Comretix Blog

Die Staatsregierung in Bayern ist Ziel eines Cyberangriffs geworden. Man gehe mit hoher Sicherheit davon aus, dass die Attacke im Zusammenhang mit "prorussischem Hacktivismus" stehe, teilte das Landesamt für Sicherheit in der Informationstechnik am Sonntagabend auf Nachfrage mit.

Anzeige

Betroffen gewesen seien am Freitag die Staatskanzlei und das Staatsministerium für Digitales. Es sei aber kein Schaden entstanden und es seien auch keine Daten oder Informationen abgeflossen oder verschlüsselt worden. Die betroffenen Webseiten seien lediglich vorübergehend nicht erreichbar gewesen.

Vom Landeskriminalamt in Bayern hieß es, es könnte nicht beurteilt werden, ob der Angriff im Zusammenhang mit der Münchner Sicherheitskonferenz gestanden habe. Die Ermittlungen liefen. Der Bayerische Rundfunk hatte zuvor über den Angriff berichtet.

Das Landesamt für Sicherheit in der Informationstechnik erklärte, es habe sich um einen Distributed Denial-of-Service-Angriff (DDoS) gehandelt. Der Vorgang werde nach abgeschlossener Analyse zur Strafverfolgung an die Polizei übergeben.

Die südkoreanische Regierung hat die Benutzung der chinesischen KI-Anwendung DeepSeek verboten. Sie begründet den Schritt mit einem unzureichenden Datenschutz. Das berichtet die Nachrichtenagentur Yonhap unter Berufung auf die Kommission für den Schutz personenbezogener Daten (PIPC). Das am Wochenende verhängte Verbot werde erst aufgehoben, wenn "Verbesserungen und Abhilfemaßnahmen" umgesetzt werden, die dafür sorgen, dass Südkoreas Datenschutzgesetzen entsprochen werde. Vorher hätten schon mehrere Ministerien und Regierungsbehörden den Zugriff auf die KI-Anwendung gesperrt und das mit der Datensammlung begründet.

Anzeige

Südkorea ist mit den Bedenken nicht allein. Derart weitgehende Konsequenzen wurden aber bislang lediglich in Italien gezogen. Auch in Deutschland haben Behörden und IT-Sicherheitsfachleute aber gravierende Sicherheitsbedenken gegen DeepSeek angemeldet. Kritisiert wird auch hierzulande die offenkundig sehr weitreichende Speicherung von Nutzerdaten. Aber auch die mögliche Manipulierbarkeit der Anwendung für kriminelle Zwecke und die Frage, inwieweit der chinesische Spionage- und Überwachungsapparat Zugriff auf Nutzerdaten hat, treffen auf Vorbehalte. In Deutschland wird deshalb unter anderem in Rheinland-Pfalz ein Prüfverfahren vorbereitet, DeepSeek hat bislang keinen EU-Vertreter benannt.

Laut Yonhap hat Südkoreas Datenschutzkommission bereits im Januar eine Anfrage an DeepSeek übermittelt, um Klarheit über die Sammlung und Speicherung von Daten zu erhalten. Hierzulande hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) darauf hingewiesen, dass DeepSeek nach eigenen Angaben "Tastatureingabemuster oder -rhythmen" erfasst. Damit sollen Nutzer und Nutzerinnen identifiziert werden können. Womöglich lassen sich Tastatureingaben aber innerhalb der App mitlesen, noch bevor sie abgeschickt werden. Zwar handle es sich nicht um einen Keylogger, trotzdem sei das Verhalten "mindestens für sicherheitskritische Bereiche bedenklich".

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Offensichtlich kam es bei Zacks erneut zu einem IT-Sicherheitsvorfall, bei dem Angreifer Zugriff auf Kundendaten hatten: In einem Untergrundforum wurde ein Datenpaket mit 12 Millionen Einträgen zu Zacks-Nutzern veröffentlicht. In dem Forum werden regelmäßig aus Cyberattacken stammende Datenpakete zum Verkauf angeboten.

Anzeige

Zacks ist ein Onlinetool, um unter anderem den Verlauf von Aktienkursen zu visualisieren. Über das Datenleak berichten Sicherheitsforscher von Malwarebytes. Dem Bericht zufolge soll das Datenpaket aus einer Cyberattacke im Juni 2024 stammen. Darin seien unter anderem Datenbankeinträge und Sourcecode der Zacks-Website und weiteren firmeninternen Seiten zu finden.

Weiterhin gibt es den Forschern Einträge mit persönlichen Daten von 12 Millionen Zacks-Kunden. Darunter fallen etwa E-Mail-Adressen, Namen und Telefonnummern. In den Einträgen sollen sich auch geschützte Passwörter (unsalted SHA-256-Hash) finden. Damit können Kriminelle also nicht ohne Weiteres etwas anfangen.

Als Beweis hat der Leaker mit dem Pseudonym Jurak Ausschnitte aus dem Archiv veröffentlicht. Sicherheitsforscher gehen derzeit davon aus, dass die Daten echt sind. Er gibt an, dass er sich als Domainadmin Zugriff auf das Active Directory von Zacks verschaffen konnte. Wie die Attacke ablief, ist bislang unklar. Auf der Website Have I Been Pnwed kann man prüfen, ob man von dem Datenleak betroffen ist.

Bestimmte Firewalls von Sonicwall sind verwundbar, und Angreifer nutzen derzeit eine Sicherheitslücke aktiv aus. Dabei kapern sie VPN-Verbindungen.

Anzeige

Davor warnen Sicherheitsforscher von Arctic Wolf in einem Beitrag. Die Attacken begannen kurz nach der Veröffentlichung von Proof-of-concept-Code (PoC). Die Schwachstelle (CVE-2024-53704 "hoch") ist seit Anfang 2025 bekannt. Bereits zu diesem Zeitpunkt warnte Sonicwall, dass Attacken mit hoher Wahrscheinlichkeit bevorstehen. Das hat sich nun bestätigt. Den Forschern zufolge waren Anfang Februar noch rund 4500 verwundbare Firewalls über das Internet erreichbar. Admins sollten zügig handeln.

Die Lücke betrifft die SonicOS-SSLVPN-Komponente. Weil ein Authentifizierungs-Algorithmus nicht korrekt implementiert ist, kommt es bei der Verarbeitung von Base64-Cookies zu Fehlern, und Angreifer können die Authentifizierung umgehen. Attacken sind aus der Ferne und ohne Authentifizierung möglich. Weitere technische Details zum Ablauf von Angriffen haben die Forscher in einem Bericht zusammengetragen.

Im Anschluss übernehmen Angreifer die Kontrolle über VPN-Sessions. In so einer Position können sie sich im Netzwerk ausbreiten und etwa Ransomware installieren. Welche konkreten Auswirkungen die derzeitigen Attacken haben und in welchem Umfang sie ablaufen, ist zurzeit nicht bekannt.

Im Bereich der Cybersicherheit kann Europa aus den Erfahrungen der Ukraine im Krieg gegen Russland lernen. Russlands hybrider Krieg habe das Land gezwungen, seine IT-Systeme fortlaufend besser abzusichern, sagten Vertreter ukrainischer Sicherheitsbehörden am Donnerstag auf der Münchner Cybersecurity-Konferenz (MCSC). Die Ukrainer warben auch um Europa als Partner, nachdem das Einfrieren der US-Hilfen über USAID erhebliche Lücken ins Budget der Sicherheitsprogramme gerissen hat.

Anzeige

Rund 4300 Attacken auf kritische Systeme notierte der "State Service of Special Communications and Information Protection of Ukraine" im vergangenen Jahr. "Zwölf Angriffe täglich, und es handelt sich nicht um Kleinigkeiten", berichtete Ihor Malchenyuk, Director des Cyber Defence Department der Behörde. "Für uns ist jeder Tag 'Tag Null'."

Malchenyuk versicherte, man wolle keineswegs für die Ukraine in Anspruch nehmen, "dass wir schon alles gesehen haben oder gar alles wissen". Die russischen Angreifer – Malchenyuks Behörde hat insgesamt 155 Angreifergruppen identifiziert – zwingen den Verteidigern jedoch eine extreme Reaktionsdynamik auf. Sicherheit durch Compliance habe diese neue Realität nicht überlebt.

Auch mit dem Einsatz von Large-Language-Modellen (LLM) durch die Angreifer haben die Ukrainer Erfahrung: "Sobald Hacker Zugang zu einem System erhalten, werden damit beispielsweise alle wichtigen Adressdaten herausgefiltert." So seien regelmäßig Spearphishing-Attacken auf dieser Basis zu beobachten.

Kritische Infrastrukturen (KRITIS) unterliegen nach § 8a Abs. 1 BSIG besonderen Sicherheitsanforderungen. Die Betreiber dieser Unternehmen und öffentlichen Einrichtungen sind verpflichtet, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) regelmäßig nachzuweisen, dass ihre IT-Sicherheit dem aktuellen Stand der Technik entspricht. Dazu müssen sie angemessene organisatorische und technische Maßnahmen ergreifen, um Störungen zu vermeiden, die die Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität ihrer IT-Systeme gefährden können.

Anzeige

In unserem zweitägigen Workshop KRITIS: Spezielle Prüfverfahrenskompetenz für § 8a BSIG erhalten Sie einen umfassenden Überblick über die Anforderungen von KRITIS und können sich gezielt auf Prüfungen für § 8a BSIG vorbereiten. Nach bestandener Abschlussprüfung am Ende der Schulung erhalten die Teilnehmenden die Zusatzqualifikation "Spezielle Prüfverfahrenskompetenz für § 8a BSIG". Damit sind sie berechtigt, Sicherheitsprüfungen für § 8a BSIG im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik durchzuführen.

Der Workshop wird von Andre Windsch geleitet. Als Senior Expert bei der HiSolutions AG verantwortet er dort das Themenfeld „Kritische Infrastrukturen“ nach BSI-Gesetz. In seinem Aufgabenbereich unterstützt er Betreiber Kritischer Infrastrukturen aus den unterschiedlichsten Branchen und Sektoren bei der Umsetzung der spezifischen Anforderungen.

Dieser iX-Workshop folgt dem BSI-Schulungskonzept und richtet sich insbesondere an Auditoren wie interne Revisoren, Revisoren, Wirtschaftsprüfer mit IT-Revisionserfahrung sowie Mitarbeitende von Revisionsgesellschaften und Betreibern kritischer Infrastrukturen. Um einen intensiven Austausch untereinander und eine optimale Vorbereitung auf die Prüfung und Zertifizierung zu ermöglichen, ist diese Schulung auf 12 Teilnehmende beschränkt.

Palo Alto Networks hat Sicherheitsmitteilungen zu vier Schwachstellen im Firewall-Betriebssystem PanOS veröffentlicht. Für eine hochriskante Lücke existiert bereits Exploit-Code. Angriffe sind in Kürze sehr wahrscheinlich.

Anzeige

Die Lücke mit dem höchsten Schweregrad betrifft laut Palo Altos Mitteilung eine mögliche Umgehung der Authentifizierung im Management-Web-Interface. Nicht angemeldete Angreifer mit Zugriff auf das Interface können ohne Anmeldung darauf zugreifen und bestimmte PHP-Skripte aufrufen. Das ermögliche zwar keinen Codeschmuggel, aber kann die Integrität und Vertraulichkeit von PAN-OS beeinträchtigen (CVE-2025-0108, CVSS 8.8, Risiko "hoch"). Das CERT-Bund vom BSI weist darauf hin, dass Exploit-Code verfügbar ist, der den Missbrauch der Lücke demonstriert. Den können Kriminelle leicht anpassen.

Aufgrund einer Schwachstelle Im OpenConfig-Plug-in für PAN-OS können angemeldete Administratoren Anfragen an das PAN-OS-Web-Management-Interface senden und dabei Zugriffsbeschränkungen umgehen, um beliebige Befehle auszuführen (CVE-2025-0110, CVSS 8.6, hoch). Außerdem können angemeldete Angreifer Dateien als User "nobody" lesen (CVE-2025-0111, CVSS 7.1, hoch). Weiterhin können Angreifer ohne vorherige Anmeldung bestimmte Dateien als User "nobody" löschen, etwa einige Log- und Konfigurationsdateien (CVE-2025-0109, CVSS 6.9, mittel).

Bei der Risikobewertung setzt Palo Alto derzeit den durchgängig niedrigeren "temporal Score" an, üblich ist bei anderen Anbietern der akute CVSS-Wert. Der zeigt, dass die beiden ersten Lücken eher knapp am Risiko "kritisch" vorbeischrammen und eine von Palo Alto als mittleres Risiko klassifizierte Schwachstelle tatsächlich ein hohes Risiko bedeutet.

Datenbank-Admins sollten ihre PostgreSQL-Instanzen zeitnah auf den aktuellen Stand bringen. Geschieht das nicht, können Angreifer Server attackieren und eigene Befehle ausführen.

Anzeige

Wie aus einem Bericht hervorgeht, sind Sicherheitsforscher im Kontext einer Sicherheitslücke (CVE-2024-12356 "kritisch") in den Fernzugriffssoftwares Privileged Remote Access (PRA) und Remote Support (RS) von BeyondTrust auf eine weitere Schwachstelle (CVE-2025-1094 "hoch") gestoßen.

Die schon länger verfügbaren Sicherheitsupdates für PRA und RS blocken das Ausnutzen beider Lücken. Doch die Forscher geben an, dass die zweite Lücke ebenfalls PostgreSQL bedroht. Das haben mittlerweile auch die PostgreSQL-Entwickler in einer Warnmeldung bestätigt.

Die Schwachstelle findet sich in mehreren libpq-Funktionen. Dabei werden Eingaben nicht ausreichend bereinigt, sodass Angreifer eigene SQL-Befehle ausführen können. Aufgrund der Einstufung des Bedrohungsgrads ist davon auszugehen, dass Angreifer darüber Systeme kompromittieren können.

Progress warnt vor Sicherheitslücken in den Entwicklertools Telerik sowie dem Load Balancer Loadmaster. In Telerik können Angreifer Daten aus der Kommunikation von Agent- und Host-Komponenten ausspähen, in Loadmaster hingegen Befehle ans Betriebssystem einschleusen.

Anzeige

Die Sicherheitsmitteilung von Progress zu Telerik beschreibt die Schwachstelle als "Klartext-Übertragung von sensiblen Informationen" (CVE-2025-0556, CVSS 8.8, Risiko "hoch"). Der Hersteller schränkt jedoch ein, dass beim Report Server bei der Nutzung ausschließlich der älteren .Net-Framework-Implementierung die Kommunikation nicht-sensibler Daten zwischen Service-Agent und App-Host über einen nicht verschlüsselten Tunnel läuft. In der Standard-Installation befinden sich beide Komponenten auf derselben Maschine. Da auch andere Installationsarten möglich sind, fließt in die Risikobewertung jedoch der Missbrauch aus dem Netz ein, was das Risiko erhöhe.

Bei der Nutzung der neueren .Net-Implementierung trete das nicht auf. Betroffen sind die Versionen von Telerik 2024 Q4 (10.3.24.1218) und frühere; die Fassung 2025 Q1 (11.0.25.211) oder neuer bessern den zugrundeliegenden Fehler aus.

In einer weiteren Sicherheitsmitteilung erörtert Progress Schwachstellen in Loadmaster sowie im Loadmaster Multi-Tenant (MT) Hypervisor. Angreifer können fünf unterschiedliche Sicherheitslecks missbrauchen, um nach Authentifizierung am Management Interface mit sorgsam präparierten HTTP-Anfragen beliebige Systembefehle einzuschleusen, die das Betriebssystem ausführt (CVE-2024-56131, CVE-2024-56132, CVE-2024-56133, CVE-2024-56135; alle CVSS 8.4, Risiko "hoch"). Eine weitere Lücke erlaubt auf diesem Weg das Herunterladen von beliebigen Dateien des Zielsystems (CVE-2024-56134, CVSS 8.4, hoch).

Der Druckerhersteller Lexmark hat Sicherheitsmitteilungen zu Schwachstellen in Drucker-Begleitsoftware und Firmware diverser Drucker-Modelle veröffentlicht. Angreifer können dadurch Schadcode einschleusen und ausführen. Aktualisierte Soft- und Firmware steht bereit. Admins sollten sie zeitnah installieren.

Anzeige

Am schwersten wiegt eine Lücke in der Begleitsoftware Lexmark Print Management Client (LPMC). Die Fehlerbeschreibung ist sehr allgemein gehalten: Eine Schwachstelle aufgrund des "Verlassens auf nicht vertrauenswürdigen Angaben in einer Sicherheitsentscheidung" (CWE-807) ermöglicht das Umgehen eines Schutzmechanismus (CVE-2025-1126, CVSS 9.3, Risiko "kritisch"). Am Ende können Angreifer Code im SYSTEM- oder Root-Kontext ausführen sowie Ordner auf dem Rechner löschen, für die eigentlich erhöhte Rechte benötigt werden. Aufgrund einer doppelten Nutzung des CVE-Eintrags CVE-2024-11348 hat Lexmark eine neue CVE-Nummer vergeben. Betroffen sind LPMC 3.0.0 bis 3.4.0, Version 3.5.0 oder neuer schließen die Sicherheitslücke.

Der eingebettete Webserver in zahlreichen Lexmark-Druckern lässt sich durch eine Kombination einer Path-Traversal-Lücke sowie gleichzeitiger Ausführung von Schadcode durch Angreifer unterjubeln (CVE-2024-11348, CVSS 9.1, kritisch). Diverse Druckermodelle sind betroffen, deren Auflistung die Meldung sprengen würde – die unten verlinkte Sicherheitsmitteilung listet sie auf.

Dasselbe gilt für die weiteren Schwachstellen im Postscript-Interpreter vieler Drucker – auch hier sollten IT-Verantwortliche, die Lexmark-Drucker einsetzen, durch die Liste der betroffenen Geräte schauen und gegebenenfalls das bereitstehende Firmware-Update anwenden. Durch den Missbrauch der Schwachstellen können Angreifer aus dem Netz Schadcode mit eingeschränkten Nutzerrechten auf den Geräten ausführen. Wie genau Angriffe aussehen würden, schreibt Lexmark jedoch nicht. Vermutlich gelingt das durch das Senden manipulierter Druckdaten.

Seit drei Wochen kämpft die Bundeswehr-Universität in München mit einem Cyberangriff. "Nach derzeitigem Kenntnisstand haben sich die Angreifer Zugriff auf einen zentralen IT-Service des Rechenzentrums verschafft", bestätigte ein Sprecher des Kommando Cyber- und Informationsraum (CIR) der Bundeswehr am Donnerstagabend auf Anfrage von heise online. Das Kommando CIR ist unter anderem für die Abwehr digitaler Bedrohungen gegen die Bundeswehr zuständig. Im Laufe des Tages hatte es bereits in den Sozialen Medien und beim Handelsblatt entsprechende Hinweise gegeben. Der Angriff sei am 23. Januar festgestellt worden, so der CIR-Sprecher. "Derzeit arbeitet das Rechenzentrum der Bundeswehr-Universität in München unter Hochdruck an der Analyse und Mitigation der Auswirkungen." Mit anderen Worten: Bislang ist nicht klar, wie weit die Infrastruktur der Universität tatsächlich kompromittiert wurde. Betroffen seien aber in jedem Fall nur die Strukturen innerhalb der Bundeswehr-Universität, die getrennt von denen der Bundeswehr selbst liefen.

Anzeige

Die Universität in München ist neben der Helmut-Schmidt-Universität in Hamburg die zweite Hochschule, die zur Bundeswehr gehört. In den Studiengängen der Universität am ehemaligen Fliegerhorst Neubiberg können Bundeswehrangehörige unter anderem Studiengänge wie Bachelor in Informatik und einen Master in Cybersicherheit absolvieren, auch das Nachrichtendienstwesen und Sicherheitsstudien werden dort gelehrt. Ein Teil der Studierenden ist zur Verwendung beim Bundesnachrichtendienst vorgesehen oder bereits dort tätig.

"Die potenziell Betroffenen wurden über diesen Vorfall eingehend informiert", so der Sprecher des Kommando CIR. Einschränkungen gingen von dem Angriff nicht aus, derzeit sei auch keine Datenlöschung oder "unzulässige Verschlüsselung" bekannt. Ob interne Daten abgeflossen sind, teilte der Sprecher nicht mit. Das Handelsblatt berichtete, dass persönliche Daten von Studierenden und Dozierenden an der Universität potenziell betroffen seien, unter anderem sensible Daten wie Kontoverbindungen und Mobiltelefonnummern.

Die Universität der Bundeswehr arbeitet bei ihrer Forschungs- und Lehrtätigkeit eng mit anderen Stellen im Geschäftsbereich des Bundesverteidigungsministeriums zusammen. Gerade erst wurde eine Kooperation zwischen der Hochschule und dem Cyber-Innovation-Hub (CIHbw) angekündigt. Damit soll die kleine Innovationseinheit, die sich außerhalb der normalen Bundeswehrstrukturen um Herausforderungen durch Digitalisierung wie experimentelle Drohnenabwehr oder ein Meta-Drohnenbetriebssystem kümmert und sich auch konzeptionellen Fragen wie der Rolle von Software Defined Defence widmet, enger mit den Angehörigen der Universität zusammenarbeiten. Ziel sei es, heißt es in einer Stellungnahme der Präsidentin der Universität Eva-Maria Kern, dass Studierende und Forscher der Universität gemeinsam mit dem Cyber-Innovation-Hub "innovative Lösungen für die Bundeswehr entwickeln."

Die mutmaßlich aus China aktive Hackinggruppe hinter dem verheerenden Cyberangriff auf mehrere große Provider in den USA ist angeblich weiter aktiv und hat zwischen Dezember und Januar fünf weitere Telekommunikationsunternehmen kompromittiert. Das berichtet TechCrunch unter Berufung auf die Cybersicherheitsfirma Recorded Future. Die hat demnach Erkenntnisse darüber, dass die Gruppe aus China die US-Tochter eines bekannten britischen Konzerns, einen US-Internetprovider und Telekommunikationsfirmen aus Italien, Südafrika und Thailand infiltriert hat. In weiteren Systemen würde die Gruppe Informationen sammeln. Und das, obwohl der Cyberangriff im Herbst entdeckt wurde.

Anzeige

Recorded Future geht dem Bericht zufolge nicht davon aus, dass die Angriffe ein Ende finden und das, obwohl die Attacke bereits Anfang Oktober entdeckt wurde. Damals hieß es, dass es mutmaßlich in Diensten der chinesischen Regierung stehenden Angreifern gelungen ist, die Netzwerke von AT&T, Verizon, T-Mobile und anderen Providern zu kompromittieren. Der Gruppe namens "Salt Typhoon", "GhostEmperor" oder "FamousSparrow" ging es dabei offenbar um Informationsbeschaffung. Es handle sich um den "größten Telekommunikationshack in der US-Geschichte – und zwar mit Abstand", hat der Vorsitzende des für Geheimdienste zuständigen Senatsausschusses im November gesagt.

Die staatlichen Ermittlungen zu dem Cyberangriff wurden Ende Januar abrupt gestoppt, als die neue US-Regierung alle nicht vom Staat entsandten Mitglieder verschiedener Beratungsgremien entlassen hat. Dadurch wurde die Untersuchung des Angriffs durch das Cyber Safety Review Board regelrecht abgewürgt. Das CSRB gibt es seit 2022, besetzt wird es von der Cybersicherheitsagentur CISA. Vertreten waren darin eigentlich staatliche Einrichtungen wie der Geheimdienst NSA oder das Justizministerium, aber auch privatwirtschaftliche Akteure wie Google oder Cybersicherheitsfirmen. Mit der versammelten Expertise sollen besonders schwerwiegende Cybersicherheitsvorfälle untersucht werden.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Die gemeinnützige Software-Entwicklungsplattform Codeberg steht seit Tagen im Zentrum verschiedener Angriffe. Die ehrenamtlichen Initiatoren des Projekts vermuten eine politische Motivation hinter Hassbotschaften, Spam und dDoS.

Anzeige

Vor wenigen Tagen, also um den 10. Februar, begannen die Angriffe gegen den Codeberg e.V. mit Spam-Kampagnen gegen einzelne Projekte auf der Plattform. Dabei wurden etwa deren Bug-Tracker mit unsinnigen Fehler-Hinweisen überflutet. Zudem füllten sich die E-Mail-Konten der Vereinsmitglieder mit missbräuchlichen Newsletter-Anmeldungen.

Am Morgen des 12. Februar folgte dann der nächste Schritt: Die unbekannten Angreifer erstellten tausende Issues (also Fehler-Hinweise) mit einem ordinären rassistischen Begriff im Titel, verlinkten dort Nutzerkonten und erzeugten so massenhaft E-Mail-Benachrichtigungen. Die Störer änderten mehrfach ihr Vorgehen, um den zwischenzeitlich durch Codeberg getroffenen Gegenmaßnahmen zu entwischen.

Seit dem Mittag des 13. Februar verstopft ein volumetrischer Denial-of-Service-Angriff die Internetleitung des Vereins und sorgt immer wieder für Verbindungsprobleme.

Die Softwareentwicklungsplattform Gitlab ist verwundbar. Sicherheitsupdates schließen mehrere Schwachstellen.

Anzeige

Sind Attacken erfolgreich, können Angreifer einer Warnmeldung zufolge unter anderem eigene Befehle ausführen (CVE-2025-0376 "hoch"), Abstürze auslösen (CVE-2025-12379 "mittel") oder auf eigentlich abgeschottete Daten zugreifen (CVE-2024-3303 "mittel").

Unklar ist bislang, wie solche Angriffe ablaufen könnten und ob es bereits Attacken gibt. Admins, die Gitlab-Installationen verwalten, sollten zügig eine der gegen die geschilderten Attacken gerüstete Version installieren: 17.6.5, 17.7.4, 17.8.2. Den Entwicklern zufolge laufen diese Ausgaben bereits auf Gitlab.com. Gitlab-Dedicated-Kunden müssen nichts unternehmen.

Der Großteil der Sicherheitslücken wurde über die Bug-Bounty-Plattform Hackerone gemeldet.

Angreifer können an mehreren Schwachstellen in unter anderem Firmwares und Treibern von Intel ansetzen, um PCs zu attackieren. Nun sind mehrere Sicherheitspatches erschienen.

Anzeige

Alle Updates listet der Halbleiterhersteller im Sicherheitsbereich seiner Website auf. Zurzeit gibt es noch keine Berichte über laufende Attacken.

Am gefährlichsten gilt eine Lücke (CVE-2023-25191 "kritisch") in der Server-Board-BMC-Firmware. Sie betrifft konkret die Fernwartungsfunktion einiger Server-Mainboards. An der Lücke sollen Angreifer ohne Authentifizierung ansetzen können, um sich höhere Nutzerrechte zu verschaffen.

Neben der Installation der Sicherheitsupdates sollten Admins sicherstellen, dass solche Fernwartungsports nicht öffentlich über das Internet erreichbar sind. So minimieren sie ein Angriffsrisiko. Die betroffenen Server-Mainboards und Sicherheitsupdates sind in einer Warnmeldung aufgelistet. Mit den Updates haben die Entwickler noch zusätzliche BMC-Schwachstellen geschlossen.

Häufig sind es Fehlkonfigurationen, die Angreifern den Zugang zu Cloud-Umgebungen erleichtern, auch bei AWS. Entwicklungsfehler, unzureichende Härtung sowie Standardeinstellungen, die eher auf Funktionalität als auf Sicherheit ausgerichtet sind, erhöhen das Risiko, dass Angreifer einzelne Anwendungen, Ressourcen und Identitäten kompromittieren können.

Anzeige

In dem Workshop Angriffe auf und Absicherung von Amazon Web Services (AWS) lernen Sie die Techniken der Angreifer kennen und erfahren, mit welchen Sicherheitsmaßnahmen Sie Ihre AWS-Dienste und Cloud-Identitäten besser schützen und so potenzielle Angriffe frühzeitig erkennen und abwehren können.

Dabei setzen Sie sich mit verschiedenen Angriffsszenarien und Sicherheitsstrategien auseinander. Sie werden in die wichtigsten Methoden wie unautorisierte Informationsbeschaffung, initiale Kompromittierung von AWS Identitäten und Privilegieneskalation eingeführt. Sie erfahren auch, wie wichtig es ist, die Angriffspfade zwischen lokalen Umgebungen und der AWS-Cloud zu verstehen. Beim Aufspüren von Fehlkonfigurationen lernen Sie, wie Sie diese beheben und Sicherheitsfunktionen aktivieren können. Frank Ully zeigt Ihnen, wie Sie Angriffe auf Ihre AWS-Umgebung erkennen und wie Sie CloudTrail, CloudWatch und GuardDuty konfigurieren und einsetzen, um Sicherheitsprotokolle zu analysieren und auf Sicherheitsvorfälle zu reagieren.

Die Schulung richtet sich an Administratoren, IT-Sicherheitsverantwortliche und Security-Fachleute, die sich intensiver mit Angriffen auf und Absicherung von Amazon Web Services (AWS) auseinandersetzen wollen. Referent ist Frank Ully, erfahrener Pentester und Head of Research bei der Oneconsult Deutschland AG in München. Der nächste Workshop findet am 10. bis 11. April 2025 statt