Comretix Blog

Fortinet berichtet über eine aktuelle Variante, mit der sich Angreifer in Firewalls des Herstellers einnisten und Persistenz erreichen. IT-Forscher haben derweil mehr als 14.000 kompromittierte Fortinet-Firewalls weltweit aufgespürt.

In einem Blog-Beitrag erörtert Fortinet, dass Angreifer bekannte Sicherheitslücken in der VPN-Komponente der Fortinet-Firewalls zum Einsteigen in die Netzwerke missbraucht haben. Die konkret untersuchten Fälle betrafen Sicherheitslücken in FortiOS SSL-VPN (CVE-2022-42475, CVSS 9.3, Risiko "kritisch"), FortiOS und FortiProxy SSL-VPN (CVE-2023-27997, CVSS 9.2, Risiko "kritisch") sowie im sslvpnd von FortiOS und FortiProxy (CVE-2024-21762, CVSS 9.6, Risiko "kritisch").

Solche Angriffe sind nicht ungewöhnlich. Was für die Fortinet-Analysten neu war, ist, wie sich die Angreifer eingenistet haben. Sie haben auf erfolgreich attackierten FortiGate-Geräten einen Symlink (symbolic link) zwischen dem User-Dateisystem und dem root-Dateisystem in einen Ordner für Sprachdateien des SSL-VPNs erstellt. Der Symlink wurde im User-Dateisystem erstellt und versuchte so, der Entdeckung zu entgehen. Selbst nach dem Anwenden von Aktualisierungen zum Schließen der angegriffenen Schwachstelle konnte der Symlink erhalten bleiben und den Angreifern lesenden Zugriff auf das Dateisystem – einschließlich der Konfiguration – ermöglichen. Wenn das SSL-VPN nie aktiviert war, ist dieser Angriff jedoch nicht möglich, erklärt Fortinet.

Fortinet hat eine Signatur erstellt, die diese Symlinks entfernen soll, außerdem soll auch die SSL-VPN-Software angepasst worden sein, sie auszufiltern. Kunden, die als davon betroffen erkannt wurden, hat Fortinet zudem darüber informiert. Die Aktualisierung auf FortiOS 7.6.2, 7.4.7, 7.2.11, 7.0.17 sowie 6.4.16 korrigiert das Problem auf jeweils angepasste Weise. Zudem sollen IT-Verantwortliche die Konfiguration der Geräte überprüfen.

Auf X hat die Shadowserver Foundation zudem tausende aktuell kompromittierte Fortinet-Geräte gemeldet. Die meisten betroffenen Maschinen stehen in den USA (1.500), Deutschland war am vergangenen Freitag mit 233 unterwanderten Fortinet-Geräten auf Platz 18 der Liste zu finden. Am Montag waren rund 14.600 Fortinet-Systeme weltweit kompromittiert, zeigt die aktuelle Statistik von Shadowserver.

Die EU-Kommission hat einige Angestellte für Besuche in den USA mit Wegwerfhandys und einfachen Laptops ausgestattet, um das Spionagerisiko zu minimieren. Das berichtet zumindest die Financial Times unter Berufung auf mehrere eingeweihte Personen und erklärt, dass derartige Maßnahmen bislang eigentlich nur für Reisen nach China oder in die Ukraine vorgesehen sind, wo die Gefahr russischer beziehungsweise chinesischer Spionage besteht. Die Kommission selbst hat dem Bericht zufolge bestätigt, dass die Sicherheitshinweise für die USA angepasst wurden, aber gleichzeitig versichert, dass es keine offizielle Anweisung zur Nutzung von Wegwerfhandys gebe. Dass solche Geräte ausgegeben wurden, sei aber nicht dementiert worden.

In Brüssel sei man besorgt, dass die USA "in Systeme der Kommission eindringt", zitiert die britische Zeitung einen anonymen EU-Angestellten. Das unterstreicht, wie massiv sich die Beziehungen zwischen der Europäischen Union und den USA seit Amtsantritt von Donald Trump verschlechtert habe. Der US-Präsident wirft Europa unfaire Handelspraktiken vor und hat die Zölle auf Waren aus dem Staatenbund vorübergehend erhöht. "Die transatlantische Allianz ist beendet", habe gar ein EU-Angestellter gesagt, der ebenfalls nicht namentlich genannt werden will. Gleichzeitig erinnert die Zeitung aber daran, dass vor Jahren der Vorwurf für Verstimmung gesorgt hat, dass US-Geheimdienste die damalige deutsche Bundeskanzlerin Angela Merkel ausspioniert haben.

Die neuen Sicherheitshinweise für Reisen in die USA kommen jetzt nur wenige Tage vor den Flügen von zwei EU-Kommissaren und einer EU-Kommissarin über den Atlantik, schreibt die Zeitung noch. Valdis Dombrovskis, Maria Luís Albuquerque und Jozef Síkela wollen an Treffen des Internationalen Währungsfonds und der Weltbank teilnehmen. Zwar dürfte deren Einreise unproblematisch verlaufen, aber für weniger hochrangige Personen könnte das anders sein. Die Financial Times verweist noch darauf, dass Grenzbeamte und -beamtinnen der USA das Recht haben, Elektronik von Einreisenden zu konfiszieren und zu durchsuchen. Einigen sei danach die Einreise verweigert worden, weil darauf Kritik an Donald Trump gefunden wurde.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Die steigende Zahl komplexer Cyberangriffe, zunehmende geopolitische Spannungen und die Abhängigkeit von wenigen Technologieanbietern gefährden die Sicherheit und Beständigkeit digitaler Infrastrukturen in der öffentlichen Verwaltung. Zu diesem Schluss kommen das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Zentrum für Digitale Souveränität der Öffentlichen Verwaltung (ZenDiS).

In einem gemeinsamen Strategiepapier schlagen BSI und ZenDiS Gegenmaßnahmen vor, mit denen ein höheres Sicherheitsniveau für Softwareprodukte erreicht werden soll. Open Source sieht man dabei als Grundlage für die digitale Souveränität.

Die unter anderem vom BSI ins Leben gerufene Plattform openCode ist zentraler Baustein des neuen Sicherheitskonzeptes. Sie soll durch verbindliche Sicherheitsstandards und standardisierte Prüfverfahren die kritischen Schwachstellen in der Softwarelieferkette automatisiert aufdecken. Gleichzeitig will man mit openCode Abhängigkeiten transparent machen und nachvollziehbare Herkunftsnachweise für kritische Softwarekomponenten schaffen. Beides ist für einzelne Anbieter oder Organisationen bislang kaum umsetzbar. Technisch betreibt openCode dafür eine eigene GitLab-Instanz und stellt Container-Images zur Verfügung.

Durch openCode soll Open-Source-Software zu einem Schlüsselelement einer resilienten digitalen Infrastruktur in Deutschland heranwachsen und es Sicherheitsorganisationen ermöglichen, präventiv statt nur reaktiv auf Bedrohungen zu antworten. Vorfälle wie der SolarWinds-Cyberangriff, der 2020 die Systeme zahlreicher Regierungsbehörden und Unternehmen kompromittierte, sollen sich damit nicht mehr wiederholen können.

Zur Umsetzung auf der Basis von openCode schlagen BSI und ZenDis folgende Schritte vor, mit denen noch dieses Jahr begonnen werden soll: Schaffung eines sicheren Systems zur Softwareprüfung und -herstellung mit Verifikationsprozess, souveräne Container-Registry mit einheitlichen Standards, resiliente Verteil-Infrastruktur für Software sowie gemeinsame Qualitätskriterien und Prüfstandards. Läuft alles nach Plan, soll die Plattform 2026 startklar sein.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) nimmt das dräuende Support-Ende von Windows 10 in genau sechs Monaten, am 14. Oktober 2025, zum Anlass, Tipps für die Zeit danach zu geben. Allen, die noch Windows 10 nutzen, empfiehlt das BSI, rechtzeitig ein Upgrade durchzuführen oder auf ein anderes Betriebssystem umzusteigen.

Die oberste IT-Sicherheitsbehörde des Landes führt an, dass ab dem Zeitpunkt das Betriebssystem keine kostenlosen Updates mehr erhält. Insbesondere "auch solche nicht, die sicherheitsrelevant sind und zum Beispiel Schwachstellen schließen". Das betrifft alle Windows-10-Versionen, einschließlich Home, Pro oder Education. Upgrade oder Umstieg könne auf "etwa Windows 11, ein Unix-basiertes Betriebssystem wie macOS oder ein Linux-basiertes Betriebssystem" erfolgen – wobei die wohl etwas sportliche Variante, macOS auf nicht-Mac-Hardware zu installieren, von den Beamten nicht näher beschrieben wird. Einen offiziellen Weg gibt es dafür nicht.

Eine Sprecherin des BSI erklärte demnach: "Sicherheitsupdates sind für die IT-Sicherheit essentiell, weil dadurch Sicherheitslücken geschlossen werden, die sonst von Angreifenden ausgenutzt werden könnten. Die weitere Nutzung von Windows 10 nach Ende des Supportzeitraums birgt daher gravierende Sicherheitsrisiken."

Die IT-Sicherheitsbehörde empfiehlt daher, die kommenden sechs Monate für den Wechsel des Betriebssystems zu nutzen, auf ein System, das weiterhin vollumfänglich Sicherheitsupdates erhält. Das BSI empfiehlt eine Datensicherung vor dem Wechsel, um einem Datenverlust bei dem Vorgang vorzubeugen. "Um im Herbst nicht unter Zeitdruck zu geraten, sollten Verbraucherinnen und Verbraucher das Upgrade oder den Wechsel des Betriebssystems auf den betroffenen Geräten frühzeitig einleiten", schließt das BSI seine Empfehlung ab.

Für Aufregung sorgte in der vergangenen Woche ein Artikel von Microsoft, der zum Recyclen alter Geräte zum Support-Ende von Windows 10 rät. Das haben viele so aufgefasst, als würde Microsoft empfehlen, alte, nicht mit Windows 11 kompatible Geräte in den Müll zu werfen. Der Artikel war eher als Werbung für den Hardware-Neukauf und dazu passende Bonus- und Eintausch-Programme in Microsofts Store gedacht und irritierte mit Formulierungen zu "verantwortungsvollem Recycling" alter Hardware. Beim Kauf neuer Surface-Geräte von Microsoft ist in manchen Ländern und US-Bundesstaaten eine Vergünstigung oder ein Geld-gegen-Altgeräte-Programm verfügbar.

In dem Wordpress-Plug-in SureTriggers wurde vor dem Wochenende eine Sicherheitslücke bekannt. Das Plug-in ist auf mehr als 100.000 Wordpress-Instanzen installiert. Angreifer missbrauchen die Schwachstelle jetzt bereits aktiv.

Die IT-Forscher von Patchstack haben bereits kurz nach Bekanntwerden der Schwachstelle in dem Wordpress-Plug-in am vergangenen Freitag Angriffe darauf entdeckt. Am Freitag hatte das IT-Sicherheitsunternehmen Wordfence Details zur Sicherheitslücke in SureTriggers veröffentlicht. Demnach können Angreifer aus dem Netz ohne vorherige Authentifizierung administrative Nutzerkonten erstellen. Sofern kein API-Key in dem SureTriggers-Plug-in eingerichtet ist, können Angreifer dadurch Administrator-Nutzer hinzufügen und damit Wordpress-Instanzen vollständig kompromittieren (CVE-2025-3102, CVSS 8.1. Risiko "hoch").

Nur wenige Stunden nach der Veröffentlichung hat Patchstack Angriffe beobachtet. Die Schwachstelle stellt also ein signifikantes Risiko für Wordpress-User dar, die das Problem nicht mit einem Update oder anderen Gegenmaßnahmen gelöst haben.

Bei den Angriffen haben die IT-Forscher bislang vier Ursprungsadressen ausgemacht. Diese haben die URLs und REST-API-Endpunkte "/?rest_route=/wp-json/sure-triggers/v1/automation/action" sowie "/wp-json/sure-triggers/v1/automation/action" attackiert. Damit haben sie neue administrative Konten angelegt. Die Kontennamen sind zufällig zusammengewürfelt. Sie scheinen bei jedem Angriff individuell neu gewählt zu werden.

Zum Schließen des Sicherheitslecks haben die Entwickler des SureTrigger-Plug-ins Version 1.0.79 veröffentlicht. Wer das Plug-in eingesetzt hat, sollte sicherstellen, dass die aktuelle Fassung bereits aktiv ist. Gegebenenfalls sollten Plug-in-Nutzerinnen und -Nutzer ebenfalls überprüfen, ob neue oder unbekannte Konten in ihrer Wordpress-Instanz existieren.

Cyberkriminelle sind bei einem Dienstleister von Samsung eingebrochen und haben dort die Support-Datenbank mit Kundendaten kopiert. 270.000 Datensätze sollen so in die Hände von Unbefugten geraten sein, die sie im Darknet zum Kauf feilgeboten haben. Nun konnte Troy Hunt, der das Have-I-Been-Pwned-Projekt betreibt, eine Kopie erhalten und hat sie dem durchsuchbaren Datenfundus hinzugefügt.

In der Ankündigung in der stetig wachsenden Leck-Auflistung von Havbe-I-Been-Pwned (HIBP) schreibt Hunt, dass es sich tatsächlich um rund 216.000 einzelne E-Mail-Adressen zusammen mit Namen, Anschrift, getätigten Käufen, Anreden, Sendungsverfolgungsnummern sowie Support-Tickets handele. Mit den Daten scheint kein direkter Identitätsklau möglich zu sein, aber professioneller aufgemachtes, überzeugenderes Phishing können Kriminelle mit diesen Daten schon aufsetzen. Es steckt schließlich die Zusatzinformation drinnen, dass es sich um Samsung-Kunden handelt, die zudem mal Probleme mit einem Gerät und dafür gegebenenfalls Pakete versendet hatten.

Vor genau zwei Wochen wurde bekannt, dass Daten bei einem Dienstleister von Samsung entwendet werden konnten und in einem digitalen Untergrund-Forum zum Verkauf angeboten wurden. Die Daten wurden beim Dienstleister Spectos kopiert. Anfänglich behauptete eine für gewöhnlich gut informierte Firma namens Hudson Rock, dass die Täter durch veraltete Zugangsdaten Zugang zu den Systemen erlangt haben.

Dem stellt Spectos eine eigene Analyse der Vorgänge entgegen. Die Angreifer sind nicht durch jahrelang nicht geänderte Zugangsdaten eingedrungen, sondern haben für den initialen Zugang eine Schwachstelle "in einem sekundären Server" missbraucht. Dadurch gelang ihnen der Zugriff auf "verschiedene Bereiche der Cloud-Infrastruktur"; ein Zugang zu den Hauptsystemen sei verhindert worden.

Wer in jüngerer Vergangenheit einen Support-Fall bei Samsung eröffnet hat, kann durch die Eingabe der eigenen E-Mail-Adresse auf der HIBP-Webseite prüfen, ob die eigenen Daten von dem Vorfall betroffen sind. Ein anekdotischer Test mit Daten aus einem Support-Fall von vor etwas länger als einem Jahr lieferte jedoch kein Ergebnis im aktuellen Datenleck zurück.

Ein Cyberangriff auf die öffentliche Verwaltung legt zahlreiche Dienstleistungen für die Bürger lahm. Mit geballter IT-Expertise will das Kommunalministerium aus Düsseldorf die Informationssicherheit stärken.

Kommunen und Landesbehörden in Nordrhein-Westfalen erhalten bei IT-Attacken Zugriff auf spezialisierte Experten-Teams. Das vom Land geschnürte Hilfspaket "Digi-SOS" ermögliche im Ernstfall eine schnelle Schadensbegrenzung, kündigte Kommunalministerin Ina Scharrenbach (CDU) in Düsseldorf an. So könnten Betriebsunterbrechungen minimiert und die digitale Handlungsfähigkeit staatlicher Strukturen und Einrichtungen gesichert werden.

Im Oktober 2023 waren in NRW gut 70 Kommunen mit rund 1,7 Millionen Einwohnern von einer kriminellen Cyberattacke betroffen gewesen. Der folgenschwere Cyberangriff auf den kommunalen Dienstleister Südwestfalen IT (SIT) hatte Online-Dienstleistungen für die Bürger eingeschränkt oder vorübergehend fast vollständig lahmgelegt.

Das neue Unterstützungsangebot für solche Fälle steht den Angaben zufolge allen nordrhein-westfälischen Kommunal- und Landesbehörden zur Verfügung – ebenso wie kommunalen Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts sowie Unternehmen der Kommunen und der Landesverwaltung. "Damit erhalten abrufberechtigte Stellen unmittelbaren Zugang zu hoch qualifizierten IT-Sicherheitsexpertinnen und -experten", erläuterte das Ministerium.

Das Team unterstütze sowohl bei der akuten Bewältigung eines Vorfalls als auch bei der anschließenden Analyse und Behebung von Schwachstellen. Zudem würden durch den Rahmenvertrag des Landes mit vier Dienstleistern 429 kommunale Gebietskörperschaften von eigenen Ausschreibungs- und Vergabeverfahren entlastet.

Aufgrund eines Softwarefehlers kann es zu Problemen mit verschlüsseltem Datenverkehr auf Switches & Co. mit dem Netzwerkbetriebssystem Arista EOS kommen. Das passiert aber nur unter bestimmten Voraussetzungen.

Wie aus einer Warnmeldung hervorgeht, funktioniert die Verschlüsselung von Datenverkehr nicht verlässlich. Das ist aber den Entwicklern zufolge aber nur gegeben, wenn Secure Vxlan konfiguriert ist. Ist das der Fall und Nutzer starten den Tunnelsec-Agent neu, werden Pakte im Anschluss unverschlüsselt über Secure-Vxlan-Tunnel versendet.

Die Sicherheitslücke (CVE-2024-12378) ist mit dem Bedrohungsgrad "kritisch" eingestuft. Arista gibt an, dass sie von Kunden bislang keine Berichte zu Angriffen bekommen haben. Davon sollen ausschließlich die folgenden Produkte betroffen sein:

In der Warnmeldung listen die Entwickler Hinweise (Indictaors of Compromise, IoC) auf, an denen Admins bereits erfolgte Attacken erkennen können. Dort führen sie auch eine Übergangslösung auf, wenn Admins das Sicherheitsupdate nicht umgehend installieren können.

Diese EOS-Versionen sind gegen die geschilderte Attacke gerüstet:

Die Datenmanager-Software für das Mehrkanal-Strommessgerät Sentron 7KT PAC1260 von Siemens ist verwundbar und über mehrere "kritische" Sicherheitslücken angreifbar. Da das Gerät keinen Support mehr erhält, bleibt es verwundbar und Nutzer müssen auf eine noch unterstützte Hardware wechseln.

Insgesamt können Angreifer an neun Schwachstellen ansetzen, warnt Siemens in einem Beitrag. Vier davon sind als kritisch eingestuft (CVE-2024-41788, CVE-2024-41789, CVE-2024-41790, CVE-2024-41794). Hier können authentifizierte Angreifer in drei Fällen am Webinterface mit bestimmten POST-Anfragen ansetzen, um Schadcode mit Root-Rechten auszuführen. Danach liegt es nahe, dass sie die volle Kontrolle über Geräte erlangen.

Die letztgenannte Lücke ist mit dem höchstmöglichen CVSS Score 10 von 10 versehen. Aufgrund einer Hintertür in Form von hartcodierten Zugangsdaten können Angreifer Geräte kapern.

Über die verbleibenden Schwachstellen können sie noch Einstellungen verändern, sich Fernzugriff auf Geräte verschaffen oder Passwörter ändern.

Weil es keine Sicherheitsupdates mehr gibt, bleibt Nutzern nichts anderes übrig, als auf den noch unterstützten Nachfolger Sentron 7KT PAC1261 Data Manager umzusteigen. In jedem Fall sollte man das alte Gerät zügig aus dem Verkehr ziehen, um Angreifern keine Angriffsfläche zu bieten. Bislang gibt es noch keine Berichte zu Attacken.

Unternehmen, die die KI-Analyseplattform Spotfire nutzen, sollten die Software aus Sicherheitsgründen auf den aktuellen Stand bringen. Angreifer können an zwei Schwachstellen in verschiedenen Produkten ansetzen, um Systeme mit Schadcode zu kompromittieren.

Wie aus zwei Warnmeldungen zu den Sicherheitslücken (CVE-2025-3114 "kritisch", CVE-2025-3115 "kritisch") hervorgeht, sind konkret Spotfire Analyst, AWS Marketplace, Deployment Kit Spotfire Server, Desktop, Enterprise Runtime, Service for Python, Service for R und Statistics Services bedroht.

In beiden Fällen können Angreifer eigenen Code ausführen. Aufgrund der kritischen Einstufung ist davon auszugehen, dass das aus der Ferne und ohne Authentifizierung klappt. Um eine Attacke einzuleiten, müssen Angreifer eine Datei mit Schadcode versehen. Diese wird dann aufgrund von unzureichenden Überprüfungen ausgeführt. Außerdem können Angreifer aus der Sandbox ausbrechen und nicht vertrauenswürdigen Code ausführen.

Weil die Uploadfunktion im Kontext der zweiten Lücke Dateinamen nicht ausreichend prüft, können Angreifer Schadcode hochladen. Derzeit gibt es noch keine Berichte, dass Angreifer die Lücken bereits ausnutzen. Das kann sich aber schnell ändern und Admins sollten zeitnah handeln.

Die Entwickler erläutern, dass sie die Lücken in den folgenden Versionen geschlossen haben. Alle vorigen Ausgaben sind verwundbar.

Angreifer können an verschiedenen Softwareschwachstellen in IBM Installation Manager, Java Runtime, Packaging Utility und Personal Communications (PCOMM) ansetzen. Zurzeit gibt es keine Berichte zu laufenden Attacken. Admins sollten die Installation der Sicherheitspatches aber nicht zu lange herauszögern.

In einer Warnmeldung führen die Entwickler aus, dass die Lücke (CVE-2025-1095 "hoch") in PCOMM den Windows Installer (MicroSoft Installer, MSI) betrifft. Daran kann ein lokaler Angreifer ansetzen, um seine Rechte auszuweiten. Ist eine Attacke erfolgreich, verfügt ein Angreifer über System-Rechte. In so einer Position liegt es nahe, dass er PCs vollständig kompromittieren kann. Wie so ein Angriff im Detail ablaufen könnte, ist bislang nicht bekannt.

Die Entwickler versichern, die Schwachstelle in den Ausgaben 14.0.8 und 15.0.3 geschlossen zu haben. Dabei handelt es sich um ein repariertes Sicherheitsupdate. Im vergangenen Jahr hat ein Patch die Lücke (CVE-2024-25029 "kritisch") nicht verlässlich geschlossen.

Wie aus einem Beitrag hervorgeht, sind Installation Manager, Java Runtime und Packaging Utility über zwei Lücken (CVE-2025-1470 "mittel", CVE-2025-1471 "hoch") angreifbar. Die knappe Beschreibung der letztgenannten Schwachstelle liest sich so, als könnten Angreifer auf einem nicht näher beschriebenen Weg Speicherfehler (Buffer overflow) auslösen. Das führt in der Regel zu Abstürzen. In so einem Kontext kann aber auch oft Schadcode auf Systeme gelangen.

Auch hier gibt es keine weiterführenden Informationen, wie Attacken ablaufen könnten und woran Admins bereits erfolgte Angriffe erkennen können. Die Entwickler versichern, das Sicherheitsproblem in der Ausgabe 1.9.3.1 gelöst zu haben.

In der VPN-Software Netextender klaffen Sicherheitslücken, durch die Angreifer etwa ihre Rechte ausweiten können. Davor warnt Hersteller Sonicwall derzeit.

In der Sicherheitsmitteilung schreiben die Sonicwall-Entwickler, dass insbesondere der Windows-Client der SSL-VPN-Software Netextender betroffen ist. Das größte Risiko geht von einer unzureichenden Rechteverwaltung in Sonicwall Netextender Windows, sowohl in der 32- als auch der 64-Bit-Version, aus. Angreifer mit niedrigen Rechten können dadurch Konfigurationen verändern (CVE-2025-23008, CVSS 7.2, Risiko "hoch").

Zudem können bösartige Akteure Dateipfade manipulieren. Das basiert auf einer Schwachstelle des Typs "Link-Auflösung vor Dateizugriff" oder "Linkverfolgung", wie Sonicwall schreibt (CVE-2025-23010, CVSS 6.5, Risiko "mittel"). Eine dritte Sicherheitslücke ermöglicht Angreifern, ihre Rechte auszuweiten und dadurch beliebige Dateien auf dem System zu löschen (CVE-2025-23009, CVSS 5.9, Risiko "mittel").

Sonicwall hat derzeit keine Kenntnisse davon, dass eine dieser Schwachstellen missbraucht werde. Dennoch rät der Hersteller den Usern des Sonicwall Netextender Windows-Clients dringend, auf die fehlerbereinigte Software-Version zu aktualisieren. Die Schwachstellen bessert der Netextender Windows, 32- und 64-Bit, in Version 10.3.2 und neuer aus.

Da Sonicwall-Sicherheitslücken Angreifern für gewöhnlich Zutritt zu Netzwerken verschaffen können, sind diese Schwachstellen bei Cyberkriminellen hoch im Kurs. Mitte Februar etwa haben Angreifer Firewalls von Sonicwall ins Visier genommen. Kurz nach der Veröffentlichung von Proof-of-Concept-Code für eine Sicherheitslücke (CVE-2024-53704, Risiko "hoch") wurden die Attacken auf dieses Sicherheitsleck bekannt. Wer Sonicwall-Produkte einsetzt, sollte daher bereitstehende Aktualisierungen zügig installieren.

Angreifer können an mehreren Sicherheitslücken in PAN-OS von Palo Alto Networks ansetzen und Firewalls attackieren. Außerdem haben die Entwickler eine Lücke in GlobalProtect App geschlossen.

In den unterhalb dieser Meldung verlinkten Warnmeldungen finden Admins weiterführende Informationen zu verwundbaren und gepatchten Versionen. Generell gibt das IT-Sicherheitsunternehmen in diesen Warnmeldungen nur den CVSS-4.0-BT-Score (Base + Threat, ehemals Temporal Score) an, was unüblich ist. Den Großteil der Lücken stuft Palo Alto dadurch mit dem Bedrohungsgrad "mittel" ein.

Ein Blick auf den für die Einstufung üblicherweise herangezogenen CVSS Base Score zeigt jedoch, dass für vier Lücken (PAN-OS: CVE-2025-0128, CVE-2025-0126, CVE-2025-0127, GlobalProtect App: CVE-2025-0120) jedoch der Bedrohungsgrad "hoch" gilt.

Aufgrund von Fehlern im Authentifizierungsfeature Simple Certificate Enrollment Protocol (SCEP) können Angreifer ohne Anmeldung durch das Versenden von präparierten Paketen einen DoS-Zustand auslösen. Firewalls starten dann neu im Wartungsmodus. Demzufolge kann das Gerät Netzwerke nicht mehr schützen.

Eine SAML-Schwachstelle kann Angreifern mehr Rechte verschaffen. Dafür muss ein Opfer aber mitspielen und auf einen präparierten Link klicken. PAN-OS VM-Series ist für Root-Schadcode-Attacken anfällig. Dafür muss ein Angreifer aber bereits Admin sein.

Microsoft hat ein Notfall-Update für Microsoft Office 2016 veröffentlicht. Die Office-Apps aus dem Entwicklungszweig konnten unter Umständen nicht mehr reagieren oder abstürzen, nachdem die Sicherheitsupdates des April-Patchdays aus dieser Woche installiert wurden.

Microsofts Entwickler erörtern in einem Support-Dokument zum Notfallupdate KB5002623, dass das Sicherheitsupdate KB5002700 für Office 2016 aus dem April dafür sorgen kann, dass Microsoft Word, Microsoft Excel und Microsoft Outlook nicht mehr reagieren.

Das Update zu KB5002623 ist für die MSI-Installer-basierte Microsoft-Office-2016-Version gedacht und funktioniert nicht mit den Office-2016 "Click-to-run"-Versionen (auf Deutsch "Klick-und-los") etwa aus Microsoft 365 Home, erklären die Entwickler. Um das Office 2016 wieder in einen lauffähigen Status zu versetzen, muss sowohl das Update vom Patchday, also KB5002700, und im Anschluss das KB5002623 installiert werden.

Die Aktualisierung steht auf Microsofts Webseite zum Herunterladen bereit. Die Update-Dateien stehen sowohl für das 32-bittige, als auch das 64-bittige Microsoft Office 2016 zur Verfügung. Vor dem Herunterladen sollten Betroffene daher prüfen, welche Version sie einsetzen. Ein Microsoft-Support-Artikel soll dazu Hinweise liefern, wie das zu erkennen ist – die Anleitung könnte jedoch daran scheitern, überhaupt zu den Einstellungen und in den Unterpunkt "Konto" und darunter an die Schaltfläche "Info zu <App>" zu gelangen.

Nach der Installation liegen die Dateien Mso20win32client.dll.x64 sowie Mso20win32client.dll.x86 auf 32- und 64-Bit-Installationen in Version 16.0.5495.1002 mit Dateidatum 22.03.2025 vor.

US-Präsident Donald Trump hat der renommierten IT-Sicherheitsfirma SentinelOne die Sicherheitsfreigaben entzogen. Sein willkürlicher Regierungsstil trifft nun auch die IT-Security-Branche. SentinelOne hatte den in Trumps erster Amtszeit von ihm ernannten, damaligen Chef der US-IT-Sicherheitsbehörde CISA eingestellt, Chris Krebs.

Wie Reuters berichtet, verübelt der US-Präsident Krebs, dass dieser in seinem damaligen Amt nicht die Falschbehauptungen Trumps bezüglich angeblichen Wahlbetrugs in den 2020er-Wahlen in den USA unterstützt hat. Da Krebs die Mär von der "durch Joe Biden gestohlenen Wahl" nicht befürwortete, hatte Trump ihn im Jahr 2020 auf Twitter gefeuert.

In einem Memo des Weißen Hauses, das den Vorgang erörtert, sei Reuters zufolge zu lesen, dass Trump dem Republikaner Krebs vorwirft, "konservative Sichtweisen unterdrückt" zu haben. Belege liefere das Memo nicht – und auch keine Hinweise, was SentinelOne mit der Sache zu tun habe.

Reuters führt weiter aus, dass Krebs' Weigerung, Trumps falsche Behauptungen zu der Wahl zu unterstützen, ihn in Washingtoner IT-Kreisen zum Helden gemacht habe. Jetzt sei die Unterstützung für Krebs oder SentinelOne aus der IT-Sicherheitsindustrie angesichts Trumps Aktionen jedoch nicht erkennbar. Die Gründerin der Firma Luta Security, Katie Moussouris, sagte demnach, dass sie bezweifle, dass die Industrie SentinelOne öffentlich unterstützt, angesichts der Aktionen des Weißen Hauses. "Ich glaube nicht, dass es für Cybersicherheitsfirmen machbar ist, eine umfassendere öffentliche Antwort hierdrauf zu geben", sagte sie, "das Risiko ist einfach zu groß".

Insgesamt 33 der größten US-IT-Sicherheitsfirmen hat Reuters zu der Trump-Maßnahme gegen SentinelOne befragt – lediglich eine hatte reagiert, der Rest lehnte eine Antwort ab oder reagierte gar nicht erst. Darunter sind wirklich große IT-Firmen wie Microsoft, wo Krebs 2014 bis 2017 arbeitete, oder Crowdstrike. Die einzige Gruppierung, die antwortete, war die in Washington ansässige "Cyber Threat Alliance". Deren Vorsitzender Michael Daniel sagte demnach: "Ein Unternehmen ins Visier zu nehmen, weil der Präsident jemanden in dem Unternehmen nicht mag, ist ein Beispiel für genau den Missbrauch der Bundesregierung als Waffe, die das Memo angeblich bekämpfen will".

Hinter verschlossenen Türen haben Vertreter der chinesischen Regierung offenbar erstmals bestätigt, dass die Volksrepublik für eine Reihe von Cyberangriffen auf die Infrastruktur der USA verantwortlich ist. Das berichtet das Wall Street Journal unter Berufung auf mehrere Quellen, die mit der Angelegenheit vertraut sind. Demnach erfolgte das Eingeständnis, dass China hinter der Hacking-Gruppe Volt Typhoon steckt, im Rahmen eines Meetings in Genf zwar nur indirekt, aber direkt genug, um als solches verstanden zu werden. Begründet wurden die Angriffe demnach mit der wachsenden Unterstützung Taiwans durch die USA. Die Volksrepublik betrachtet die Insel als Teil des eigenen Territoriums und zielt auf eine Wiedervereinigung.

Volt Typhoon ist einer von mehreren Namen für eine Gruppe, die seit Jahren kritische Infrastruktur in den USA attackiert und sich dort eingenistet hat. Vor einem Jahr haben Sicherheitsbehörden der USA, Kanadas, Australiens und Großbritanniens vor diesen Angriffen gewarnt und erklärt, dass Volt Typhoon in den Netzwerken kritischer Einrichtungen aus dem Kommunikations-, Energie-, Transport- und Wassersektor erwischt worden sei. Die Gruppe habe keine Spionage betrieben, weshalb es die Befürchtung gibt, dass sie im Fall eines sich verschärfenden Konflikts in der Lage wäre, die US-Infrastruktur empfindlich zu schädigen.

Die Äußerungen aus der Vertretung der Volksrepublik bei dem Treffen in der Schweiz seien "indirekt und etwas zweideutig" gewesen, aber die meisten aus der US-Delegation hätten sie als "stillschweigendes Eingeständnis und als Warnung in Bezug auf Taiwan" verstanden, schreibt die US-Zeitung. Die Äußerungen seien gefallen, nachdem die US-Delegation erklärt habe, wie gefährlich die Angriffe seien und dass sie als kriegerischer Akt gewertet werden könnten. Man habe deutlich machen wollen, dass es Zweifel gebe, dass die chinesische Regierung das ganze Ausmaß der Attacken kenne.

Laut dem Wall Street Journal wurde bei dem Treffen auch deutlich gemacht, dass die Angriffe in den USA anders gesehen werden als die umfangreiche Attacke auf US-Provider, die vergangenen Herbst publik wurde. Die würde in Washington als ein Fall von Cyberspionage gesehen, wie man sie selbst ebenfalls durchführe. Das chinesische Eingeständnis sei deshalb bedeutend, weil es darauf hindeute, dass man in Peking einen Konflikt rund um Taiwan für am wahrscheinlichsten halte, zitiert die Zeitung eine Expertin. Es solle wohl ein direktes Signal gesendet werden. Man habe die USA wissen lassen wollen, dass man die Fähigkeit habe und gewillt sei, sie einzusetzen.

Im Klageverfahren von Facebook-Mutter Meta Platforms gegen die israelische Spyware-Firma NSO Group sind Details zu Überwachungsangriffen auf WhatsApp-Nutzer bekannt geworden. Demnach wurden in nur zwei Monaten 1223 Anwender in 51 verschiedenen Ländern angegriffen. Das kürzlich freigegebene Gerichtsdokument nennt sogar die einzelnen Länder, in denen sich die Opfer aufgehalten haben, sowie die Standorte der Angreifer und der für die Angriffe genutzten Server.

Bereits 2019 hatte Facebook die israelischen WhatsApp-Hacker verklagt und dabei von 1400 betroffenen Nutzern gesprochen. Darunter waren Journalisten, Anwälte, Menschenrechtler und andere Regierungskritiker. Zudem sollten auch Regierungsmitarbeiter und Militärs aus mindestens 20 Ländern mit Pegasus gehackt worden sein. Jetzt zeigt das Gerichtsdokument, in welchen Ländern sich die Opfer dieser im April und Mai 2019 durchgeführten Hacking-Kampagne aufgehalten haben und von wo diese Angriffe hergekommen sind.

Demnach wurden die meisten Opfer in Mexiko verortet, nämlich 456 Individuen. Weiterhin gab es zahlreiche Opfer in Indien (100), Bahrein (82), Marokko (69), Pakistan (58), Indonesien (54) und Israel (51). Auch etliche Personen in Zypern (31) und der Türkei (26) waren betroffen. In Westeuropa gab es zwar weniger Fälle, aber immerhin 21 in Spanien, 11 in den Niederlanden, 7 in Frankreich, 4 in Belgien, 4 in Finnland, 3 in der Schweiz und jeweils 2 in Deutschland sowie in Großbritannien.

"Im Laufe der Jahre wurden zahlreiche Nachrichtenartikel verfasst, die den Einsatz von Pegasus zur gezielten Bekämpfung von Opfern auf der ganzen Welt dokumentierten", erklärt Sicherheitsexpertin Runa Sandvik gegenüber Techcrunch. "Was in diesen Artikeln oft fehlt, ist das wahre Ausmaß der Angriffe – die Zahl der Opfer, die nicht benachrichtigt wurden, deren Geräte nicht überprüft wurden und die sich entschieden, ihre Geschichte nicht öffentlich zu teilen. Die Liste, die wir hier sehen – mit 456 Fällen allein in Mexiko, einem Land mit dokumentierten, bekannten Opfern aus der Zivilgesellschaft – spricht Bände über das wahre Ausmaß des Spyware-Problems."

Interessant ist auch die Liste der möglichen Herkünfte der Angriffe, die WhatsApp dem Gericht ebenfalls vorgelegt hat und die nun auch veröffentlicht wurde. Demnach kamen 60 Angriffe aus Schweden, 56 aus Zypern, 39 aus den Niederlanden und 9 aus Indonesien. Diese Liste ist nicht vollständig, aber zeigt, dass sich Angreifer und Opfer nicht immer im selben Land befinden. Denn es gab offenbar keine Opfer in Schweden, aber viele Angriffe von dort. Und die Zahl der Angriffe aus den Niederlanden übersteigt die Zahl der dortigen Opfer deutlich.

Die Neuauflage der schwarz-roten Koalition hat sich vorgenommen, Sicherheitsbehörden "den nachträglichen biometrischen Abgleich mit öffentlich zugänglichen Internetdaten" etwa mithilfe Künstlicher Intelligenz (KI) zu erlauben. Doch just eine Studie von Europol – also aus dem Bereich Strafverfolgung selbst – gießt nun Wasser in den Wein der Überwachungsbefürworter. Biometrische Erkennungssysteme seien zwar "im Allgemeinen robust", heißt es in der Analyse. Doch es gebe zahlreiche Möglichkeiten, sie auszutricksen. Entscheidend sei daher, "die Schwachstellen solcher Systeme zu kennen".

Viele biometrische Erkennungssysteme gelten seit Längerem als geknackt. Attrappen mit digitalen Fingerprints erstellen etwa Hacker aus dem Umfeld des Chaos Computer Clubs (CCC) seit vielen Jahren. Auch Systeme zur Venen-, Iris- oder Gesichtserkennung haben sie umgangen. Das Operations- und Analysezentrum sowie das Innovationslabor von Europol vollziehen diese Schwachstellennachweise jetzt nach und leiten daraus Schlussfolgerungen für die Arbeit von Ermittlern ab.

Die Autoren des veröffentlichten Berichts konzentrieren sich auf sogenannte Präsentationsangriffe auf das Erfassungsgerät. Diese zielen darauf ab, sich als legitimer Benutzer auszugeben oder die Erkennung zu umgehen. Im Kern wird dabei dem System zur Erfassung biometrischer Daten ein imitiertes oder gefälschtes biometrisches Merkmal untergejubelt, mit dem Ziel, das Verfahren zu stören oder auszuhebeln.

Präsentationsangriffe, bei denen Fingerabdrücke nachgeahmt werden, können auch ohne Zustimmung einer Person durchgeführt werden, erläutert Europol. Bei solchen nicht einvernehmlichen Ansätzen würden Fingerprints von glatten oder nicht porösen Oberflächen wie Gläsern gewonnen. Alternativ könnten digital generierte Fingerabdrücke, die üblicherweise zum Trainieren biometrischer Erkennungssysteme verwendet werden, zur Erzeugung von Fälschungen beispielsweise per 3D-Druck genutzt werden. Fingerabdrücke ließen sich auch bewusst verändern, um einer Erkennung zu entgehen. Normalerweise würden Papillarleisten durch Arbeitsbedingungen oder Unfälle beschädigt, deren Zerstörung könne aber auch absichtlich erfolgen.

Angesichts der Fülle digitaler Fotos in Sozialen Netzen und anderen öffentlichen Bereichen ist es den Verfassern zufolge auch leicht, Bilder in die Finger zu bekommen, um sich bei einer automatisierten Gesichtserkennung als eine andere Person auszugeben. Die Erfolgsquote des Identitätsbetrugs lasse sich etwa daran messen, ob diese Methode mit weniger anspruchsvollen Smartphones eingesetzt werden könne. Diese ließen sich manchmal sogar durch einen einfachen Papierausdruck täuschen.

Drupal-Admins sollten sicherstellen, dass die von ihnen genutzten Module des Content Management Systems (CMS) auf dem aktuellen Stand sind. Geschieht das nicht, können Angreifer Websites im schlimmsten Fall kompromittieren.

Im Sicherheitsbereich der CMS-Website listen die Entwickler sieben im April geschlossene Softwareschwachstellen auf. Zwei Sicherheitslücken stufen sie als "kritisch" ein. Eine betrifft das Panels-Modul (CVE-2025-3474), über das Admins benutzerdefinierte Seiten erstellen können. Weil Berechtigungen nicht ausreichend kontrolliert werden, können Angreifer an dieser Stelle manipulierend eingreifen.

Dafür benötigen sie aber bestimmte Informationen einer Seite, die nicht im Quellcode einer Website verfügbar sind. Panels 8.x-4.9 ist abgesichert.

Die zweite kritische Lücke (CVE-2025-3131) betrifft das Modul ECA: Event, mit dem man Automationen festlegt. An dieser Stelle sind über eine CSRF-Attacke etwa Zugriffe auf eigentlich abgeschottete Informationen möglich. ECA 1.1.12, 2.0.16 und 2.1.7 sind mit Sicherheitsupdates versehen.

Darüber hinaus gibt es noch Patches für die Module Access Code, Gif Player Field, Obfuscate, TacJS und WEB-T. Ob es bereits Attacken gibt, ist derzeit unbekannt.