Comretix Blog

Auf der offiziellen Webseite des Plug-ins GravityForms für das Content-Management-System WordPress haben bösartige Akteure infizierte Fassungen zum Download eingestellt. Die manipulierte Version des mehr als eine Million Mal installierten Plug-ins enthält eine Hintertür, die den Angreifern vollständiges Kompromittieren der WordPress-Instanz ermöglicht.

Laut der IT-Forscher von Patchstack hat der Entdecker des mit Malware versehenen Plug-ins am vergangenen Freitag GravityForms von der offiziellen Webseite "gravityforms.com" heruntergeladen. Das hat jedoch HTTP-Anfragen an die verdächtige Domain gravityapi.com gestellt, die erst am Dienstag vergangener Woche erstellt wurde. Die Anfrage an diese Domain war so langsam, dass die Monitoring-Systeme des Entdeckers darauf ansprangen.

Die Analysten haben einige größere Webhoster kontaktiert und sie nach den Indizien für einen Befall (Indicators of Compromise, IOCs) suchen lassen. Dabei stellte sich heraus, dass die Infektion nicht weit verbreitet ist; das mit Backdoor versehene Plug-in war offenbar nur kurze Zeit verfügbar und wurde nur von wenigen Opfern heruntergeladen. Patchstack hat bei der Untersuchung herausgefunden, dass auch Groundhog von der Supply-Chain-Attacke betroffen ist. Inwiefern es sich in diesem Kontext um Supply-Chain-Angriffe handelt, erörtert Patchstack nicht genauer.

Die Hintertür im GravityForms-Plug-in hat den Angreifern einige Handlungsmöglichkeiten eröffnet. Sie konnten etwa neue Konten mit Administratorrolle anlegen, beliebige Dateien auf den Server hochladen oder Nutzerkonten löschen. Am Samstag hat Patchstack Backdoor-Aktivitäten beobachtet, bei denen die Angreifer einen verschlüsselten Aufruf an den gf_api_token-Parameter geschickt haben.

Die Programmierer des Plug-ins von RocketGenius hat der Entdecker der manipulierten Version ebenfalls kontaktiert. Von dort hat er etwas später Rückmeldung erhalten: Infiziert war die Version 2.9.12 des Plug-ins. Das Plug-in wurde durch eine saubere Variante ersetzt, zunächst ohne die Versionsnummer anzuheben. Das haben die Entwickler dann im Laufe des Freitags nachgeholt und Version 2.9.13 hochgeladen. Die Domain gravityapi.org hat der Domainregistrar Namecheap stillgelegt.

In der UEFI-Firmware zahlreicher Gigabyte-Mainboards klaffen Sicherheitslücken, durch die Angreifer ihre Rechte im System sehr weitreichend ausweiten können. Gigabyte stellt für zahlreiche Mainboards BIOS-Updates bereit, die die Lücken schließen.

Davor warnt aktuell das CERT. Die Schwachstellen betreffen den Systemverwaltungsmodus (System Management Mode, SMM). "Angreifer könnten eine oder mehrere dieser Schwachstellen ausnutzen, um ihre Privilegien zu erhöhen und beliebigen Code in der SMM-Umgebung eines UEFI-unterstützten Prozessors auszuführen", fasst das CERT die Sicherheitslücken zusammen. Der BIOS-Hersteller AMI hat gegenüber dem CERT angedeutet, dass das Unternehmen die Schwachstellen bereits früher nach vertraulichen Meldungen ausgebessert hat, sie nun jedoch in der Gigabyte-Firmware wieder aufgetaucht seien und jetzt öffentlich bekannt gemacht wurden.

UEFI kann direkt mit der Hardware im System Management Mode interagieren, einem hoch-privilegiertem CPU-Modus, der für grundlegende Betriebssystemoperationen gedacht ist – er wird auch als Ring "-2" bezeichnet innerhalb der CPU-Privilegienstufen. Befehle dieser Privilegienstufe laufen in einem geschützten Speicherbereich ab, dem System Management RAM (SMRAM) und sind lediglich durch System Management Interrupts (SMI) erreichbar, erörtert das CERT. Die SMI-Handler dienen als Zugang zum SMM und verarbeiten übergebene Daten über bestimmte Kommunikationspuffer. Unzureichende Prüfung dieser Puffer oder nicht vertrauenswürdige Pointer aus Prozessor-Status-Registern können zu "ernsthaften Sicherheitsrisiken" führen, einschließlich SMRAM-Manipulationen und nicht autorisierter SMM-Ausführung, erklärt das CERT weiter. Angreifer können die SMI-Handler missbrauchen, um beliebigen Code früh im Bootvorgang, in Wiederherstellungsmodi oder bevor das Betriebssystem vollständig geladen ist auszuführen.

In den einzelnen Sicherheitsmitteilungen findet sich der Hinweis der IT-Sicherheitsforscher, dass Code an dieser Stelle auch SMM-basierte Schutzmechanismen des SPI-Flash-Speichers gegen Modifikationen oder Secure-Boot sowie einige Hypervisor-basierte Varianten der Speicherisolierung umgehen kann. Derart eingeschleuster Code übersteht selbst Betriebssystem-Neuinstallationen. Insgesamt vier Sicherheitslücken hat Binarly nun entdeckt und gemeldet.

Einmal die ungeprüfte Nutzung des RBX-Registers, die in SMRAM-Schreibzugriffen mündet (CVE-2025-7029 / EUVD-2025-21142, CVSS 8.2, Risiko "hoch"). Fehlende Prüfung von Funktionszeiger-Strukturen, die aus RBX und RCX abgeleitet werden, ermöglichen Angreifern kritische Flash-Operationen wie ReadFlash, WriteFlash, EraseFlash und GetFlashInfo (CVE-2025-7028 / EUVD-2025-21138, CVSS 8.2, Risiko "hoch"). Zudem ermöglicht eine Kombination aus einer doppelten Pointer-Dereferenzierung, die einen Speicherort für Schreiboperationen aus der ungeprüften NVRAM-Variablen SetupXtuBufferAddress einbezieht sowie das Schreiben von Inhalten aus Speicherbereichen, auf die ein von Angreifern kontrollierbarer Zeiger aus dem RBX-Register verweist, das Schreiben beliebiger Inhalte in den SMRAM (CVE-2025-7027 / EUVD-2025-21141, CVSS 8.2, Risiko "hoch"). Außerdem kommt das von Angreifern kontrollierbare RBX-Register als ungeprüfter Zeiger in der CommandRcx0-Funktion zum Einsatz und ermöglicht damit Schreibzugriffe auf von Angreifern spezifizierbare Bereiche im SMRAM (CVE-2025-7026 / EUVD-2025-21137, CVSS 8.2, Risiko "hoch").

Am Donnerstag der vergangenen Woche hat Fortinet Sicherheitsupdates veröffentlicht – die gravierendste Schwachstelle betrifft FortiWeb. Angreifer können eine SQL-Injection-Schwachstelle in nicht aktualisierten Systemen missbrauchen. IT-Forscher haben als Proof-of-Concept Exploit-Code veröffentlicht. Bösartige Akteure können verwundbare Systeme damit attackieren – IT-Verantwortliche sollten die Updates daher rasch installieren.

Die Sicherheitslücke in FortiWeb ermöglicht nicht angemeldeten Nutzern aus dem Netz, SQL-Befehle mit manipulierten HTTP- oder HTTPS-Anfragen einzuschleusen. Die werden nicht ausreichend von der Web-Application-Firewall (WAF) gefiltert und ermöglichen dadurch den Missbrauch, der Angreifern das Ausführen beliebigen Codes erlaubt (CVE-2025-25257, CVSS 9.6, Risiko "kritisch"). Die FortiWeb-Versionen 7.6.4, 7.4.8, 7.2.11 sowie 7.0.11 und neuere stopfen das Sicherheitsleck und stehen zum Herunterladen bereit.

Detailanalyse und Proof-of-Concept (PoC)

Die IT-Sicherheitsforscher von Watchtowr haben die Sicherheitslücke genauer untersucht. Sarkastisch leiten sie ihre Analyse mit den Worten ein: "Um fair zu bleiben, die Secure-by-Design-Zusicherung hat von Unterzeichnern nicht verlangt, dass sie SQL-Injections vermeiden sollen, daher haben wir nichts zu sagen." Die Secure-by-Design-Kampagne der US-Behörden CISA und FBI hat den SQL-Injections jedoch sogar ein eigenes Dokument mit Empfehlungen und Hilfestellung gewidmet. Dementsprechend ist die Watchtowr-Analyse lang und ausufernd, die Forensiker haben eine Menge zu sagen.

Die Watchtowr-Analysten beschreiben etwa, wie sie sich an das Einschleusen von SQL-Befehlen herangetastet haben, mit einem einfachen Befehl, für fünf Sekunden zu schlafen, und anhand der Antwortzeit den Erfolg ablesen. Trotz vorbereiteter SQL-Abfragen (prepared statements, eine der empfohlenen Maßnahmen, SQL-Injection-Lücken zu vermeiden) auf der FortiWeb-Appliance gelingt ihnen das Einschleusen eigener Befehle.

Die IT-Forensiker von Watchtowr haben dort jedoch nicht aufgehört. "SQL-Injection vor der Authentifizierung am System macht Spaß", schreiben sie, aber "die Achterbahn der Freude beginnt – können wir die MySQL-Injection in Codeausführung aus dem Netz ausweiten?" Und natürlich finden sie einen Weg: Die Anweisung INTO OUTFILE schreibt Inhalte mit den Rechten des Users des MySQL-Prozesses. Das sollte üblicherweise ein eigens angelegter "mysql"-User sein, jedoch frotzeln die Forensiker, dass solche Details zu keiner Zusicherung wie der "Secure by Design" gehören und Fortinet das daher nicht wissen könne – MySQL läuft auf den FortiWeb-Appliances als root (geneigte Leser mögen sich an dieser Stelle ein wohl platziertes "Head->Desk"-Meme vorstellen).

McDonald's bietet seinen Filialen für die Einstellung neuer Mitarbeiter einen KI-Chatbot namens Olivia an, um die Prozesse zu beschleunigen. Dieser Chatbot nervt viele Bewerber nicht nur mit seltsamen Fragen, sondern sammelt auch viele persönliche Daten. Doch die dafür beauftragte KI-Firma Paradox hatte offenbar kein hohes Verständnis von Datenschutz. Sicherheitsforscher konnten sich relativ leicht Zugriff auf die Daten von bis zu 64 Millionen Bewerbern verschaffen. Paradox hat umgehend reagiert und die Sicherheitslücke schnell geschlossen.

Künstliche Intelligenz (KI) ist auch bei der großen Fast-Food-Kette kein Fremdwort mehr. Im März wurde berichtet, dass McDonald's seine Filialen mit KI-Funktionen ausstattet. Und auch beim Einstellungsprozess können die einzelnen Restaurants KI nutzen. Dafür stellt die Zentrale "McHire" bereit, eine Plattform mit dem von Paradox entwickelten KI-Chatbot Olivia. Wer sich für einen Job in einer Filiale von McDonald's bemüht, dürfte in vielen Fällen zunächst mit Olivia sprechen.

Der KI-Chatbot befragt die Bewerber zunächst nach Kontaktinformationen und einem Lebenslauf, bevor ein Persönlichkeitstest durchgeführt wird. Etliche Interessenten berichten bereits von frustrierenden Erfahrungen mit Olivia bei Reddit, was Sicherheitsforscher aufhorchen ließ. Diese testeten den KI-Chatbot zunächst auf mögliche Sicherheitsprobleme, aber konnten keine direkten Angriffspunkte durch manipulierte Anfragen an das Sprachmodell feststellen.

Darauf haben die Sicherheitsforscher versucht, sich bei McHire.com als McDonald's-Filiale einzuloggen, um Zugriff auf das Backend zu bekommen. Dabei haben sie eine ominöse Login-Möglichkeit für Paradox-Mitarbeiter gefunden, die kaum geschützt war. Es gab keine Multifaktor-Authentifizierung und als Kennwort wurde "123456" akzeptiert, schreiben die Sicherheitsforscher im eigenen Blog. Damit hatten sie Administratorzugriff auf ein Test-Restaurant innerhalb von McHire und konnten gleichzeitig auf Daten von Mitarbeitern sowie Bewerbern zugreifen.

Dies ermöglichte Abfragen beliebiger Bewerber. Denn wird die Bewerber-ID, die oberhalb von 64 Millionen lag, manuell geändert, konnten weitere Bewerbungen einschließlich Kontaktinformationen und sogar die entsprechenden Chat-Protokolle abgerufen werden. Die Sicherheitsforscher haben aus Datenschutzgründen nur eine Handvoll Bewerbungen und die dazu gehörenden Daten abgerufen, aber Stichproben bestätigten, dass es sich um reale Personen handelt. Somit waren theoretisch 64 Millionen Bewerberdaten oder sogar mehr verfügbar.

Das Portal "nius.de" ist am gestrigen Samstag Opfer einer Cyberattacke geworden. Dabei wurde die Webseite etwas umgestaltet (Defacement). Außerdem haben die Angreifer eine Datenbank mit mutmaßlichen Informationen etwa über Abonnenten der Plattform veröffentlicht.

Das Portal präsentierte den Besuchern anstatt Überschriften einen Download-Link.

(Bild: heise medien)

Bei dem Defacement der Webseite wurden alle Überschriften auf der nius.de-Webseite durch eine URL ersetzt, ein Download-Link auf eine Datei, die json-Daten enthält. Die Datei lagert auf der Domain "direction.center" und umfasst offensichtlich Daten von rund 5700 Abonnenten: Vornamen und Namen, E-Mail-Adressen, verkürzte respektive pseudonymisierte Kreditkarten- oder Kontoinformationen sowie Informationen zu dem gewählten Abonnement-Typ.

Auf die Abonnenten-Daten folgen in der Datei Daten zu Squidex – einem quelloffenen Content-Management-System (CMS), das nius.de anscheinend verwendet. Schließlich folgen Informationen zu Swagger, mit dem man etwa mit RESTful APIs interagieren kann. Mit dem Tool war anscheinend nicht authentifizierter Zugriff auf das nius.de-CMS und die Kundendatenbank möglich. Die Datei ist zum Meldungszeitpunkt weiterhin zugreifbar.

Die Bundesregierung will die NIS2-Richtlinie der EU für den verpflichtenden Schutz wichtiger Anlagen und Unternehmen vor Cyberangriffen in Deutschland bis Anfang 2026 gesetzlich verankern. "Das Bundesinnenministerium treibt dieses Thema im Moment mit Hochdruck voran", sagte die Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Claudia Plattner, der Deutschen Presse-Agentur. "Ich habe die Hoffnung, dass wir es schaffen, dass es Anfang 2026 in Kraft treten kann."

Zu dem Entwurf, der unter anderem die Pflicht zur Risikoanalyse und zur Meldung von Sicherheitsvorfällen bestimmt, wurden laut Innenministerium Anfang Juli die Länder und betroffene Verbände angehört. "Wichtig ist, dass die Unternehmen und Institutionen den Startschuss hören", sagt die BSI-Chefin.

Mit der Umsetzung der europäischen Richtlinie soll mehr Cybersicherheit von Unternehmen und Institutionen geschaffen werden. Als wichtige Einrichtung im Sinne des Gesetzes gelten unter anderem größere Unternehmen der Sektoren Energie, Verkehr, Trinkwasser, Lebensmittelproduktion, Abwasser und Telekommunikation. Die Idee dahinter: Wenn sie nicht mehr arbeitsfähig wären – etwa weil ein Hacker ihre Daten verschlüsselt oder den Zugriff darauf blockiert hat – hätte das erhebliche Auswirkungen auf die Bevölkerung.

Die Pflicht zur Umsetzung bestimmter Sicherheitsmaßnahmen zur Abwehr und Bewältigung von Cyberangriffen soll künftig schätzungsweise rund 29.000 Unternehmen betreffen und damit deutlich mehr als bisher. Aktuell betreut das BSI rund 4.500 Betreiber kritischer Infrastruktur, die bestimmte Standards in Sachen Cybersicherheit erfüllen müssen. Seit ungefähr vier Monaten ist die NIS-2-Betroffenheitsprüfung des BSI online. Damit kann jeder herausfinden, ob die geplanten strengeren Regeln für ihn gelten oder nicht. Der Test wurde laut BSI schon mehr als 200.000 Mal genutzt. Plattner hat dennoch den Eindruck: "Die Anforderungen, die auf die betroffenen Unternehmen und Einrichtungen zukommen, haben viele derjenigen, die es angeht, immer noch nicht richtig auf dem Schirm."

Die Frist für die NIS-2-Richtlinie ist am 17. Oktober 2024 abgelaufen. Bis zu diesem Datum hätten alle EU-Mitgliedstaaten die Richtlinie in nationales Recht umsetzen müssen. Deutschland und zahlreiche andere EU-Staaten haben die Frist nicht eingehalten. Die Ampel-Koalition hatte im Juli 2024 im Kabinett einen entsprechenden Gesetzentwurf beschlossen. Nach dem Auseinanderbrechen der Koalition von SPD, Grünen und FDP fand sich dafür jedoch keine Mehrheit mehr im Bundestag.

Nach einem Cyberangriff Anfang Juni kann die Polizei in Mecklenburg-Vorpommern ihre Diensthandys nicht einsetzen. Untersuchungen der Attacke laufen. Nun liegen erste Ergebnisse vor. Es ist demnach möglich, dass bei dem Angriff Daten abgeflossen sind.

Wie der NDR berichtet, sind die Ermittler beim Nachstellen verschiedener Angriffswege auf einen nachgebauten Server darauf gestoßen, dass es Wege gibt, Daten auszuleiten und nur wenige Spuren dabei zu hinterlassen. Eine Ministeriumssprecherin des Schweriner Innenministeriums erörterte demnach, dass auf dem Management-Server keine Daten etwa aus Ermittlungs- oder Personalakten lagern, sondern etwa Rufnummern der Mobiltelefone, Gerätenummern und die Nutzernamen – also Namen der Polizeibeamten.

Diese Daten hatten die Einbrecher in einer großen Datei gesammelt, die sie offenbar versucht haben, in kleinen Päckchen auszuleiten, erörterte die Ministeriumssprecherin. Möglicherweise haben die Täter den nun von den Ermittlern gefundenen Weg zum Ausleiten eines Teils der Daten genutzt. Ob und in welchem Umfang Daten abgeflossen seien, sei jedoch unklar.

Dem Bericht zufolge haben die bösartigen Akteure zwei Sicherheitslücken in der Verwaltungssoftware zum Management der Mobilfunkgeräte für den Cyberangriff missbraucht. Die Mobile-Device-Management-Software stamme von einem renommierten Hersteller, der jedoch ungenannt bleibt. Die Diensthandys, auch mPol-Geräte genannt, sind weiterhin nicht nutzbar. Die Beamten setzen sie etwa auf Streife dafür ein, Fahrzeughalter abzufragen oder Ausweispapiere zu prüfen. Der NDR gibt an, dass die Polizei in Mecklenburg-Vorpommern derweil statt auf die Smartphones nun ersatzweise auf alte, früher eingesetzte Funktechnik setzt. Wann die mPol-Geräte wieder nutzbar sein werden, ist derzeit unklar.

Ende Juni wurde bekannt, dass der Cybereinbruch in den Verwaltungsserver für die Diensthandys der Polizei in Mecklenburg-Vorpommern weitreichendere Folgen hatte, als zunächst angenommen. Es stellte sich heraus, dass sich die Diensthandys nicht mehr nutzen lassen.

In der Datentransfersoftware Wing FTP klafft eine Sicherheitslücke, die Angreifern aus dem Netz das Einschleusen und Ausführen von Schadcode ermöglicht. Sie erhält die höchstmögliche Risikobewertung "kritisch". IT-Forensiker haben den Missbrauch der Schwachstelle bereits am 1. Juli beobachtet.

Laut Schwachstellenbeschreibung behandelt das User- und Admin-Webinterface "\0"-Bytes fehlerhaft, die das Ende von Zeichenketten anzeigen. Ohne in die Details zu gehen, soll das Angreifern ermöglichen, beliebigen LUA-Code in User-Session-Files zu schleusen. Damit lassen sich wiederum beliebige Systembefehle mit den Rechten des FTP-Servers – standardmäßig "root" oder "SYSTEM" – ausführen. "Das ist daher eine Remote-Code-Execution-Lücke, die die vollständige Server-Kompromittierung garantiert", schreiben die Melder der Lücke. Sie lasse sich auch mit anonymen FTP-Konten ausnutzen (CVE-2025-47812 / EUVD-2025-21009, CVSS 10.0, Risiko "kritisch").

Über die beobachteten Angriffe auf die Sicherheitslücke berichten IT-Sicherheitsforscher von Huntress in ihrem Blog. Sie beschreiben Details der beobachteten Angriffe und liefern am Ende eine Liste von Indizien für Angriffe (Indicators of Compromise, IOCs).

Die Schwachstelle betrifft Wing FTP vor der aktuellen Fassung 7.4.4, die seit dem 14. Mai 2025 zum Herunterladen bereitsteht. Das Changelog nennt explizit die Sicherheitslücke, die damit geschlossen wird. Wing FTP steht auf der Download-Seite für Linux, macOS und Windows bereit. IT-Verantwortliche sollten zügig die Updates anwenden.

Datentransfersoftware ist für Cyberkriminelle interessant, da sie durch Schwachstellen darin oftmals auf sensible Daten zugreifen können, mit denen sie Unternehmen dann um Lösegeld erpressen können. So ging die Cybergang Cl0p auch vor, um Daten von vielen namhaften Unternehmen und gar von US-Behörden durch Schwachstellen in der Datenübertragungssoftware Progress MOVEit abzugreifen.

In der vergangenen Woche wurde bekannt, dass es einen Cyberangriff auf die australische Fluggesellschaft Qantas gegeben hat. Dabei haben sich Cyberkriminelle Zugang zu Daten von Millionen Qantas-Kunden verschafft. Jetzt hat die Airline erste Zwischenergebnisse der Untersuchung des Vorfalls veröffentlicht.

Auf einer eigens dafür eingerichteten Webseite liefert Qantas einen aktualisierten Status. Demnach hat die Fluggesellschaft Fortschritte bei der forensischen Analyse der Kundendaten auf dem kompromittierten System gemacht. Das Unternehmen bekräftigt, dass weder Kreditkarteninformationen, noch persönliche finanzielle Informationen oder Ausweis-Details auf dem System gespeichert wurden und daher auch nicht zugreifbar waren.

Daten von Qantas-Vielfliegern seien nicht betroffen – Passwörter, PINs und Log-in-Details wurden weder abgegriffen noch kompromittiert. Die Daten, die die Angreifer kompromittiert haben, seien nicht ausreichend, um Zugriff auf die Vielfliger-Accounts zu erlangen. Es gebe zudem keine Hinweise, dass die gestohlenen Daten veröffentlicht wurden. Qantas beobachtet mit der Unterstützung von Cyber-Sicherheitsexperten die Lage weiter.

Nachdem die Analysten die Dubletten entfernt haben, blieben noch 5,7 Millionen Kunden-Datensätze übrig. Einzelne spezielle Datenfelder variieren von Kunde zu Kunde, aber die Daten setzen sich offenbar folgendermaßen zusammen: 4 Millionen Datensätze beschränken sich auf den Namen, die E-Mail-Adresse und Qantas-Vielflieger-Details. Davon bestanden 1,2 Millionen Datensätze lediglich aus Namen und E-Mail-Adresse und bei 2,8 Millionen war auch die Vielflieger-Nummer enthalten; die Tier-Ebene war bei einem Großteil verzeichnet, bei einigen Kunden auch Punktestand und Status-Credits.

Die restlichen 1,7 Millionen Kundendaten bestehen aus einer Kombination von einigen der vorgenannten Datenfelder und zusätzlich noch einem oder mehreren der folgenden Punkte: Adressen (1,3 Millionen), Geburtsdatum (1,1 Millionen), Telefonnummern (900.000), Geschlecht (400.000) sowie Essensvorlieben (von 10.000 Kunden).

"PerfektBlue" haben IT-Sicherheitsforscher eine Kombination aus Bluetooth-Sicherheitslücken in einem Bluetooth-Stack genannt, der in mehreren Auto-Entertainment-Systemen zum Einsatz kommt. Die Entdecker schreiben von "kritischen Lücken, die Over-the-Air-Angriffe auf Millionen Geräten in Autos und anderen Branchen" ermöglichen. Die Gefahr ist jedoch im Regelfall deutlich geringer als angedeutet.

Ein IT-Forscher-Team von PCA Cybersecurity hat die Schwachstellen in dem OpenSynergy Bluetooth Protocol Stack (BlueSDK) aufgespürt und analysiert. Dieser Stack kommt etwa in der Autobranche zum Einsatz, aber auch für andere – nicht erforschte – Geräte, etwa im IoT-Bereich. Darin klafften bis in den September 2024 die vier Sicherheitslücken, die OpenSynergy mit Patches korrigiert und an die betroffenen Hersteller verteilt hat.

Die IT-Sicherheitsforscher haben vier Schwachstellen ausgemacht. Die gravierendste stammt daher, dass das BlueSDK die Existenz eines Objekts nicht prüft, bevor es darauf Operationen vornimmt – eine Use-after-free-Lücke. Das mündet darin, dass eingeschleuster Schadcode ausführbar ist (CVE-2024-45434 / noch kein EUVD, CVSS 8.0, Risiko "hoch"). Hier weicht PAC Security von der CVSS-Einstufung ab und behauptet, die Lücke sei gar kritisch. Eine weitere Lücke lässt sich zur Umgehung einer Sicherheitsprüfung in RFCOMM und der Verarbeitung eingehender Daten missbrauchen (CVE-2024-45433 / noch kein EUVD, CVSS 5.7, Risiko "mittel").

Zudem nutzt das BlueSDK in der RFCOMM-Komponente eine falsche Variable als Funktionsargument, was unerwartetes Verhalten oder ein Informationsleck erzeugt (CVE-2024-45432 / noch kein EUVD; CVSS 5.7, Risiko "mittel"). Die L2CAP-Channel-ID (CID) prüft das BlueSDK nicht korrekt, wodurch Angreifer einen L2CAP-Kanal mit Null-Identifier als Remote CID anlegen können – die IT-Forscher erklären jedoch nicht, inwiefern das problematisch ist (CVE-2024-45431 / noch kein EUVD, CVSS 3.5, Risiko "niedrig").

Die IT-Sicherheitsforscher haben die Schwachstellenkombination auf Infotainment-Systemen von Mercedes Benz (NTG6 Head Unit), Volkswagen (MEB ICAS3 Head Unit) und Skoda (MIB3 Head Unit) getestet und verifiziert. Nicht genannte OEMs sollen ebenfalls anfällig sein. Auffällig ist, dass recht alte Firmware-Stände und Geräte getestet wurden. Es seien aber auch neuere Modelle anfällig, erklären die PAC-Mitarbeiter. Laut Timeline sollten etwa ab September 2024 fehlerkorrigierende Updates von den Autoherstellern verteilt werden.

Eine international agierende Hackergruppe soll in Deutschland mindestens 170 Cyberangriffe verübt haben. "Ziel waren insbesondere Behörden, Krankenhäuser und größere Unternehmen", teilten die Ermittler zu den Taten zwischen 2018 und 2021 mit. "Der bislang dokumentierte Schaden beträgt 46 Millionen Euro – die tatsächliche Summe liegt vermutlich höher."

Auslöser der Ermittlungen war ein Cyberangriff auf die Stadt Neustadt am Rübenberge (Region Hannover) im August 2019, der die Verwaltung monatelang lahmlegte. Die Täter forderten damals eine hohe Summe in Bitcoin und drohten andernfalls mit der Löschung sämtlicher Daten. Ermittlungen ergaben, dass sich die Angreifer offenbar über Wochen Zugriff auf die Systeme verschafft hatten.

Die Staatsanwaltschaft Verden und die Polizeidirektion Hannover suchten mit Behörden weltweit nach den Tätern. Sie regten nach eigenen Angaben internationale Haftbefehle gegen sechs Verdächtige an. Zwei von ihnen sollen hinter dem Angriff auf Neustadt am Rübenberge stecken. Außerdem fahnden die Ermittler nach fünf mutmaßlichen Geldwäschern.

Die Angreifer gelten als Teil des sogenannten "Wizard Spider"-Netzwerks – einer internationalen Gruppe, die unter anderem in Russland verortet wird.

GrapheneOS gilt als eine sichere und datensparsame Android-Version, die wegen ihrer hohen Sicherheitsanforderungen nur für Pixel-Geräte angeboten wird. Trotz herausfordernder neuer Umstände – Google hat die bisher mit AOSP ausgelieferten Device-Trees für Pixel-Geräte nicht mitgeliefert, die Custom-ROM-Entwickler für eine schnellere Kompilierung verwendeten –, ist GrapheneOS nun auf Basis von Android 16 einen Monat nach Veröffentlichung durch Google fertig.

Laut den GrapheneOS-Entwicklern entpuppte sich die Portierung auf Android 16 als schwieriger als erwartet. Um das Update zu realisieren, habe man die Android-16-Firmware und -Treiber auf Android 15 QPR2 zurückportiert.

Schließlich konnte die erste offizielle Version von Android 16 am 30. Juni veröffentlicht werden, nachdem eine experimentelle Version am Tag Probleme aufgewiesen hatte. Die Entwickler hatten sich für den Stable-Release noch ein wenig Zeit genommen, da es seitens Google kein Pixel-Update-Bulletin zu Sicherheitspatches für Juli 2025 gab. Am 10. Juli erreichte GrapheneOS auf Basis von Android 16 den Stable-Kanal.

Neuerungen sind auf den ersten Blick – wie bei Android 16 für Googles Pixel-Geräte – nicht zu erkennen. Die meisten Änderungen spielen sich unter der Haube ab. Unter anderem scheint immerhin die Live-Update-Funktion für Echtzeitinformationen für Lieferdienste und Co. an Bord zu sein.

Zudem schreibt Graphene in der Dokumentation, dass man eine recht neue Angriffstechnik, die als TapTrap bekannt ist und durch die Angreifer unbemerkt weitreichende Zugriffsrechte erhalten können, behoben habe. Google wird diese Schwachstelle erst später beheben, sagte ein Google-Sprecher dem Magazin Bleeping-Computer. Weitere Änderungen sind im Changelog zu finden.

Im Zusammenhang mit Angriffen auf britische Unternehmen haben Strafverfolger vier mutmaßliche Mitglieder der Bande "Scattered Spider" festgenommen. Einer 20 Jahre alten Frau, zwei 19-jährigen Männern und einem Siebzehnjährigen werfen die Ermittler Computermissbrauch, Erpressung, Geldwäsche und Mitgliedschaft in einer kriminellen Organisation vor.

Die vier Verdächtigen sollen Mitglieder einer Gruppe namens "Scattered Spider" sein, die in den vergangenen Monaten mehrere Einzelhandelsunternehmen lahmlegte. Vor allem die Kaufhauskette "Marks & Spencer", Betreiberin hunderter Filialen in Großbritannien, litt unter den Angriffen und stellte Ende April sogar ihr Onlinegeschäft vorübergehend ein. Der Angriff kostete das Unternehmen Berichten zufolge bis zu 300 Millionen Pfund. Auch die Traditionsmarke Harrods und die Supermarktkette Co-Op Group beklagten Angriffe durch mutmaßliche Scattered-Spider-Mitglieder.

Die Gruppe ist personell mit Lapsus$ verbandelt, einer ebenfalls in Großbritannien aktiven kriminellen Cybergang, die sich ähnlicher Methoden bedient. Auch im Fall des Angriffs auf Marks & Spencer kam SIM-Swapping auf einen Dienstleister zum Einsatz, also die widerrechtliche Vervielfältigung von Mobilfunkkarten. Meist geht dem ein betrügerischer Anruf beim jeweiligen Mobilfunkanbieter voraus, in dem etwa der Diebstahl oder Verlust der Original-SIM behauptet und der zuständige Kundendienstmitarbeiter übertölpelt wird. SIM-Swapping ist in den USA und Großbritannien verbreitet, in Deutschland jedoch keine große Gefahr, wie uns Mobilfunkbetreiber bestätigten.

Die Bande bedient sich vorwiegend der Methoden aus dem Werkzeugkasten des Social Engineering, um sich in Unternehmensnetze einzumogeln. Dann exfiltrieren die Kriminellen Daten und erpressen ihre Opfer – ein Geschäftsmodell, auf das sich neuerdings auch Ransomware-Banden spezialisieren. Die Verschlüsselung von Daten, wie klassische Ransomware sie vornimmt, scheint nicht Teil des Scattered-Spider-Instrumentariums zu sein.

Der Journalist Brian Krebs hat die Bande und ihre Verbündeten von Lapsus$ seit Jahren im Auge. Er gibt an, dass einer der nun Festgenommenen bereits im April 2022 in einem internen Chat der Gruppe namentlich erwähnt und mutmaßlich bereits damals beim SIM-Swapping erwischt worden war. Wie Krebs schreibt, hatte der Nachwuchskriminelle seine Mittäter gebeten, Vorsicht walten zu lassen, um bei seinen Eltern keinen neuen Verdacht zu erregen. Offenbar war der mittlerweile 19-Jährige damals erst sechzehn Jahre alt. Sieben Mitglieder von Lapsus$ in Großbritannien waren im Jahr 2022 verhaftet worden, gegen fünf US-amerikanische Verdächtige erhoben Staatsanwälte im Jahr 2024 Anklage.

Seit Wirksamwerden der Datenschutz-Grundverordnung (DSGVO) 2018 sind die Inhaberdaten von Domains weitgehend unter Verschluss. Was vorher über das sogenannte Whois-System frei zugänglich war, ist heute nur noch schwer zu bekommen. In Episode 138 des c't-Datenschutz-Podcasts diskutieren Redakteur Holger Bleich und heise-Justiziar Joerg Heidrich mit dem Domainrecht-Experten Thomas Rickert über die Auswirkungen dieser Entwicklung.

Rickert ist geschäftsführender Gesellschafter der Rickert Rechtsanwaltsgesellschaft und außerdem im Rat der Generic Names Supporting Organization (GNSO Council) aktiv, die wiederum Teil der zentralen Domain-Verwaltung Internet Corporation for Assigned Names and Numbers (ICANN) ist. Darüber hinaus leitet der Rechtsanwalt beim eco-Verband die KG Names & Numbers.

Rechtsanwalt Thomas Rickert beim Podcasten in der Auslegungssache

Rickert schildert in der Episode, dass vor der DSGVO für jede Domainregistrierung über 70 Datenelemente erhoben und veröffentlicht werden mussten - vom Namen über die Adresse bis zur Faxnummer. Diese Praxis führte dazu, dass Datenhändler die Informationen massenhaft abgriffen und Domaininhaber kurz nach der Registrierung mit Spam überhäuft wurden.

Die ICANN reagierte auf die DSGVO mit einer Notlösung: Statt der Daten erscheint seitdem meist nur noch "Redacted for Privacy". Für Rechteinhaber wie Verlage, die gegen Urheberrechtsverletzungen vorgehen wollen, ist das ein Problem, betont Heidrich. Er berichtet frustriert, dass er bei offensichtlichen Rechtsverletzungen keine Kontaktmöglichkeit mehr findet. Die Täter verstecken sich bewusst hinter amerikanischen Anbietern, die keine Auskünfte erteilen.

In der Nacht zum Freitag hat Trend Micro mehrere CVE-Schwachstelleneinträge veröffentlicht. Sie betreffen hochriskante Sicherheitslücken in mehreren Produkten des IT-Sicherheitsunternehmens.

In Trend Micros Cleaner One Pro können Angreifer ihre Rechte ausweiten und unbeabsichtigt Trend-Micro-Dateien mit erhöhten Rechten löschen, einschließlich der Cleaner-One-Pro-Dateien (CVE-2025-53503 / EUVD-2025-21043, CVSS 7.8, Risiko "hoch"). Laut Sicherheitsmitteilung von Trend Micro korrigiert Trend Micro Cleaner One Pro 6.8.333 den Fehler.

In der Endkundenversion von Trend Micros Passwort-Manager können Angreifer mit symbolischen Links und ähnlichen und anderen, nicht näher genannten Methoden eine Link-Verfolgungs-Lücke zur Rechteausweitung missbrauchen. Damit können beliebige Ordnern und Dateien löschen und ihre Rechte im System ausweiten (CVE-2025-52837 / EUVD-2025-21041, CVSS 7.8, Risiko "hoch"). Der Passwort-Manager in Version 5.8.0.1330 für Windows oder neuere Fassungen bessern die Schwachstelle aus.

Die Privatnutzer-Version Trend Micro Security 17.8 ist von einer vergleichbaren Sicherheitslücke betroffen. Die Software folgt Verknüpfungen, wodurch Angreifer unbeabsichtigt Dateien von Trend Micro mit erhöhten Rechten löschen können, einschließlich der eigenen (CVE-2025-52521 / EUVD-2025-21040, CVSS 7.8, Risiko "hoch"). Die Trend Micro Security-Produkte für Windows enthalten den Fehler ab Version 17.8.1476 nicht mehr.

Im Trend Micro Worry-Free Business Security Services (WFBSS) Agent können Angreifer aus dem Netz ohne vorherige Authentifizierung die Kontrolle übernehmen. Es fehlt einen Authentifizierungsprüfung (CVE-2025-53378 / EUVD-2025-21042, CVSS 7.6, Risiko "hoch"). Betroffen sind die Agents der SaaS-Cloud-Variante, die On-Premises-Version ist nicht anfällig. Der Fehler wurde bereits mit dem monatlichen Wartungsupdate korrigiert, Admins müssen daher nicht aktiv werden.

Mexikos Generalstaatsanwaltschaft (FGR) hat nach Berichten mehrerer mexikanischer Medien eine Untersuchung gegen Mexikos früheren Präsidenten Enrique Peña Nieto über die angebliche Entgegennahme von Bestechungsgeldern in Millionenhöhe eingeleitet. Dieser soll nach Angaben der israelischen Zeitung The Marker 25 Millionen US-Dollar von zwei israelischen Geschäftsleuten als Schmiergeldzahlung für den Erwerb der Spionagesoftware Pegasus des israelischen Unternehmens NSO Group erhalten haben.

"Wir werden die israelischen Behörden unverzüglich über das System der internationalen Rechtshilfe bitten, diese Informationen, die sie in den Medien veröffentlicht haben, in eine Akte aufzunehmen, damit wir vorankommen können", erklärte der Leiter der FGR, Alejandro Gertz Manero, am Dienstag. Man werde die israelische Regierung formell um Rechtshilfe bitten, "damit diese Behauptungen innerhalb eines rechtlichen Rahmens aufgestellt werden und nicht in das gleiche Vakuum unbegründeter Anschuldigungen fallen", so Gertz weiter. Angesichts der schwierigen Zusammenarbeit mit Israels Behörden in anderen Fällen zeigte sich Gertz allerdings nicht sehr optimistisch, was die Überstellung der erforderlichen Unterlagen betrifft.

Die Informationen, die Mexikos früheren Präsidenten mit den Sponsoren der Spionagesoftware in Verbindung bringen, wurden in der vergangenen Woche von der israelischen Zeitung The Marker veröffentlicht und von mexikanischen Medien breit aufgegriffen. Die Veröffentlichung ist Teil eines Rechtsstreits zwischen zwei israelischen Geschäftsleuten, die behaupten, eine gemeinsame "Investition" in Höhe von 25 Millionen US-Dollar getätigt zu haben, um zwischen 2012 und 2018 Verträge mit der mexikanischen Regierung unter Peña Nieto zu erhalten. Unklar ist, ob der gesamte Betrag an den Ex-Präsidenten selbst geflossen sein soll oder ob andere Personen beteiligt waren.

Peña Nieto, der seit seinem Ausscheiden aus dem Amt zwischen Spanien und der Dominikanischen Republik lebt, hat die gegen ihn erhobenen Vorwürfe entschieden zurückgewiesen. Über seinen offiziellen X-Account, den er seit Monaten nicht mehr benutzt hatte, bezeichnete er den Marker-Artikel als "völlig falsch" und versicherte, dass die Anschuldigungen unbegründet seien. "Ich bedaure, auf Artikel zu stoßen, die ohne ein Mindestmaß an journalistischer Sorgfalt leichtfertige und bösartige Behauptungen aufstellen", schrieb er. Es handele sich um eine Unterstellung, "die jeglicher Grundlage entbehrt". Er ließ die Frage offen, wer von einer solchen Veröffentlichung profitieren würde. Später erklärte Peña Nieto in einem Radiointerview, dass er nie an der Vergabe von Aufträgen an Lieferanten beteiligt war. Auch kenne er keinen der beiden betreffenden Geschäftsleute.

Die Regierung Peña Nieto (2012-2018) hatte das Spionagesystem Pegasus mutmaßlich für 32 Millionen US-Dollar offiziell für nachrichtendienstliche Zwecke und zur Bekämpfung des organisierten Verbrechens eingekauft. Aktivistengruppen und Journalisten deckten später auf, dass Regierungseinrichtungen die Malware zum Ausspähen von Journalisten, Menschenrechtsaktivisten und Korruptionsbekämpfern nutzten. Die US-Tageszeitung New York Times fand heraus, dass Mexikos damaliger Staatssekretär für Menschenrechte, Alejandro Encinas, mit Pegasus ausgespäht wurde, als er Verfehlungen des mexikanischen Militärs untersuchte.

Der russische Basketballspieler Daniil Kasatkin ist auf Ersuchen der Vereinigten Staaten in Frankreich festgenommen worden. Die US-amerikanischen Behörden beschuldigen ihn der Beteiligung an einer Ransomware-Bande. Kasatkin, der aktuell für den Moskauer Klub MBA spielt und in der Saison 2018-19 kurzzeitig im US-College-Basketball für Penn State aktiv war, droht nach Angaben der Nachrichtenagentur AFP die Auslieferung an die Vereinigten Staaten.

Die Festnahme erfolgte bereits am 21. Juni, wurde aber erst jetzt nach einer Anhörung in Paris bekannt. Kasatkin war unmittelbar nach seiner Ankunft in Frankreich auf dem Flughafen Charles de Gaulle in Paris verhaftet worden. Laut AFP war der Sportler zusammen mit seiner Verlobten, der er gerade einen Heiratsantrag gemacht hatte, in die französische Hauptstadt gereist.

Die Vereinigten Staaten werfen Kasatkin vor, Teil einer Ransomware-Bande zu sein, die von 2020 bis 2022 rund 900 Unternehmen, darunter zwei US-Bundeseinrichtungen, angegriffen hat. Zum entstandenen Schaden wurden keine Angaben gemacht. Die US-Justiz beschuldigt den Basketballer, die Lösegeldzahlungen im Rahmen dieses kriminellen Netzwerks ausgehandelt zu haben. Gegen ihn liegt ein US-Haftbefehl wegen "Verschwörung zur Begehung von Computerbetrug" und "Verschwörung zum Computerbetrug" vor, wie die französische Tageszeitung Le Monde berichtet.

Der 26-jährige Kasatkin, der seit dem 23. Juni in Auslieferungshaft sitzt, bestreitet alle Vorwürfe. Sein Anwalt Frederic Belot erklärte, sein Mandant sei unschuldig und beantragte, Kasatkin freizulassen. "Er hat einen gebrauchten Computer gekauft. Er hat absolut nichts getan. Er fällt aus allen Wolken", sagte Bélot gegenüber Journalisten, darunter AFP, so Le Monde weiter. "Er hat keine Ahnung von Computern und ist nicht einmal in der Lage, eine Anwendung zu installieren. Der Computer wurde entweder gehackt oder der Hacker hat ihn ihm verkauft, damit er unter dem Deckmantel einer anderen Person agieren kann." Der stellvertretende russische Außenminister Sergej Rjabkow erklärte am Donnerstag, das russische Außenministerium beobachte die Situation Kasatkins genau.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Cybernation: Das ist der Begriff, mit dem die Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI) Claudia Plattner seit bald zwei Jahren mehr Bewusstsein für Cybersicherheit und Digitalisierungsfragen fordert. Die Idee: Möglichst alle staatlichen und privaten Akteure, Institutionen und Ebenen sollten das Cybersicherheitsthema gemeinsam adressieren. Bei ihrem Amtsantritt, berichtete Plattner, sei es in Regierungskreisen keineswegs selbstverständlich gewesen, dass Cybersicherheit auch eine Frage nationaler Sicherheit ist.

Bei einer zweitägigen Veranstaltung mit Vertretern aus Politik und Wirtschaft in Berlin macht sich der Wirtschaftsrat der CDU diese Idee nun zu eigen – ein Verein, der einigen Beobachtern als der derzeit maßgebliche Think-Tank der CDU-Wirtschaftspolitik gilt. Cybersicherheit sei keine rein technische Disziplin, sondern auch eine Standort- und Vertrauensfrage, erklärt Wirtschaftsrat-Präsidentin Astrid Hamke. Sie sieht wirtschaftliche Chancen: "Innovation in der Sicherheitstechnologie kann zu einem echten Exportschlager werden." Dass dabei auch Politik eine wesentliche Rolle spiele, daran ließen die Diskutanten im Waldorf Astoria-Hotel keinen Zweifel.

Denn bereits heute gibt es eine relevante Cybersicherheitsbranche in Deutschland. Oft spielt sie allerdings maximal in der mittleren Gewichtsklasse, wie Torsten Henn von Secunet beschreibt: Mit 1.100 Mitarbeitern, 400 Millionen Euro Umsatz jährlich und einem Börsenwert von etwa 1,4 Milliarden Euro sei sein Unternehmen aus politischer Sicht eben zu klein, um als industriepolitisch relevanter Player wahrgenommen zu werden.

Dass der Staat als Kunde wie als Regulierer eine maßgebliche Rolle spielt, prägte Teile der Diskussion. "Viele ambitionierte Projekte sind auch daran gescheitert, dass wir nicht rechtzeitig die Nachfragemacht generieren konnten", berichtete Iris Plöger, die beim Bundesverband der deutschen Industrie für Digitalfragen zuständig ist. Dabei spielt auch der Staat eine Rolle, insbesondere wenn es um die Anforderung digitaler Souveränität geht.

Der CDU-Abgeordnete Henri Schmidt definierte diese kurzerhand so: Es gelte, "alles dafür zu tun, keinen Vendor Lock-In zu haben." Aber die 300.000 Microsoft Office-Nutzer in der Bundesverwaltung "schmeiße ich erst dann raus, wenn ich ein Äquivalent habe." Doch da wäre man bislang trotz aller Bemühungen wie OpenDesk nicht, so Schmidt. Bis auf Weiteres scheinen Wirtschaft wie Verwaltung also auf US-Anbieter angewiesen. Die versuchen, den Bedenken Rechnung zu tragen – mit gekapselten und mehrschichtigen Sicherheitsmechanismen oder, wie Amazon mit seiner European Cloud, gleich mit einer kompletten und infrastrukturell eigenständigen Ausgründung seiner Clouddienstleistungen.

Gegen fünf junge Männer aus mehreren Bundesländern wird wegen des Verdachts der Computersabotage ermittelt. Sie sollen über mehrere Wochen lang die Telefone von Polizeidienststellen für jeweils kürzere Zeit blockiert haben. Insgesamt seien seit Anfang des Jahres über 800 Dienststellen in Deutschland und benachbarten Ländern von den Attacken betroffen gewesen, teilte die Polizei in Osnabrück mit. Ende Juni wurden mehrere Wohnungen der Tatverdächtigen durchsucht.

Die fünf Beschuldigten im Alter zwischen 16 und 19 Jahren sollen per Telefonkonferenz die Leitungen der Polizei blockiert haben. Dabei nutzten sie eine Dial-Out-Konferenz, bei der die Teilnehmer sich nicht ins Konferenzsystem einwählen, sondern angerufen werden. Die betroffenen Dienststellen seien wiederholt angerufen worden, was dazu führte, dass die Leitungen für andere Anrufer blockiert wurden. Die Ausfallzeiten hätten zwar nur von wenigen Momenten bis zu 74 Sekunden betragen. Allerdings konnten sich die Angerufenen der wiederholten Anrufe nicht erwehren, sodass in der Summe eine längere Zeit der Blockade zustande kam. Für die Beamten sei es auch nicht möglich gewesen, den Vorgang zu stoppen.

Einsatzkräfte des Fachkommissariats Cybercrime der Zentralen Kriminalinspektion Osnabrück durchsuchten Ende Juni mehrere Wohnobjekte in Schleswig-Holstein, Nordrhein-Westfalen, Baden-Württemberg und Bremen. Die Maßnahmen richteten sich unter anderem gegen Adressen in Wentorf bei Hamburg, Mülheim an der Ruhr, Eppingen und Bremen. Die Durchsuchungsbeschlüsse waren durch die Staatsanwaltschaft Osnabrück - Zentralstelle Internet- und Computerkriminalität (Cybercrime) - beantragt worden.

"Cyberangriffe auf die Polizei sind kein Kavaliersdelikt - sie können den Arbeitsalltag unserer Kolleginnen und Kollegen massiv beeinträchtigen", sagt Laura-Christin Brinkmann, Pressesprecherin der Polizeidirektion Osnabrück laut einer Pressemitteilung. "Gerade in Zeiten, in denen schnelle Erreichbarkeit entscheidend sein kann, wiegen solche Störungen besonders schwer."

Bei den Durchsuchungen wurden zahlreiche elektronische Geräte sichergestellt, darunter Smartphones, Laptops, externe Speichermedien und Netzwerktechnik.

Juniper Networks hat am Mittwoch dieser Woche insgesamt 28 Sicherheitsmitteilungen herausgegeben. Der Hersteller behandelt darin Schwachstellen in diversen Appliances und den Betriebssystemen – bis hin zum Schweregrad "kritisch".

IT-Verantwortliche sollten prüfen, ob sie die anfälligen Geräte und zugehörige Software einsetzen und zeitnah die bereitgestellten Aktualisierungen anwenden. Das Spektrum der Sicherheitslücken und ihrer Auswirkungen ist breit: Angreifer können etwa Schadcode einschleusen und ausführen, ihre Rechte ausweiten, Denial-of-Service-Attacken starten, Sicherheitsmaßnahmen umgehen oder unbefugt Daten lesen oder gar manipulieren.

Die Suche von Juniper liefert eine Übersicht der jüngsten Sicherheitsmitteilungen der Entwickler. Zum Meldungszeitpunkt stammen die jüngsten 28 Veröffentlichungen vom Mittwoch dieser Woche. Die betroffenen Systeme umfassen Junos OS, Junos OS Evolved, die ACX-, MX-, SRX-Baureihen und Juniper Apstra.

Im Juniper Networks Security Director können nicht authentifizierte Angreifer aus dem Netz auf sensible Ressourcen über das Web-Interface zugreifen oder diese manipulieren. "Zahlreiche API-Endpunkte von Juniper-Security-Director-Appliances überprüfen die Authentifizierung nicht und liefern Aufrufern Informationen außerhalb ihres Autorisierungs-Levels aus. Die erhaltenen Informationen lassen sich dazu nutzen, Zugriff auf weitere Informationen zu erhalten oder andere Angriffe auszuführen, die sich auf von der Appliance verwaltete Geräte auswirken", erklärt Juniper in der Sicherheitsmitteilung (CVE-2025-52950 / kein EUVD, CVSS 9.6, Risiko "kritisch").

Angreifer in einer Position zwischen Radius-Client und -Server von Junos OS und Junos OS Evolved können die Authentifizierung umgehen. Ursache ist eine unzureichende Prüfung eines Inetgritäts-Prüfwerts und unzureichende Erzwingung von Nachrichtenintegrität auf einem Kommunikationskanal, erörtern Junipers Entwickler (CVE-2024-3596 / EUVD-2024-32175, CVSS 9.0, Risiko "kritisch").