Comretix Blog

In Zohocorps ADSelfService Plus können Angreifer eine Sicherheitslücke missbrauchen, um Konten zu übernehmen. Aktualisierte Software stopft das Sicherheitsleck. IT-Verantwortliche sollten es zeitnah anwenden.

Anzeige

In der Sicherheitsmitteilung von Zohocorp schreiben die Entwickler des Unternehmens, dass die Schwachstelle auf fehlerhaftes Session-Handling in ADSelfService Plus zurückgeht. Dadurch könne nicht autorisierter Zugriff aus User-Enrollment-Daten erfolgen, sofern Multi-Faktor-Authentifizierung für ADSelfService-Plus-Log-ins nicht aktiviert war. In der Folge konnten unautorisiert Nutzerdaten entfleuchen und damit möglicherweise Kontenübernahmen erfolgen (CVE-2025-1723, CVSS 8.1, Risiko "hoch").

In der Schwachstellenbeschreibung des CVE-Eintrags beim NIST ergänzt Zohocorp, dass lediglich Inhaber gültiger Konten diesen Fehler hätten missbrauchen können. Die Schwachstelle betrifft ADSelfServcie Plus 6510 und ältere Builds.

Am Mittwoch vergangener Woche, den 26. Februar, hat das Unternehmen das Update auf Version 6511 herausgegeben. Es soll die Sicherheitslücke abdichten. "Das Problem wurde in ADSelfService Plus 6511 durch Sicherstellen davon gelöst, dass Enrollment-Daten nur für den User zugreifbar sind, der aktuell authentifiziert ist", erklärt Zohocorp.

Vor zwei Sicherheitslücken in der Bedienoberfläche zu IBM Storage-Virtualize-Produkten warnt der Hersteller derzeit. Angreifer aus dem Netz können dadurch Schadcode einschleusen und ausführen.

Anzeige

In einer Sicherheitsmitteilung erörtert IBM, dass bösartige Akteure die Authentifizierung umgehen und beliebigen Code zur Ausführung bringen könnten. Die gravierende Schwachstelle ermöglicht Angreifern aus dem Netz, mit sorgsam präparierten HTTP-Anfragen die RPCAdapter-Endpunkt-Authentifizierung zu umgehen (CVE-2025-0159, CVSS 9.1, Risiko "kritisch").

Die zweite Sicherheitslücke hingegen ermöglicht Angreifern aus dem Netz mit Zugriff auf das System, beliebigen Javascript-Code auszuführen. Das geht auf unzureichende Einschränkungen im RPCAdapter-Dienst zurück (CVE-2025-0160, CVSS 8.1, Risiko "hoch"). In Kombination können Angreifer aus dem Netz daher die Authentifizierung umgehen, um dann beliebigen Code auf verwundbaren Systemen auszuführen.

IBM legt Wert auf die Feststellung, dass die GUI, also die Bedienoberfläche, betroffen ist. Die Kommandozeilenversion ist nicht verwundbar. Angreifbar sind die IBM Storage-Virtualize-Versionen 8.5.0.x, 8.5.1.0, 8.5.2.x, 8.5.3.x, 8.5.4.0, 8.6.0.x, 8.6.1.0, 8.6.2.x, 8.6.3.0, 8.7.0.x und 8.7.1.0 sowie 8.7.2.x. Die Sicherheitslücken haben die Entwickler hingegen in den derzeit jüngsten Versionen 8.5.0.14, 8.6.0.6, 8.7.0.3 und 8.7.2.2 geschlossen; die 8.5.1- bis 8.5.4er-Zweige sollen dabei auf 8.6 migrieren, die 8.6.1- bis 8.6.3-Fassungen auf 8.7. IBM nennt zudem konkret betroffene Appliances: IBM FlashSystem 5x00, 7x00, 9x00, IBM Spectrum Virtualize for Public Cloud, IBM Storwize V5000, V5000E, V7000 und SAN Volume Controller.

In dem Treiber "BioNTdrv.sys" von Paragons Partition Manager missbrauchen Angreifer eine Sicherheitslücke, durch die sie höhere Rechte im System erlangen. Paragon reagiert mit aktualisierter Software. Da der Treiber ein ordentliches Microsoft-Zertifikat mitbringt, können bösartige Akteure dieses einfach selbst auf Windows-Rechner installieren, ohne weitere Paragon-Software. Microsoft hat deswegen die Block-Liste der verwundbaren Treiber aktualisiert, die das Laden von anfälligen Versionen verhindern soll.

Anzeige

Das CERT weist in einer Sicherheitsmitteilung auf die Schwachstellen hin. In dem Treiber "BioNTdrv.sys" vor der nun aktuellen Version 2.0.0, insbesondere die Versionen 1.3.0 und 1.5.1 aus Paragons Partition Manager 7.9.1 sowie 17, klaffen insgesamt fünf Sicherheitslücken. Der Treiber dient dem Low-Level-Zugriff auf Laufwerke mit erhöhten Rechten im Kernel-Kontext, um auf Daten zuzugreifen und sie zu verwalten. Es sind sowohl die kostenlosen Community-Editionen als auch die kommerzielle Version der Software betroffen.

Laut CERT hat Microsoft vier Sicherheitslecks in "BioNTdrv.sys" von Paragon Partition Manager 7.9.1 sowie eine in der Version aus Paragon Partition Manager 17 entdeckt. Die Schwachstellen erlauben Angreifern, an SYSTEM-Rechte zu gelangen, die jene von Administrator noch übertreffen. Der Treiber könne von bösartigen Akteuren mit IOCTLs manipuliert werden, was etwa in erhöhten Rechten oder Systemabstürzen – etwa Blue Screen of Death, BSOD – münden kann. Selbst, wenn die Paragon-Software gar nicht installiert ist, können sie den Treiber einfach mitbringen, um eine Maschine zu kompromittieren, auch als Bring Your Own Vulnerable Driver (BYOVD) bekannt.

Und genau das hat Microsoft der Mitteilung zufolge beobachtet. In Ransomware-Angriffen haben die Täter Version 1.3.0 von "BioNTdrv.sys" mitgebracht, um ihre Rechte im System auszuweiten und bösartigen Code auszuführen.

Sie sollen kontrollieren, wer in ein Gebäude hineinkommt – doch allzu oft sind entsprechende Zugangssysteme ein Einfallstor für Cyberkriminelle. Zu diesem Schluss kommen Forscher der IT-Sicherheitsberatung Modat. Das Ausmaß ist demnach enorm.

Anzeige

Das niederländische Unternehmen veröffentlichte eine Studie, bei der rund 49.000 falsch konfigurierte Zugangssysteme, beziehungsweise Access Management Systeme (AMS) auffielen. Sie verteilen sich über verschiedene Weltregionen und Sektoren wie Baugewerbe, Gesundheitswesen, Bildungswesen, Fertigung, Ölindustrie und staatliche Einrichtungen. Die Autoren sprechen von einem weltweiten Problem.

AMS authentifizieren ihre Benutzer mit Methoden wie Passwörtern, biometrischen Merkmalen oder Multi-Faktor-Authentifizierung und autorisieren ihre Zugriffsrechte anhand festgelegter Richtlinien. Wenn sie versagen, bringt das zwei zentrale Probleme. Zum einen können sich Unbefugte Zugang zu den Gebäuden verschaffen. Zum anderen bieten die fehlerhaften Systeme unerlaubten Zugriff auf allerlei sensible Daten.

Und das ist nicht zu unterschätzen: Mitarbeiterfotos, vollständige Namen, Identifikationsnummern, Details zu Zugangskarten, biometrische Daten, Kfz-Kennzeichen und in einigen Fällen sogar vollständige Arbeitspläne und Zugangsdaten zu Einrichtungen waren laut den Forschern in diversen Fällen ungeschützt. Besonders brisant seien die biometrischen Daten, die bei einigen modernen AMS zugänglich waren. All das ist eine Angriffsfläche für Phishing, Identitätsdiebstahl, Social Engineering und andere Betrugsformen, um sensible Daten abzuschöpfen.

Pete Hegseth ist erst wenige Wochen US-Verteidigungsminister, doch das hält ihn nicht von einem Strategiewechsel ab, dessen Auswirkungen erst noch geklärt werden müssen: Das US Cyber Command, die oberste Kommandobehörde für Cyberaktivitäten des US-Militärs, soll keine weiteren Aktivitäten mehr planen, die sich auf Russland beziehen. Dazu wies Hegseth den Behördenchef und US-General Timothy Haugh an. Was genau Hegseths Anordnung umfasst und vor allem, wie sie sich auswirken wird, ist noch völlig unklar.

Anzeige

Hegseth verhängt den Kurswechsel bis auf Weiteres, wie das US-Medium The Record berichtet und sich dabei auf drei anonyme Insider bezieht. Würde die Anordnung nur Militäreinheiten betreffen, die sich mit elektronischer Kriegsführung mit Russland-Bezug beschäftigen, wären das wenige hundert Personen. Anders sähe es aus, würde es auch um Geheimdienstangehörige, Analysten und Experten für Fähigkeitsentwicklung gehen.

Doch was Hegseth genau ins Auge gefasst hat, weiß er offenbar selbst nicht genau. Jedenfalls soll das Cyber Command jetzt eine "Risikoanalyse" durchführen, die alle gestoppten Projekte auflistet und welche möglichen Gefahren noch weiterhin von Russland ausgehen könnten. Einheiten des Kommandos sind auch in Aktivitäten zur Unterstützung der Ukraine involviert, wo das US-Militär "Defensiv und offensiv" zugunsten des angegriffenen Landes hackt. Gesichert ist laut The Record zumindest, dass sich Hegseths Vorstoß nicht auf Angehörige des Inlandsgeheimdienstes National Security Agency (NSA) bezieht. Dieser beschäftigt sich unter anderem im Bereich der Fernmeldeaufklärung mit Russland.

Wie The Record außerdem schreibt, soll Haugh die Anordnung an Generalmajor Ryan Heritage weitergeleitet haben, Director of Operations im Cyber Command. Heritage, der kurz vor dem Ruhestand steht, kennt alle Missionen des Cyber Commands, weiß, welche sich davon noch in Planung oder schon in der Ausführung befinden. Er würde die Betroffenen auch über den Stopp ihrer Mission informieren. Den Insidern zufolge könnte das auch die Einheit 16th Air Force treffen. Sie ist für digitale Operationen im europäischen Raum zuständig. Auf Anfrage von The Record wollte sich ein Sprecher des Verteidigungsministeriums nicht zu dem Vorgang äußern.

Es sind wichtige Sicherheitspatches für die Softwareentwicklungsplattform Gitlab erschienen. Insgesamt haben die Entwickler fünf Lücken geschlossen.

Anzeige

In einem Beitrag geben die Gitlab-Entwickler an, die Sicherheitsprobleme in Gitlab Community Edition und Enterprise Edition 17.7.6, 17.8.4 und 17.9.1 gelöst zu haben. Die Entwickler raten Admins, ihre Gitlabinstanzen zügig auf den aktuellen Stand zu bringen. Bislang gibt es noch keine Hinweise auf bereits laufende Attacken. Weil Gitlab.com bereits gepatcht ist, müssen Gitlab-Dedicated-Kunden nichts unternehmen.

Zwei Schwachstellen (CVE-2025-0475, CVE-2025-0555) sind mit dem Bedrohungsgrad "hoch" eingestuft. In beiden Fällen können Angreifer im Zuge von XSS-Attacken unter bestimmten, nicht näher ausgeführten Umständen, Schadcode ausführen. Ob es sich um persistente XSS-Lücken handelt, geht aus der Beschreibung nicht hervor.

In den weiteren Fällen können Angreifer unter anderem unbefugt Daten einsehen (CVE-2025-10925 "mittel"). Alle Schwachstellen wurden den Entwicklern zufolge über die Bug-Bounty-Plattform HackerOne gemeldet.

Internationale Ermittler haben nach Angaben von Europol eine Verbrecherbande ausgehoben, die online mit KI generierte Bilder vom sexuellen Missbrauch von Kindern verbreitete. Bei der Operation "Cumberland" haben Behörden aus 19 Ländern am Mittwoch dieser Woche 25 Verdächtige festgenommen. Die Operation war von globalem Ausmaß und laufe noch weiter, teilte Europol mit. Strafermittler aus Dänemark führen die Operation an.

Anzeige

Wie Europol weiter mitteilt, kam es bisher zur Identifizierung von 273 Verdächtigen, zur Verhaftung von 25 Verdächtigen, zu 33 Hausdurchsuchungen und 173 Beschlagnahmungen. Mit weiteren Verhaftungen sei zu rechnen, da Operation "Cumberland" weitergehe.

Der Hauptverdächtige ist dänischer Staatsbürger und wurde bereits im November 2024 festgenommen. Er soll eine Online-Plattform betrieben haben, auf der das von ihm mit künstlicher Intelligenz erzeugte Material verteilt wurde. Nach einer symbolischen Zahlung konnten Nutzer rund um den Globus ein Passwort erhalten, um auf die Plattform zuzugreifen und Kindesmissbrauch anzuschauen.

Operation "Cumberland" ist einer der ersten Fälle, bei denen es um KI-generierte Darstellungen von Kindesmissbrauch geht. Die Ermittler sehen sich dabei vor große Herausforderungen gestellt, insbesondere weil es in den betroffenen Ländern noch keine Rechtsprechung bezüglich dieser Straftaten gibt. EU-Mitgliedsstaaten diskutieren derzeit jedoch eine gemeinschaftliche Regelung, die die EU-Kommission vorgeschlagen hat, so Europol.

Das polnische CERT warnt vor einer Sicherheitslücke in der Video-Schnitt- und Postprocessing-Software DaVinci Resolve. Angreifer können sie missbrauchen, um die Rechte im System zu erhöhen oder damit Dylib-Hijacking auszuführen.

Anzeige

In einer Sicherheitsmitteilung erörtert das CERT.pl, dass die DaVinci-Resolve-App in macOS mit inkorrekten Zugriffsrechten für die Datei installiert wird, nämlich "rwxrwxrwx". Die Standard-Praxis unter macOS sei aus Sicherheitsgründen jedoch "drwxr-xr-x" für die Zugriffsrechte im Dateisystem (CVE-2025-1413, CVSS 9.2, Risiko "kritisch"). Die Rechte stehen in der Unix-üblichen Notationsreihenfolge Lesen (r), Schreiben (w) und Ausführen (x) für Datei-/Ordnerbesitzer, Gruppe sowie Andere. "Inkorrekte Zugriffsrechte ermöglichen Dylib-Hijacking. Gastkonto, andere Nutzerinnen und Nutzer sowie Anwendungen können die Schwachstelle zur Ausweitung der Zugriffsrechte missbrauchen", schreiben die IT-Sicherheitsforscher in der Sicherheitsmitteilung.

Laut CERT.pl ist DaVinci Resolve in allen Versionen vor 19.1.3 für diese Schwachstelle anfällig. Die Version 19.1.3 stellt das Projekt inzwischen zum Schließen der Sicherheitslücke bereit.

Aufgrund des Schweregrads der Lücke sollten DaVinci-Resolve-Nutzerinnen und -Nutzer zügig auf die bereitgestellte aktualisierte Fassung updaten. Sie ist nach Klick auf die Schaltfläche "Free Download Now" auf der DaVinci-Resolve-Webseite für diverse Betriebssysteme erhältlich. Die aktualisierte Fassung steht aber auch etwa im Mac-App-Store zur Verfügung.

Die Verschlüsselung mit DES gilt seit Langem, bereits länger als zwei Dekaden, als unsicher. Nun macht Microsoft Nägel mit Köpfen: Die DES-Verschlüsselung fliegt endgültig aus Windows raus.

Anzeige

Windows wird im September 2025 die DES-Verschlüsselung gestutzt.

(Bild: Screenshot / dmk)

Bereits 1998 haben IT-Sicherheitsforscher demonstriert, dass DES-Schlüssel, die aufgrund US-amerikanischer Export-Beschränkungen zudem auf 56 Bit Länge beschränkt waren, innerhalb von nicht einmal drei Tagen und mit begrenztem Budget zu knacken waren. Die damalige US-Regierung argumentierte, dass das lediglich mit wesentlich höherem Aufwand möglich und die kurzen Schlüssel daher kein Problem seien. Die Forscher haben das mit einem von der Electronic Frontier Foundation (EFF) damals selbst gebauten "Supercomputer" mit knapp 2000 speziell designten CPUs (ASICs) mit weniger als 40 MHz Taktfrequenz, der etwa 250.000 US-Dollar kostete, widerlegt.

Mit verschlüsselten Daten zu arbeiten, ohne sie entschlüsseln zu müssen, klingt unmöglich. Und doch bietet die homomorphe Verschlüsselung genau diese Möglichkeit. Dafür ist jedoch viel Mathematik vonnöten, und die lässt sich Christopher in der 26. Folge des "Passwort"-Podcasts von einem Gast mit ausgewiesener Expertise erklären.

Anzeige

Angreifer können Sicherheitsbeschränkungen von IBMs Middleware für die Transaktionsverarbeitung umgehen und so PCs attackieren. Dagegen stehen gerüstete Versionen zum Download bereit.

Anzeige

In einer Warnmeldung führen die Entwickler aus, dass die "kritische" Lücke (CVE-2022-46337) die in TXSeries enthaltene Komponente Apache Derby betrifft. Angreifer aus dem Netz können auf einem nicht näher ausgeführten Weg an einer LDAP-Schwachstelle ansetzen, um Sicherheitsbeschränkungen auszuhebeln. Im Anschluss können sie unter anderem sensible Daten einsehen und manipulieren.

Davon sind die Versionen 8.1, 8.2, 9.1 und 10.1 von IBM TXSeries for Multiplatform bedroht. In der Warnmeldung listen die Entwickler Informationen zu den Sicherheitspatches auf. Zurzeit gibt es keine Berichte über Attacken. Dennoch sollten Admins den Sicherheitspatch zeitnah installieren.

Die kriminelle Online-Bande Cl0p ist für das Kopieren von Daten von Unternehmen und die darauf folgende Erpressung mit der Datenveröffentlichung bekannt. Etwa durch Sicherheitslücken in Datentransfer-Software wie MOVEit Transfer oder Cleo stiehlt sie den Opfern im großen Stil Daten. Jetzt haben die Täter 230 neue Unternehmen als Opfer auf ihrer Darknet-Webseite aufgelistet.

Anzeige

Hunderte neue Opfer listet Cl0p im Darknet, darunter HP und HPE.

(Bild: Screenshot / dmk)

In der umfangreichen Liste der neu bestohlenen Unternehmen finden sich abermals lediglich wenige namhafte. Am bekanntesten sind die angeblichen Opfer Hewlett Packard und Hewlett Packard Enterprise (HP und HPE). Danach fällt die Bekanntheit schon deutlich ab, aber die Liste enthält etwa auch Homedepot Mexiko.

Die israelische Sicherheitsfirma Cellebrite hat serbischen Sicherheitsbehörden den Einsatz von Spyware-Tools des Herstellers untersagt. Damit reagiert das Unternehmen laut einem Blogeintrag auf einen Bericht der Menschenrechtsorganisation Amnesty International vom Dezember 2024. In dem hatte Amnesty kritisiert, dass serbische Behörden die Software von Cellebrite gegen Journalisten und Aktivisten einsetzen.

Anzeige

Cellebrite hatte daraufhin eine Untersuchung angekündigt. Nach rund zwei Monaten teilte das Unternehmen nun mit, es sei "angebracht, die Nutzung unserer Produkte durch die betreffenden Kunden zu unterbinden". Einzelheiten zu den Ergebnissen der Untersuchung nennt Cellebrite dabei nicht. Man nehme ernst, wenn Kunden ein Missbrauch der Technik und Verstöße gegen die Nutzungsbedingungen vorgeworfen würden, versichert das Unternehmen.

Mitte Dezember hat Amnesty berichtet, dass die serbische Polizei und der serbische Geheimdienst forensische Werkzeuge von Cellebrite einsetzt, um Daten von Mobilgeräten zu extrahieren, die Medienschaffenden sowie Aktivisten und Aktivistinnen gehören. Dabeo sollen Geräte von Personen während ihrer Festnahme oder Befragung durch Strafverfolgungsbehörden mit maßgeschneiderter Spyware infiziert worden sein. Amnesty hatte die Werkzeuge von Cellebrite "als Instrumente einer umfassenderen staatlichen Kontrolle und Repression gegen die Zivilgesellschaft" bezeichnet.

Cellebrite hat sich auf das Knacken von Mobilgeräten spezialisiert und bietet seine Dienste nach eigenen Angaben nur "demokratisierten Nationen" in aller Welt an. Beim Einsatz der Technik müssten diese sich an "ethische und rechtmäßige" Grundsätze halten. Eingesetzt wurde die Software unter anderem bei der Einsichtnahme in das Smartphone des Attentäters, der im vergangenen Sommer versucht hatte, den US-Präsidentschaftskandidaten Donald Trump zu erschießen. Immer wieder gibt es aber auch Vorwürfe an Cellebrite und andere Firmen, dass ihre Werkzeuge nicht nur von demokratischen Staaten benutzt werden, sondern auch in autokratischen Staaten und dort gegen die Zivilbevölkerung.

Es können Attacken auf das Netzwerkbetriebssystem Arista EOS bevorstehen. Ansatzpunkte sind zwei Schwachstellen, die in aktuellen Ausgaben geschlossen wurden. Arista gibt an, dass es derzeit noch keine Hinweise auf Attacken gibt.

Anzeige

Davon sind unter anderem verschiedene Switch-Modelle bedroht. Die verwundbaren Produkte und Softwareversionen listet der Netzwerkausrüster in einer Warnmeldung auf. Die Entwickler versichern, die zwei Lücken in den EOS-Ausgaben 4.28.13, 4.29.10, 4.30.9, 4.31.6, 4.32.4 und 4.33.2 geschlossen zu haben. In beiden Fällen können Angreifer die Authentifizierung umgehen. Die Schwachstellen wurden intern entdeckt.

Geräte sollen aber nur angreifbar sein, wenn die Managementoption OpenConfig aktiv ist. Ob diese Einstellung standardmäßig eingeschaltet ist, geht aus der Warnmeldung nicht hervor. Ist die Option aktiv, können Angreifer mit einer gNOI-Anfrage, die das System eigentlich ablehnen sollte, Attacken einleiten. Wie so eine Attacke im Detail anlaufen könnte, ist bislang unbekannt.

Die "kritische" Lücke (CVE-2025-1260) befähigt Angreifer dazu, die Konfiguration zu manipulieren. Nutzen sie die zweite Schwachstelle (CVE-2025-1259 "hoch") erfolgreich aus, können sie eigentlich abgeschottete Daten einsehen.

Aufgrund zunehmender Betrugsfälle beim Deutschlandticket hatte der Rhein-Main-Verkehrsverbund (RMV) kürzlich die Zahlungsmethoden eingeschränkt. Insbesondere wurden Lastschrift und Kreditkarte als Zahlungsoptionen in der RMVgo-App für Neukunden deaktiviert, wie die FAZ berichtete. Diese Maßnahmen habe der RMV ergriffen, nachdem aufgefallen war, dass es zu einer "sehr hohen Anzahl von automatisiert vorgenommenen Betrugsversuchen gekommen sei". Laut FAZ war dem RMV bereits Anfang des vergangenen Jahres durch derartige Betrugsfälle ein Schaden von rund einer Million Euro entstanden. Über alle Verkehrsverbünde hinweg dürften sich die entgangenen Einnahmen sogar im dreistelligen Millionenbereich bewegen.

Anzeige

Die auch als "Dreiecksbetrug" bekannte Masche läuft im Falle der Deutschlandtickets folgendermaßen ab: Betrüger bieten auf dubiosen Plattformen Deutschlandtickets zu Niedrigpreisen an. Kaufinteressenten übermitteln ihre Daten, während die Betrüger mit gestohlenen Bankdaten Dritter echte Tickets bei einem Verkehrsverbund erwerben und diese an die Käufer weiterleiten. Bemerken die rechtmäßigen Karteninhaber die unerlaubten Abbuchungen und stornieren die Tickets, werden diese ungültig. Oft geschieht das zu spät, sodass die Käufer unbehelligt mit dem so lange gültigen Deutschlandticket fahren können. Andernfalls stehen sie plötzlich ohne gültiges Ticket da.

Bei unseren Recherchen sind wir auf mehrere illegale Shops gestoßen, die häufig über Telegram(-Bots) Deutschlandtickets anbieten – zwischen 5 und 30 Euro, nicht selten auch auf Russisch. Ein Betreiber eines solchen Kanals gibt der potenziellen Kundschaft explizite Tipps: "Für Eure und meine Sicherheit, Tickets immer mit einem kleinen Fehler im Namen erwerben". Außerdem erklärt er, warum nur Deutschlandtickets und keine ICE-Tickets angeboten werden, weil die "derzeitigen Methoden Schäden für Dritte verursachen könnten. Dies könnte zu rechtlichen Konsequenzen führen, und ich möchte vermeiden, dass irgendjemand Unannehmlichkeiten erleidet, mich eingeschlossen". Spätestens bei solchen Erklärungen dürfte den Käufern klar sein, dass es sich um illegale Angebote handelt, mal abgesehen davon, dass es keine offiziellen Verkaufskanäle für Deutschlandtickets auf Telegram unter Namen wie "DB Ticket Store" oder "D-Ticket Manager" gibt.

Bei der Untersuchung solcher betrügerischen Ticketshops entdeckten Q Misell vom Max-Planck-Institut für Informatik und andere auch die Webseite dticket.online, die sich bei genauerer Untersuchung als eine der Quellen des Zahldatenbetrugs zulasten des Rhein-Main-Verkehrsverbunds und anderen Verkehrsunternehmen herausstellte. Aufgrund von Schwachstellen im System (etwa die Nutzung von Django im Debug-Modus in der Produktionsumgebung) konnten die Sicherheitsexperten fast 1200 der im dortigen "Ticketportal" hinterlegten Tickets abrufen und analysieren. Auf dticket.online gab es zu dem Zeitpunkt der Recherche keine aktive Kauffunktion: Der Bestellen-Button führte zurück auf die Webseite. In einer archivierten Fassung der Webseite war dort jedoch ein Link auf einen Telegram-Kanal hinterlegt.

In Internet-Foren häufen sich die Fragen nach der App "Android System SafetyCore", die seit Kurzem offenbar auf vielen Smartphones stillschweigend neu installiert wird. Entwarnung vorweg: Bei der App handelt es sich nicht um Schadsoftware. Möglicherweise wollen sie aber nicht alle behalten.

Anzeige

Im Google-Play-Store erörtert der Hersteller die Funktion von Android System SafetyCore. Das Unternehmen schreibt: "SafetyCore ist ein Google-Systemdienst für Geräte mit Android 9 und neueren Fassungen. Es liefert die unterliegende Technik für Funktionen wie die kommenden Inhaltswarnungen in Google Messages, die Nutzerinnen und Nutzern helfen, sich zu schützen, sofern sie potenziell unerwünschte Inhalte erhalten." Google ergänzt: "Während das Verteilen von SafetyCore bereits im vergangenen Jahr startete, wird die Funktion "Sensible Inhalte-Warnung" in Google Messages schrittweise 2025 ausgerollt."

Google betont zudem: "Die Verarbeitung für die Funktion "Sensible Inhalte-Warnung" erfolgt auf dem Gerät und alle Bilder oder spezifische Ergebnisse und Warnungen bleiben privat bei den Nutzern." Etwas untergegangen ist ein Beitrag in Googles Sicherheits-Blog aus dem vergangenen Oktober. Darin erläutert das Unternehmen die geplanten Sicherheitsverbesserungen in Googles Messages-App.

Dort schreiben die Entwickler, dass sie "Sicherheit zu einer Top-Priorität" gemacht und "leistungsstarke, auf dem Gerät laufende, KI-basierte FIlter und fortschrittliche Sicherheit" programmiert haben, die Nutzerinnen und Nutzer vor zwei Milliarden verdächtigen Nachrichten im Monat schützen sollen. Google nennt etwa Schutz vor Betrugsnachrichten zu Paketlieferungen oder Job-Angeboten, "intelligente Warnungen" vor potenziell gefährlichen Links sowie Blockade-Möglichkeiten für Nachrichten von unbekannten internationalen Absendern.

Cisco warnt in neuen Sicherheitsmitteilungen vor Schwachstellen in Switches der Nexus-3000- und Nexus-9000-Baureihen sowie im Application Policy Infrastructure Controller (APIC). Die Nexus-Switches lassen sich dadurch lahmlegen oder Befehle unterschieben, bei Ciscos APIC sieht es ähnlich aus, es kommen aber Lücken hinzu, die Unbefugten Zugriff auf Informationen geben.

Anzeige

Am gravierendsten ordnet Cisco eine Lücke in den Cisco Nexus 3000- und 9000-Switches ein, die Angreifer durch das Senden manipulierter Ethernet-Pakete attackieren können. Die Switches müssen dafür im Standalone-Modus von NX-OS laufen, erklärt Cisco in der Warnung. Angreifer benötigen keine vorherige Authentifizierung. Als Reaktion auf solche präparierte Ethernet-Frames starten die Switches unerwartet neu, was in eine Denial-of-Service-Situation mündet (CVE-2025-20111, CVSS 7.4, Risiko "hoch").

Eine weitere Sicherheitsmitteilung von Cisco erörtert, dass authentifizierte, lokale Angreifer mit Administrator-Zugang Befehle an das unterliegende Betriebssystem einschleusen können. Das gehe auf unzureichende Prüfungen bestimmter, nicht genauer erläuterter Elemente in einem Software-Image zurück; durch das Installieren eines manipulierten Images können bösartige Akteure das missbrauchen, um Befehle im Betriebssystem als "root"-Nutzer auszuführen (CVE-2025-20161, CVSS 5.1, mittel). Admins sollten daher vor der Installation von Software-Images deren Hash-Werte prüfen.

Die dritte Sicherheitsmitteilung von Cisco befasst sich mit den Application Policy Infrastructure Controllern (APIC). Darin finden sich drei Sicherheitslücken, durch die authentifizierte Angreifer auf sensible Informationen zugreifen, beliebige Befehle ausführen und Cross-Site-Scripting-Angriffe ausführen oder Denial-of-Service provozieren können. Voraussetzung dafür sind gültige Administrator-Zugangsdaten.

Die US-amerikanische IT-Sicherheitsbehörde CISA warnt vor Sicherheitslücken in mehreren Produkten, die bereits angegriffen werden. Laut der Behörde werden Schwachstellen in Microsofts Partner Center sowie in der Groupware Zimbra aktuell im Internet angegriffen.

Anzeige

Davor warnt die CISA in einer Sicherheitsmitteilung, die US-Behörden drei Wochen Zeit einräumt, die Lücken zu schließen. Die Sicherheitslücke im Microsoft Partner Center wurde bereits im vergangenen November bekannt. Sie erlaubt Angreifern aus dem Netz, ohne vorherige Authentifizierung ihre Rechte zu erhöhen – Zugriffsrechte wurden nicht korrekt angewendet (CVE-2024-49035, CVSS nach NIST-Einschätzung inzwischen 9.8, kritisch; Microsoft evaluiert mit CVSS 8.7 das Risiko als "hoch"). Bereits im November galt die Lücke als in freier Wildbahn angegriffen, es ist unklar, ob die CISA nun spät dran ist oder neue Attacken beobachtet wurden.

Weiter hat die CISA vor Angriffen auf die Groupware Zimbra gewarnt. Kriminelle haben eine Cross-Site-Scripting-Lücke im Visier, die Angreifern aus dem Netz nach einer Anmeldung erlaubt, beliebigen Code mit einem manipulierten Skript in der /h/autoSaveDraft-Funktion einzuschleusen (CVE-2023-34192, CVSS 9.0, Risiko "kritisch"). Betroffen war Zimbra ZCS 8.8.15, neuere Versionen bessern die Schwachstelle aus.

Die US-Behörde CISA nennt keine weiteren Informationen zu den beobachteten Angriffen auf die Sicherheitslücken. Es bleibt daher unklar, in welchem Umfang sie auftreten oder woran sie zu erkennen wären. Auch Hilfen zur Abwehr, etwa mit Hinweisen auf Kompromittierung (Indicators of Compromise, IOCs) gibt es leider nicht.