Schnittstellen zur Datenherausgabe schaffen. Die von der EU-Kommission versprochenen Mustervertragsklauseln existieren zehn Tage vor dem Stichtag nur als Entwurf. "Das schadet vor allem denjenigen, die das Gesetz anwenden müssen", kritisiert Loy die mangelhafte Vorbereitung.

Besonders komplex stellt sich die Abgrenzung von personenbezogenen und nicht-personenbezogenen Daten dar. Bei personenbezogenen Daten greift weiterhin die DSGVO mit Vorrang. Das heißt, Unternehmen benötigen eine Rechtsgrundlage für die Herausgabe. Dies führt zu einem Dilemma: Verweigern sie die Herausgabe mangels Rechtsgrundlage, verstoßen sie möglicherweise gegen den Data Act. Geben sie Daten ohne Rechtsgrundlage heraus, verletzen sie die DSGVO.

Sicherheitsforscher weisen auf eine Kampagne offenbar nordkoreanischen Ursprungs hin, die das Ziel hat, an neuen Jobs interessierten Personen Kryptowährung zu stehlen. Dabei kontaktieren falsche Personalvermittler Beschäftigte der Kryptobranche, etwa auf der Plattform LinkedIn, und bieten diesen neue Stellen an. Doch es geht nur darum, Zugang zu den PCs der Interessenten zu erlangen, um diese um digitale Güter zu erleichtern.

Nordkorea wird schon seit Langem vorgeworfen, mit dem Diebstahl von Kryptowährung sein sanktioniertes Waffenprogramm zu finanzieren. Die Regierung in Pyongyang bestreitet dies jedoch regelmäßig. Überwiegend wird Nordkorea beschuldigt, dass Agenten des Landes als falsche IT-Fachkräfte in zahlreichen US-Firmen per Homeoffice arbeiten, um mit ihren Gehältern Einnahmen für die nordkoreanische Regierung zu generieren. Diese Kampagne wurde offenbar auch auf Europa ausgeweitet. Im Herbst letzten Jahres warnte der Verfassungsschutz deutsche Firmen vor angeblichen Freelancern aus Nordkorea.

Jetzt berichtet Reuters von einer anderen Kampagne Nordkoreas zur Finanzierung des Landes. Durch "Social Engineering" werden potenziell wechselwillige Mitarbeiter von vermeintlichen Personalvermittlern angesprochen, die ihnen neue Jobs anbieten. Ziele sind vorrangig in der Kryptobranche beschäftigte Personen, sodass es sich oft um Stellen mit Bezug zur Blockchain handelt. Oft wird ein Kontakt über Netzwerke wie LinkedIn oder auch Telegram hergestellt.

Betroffene beschreiben den Prozess nach der ersten Kontaktaufnahme als zunächst typischen Austausch über Einzelheiten zur Tätigkeit und der Vergütung. Dann aber versucht der vermeintliche Personalvermittler, den Bewerber auf eine obskure Webseite zu leiten, um dort einen Eignungstest durchzuführen und ein Video aufzuzeichnen. Vielen Interessenten kam dies verdächtig vor. Warum kein Bewerbungsgespräch auf einer bekannten Videoplattform wie Teams oder Zoom?

Während die meisten der Betroffenen den Kontakt an dieser Stelle abgebrochen haben, berichtet ein Produktmanager einer US-Kryptofirma, der anonym bleiben wollte, dass er den Anweisungen des angeblichen Personalvermittlers gefolgt ist und das Video aufgenommen hat. Am Abend desselben Tages stellte er jedoch fest, dass seiner digitalen Wallet, die er auf seinem Computer speichert, Ethereum und Solana im Wert von rund 1000 US-Dollar fehlten. Das LinkedIn-Profil des angeblich bei der Blockchainfirma Ripple Labs beschäftigten Personalvermittlers war ebenfalls verschwunden.

Cyberkriminelle und staatliche Angreifer setzen immer häufiger auf KI zur Unterstützung ihrer digitalen Attacken. Wie sehr ihnen Veröffentlichungen von Sicherheitsforschern dabei die Arbeit erleichtern, haben nun Sicherheitsforscher von Trend Micro untersucht. Sie spannten unbeschränkte Large Language Models (LLMs) ein, um anhand eigener Blog-Beiträge Malware zu schreiben.

Dass sich Schadsoftware-Autoren Inspiration bei ihren Gegenspielern in Sicherheitsunternehmen holen, ist bekannt, etwa aus den Conti-Leaks. Die Befürchtung: Mit KI-Unterstützung müssen Cyberkriminelle mittlerweile weder lesen noch programmieren können. Sie verfüttern einfach detaillierte Sicherheitsanalysen an ein LLM und lassen sich Schadsoftware schreiben. Ob das klappt, untersuchten Mitarbeiter der Securityfirma Trend Micro.

Dazu nahmen sie die Softwaresammlung einer in Asien und Lateinamerika aktiven Cyberbedrohung namens "Earth Alux" als Vorbild für eine Nachahmer-Malware. In ihrem Experiment nutzten die Forscher LLMs, die keine Beschränkungen (Guardrails) gegen die Erstellung maliziöser Programme enthalten. Die mussten sie mitnichten in dunklen Ecken besorgen – sie stehen auf Hugging Face zum Download zur Verfügung. Der resultierende Quellcode benötigte jedoch noch etwas Nacharbeit, die kriminelle Karriere bedarf also nach wie vor etwas Fachwissens. Doch ähnelte der Schadsoftware-Klon seinem Vorbild in jedem veröffentlichten Detail.

Attraktiv scheint dieses "Nachahmer-Vibecoding" also nicht vorrangig für Einsteiger ins digitale Verbrechen, sondern eher für Gruppierungen, die Ermittler auf falsche Fährten locken wollen. So könnten sie Angriffe mittels nachgeahmter Taktiken, Techniken und Prozeduren (TTPs) einer feindlichen Gruppe unterschieben, was die ohnehin oft wacklige und chaotische Attributierung weiter erschwert.

Malware-Vibecoding mit Cline: Aus einem Blogartikel baut das Programmier-LLM eine Schadsoftware.

Das als Cloud- und On-Premises-Lösung verfügbare CMS Sitecore Experience Manager (XM) und Sitecore Experience Platform (XP) ist von einer kritischen Schwachstelle betroffen. Angreifer können ohne vorherige Anmeldung Schadcode einschleusen und ausführen. Offenbar wird die Lücke bereits im Internet angegriffen.

Sitecore beschreibt das Problem in einer Sicherheitsmitteilung. Es handelt sich um eine Schwachstelle des Typs "Deserialisierung nicht vertrauenswürdiger Daten", durch die Angreifer Schadcode einschleusen können, der zur Ausführung gelangt (CVE-2025-53690 / EUVD-2025-26629, CVSS 9.0, Risiko "kritisch"). Mandiant hat einen aktiven Angriff auf eine sogenannte "ViewState Deserialisation" im Sitecore-CMS untersucht und dabei die Sicherheitslücke entdeckt. In Anleitungen zur Einrichtung von Sitecore aus dem Jahr 2017 und davor wurde ein Beispiel-Machine-Key genutzt – den dadurch offengelegten ASP.NET-Machine-Key haben Angreifer zur Ausführung von Code aus dem Netz missbraucht, erklären die IT-Forscher.

Es handelt sich damit um eine verwundbare Konfiguration von Sitecore, die Kunden betrifft, die eine anfällige Sitecore-Version mit dem Beispiel-Key in den öffentlichen Anleitungen ausgestattet haben; insbesondere SItecore XP 9.0 und Active Directory 1.4 und jeweils frühere Versionen hebt Mandiant hervor. Den genauen Angriffsverlauf erörtern die IT-Sicherheitsforscher in der Analyse, dort nennen sie auch einige Indizien für eine Infektion (Indicators of Compromise, IOCs).

Als potenziell anfällig nennt Sitecore in der Sicherheitsmitteilung Experience Manager (XM), Experience Platform (XP), Experience Commerce (XC) und Managed Cloud. Wer mit diesen Software-Paketen die Installationsanleitungen für XP 9.0 und AD 1.4 oder früher zusammen mit dem Sample-Machine-Key eingesetzt hat, der etwa mit der Zeichenkette "BDDFE367CD..." anfängt und einen Validation Key "0DAC68D020..." nutzt, sollte umgehend handeln.

Sitecore empfiehlt dann, die Umgebung auf verdächtiges oder anormales Verhalten zu untersuchen, die Machine-Keys in der "web.config"-Datei zu ersetzen, zudem sicherzustellen, dass alle System-<machineKey>-Elemente der "web.config" verschlüsselt sind, Zugriff auf die "web.config" auf Admins beschränken und anschließend das regelmäßige Austauschen statischer Machine-Keys umsetzen.

Angreifer können kritische Infrastrukturen mit industriellen Kontrollsystemen (ICS) von Delta Electronics, Fuji Electric, Hitachi und SunPower attackieren. Beispielsweise im Energiesektor können erfolgreiche Attacken weitreichende Folgen für die Bevölkerung haben. Dementsprechend sollten Admins die bislang nur teilweise verfügbaren Sicherheitsupdates zeitnah installieren.

Auf die Sicherheitslücken und die von ihnen ausgehenden Gefahren weist die US-Sicherheitsbehörde Cybersecurity & Infrastructure Security Agency (CISA) in einem Beitrag hin.

Am gefährlichsten gilt eine "kritische" Lücke (CVE-2025-9696) im System zur Überwachung von Solaranlagen SunPower PVS6, für die es bislang keinen Sicherheitspatch gibt. Aufgrund von hartcodierten Zugangsdaten können Angreifer in Bluetooth-Reichweite Geräte vollständig kompromittieren und sich etwa einen Fernzugriff via SSH einrichten. Die CISA gibt an, dass ihnen bislang keine Attacken bekannt sind. Davon sind die Versionen bis einschließlich 2025.06 build 61839 betroffen. Wann ein Update erscheint, ist bislang unklar.

Hitachi Energy Relion 650, 670 und SAM600-IO sind für DoS-Attacken (CVE-2025-2403 "hoch") empfänglich. An dieser Stelle sollen Angreifer kritische Funktionen wie Line Distance Communication Module (LDCM) lahmlegen können. Die Sicherheitsupdates sind in einer Warnmeldung aufgelistet.

Auf Fuji Electric FRENIC-Loader 4 sind Schadcode-Attacken (CVE-2025-9365 "hoch") möglich. Die Ausgabe ab 1.4.0.1 ist dagegen gerüstet. Delta Elcetronics EIP Builder kann sensible Informationen leaken (CVE-2025-57704 "mittel). Die Version 1.12 enthält ein Sicherheitsupdate.