Comretix Blog

Um Attacken auf Windows-Computer mit der Fernzugriffssoftware Ivanti Secure Access Client (ISAC) vorzubeugen, sollten Admins eine aktuelle Version installieren. Bislang gibt es den Entwicklern zufolge aber keine Hinweise, dass Angreifer die nun geschlossene Sicherheitslücke bereits ausnutzen.

Wie aus einer Warnmeldung hervorgeht, müssen Angreifer für Attacken lokalen Zugriff haben und authentifiziert sein. Ist das gegeben, können sie sich über die Schwachstelle (CVE-2025-22454 "hoch") höhere Rechte verschaffen. Aufgrund der Einstufung der Lücke ist davon auszugehen, dass Angreifer auf diesem Weg Systeme kompromittieren können.

Die Entwickler versichern, dass sie die Schwachstelle in den ISAC-Ausgaben 22.7R4 und 22.8R1 geschlossen haben. Weil es ihnen zufolge noch keinen Exploit gibt, können sie Admins keine Hinweise (Indicator of Compromise, IoC) geben, woran sie bereits erfolgte Attacken erkennen können.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Angreifer können an Sicherheitslücken in Zoom Meetings SDK, Rooms Client, Rooms Controller, Workplace App, Workplace Desktop App und Workplace VDI Client ansetzen. Sind Attacken erfolgreich, verfügen sie über höhere Nutzerrechte. Aktualisierte Ausgaben schließen die Schwachstellen.

Im Sicherheitsbereich der Zoom-Website listen die Entwickler die bedrohten Anwendungen auf. Bislang gibt es keine Berichte, dass Angreifer Lücken bereits ausnutzen.

Haben Angreifer Netzwerkzugriff und sind authentifiziert, können sie etwa an einer Schwachstelle (CVE-2025-0151 "hoch") ansetzen, um ihre Rechte zu erhöhen. Wie so ein Angriff im Detail abläuft, ist bislang nicht bekannt.

Außerdem können Angreifer via DoS-Attacke Abstürze provozieren (CVE-2025-0150 "hoch"). Von den Sicherheitslücken sind die Betriebssysteme Android, iOS, Linux, macOS und Windows bedroht. Admins sollten sicherstellen, dass die aktuellen, gegen die geschilderten Attacken geschützten Ausgaben installiert sind. Diese findet man im Downloadbereich der Zoom-Website.

Unter bestimmten Voraussetzungen können Angreifer FortiAnalyzer, FortiOS, FortiSandbox, FortiPAM, FortiProxy und FortiWeb ins Visier nehmen. Bislang gibt es aber noch keine Informationen über laufende Attacken. Admins sollten aber nicht zu lange mit der Installation der Sicherheitsupdates warten.

Wie aus dem IT-Sicherheitsbereich der Fortinet-Website hervorgeht, sind verschiedene Versionen der genannten Produkte verwundbar. Am gefährlichsten gilt eine Lücke (CVE-2024-52961 "hoch") in FortiSandbox 3.0 bis einschließlich 5.0.

Weil Eingaben nicht ausreichend bereinigt werden, können Angreifer ohne Authentifizierung mit speziellen, nicht näher spezifizierten Eingaben eigene Befehle ausführen. Dafür sollen aber mindestens Nur-Lese-Berechtigungen nötig sein. Die Ausgaben 4.0.6, 4.2.8, 4.4.7 und 5.0.1 sind dagegen gerüstet.

FortiOS, FortiPAM, FortiProxy und FortiWeb sind unter anderem für Schadcode-Attacken (CVE-2024-45324 "hoch") anfällig. Die dagegen gerüsteten Ausgaben listet der Netzwerkausrüster in einer Warnmeldung auf.

Ciscos Netzwerkbetriebssystem IOS XR ist verwundbar. Demzufolge können Angreifer etwa Aggregation Services Router (ASR) der ASR-9000-Serie attackieren. Sicherheitspatches stehen zum Download bereit. Hinweise zu den Sicherheitsupdates finden Admins in den unterhalb dieses Beitrags verlinkten Warnmeldungen.

Als besonders gefährlich gilt eine Lücke (CVE-2025-20138 "hoch"), nach deren erfolgreicher Ausnutzung Angreifer als Root auf das Betriebssystem zugreifen können. In der Regel gelten Geräte im Anschluss als vollständig kompromittiert.

Dafür muss ein lokaler Angreifer einem Beitrag von Cisco zufolge aber bereits mit einem Low-Privileged-Account authentifiziert sein. Ist das gegeben, kann er aufgrund von unzureichenden Überprüfungen seine Rechte zum Root hochstufen und eigene Befehle ausführen.

Darüber hinaus sind an mehreren Stellen (etwa CVE-2025-20115 "hoch") DoS-Attacken möglich. An dieser Stelle können Angreifer mit präparierten Anfragen am Border Gateway Protocol (BGP) ansetzen und so Speicherfehler auslösen. Das führt in der Regel zu Abstürzen.

Außerdem können Angreifer den Schutzmechanismus Secure Boot umgehen (CVE-2025-20143 "mittel"), um so unter anderem das System bereits vor dem Start zu kompromittieren. Die Hürden dafür sind aber hoch: Angreifer müssen über Root-Rechte verfügen und in so einer Position können sie ohnehin schon weitreichenden Schaden anrichten.

Angreifer können an mehreren Schwachstellen in Gitlab ansetzen und Systeme im schlimmsten Fall kompromittieren.

Anzeige

Wie aus einer Warnmeldung hervorgeht, gelten zwei Sicherheitslücken (CVE-2025-25291, CVE-2025-25292) als "kritisch". Systeme sind aber nur verwundbar, wenn die Authentifizierung via SAML SSO aktiv ist und Angreifer bereits einen Nutzer-Account übernommen haben.

Die Fehler finden sich in der ruby-saml-Bibliothek, die Gitlab für diese Form der Anmeldung nutzt. Sind die Voraussetzungen erfüllt, können sich Angreifer als ein anderer Nutzer an Systemen anmelden.

Die Entwickler geben an, die Schwachstellen in Gitlab Community und Enterprise Edition 17.7.7, 17.8.5 und 17.9.2 geschlossen zu haben. Auf Gitlab.com laufen bereits die abgesicherten Ausgaben. Bislang gibt es keine Berichte, dass Angreifer die Lücken bereits ausnutzen. Die Gitlab-Entwickler raten dennoch zur raschen Installation des Patches.

Die von Robin Rowe entwickelte Programmiersprache TrapC ist eine auf Cybersicherheit spezialisierte Variante von C, die darauf abzielt, in C/C++ gängige Speicherprobleme und Pufferüberläufe zu vermeiden. Rowe hat sein Projekt auf dem letzten ISO-C-Meeting im Februar vorgestellt und Ende des Jahres 2025 soll der Compiler Open Source verfügbar sein. Er verarbeitet C- und TrapC-Code und ist auch zu einfachem C++ kompatibel.

Anzeige

Wir sprechen mit Robin über die Sicherheit und Zukunft seiner Idee. Das Interview wurde auf Englisch geführt und an einigen Stellen verweisen wir auf die Originalformulierung.

Robin, warum genau ist TrapC sicherer als C/C++?

Um darüber nachzudenken, was Softwaresicherheit einfach erklärt wirklich bedeutet, sollten wir uns einige grundlegende Fragen darüber stellen, was passiert, wenn typische Fehler in C- und C++-Code – dem heutigen State of the Art – auftreten.

Zum März-Patchday hat Microsoft Korrekturen für insgesamt 57 CVE-Schwachstelleneinträge veröffentlicht. Fünf davon betreffen als kritisch eingestufte Lücken in Windows-Systemen; von weiteren 33 Windows-Schwachstellen mit hohem Schweregrad werden sechs bereits ausgenutzt. Weitere betroffene Produkte sind unter anderem Office, Edge, Visual Studio und einige Azure-Komponenten.

Anzeige

Wie gewohnt bietet Microsoft in seinem Security Response Center eine nach Produkt und Schweregrad filterbare Liste an; in den Release Notes für den März-Patchday listet Microsoft zudem alle 57 CVEs auf.

Die fünf kritischen Windows-Lücken wurden demnach bislang noch nicht ausgenutzt. CVE-2025-24035 und CVE-2025-24045 adressieren das Risiko einer Remotecodeausführung über den Windows-Remotedesktopdienst; Microsoft schätzt das Risiko einer Ausnutzung hier als wahrscheinlich ein.

Als weniger wahrscheinlich gelten die Lücken CVE-2025-26645 (Lücke im Remotedesktop-Client), CVE-2025-24084 (Gefahr einer Remotecodeausführung durch das Windows Subsystem für Linux 2) und CVE-2025-24064 (Lücke im Domain Name Service). Immerhin

Die aktuelle Lage der kommunalen Cybersicherheit in Deutschland ist besorgniserregend. Das geht aus der Studie "Defizite, Anforderungen und Maßnahmen: Kommunale Cybersicherheit auf dem Prüfstand" von Dr. Tilmann Dittrich und Prof. Dennis-Kenji Kipker und IT-Sicherheitsanbieter NordPass hervor. Als Grund für die aktuelle Lage nennt Kipker "eine Mischung aus leichtfertiger Digitalisierung, fehlenden einheitlichen Standards in Deutschland zur Cybersicherheit, einem deutlich verzögerten Reagieren der Politik und damit des Gesetzgebers, insbesondere in den Bundesländern". Vielen Kommunen fehle es zudem an Geld und Personal, um die für die Cybersicherheit erforderlichen Maßnahmen umzusetzen.

Anzeige

Zwar bieten speziell die Datenschutz-Grundverordnung (DSGVO) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Rahmen und machen Vorgaben zu "Verfügbarkeit, Vertraulichkeit und Integrität von Daten und IT". Diese seien "jedoch im Anwendungsbereich vielfältig beschränkt und decken keineswegs die Gesamtheit kommunaler Cyberrisiken ab". Aktuell seien die organisatorischen Vorkehrungen der Kommunen unzureichend und würden "durch eine unübersichtliche Gemengelage aus landes-, bundesgesetzlichen und EU-rechtlichen Vorgaben bestärkt".

Die IT-Sicherheitsgesetze der Bundesländer sowie die geplanten Ausnahmen der NIS2-Regulierung der EU würden daran nichts ändern. Die Sicherheitsvorgaben des Onlinezugangsgesetzes betreffen zudem nur ausgewählte Verwaltungsleistungen. Eine einheitliche und übersichtliche Cybersicherheitsstrategie ist nicht vorhanden, resümieren die Autoren. Auf Länderebene haben Baden-Württemberg, Hessen, Sachsen, Saarland, Bayern, Niedersachsen und Rheinland-Pfalz Regelungen zur Cybersicherheit in Kommunen getroffen. Die Länder haben teilweise bereits Landes-CISO ernannt, die sich um die IT-Sicherheit kümmern.

Die Verantwortung für die Cybersicherheit liegt den Autoren zufolge bei der Leitungsebene der Kommunen, die geschult werden und IT-Sicherheitsstandards sowie ein darüber hinausgehendes Risikomanagement etablieren sollten. Zudem sollten die Kommunen einen CISO samt Expertenteam ernennen. Outsourcing auf IT-Dienstleister müsse außerdem nach klaren Vorgaben an die Cybersicherheit erfolgen. Zu guter Letzt empfehlen Kipker und Dittrich einen Notfallplan und regelmäßige Schulungen.

Nutzer der App von Eshyft, einem IT-Unternehmen aus New Jersey, sind von einem mehr als 100 GByte großen Datenleck betroffen. Auf einem falsch konfigurierten Cloud-Speicher von Amazon Web Services (AWS) waren demnach monatelang sensible Daten von mehr als 86.000 Pflegekräften und anderem medizinischem Personal aus 29 US-Bundesstaaten offen einsehbar. Der IT-Sicherheitsforscher Jeremiah Fowler von Cybernews hatte das Unternehmen auf die Sicherheitslücke aufmerksam gemacht.

Anzeige

Fowler hatte die offene Datenbank laut seinem Bericht am 4. Januar entdeckt und sie zwei Tage später an Eshyft gemeldet. Obwohl das Unternehmen daraufhin Maßnahmen ankündigte, blieb der Speicher mit Informationen des Unternehmens noch über einen Monat lang öffentlich zugänglich. Erst am 5. März wurde die Lücke geschlossen.

Die App ermöglicht die kurzfristige Besetzung von offenen Schichten in Krankenhäusern und anderen Langzeitpflegeeinrichtungen mit zertifizierten Pflegekräften und Krankenschwestern. Mehr als 50.000 Mal wurde sie aus dem Google Play Store heruntergeladen und ist auch im Apple App Store verfügbar.

Vom Sicherheitsforscher geschwärzte Ausweisdokumente, die monatelang öffentlich zugänglich waren.

In der aktuellen Folge von "Passwort" arbeiten die Hosts eine Reihe von Security-Nachrichten aus den vergangenen Wochen auf. Los geht es mit einer Kritik an "ACME-HTTP-01", also einem Teil des Protokolls zur automatisierten Bereitstellung von Web-Zertifikaten – dem Lieblingsthema des Podcasts. ACME-HTTP-01 weißt eine Lücke auf, die altbekannt, potenziell folgenschwer und doch nicht behoben ist. Christopher und Sylvester diskutieren, was es damit auf sich hat, wie relevant das Problem in der Praxis ist und wie man es lösen könnte.

Anzeige

Für Nutzer von iPhone, iPad, Mac, Vision Pro und Apple TV warten in der Softwareaktualisierung in den Systemeinstellungen wichtige Updates: Apple hat am späten Dienstagabend Aktualisierungen vorgelegt. Es handelt sich nicht um Funktionsupdates, sondern um Fehlerbehebungen – samt mindestens einer schweren Sicherheitslücke.

Anzeige

iOS 18.3.2 und iPadOS 18.3.2 enthalten laut Apple "wichtige Fehlerbehebungen und Sicherheitsupdates" und sollen ein Problem beheben, das die Wiedergabe "bestimmter Streaminginhalte" verhindert hatte – nähere Angaben dazu, welche genau und wann, machte Apple nicht. Weiterhin wurde eine Sicherheitslücke in der Browser-Engine WebKit behoben, die unter anderem von Safari verwendet wird, aber auch in anderen iOS- und iPadOS-Browsern steckt.

Es handelt sich um einen Out-of-bounds-Fehler mit der CVE-ID 2025-24201, den Apple laut eigenen Angaben selbst entdeckt hat. Er erlaubte es böswilligen Angreifern, über eine manipulierte Website aus der Web-Content-Sandbox auszubrechen. Es handelt sich demnach um einen "Zusatzfix" für ein Problem, der bereits in iOS 17.2 vom vorletzten Jahr behoben wurde. Für dieses gab es Apple vorliegende Berichte über Angriffe durch staatliche allimentierte Hacker, die es auf "specific[ally] targeted individuals" abgesehen hatten, offenbar aus dem politischen Bereich. Wieso Apple die Lücke jetzt erst schließt, bleibt unklar.

macOS 15.3.2 enthält wiederum nicht näher ausgeführte Fehlerbehebungen plus den Fix für den WebKit-Bug. macOS Ventura (13) und Sonoma (14) erhalten dafür ein einfaches Safari-Update auf Version 18.3.1.

Für die Ausfälle des Kurznachrichtendiensts X am Montag waren DDoS-Angriffe eines Botnets verantwortlich, das sich aus Kameras und Videorekordern zusammensetzt. So beschreibt es unter anderem der unabhängige Sicherheitsforscher Kevin Beaumont gegenüber dem US-Magazin Wired. Dass die keineswegs innovativen Attacken überhaupt so erfolgreich waren, liegt ihm zufolge an unzureichenden Sicherheitsvorkehrungen von X. Einige der Server des Diensts, die auf Anfragen aus dem Internet antworten und damit für DDoS-Angriffe anfällig sind, seien nicht von dem DDoS-Schutz abgedeckt gewesen, den X bei Cloudflare gebucht hat. Die Endpunkte konnten also direkt angegriffen werden. Inzwischen sei das behoben.

Anzeige

X war am Montag infolge der Attacken mehrfach offline gegangen und für die Nutzer und Nutzerinnen nicht erreichbar. Insgesamt haben externe Experten laut Wired fünf verschiedene Angriffswellen beobachtet. Die beobachteten Fehler fielen dabei unterschiedlich aus, teilweise kam überhaupt keine Verbindung mit dem Server zustande, teilweise konnte die Seite von X zumindest geladen werden, es fehlten aber die Inhalte. X-Chef Elon Musk hat von einer massiven Cyberattacke gesprochen, bei der die eingesetzten Ressourcen auf eine große Gruppe oder ein Land deuten würde. Dem widersprechen die Erkenntnisse der externen Beobachter jetzt. Ausschlaggebend für die Tragweite waren demnach mangelnde Vorkehrungen.

Musk hat außerdem behauptet, dass IP-Adressen "aus dem Gebiet der Ukraine" für die Attacke verantwortlich seien. Während die bei einer DDoS-Attacke beobachteten IP-Adressen aber höchstens einen Hinweis darauf geben können, wo die kompromittierten Geräte stehen, die massenhaft auf die angegriffene Seite zuzugreifen, lässt sich darüber nicht auf die Verantwortlichen schließen. Im konkreten Fall gibt es aber sogar Zweifel, dass ukrainische IP-Adressen überhaupt in nennenswerter Menge aufgetaucht sind. Eine anonyme Quelle hat Wired versichert, dass von den 20 aktivsten IP-Adressen der Attacke keine aus der Ukraine stammt.

Ein Experte von Nokia hat auf Mastodon ergänzt, dass die genutzten IP-Adressen aus der ganzen Welt kommen – so wie man es von Botnetzen kenne. Passen würde die Verteilung demnach zu einem ganz jungen namens Eleven11bot. Das wurde laut Jérôme Meyer erst vor wenigen Tagen zum ersten Mal beobachtet und bestehe hauptsächlich aus kompromittierten Webcams und Videorekordern. Innerhalb kürzester Zeit sei es auf mehr als 30.000 Geräte angewachsen und gehöre damit zu den größten, die in jüngerer Vergangenheit aufgetaucht sind. In der kurzen Zeit steckte es demnach bereits hinter Angriffen auf ganz unterschiedliche Sektoren.

Als US-amerikanische Programmierer Davis L. seine Kündigung fürchtete, pflanzte er Schadroutinen in die IT-Systeme seines Arbeitgebers ein. Der Schadcode sollte aktiv werden, sobald sein Nutzerkonto im Active Directory stillgelegt wurde. Es kam, wie befürchtet. Jetzt wurde L. verurteilt.

Anzeige

Geschworene des US-Bundesbezirksgerichts für das Nördliche Ohio haben L. der vorsätzlichen Beschädigung geschützter Computer für schuldig befunden. Darauf stehen bis zu zehn Jahre Haft. Das konkrete Strafmaß wird der vorsitzende Richter zu einem späteren Zeitpunkt festlegen. Der Angeklagte ist zum Sachverhalt grundsätzlich geständig, erachtet sich allerdings als nicht schuldig im Sinne der Anklage. Er hat Rechtsmittel gegen den Schuldspruch angekündigt.

L. arbeitete seit November 2007 für einen internationalen Konzern mit Sitz in Ohio und Irland, der auch in Deutschland Tochterunternehmen hat. 2018 wurde der Mann im Zuge einer Umstrukturierung degradiert. Daraufhin begann er mit der Sabotage des Arbeitgebers.

Laut Anklage (1:21-cr-00226) installierte er endlose Programmschleifen, die Java Virtual Machines unbenutzbar machten und Anwendern den Zugriff auf Server verunmöglichten. Zudem soll er Profildateien von Kollegen gelöscht haben.

Die billigen WLAN- und Bluetooth-Chips des Herstellers Espressif, ESP32, enthalten in aktuellen Firmware-Versionen undokumentierte Befehle in der Bluetooth-Hardware-Kommunikation. Dies reißt eine Sicherheitslücke auf, durch die Angreifer sich einnisten können, sagen die Entdecker der Lücke. Die ist jedoch nicht so gravierend, wie sie zunächst den Anschein erweckt – obwohl Milliarden von ESP32-ICs bereits in freier Wildbahn ihren Dienst verrichten, etwa in smarten Steckdosen, Heizungsregler und ähnlichen praktischen Geräten.

Anzeige

Die Schwachstellenbeschreibung lautet konkret: Espressif ESP32-ICs enthalten 29 versteckte Bluetooth-HCl-Befehle, etwa "0xFC02" – "Schreibe Speicher" (CVE-2025-27840, CVSS 6.8, Risiko "mittel"). Durch die undokumentierten Befehle können Angreifer Speicher und sogar am Ende Flash manipulieren und so die komplette Kontrolle übernehmen.

Das Bluetooth Host-Controller-Interface (HCI) definiert die Kommunikation zwischen Bluetooth-IC und Host-System, wie der Name bereits andeutet. Es ist also nicht direkt Over-the-air, etwa über Bluetooth-Funk, erreichbar. Es handelt sich um Kommunikation, die klassischerweise über UART- oder SPI-Protokolle zwischen Host-System und Bluetooth-Controller läuft.

Die Entdecker haben den Fund auf der spanischen IT-Sicherheitskonferenz rootedcon vorgestellt. Sie erklärten dort, dass sich mit diesen Befehlen unter anderem MAC-Adressen spoofen lassen, sodass sich Geräte als andere Bluetooth-Gegenstellen ausgeben und so etwa mit Smartphones verbinden können. Unbefugter Zugriff auf Daten sei so denkbar. Durch die möglichen Schreibzugriffe ist zudem ein dauerhaftes Einnisten denkbar. Allerdings gelingt dies alles nur dann, wenn zuvor bereits Zugriff auf ein Gerät mit verwundbarem ESP32-IC möglich ist: Etwa, wenn Zugang mit Root-Rechten erfolgte, damit Malware installiert oder eine bösartig modifizierte Firmware aufgespielt wurde. Damit sind aber bereits diese und weiterreichende bösartige Aktionen möglich.

Eine Recherche bringt Neues im Fall Bybit ans Licht: Der größte Diebstahl der Geschichte wurde möglich, weil das Unternehmen sich auf eine unsichere Freeware verließ. "Safe" heißt die betroffene Anwendung, die sonst für Krypto-Transaktionen im Amateurbereich dient. Bybit nutzte sie, um Kryptowährung im Wert von 1,5 Milliarden US-Dollar zu verschieben. Wie riskant das ist, war den Verantwortlichen offenbar bewusst.

Anzeige

Die New York Times berichtet jetzt neue Einzelheiten zu dem Fall vom 21. Februar, bei dem es Cyberkriminellen gelang, eine riesige Summe der Kryptowährung Ethereum (Ether) abzuschöpfen. Die Kryptobörse Bybit wollte das Ether routinemäßig von einem seiner Speicherwallets ins andere transferieren, doch die Kriminellen griffen alles ab. Das FBI beschuldigt eine Gruppe aus Nordkorea der Tat.

Bybit-CEO Ben Zhou genehmigte die Transaktion vorher eigenhändig und gab den Angreifern damit unbewusst die Kontrolle über das Ether. "Safe" war dabei laut der New York Times die entscheidende Schwachstelle. Die weit verbreitete Freeware für Krypto-Wallets ist von jedermann nutzbar und beliebt bei Amateur-Tradern. Das hielt Bybit laut der Times nicht ab, damit Milliardenwerte hin und her zu schieben. Den Cyberkriminellen gelang es demnach, Safe so zu manipulieren, dass sie das transferierte Ether an sich reißen konnten.

Besonders ärgerlich für Bybit: Es gibt laut Experten längst bessere Systeme, die auch auf Anwender mit Großtransaktionen spezialisiert sind. Die bestohlene Kryptobörse verließ sich stattdessen jahrelang weiter auf "Safe". Viele Sicherheitsexperten glauben deshalb, der Vorfall wäre vermeidbar gewesen. "Im Jahr 2025 ist so etwas völlig inakzeptabel", sagte Charles Guillemet von der Krypto-Sicherheitsberatung Ledger der New York Times dazu. Solche Zustände müssten sich dringend ändern.