Comretix Blog

In diversen Produkten von Fortinet schlummern Sicherheitslücken, für die das Unternehmen nun Updates zum Schließen anbietet. EIne Sicherheitslücke in FortiVoice wird bereits in freier Wildbahn angegriffen. Admins sollten die Aktualisierungen daher zügig installieren.

Die schwerwiegendste Sicherheitslücke betrifft FortiCamera, FortiMail, FortiNDR, FortiRecorder und FortiVoice. Angreifer können mit manipulierten HTTP-Anfragen einen Stack-basierten Pufferüberlauf provozieren, der zur Ausführung von beliebigen Code oder Befehlen führt. Derartige Angriffe hat Fortinet der Sicherheitsmitteilung zufolge bereits auf FortiVoice-Geräte beobachtet.

Bei den Angriffen haben die bösartigen Akteure zunächst das Geräte-Netzwerk gescannt, anschließend System-Absturzberichte gelöscht und "fcgi-Debugging" aktiviert, um Zugangsdaten des Systems oder von SSH-Log-in-Versuchen mitzuprotokollieren. Am Ende der Sicherheitsmitteilung nennt Fortinet einige Hinweise, die auf Angriffe hindeuten (Indicators of Compromise, IOCs).

Fortinet stellt Updates bereits, die die Lücke schließen. Allerdings müssen einige ältere Versionen auf eine unterstützte Version aktualisiert werden. Das Sicherheitsleck stopfen FortiCamera 2.1.4, FortiMAil 7.6.3, 7.4.5, 7.2.8 und 7.0.9, FortiNDR 7.4.8, 7.2.5 und 7.0.7, FortiRecorder 7.2.4, 7.0.6 und 6.4.6 sowie FortiVoice 7.2.1, 7.0.7 und 6.4.11 oder jeweils neuere.

Fortinet hat am Dienstag noch weitere aktuelle Sicherheitsmitteilungen zu diversen Produkten veröffentlicht. Admins sollten schauen, ob die von ihnen eingesetzten Fortinet-Appliances und -Systeme betroffen sind und gegebenenfalls die bereitstehenden Updates installieren:

Europol hat eine Operationen gegen ein kriminelles Netzwerk koordiniert, das Online-Investmentbetrug begeht. Strafverfolger haben am Dienstag dieser Woche acht Orte zeitgleich in Albanien, Israel und Zypern durchsucht. Die Behörden beschlagnahmten dabei Beweise für die weitere Untersuchung, darunter elektronische Geräte, Dokumente sowie Bargeld. Ein Verdächtiger wurde zudem in Zypern festgenommen, mit dem Ziel, ihn nach Deutschland auszuliefern.

Es handelt sich dabei um die zweite Aktion in Fällen von Online-Investment-Betrug, bei der die Täter mehr als 100 Opfer um mehr als 3 Millionen Euro gebracht haben. Die Masche war perfide, wie Europol in einer Mitteilung erklärt: Opfer machten eingangs kleinere Überweisungen und wurden dann dazu gedrängt, größere Mengen an Geld zu investieren. Die Täter haben die Opfer dahingehend mit gefälschten Diagrammen, mit ausgedachten Gewinnen, manipuliert. Kriminelle gaben sich als Investment-Broker aus und haben psychologische Tricks genutzt, um die Opfer zur Überweisung substanzieller Beträge zu bringen. Das Geld haben die Betrüger jedoch nie angelegt, sondern sich selbst in die Taschen gesteckt.

Deutsche Behörden haben die Untersuchungen angestoßen, nachdem ein verheiratetes Paar der Betrugsmasche zum Opfer gefallen war. Die Untersuchung offenbarte ein größeres kriminelles Netzwerk. Erste Durchsuchungen gegen die kriminelle Bande fanden bereits im September 2022 in Belgien und Lettland statt. Zwei Verdächtige wurden damals verhaftet und wichtige Beweise gesichert. Damit konnten sieben weitere Mitglieder des Netzwerks identifiziert werden, einschließlich der Manager von Call-Centern, über die Opfer betrogen wurden.

Neben Europol half auch Eurojust aus, um die rechtliche Kooperation über die Grenzen hinweg sicherzustellen. Die Untersuchungen dauern derweil an. Aus Deutschland ist die Abteilung für die Bekämpfung von Internetkriminalität der Staatsanwaltschaft beim Landgericht Itzehoe sowie das LKA Kiel involviert. Zudem sind Strafverfolger aus Albanien, Isreal, dem Vereinigten Königreich sowie Zypern dabei.

Mitte April hat Europol sogar mehr als 230 Festnahmen bei Drogenrazzien gemeldet. Auf die Spur kamen die Strafermittler den Verdächtigen aufgrund von Erkenntnissen aus geknackten Messaging-Diensten.

Fake-Shops im Internet locken regelmäßig Verbraucher in die Falle: Jeder Vierte (24 Prozent) hierzulande ist schon einmal Opfer von Online-Betrug geworden, wie eine Umfrage im Auftrag der Schufa unter 1.000 Erwachsenen im Februar ergab. Ebenso viele Menschen (25 Prozent) kennen eine Person in ihrem Umkreis, der dies schon einmal passiert ist.

Der Schaden sei oft erheblich: Sechs von zehn Betrugsopfern (61 Prozent) erlitten nach eigenen Angaben einen finanziellen Schaden – etwa, weil ihnen keine oder minderwertige Ware geliefert wurde. Weitere Betrugsmaschen, mit denen Kriminelle oft Erfolg haben:

In einem Drittel aller Fälle von Online-Betrug (34 Prozent) lag der Schaden bei 100 bis 1.000 Euro, etwas mehr als jeder Vierte (28 Prozent) hat einen Schaden zwischen 1.000 und 10.000 Euro erlitten. In vier Prozent der Fälle waren es mehr als 10.000 Euro.

Auch sensible Daten wie Passwörter (16 Prozent), Bankdaten oder Kreditkarteninformationen (17 Prozent) sowie persönliche Daten wie Adresse und Geburtsdatum (19 Prozent) gelangten nach Angaben der Geschädigten in die Hände von Kriminellen.

Um sich vor Internetkriminalität zu schützen, setzen Verbraucherinnen und Verbraucher vor allem auf möglichst sichere Passwörter (58 Prozent). Gut ein Drittel (35 Prozent) derjenigen, die bereits Opfer von Online-Betrug geworden sind, hat nach eigenen Angaben danach Login-Daten geändert.

Das Unternehmen Zoom hat in den Workplace Apps der gleichnamigen Videokonferenzsoftware mehrere Sicherheitslücken entdeckt. Die Entwickler haben aktualisierte Software bereitgestellt, die diese Lücken abdichtet. IT-Verantwortliche sollten die Updates zügig herunterladen und installieren.

Die schwerwiegendste Sicherheitslücke stammt von einer Race-Condition, die sich aufgrund des Prüfungszeitpunkts und des davon abweichenden Einsatzzeitpunkts einer Komponente auftut (Time-of-Check Time-of-Use). Zoom erläutert in der Sicherheitsmeldung nicht, welcher Bestandteil betroffen ist oder wie Angreifer das konkret missbrauchen können. Jedoch können angemeldete Nutzer mit lokalem Zugriff auf das System ihre Rechte dadurch ausweiten (CVE-2025-30663 / noch keine EUVD, CVSS 8.8, Risiko "hoch").

Die Lücken betreffen die Versionen vor den fehlerbereinigten Fassungen der Zoom Workplace (Desktop) App for Android, iOS, Linux, macOS und Windows 6.4.0, dem Workplace VDI Client for Windows 6.3.10 (mit Ausnahme der Fassungen 6.1.16 und 6.2.12), Rooms Controller for Android, Linux, macOS und Windows 6.4.0, Rooms Client for Android, iPad, macOS und Windows 6.4.0 sowie dem Zoom Meeting SDK for Android, iOS, Linux, macOS und Windows 6.4.0. Die aktualisierten Versionen stellt Zoom im Download-Portal zum Herunterladen bereit.

Außerdem haben die Entwickler weitere Sicherheitslücken in den Zoom Workplace Apps in Angriff genommen. Auch dafür stehen Updates bereit, mit denen Admins ihre Systeme gegen Angriffe absichern können. Es handelt sich um folgende Sicherheitslecks in absteigender Reihenfolge des Risikos:

Mitte März mussten IT-Admins mit Zoom-Software in ihren Netzen zuletzt aktiv werden. Updates haben mehrere, teils hochriskante Sicherheitslücken abgedichtet.

Ivanti hat zwei Sicherheitsmitteilungen herausgegeben. Darin warnt der Hersteller vor laufenden Angriffen auf Schwachstellen in Ivantis Endpoint Manager Mobile (EPMM) und stopft ein Sicherheitsleck in Ivanti Neurons for ITSM. IT-Verantwortliche sollten umgehend die bereitstehenden Aktualisierungen anwenden.

In der Sicherheitsmeldung zu Ivantis Endpoint Manager Mobile informieren die Entwickler über zwei Sicherheitslücken. Die gravierendere Schwachstelle erlaubt das Einschleusen von Schadcode (CWE-94, Improper Control of Generation of Code). Ivanti liefert keinerlei Details dazu, sondern schreibt lediglich, dass Angreifer aus dem Netz Schadcode auf dem Zielsystem ausführen können (CVE-2025-4428 / EUVD-2025-14387, CVSS 7.2, Risiko "hoch").

Die zweite Lücke ermöglicht Ivantis Beschreibung zufolge die Umgehung der Authentifizierung und dadurch unbefugten Zugriff auf eigentlich geschützte Ressourcen (CVE-2025-4427 / EUVD-2025-14388, CVSS 5.3, Risiko "mittel"). "Wenn die Lücken verknüpft werden, kann ein erfolgreicher Missbrauch zur Ausführung von Schadcode ohne vorherige Authentifizierung führen", schreibt Ivanti. Das Unternehmen weiß demnach von einer begrenzten Zahl von Kunden, deren Installationen zum Meldungszeitpunkt erfolgreich attackiert wurden.

Für mehrere Versionszweige von Ivanti Endpoint Manager Mobile stellt Ivanti aktualisierte Softwarefassungen bereit: 12.5.0.1, 12.4.0.2, 12.3.0.2 und 11.12.0.5. Sie sind im Download-Portal von Ivanti verfügbar.

Außerdem warnt Ivanti vor einer kritischen Sicherheitslücke in Ivanti Neurons for ITSM, die On-Premises-Installationen betrifft. Je nach Konfiguration erlaubt sie Angreifern, administrativen Zugang zum System zu erlangen. Es handelt sich um eine mögliche Umgehung der Authentifizierung, die Ivanti EPMM 2024.3, 2024.2 und 2023.4 betrifft. Der Mai-2025-Sicherheitspatch stopft das Leck (CVE-2025-22462 / EUVD-2025-14498, CVSS 9.8, Risiko "kritisch").

Broadcom warnt vor einer hochriskanten Sicherheitslücke in VMware Aria Automation. Angreifer können sich dadurch unbefugt Zugriff verschaffen. Aktualisierte Software steht zum Herunterladen bereit, die die Schwachstelle ausbessert.

In einer Sicherheitsmitteilung liefert Broadcom einige Informationen zur Sicherheitslücke. Demnach hat der IT-Sicherheitsforscher Bartosz Reginiak in VMware Aria Automation eine DOM-basierte Cross-Site-Scripting-Lücke entdeckt und den Hersteller darüber informiert. Bei dieser Art von Schwachstellen kann durch fehlende Filterung von übergebenen Parametern in URLs Code aus einem Link im Kontext eines Opfers zur Ausführung kommen. Angreifer müssen allerdings ihre Opfer dazu bewegen, zunächst auf einen sorgsam präparierten Link zu klicken.

Angreifer können dadurch an den Zugangstoken von angemeldeten Nutzern gelangen und erhalten dadurch unbefugt Zugriff aufs System. Die Schwachstelle hat den Eintrag CVE-2025-22249 / EUVD-2025-14367 erhalten. Die VMware-Entwickler schätzen das Risiko mit einem CVSS-Wert von 8.2 als "hoch" ein.

Die Sicherheitslücke betrifft neben VMware Aria Automation auch die VMware Cloud Foundation und VMware Telco Cloud Platform. IT-Verantwortliche müssen zur Absicherung vor möglichen Attacken die bereitstehenden Aktualisierungen herunterladen und anwenden. Für VMware Aria Automation sowie VMware Telco Cloud Platform steht das Update auf Version 8.18.1 Patch 2 bereit. Für die VMware Cloud Foundation verlinkt Broadcom zu den Release-Notes des Updates auf Fassung 8.18.1 Patch 2 – darin wird die Cloud Foundation jedoch gar nicht erwähnt.

Zuletzt hatte Broadcom Anfang April vor einer Schwachstelle in VMware Aria Operations gewarnt. Angreifer konnten dadurch ihre Rechte im System ausweiten: "Bösartige Akteure können ihre Rechte zu 'root' auf der Appliance ausweiten", schrieben die Entwickler dazu, ohne jedoch zu erläutern, wie Attacken aussehen könnten.

In den USA ist das Portal eines Anbieters kompromittiert worden, der im Auftrag von Behörden E-Mails an Bürger und Bürgerinnen schickt. In der Folge wurden von staatlichen E-Mail-Adressen Nachrichten mit betrügerischen Links verschickt, berichtet TechCrunch. Darin wurde demnach etwa behauptet, dass die Empfänger oder Empfängerinnen ausstehende Gebühren von mautpflichtigen Straßen bezahlen sollen. Wer auf den mitgeschickten Link geklickt hat, landete aber nicht auf der offiziellen Seite, sondern auf einer nachgebauten Kopie. Die Kampagne erfolgte demnach über einen Dienstleister, dessen Vertrag mit den Behörden schon im Dezember beendet wurde, dessen Zugang aber noch bestanden hat.

Der Einbruch erfolgte laut TechCrunch über einen Account des IT-Unternehmens Granicus, das für Regierungsstellen Dienstleistungen bereitstellt. Eine davon heißt GovDelivery und ermöglicht es Behörden und staatlichen Stellen, Informationen per E-Mail, SMS oder sozialen Netzwerken zu verbreiten. Wie das Unternehmen nun gegenüber der Nachrichtenseite bestätigt hat, haben Unbekannte einen Zugang zu diesem System kompromittiert und so die betrügerischen Nachrichten verschickt. In die Systeme von Granicus selbst sei nicht eingebrochen worden. Das Unternehmen könne sogar herausfinden, an wie viele Individuen die falschen Nachrichten verschickt wurden. Zahlen dazu habe die Firma aber nicht genannt.

Eingestanden wurden die Probleme jetzt von der Regierung des US-Bundesstaats Indiana, mindestens eine Kommune in New Mexico war ebenfalls betroffen. Weiterhin wurde TechCrunch von einer E-Mail berichtet, in der es um angebliche Mautgebühren in Texas ging. Wie weit verbreitet die Betrugskampagne war und ob sie inzwischen komplett beendet ist, ist deshalb unklar. Betrügerische Mails mit Zahlungsaufforderungen sind keine Seltenheit, aber von staatlichen E-Mail-Adressen wirken sie besonders überzeugend. Außergewöhnlich ist in diesem Fall auch noch, dass die Kampagne über Systeme eines Dienstleisters erfolgt, der für die Dienste überhaupt nicht mehr zuständig ist. Der Vertrag mit Indiana ist zum Jahreswechsel ausgelaufen.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Verschiedene Anwendungen von Adobe sind aufgrund von Schwachstellen verwundbar. Sicherheitsupdates von Adobe zum Mai-Patchday schließen Lücken in Animate, Bridge, ColdFusion, Connect, Dreamweaver, InDesign, Illustrator, Lightroom, Photoshop, Substance 3D Modeler, Substance 3D Painter und Substance 3D Stager.

Admins sollten sicherstellen, dass die Anwendungen auf dem aktuellen Stand sind. Folgende Ausgaben haben die Entwickler gegen mögliche Attacken gerüstet:

Wer die Updates nicht installiert, riskiert Denial-of-Service- und Schadcode-Attacken. Über eine "kritische" Lücke (CVE-2025-43567) in Connect können sich Angreifer auf einem nicht näher beschriebenen Weg höhere Nutzerrechte verschaffen. Ebenfalls "kritisch" gelten mehrere Schwachstellen (etwa CVE-2025-43559) in ColdFusion. An diesen Stellen können Angreifer unter anderem auf eigentlich nicht zugängliche Dateien zugreifen.

Bislang gibt es keine Berichte, dass Angreifer die Sicherheitslücken bereits ausnutzen. Admins sollten mit der Installation der Patches aber nicht zu lange warten. Weiterführende Informationen listet Adobe in den folgenden Warnmeldungen auf:

Derzeit haben Angreifer verschiedene Windows- und Windows-Server-Versionen im Visier und nutzen fünf Sicherheitslücken aus. Darunter auch etwa Windows 11 und Windows Server 2022. Im schlimmsten Fall kann Schadcode auf Computer gelangen und Systeme kompromittieren. Zwei weitere Schwachstellen sind bekannt, und es können Attacken bevorstehen.

Die fünf bereits ausgenutzten Lücken (CVE-2025-30400, CVE-2025-30397, CVE-2025-32709, CVE-2025-32701, CVE-2025-32706) betreffen verschiedene Windows-Komponenten. Sie sind alle mit dem Bedrohungsgrad "hoch" eingestuft.

Entfernte Angreifer bringen bei den Attacken etwa Opfer dazu, auf einen präparierten Link zu klicken. Im Anschluss wird Edge in den Internet-Explorer-Modus versetzt, in dem er verwundbar ist. Für den Internet Explorer ist der Support im Juni 2022 ausgelaufen und der Webbrowser bekommt keine Sicherheitsupdates mehr. Weiterhin verschaffen sich Angreifer über eine Schwachstelle im Common-Log-File-System-Treiber System-Rechte.

Sicherheitslücken in Microsoft Defender (CVE-2025-26685, "mittel") und Visual Studio (CVE-2025-32702, "hoch") sind öffentlich bekannt. Microsoft schätzt, dass Attacken darauf bevorstehen können. Auch hier können Angreifer unter anderem Schadcode auf Systeme verfrachten.

Azure ist unter anderem über zwei "kritische" Schwachstellen (CVE-2025-29827, CVE-2025-29972) angreifbar. Hier können sich Angreifer höhere Nutzerrechte verschaffen. Der Großteil der verbleibenden Sicherheitslücken ist mit dem Bedrohungsgrad "hoch" versehen. An diesen Stellen sind unter anderem Schadcode-Attacken auf Excel möglich.

Anlässlich der Android-Show hat Google einen Überblick über neue und teils auch seit kurzer Zeit bekannte Sicherheitsfunktionen gegeben. Android 16 soll das Schutzniveau noch einmal verbessern.

Google zählt dazu viele Features auf. So soll Android 16 den Schutz vor betrügerischen Anrufen verbessern. Da Betrüger oftmals ihre Opfer dazu bewegen, Aktionen auszuführen, die den Angreifern Zugang zu den Geräten gewähren, lassen sich während eines Telefonats bestimmte Einstellungen nicht mehr vornehmen: etwa Google Play Protect deaktivieren, Sideloading von Apps mittels Webbrowser, Nachrichten-App oder ähnlichen, oder Änderungen von Einstellungen zur Barrierefreiheit, wodurch bösartige Apps Kontrolle über das Gerät erlangen können. Sofern das Teilen des Bildschirms bei einem Anruf aktiviert wurde, erinnert Android 16 nach dessen Ende daran, dass das Screensharing beendet werden sollte.

Betrug unter Einbeziehung von Screensharing ist laut Google ein zunehmend "normaler" Angriffsvektor. In der Pilotphase warnt Android (ab Version 11) vor dem Öffnen von Banking-Apps teilnehmender Banken während einer Screensharing-Sitzung mit einem unbekannten Kontakt. Dabei erhalten Betroffene die Möglichkeit, den Anruf und das Screensharing mit einem Tipper auf den Bildschirm zu beenden. Kürzlich hat Google zudem die Echtzeit-Betrugserkennung mittels Künstlicher Intelligenz in Messages und der Telefon-App ergänzt, die ebenfalls vor Betrug schützen sollen.

Was Messenger wie Signal schon lange können, bringt Google nun mit dem Key Verifier auch der Kontakte-App bei. Mittels QR-Codes können sich bekannte Nutzerinnen und Nutzer gegenseitig einmalig ausweisen. Das Verfahren nutzt Public-Key-Kryptografie, womit dann auch Nachrichten in Google Messages Ende-zu-Ende-verschlüsselt werden. Das soll sicherstellen, dass man wirklich mit der richtigen Person am anderen Ende kommuniziert und die Konversation vertraulich bleibt.

Auch den Diebstahlschutz hat Google verbessert. Mehrere Funktionen sollen im Falle eines Diebstahls die Daten und Finanzen der Opfer schützen. Seit der Freigabe der Features im vergangenen Jahr hätten diese bereits in hunderttausenden Fällen Daten auf Geräten geschützt, die in falsche Hände geraten sind. Dazu zählen Smartphones, die mittels "Remote Lock" oder "Theft Detection Lock" automatisch gesperrt wurden und mehr als 48 Stunden in diesem Zustand blieben. Diese Funktionen will Google weiter härten: Die Gerätesperre aus der Ferne soll eine Sicherheitsfrage erhalten. Der Schutz vor Zurücksetzen auf die Werkseinstellungen soll dieses Jahr folgen, wodurch Funktionen auf Geräten eingeschränkt werden, die ohne Autorisierung der Besitzer zurückgesetzt wurden.

SAP veröffentlicht im Mai 2025 insgesamt 16 neue Sicherheitsmeldungen. Sie behandeln teils kritische Sicherheitslücken in diversen Produkten aus dem Business-Softwarekatalog des Unternehmens.

Der Patchday-Übersicht von SAP lässt sich entnehmen, dass die Entwickler des Unternehmens eine Schwachstelle in SAP Netweaver als kritisches Risiko betrachten. Dazu kommen vier weitere, die einen hohen Bedrohungsgrad tragen.

Die Liste der Sicherheitsmitteilung absteigend nach Schweregrad sortiert:

Aktualisiert hat SAP zudem die Meldung zur bereits attackierten, kritischen SAP-Netweaver-Lücke CVE-2025-31324 / EUVD-2025-11987 sowie zu einer bereits im Juli 2024 gemeldeten Schwachstelle in SAP PDCE (CVE-2024-39592 / EUVD-2024-38112, CVSS 7.7, Risiko "hoch").

IT-Verantwortliche sollten prüfen, ob sie verwundbare Software im Einsatz haben, und zügig die bereitstehenden Aktualisierungen anwenden. Dass es eine gute Idee ist, auch für SAP-Software zügig bereitstehende Aktualisierungen anzuwenden, hat jüngst eine kritische Sicherheitslücke in SAP Netweaver belegt. Ende April wurde bekannt, dass die Schwachstelle mit Höchstwertung des Risikos, CVSS 10.0, aktiv im Netz angegriffen wird; trotzdem standen hunderte verwundbare Server im Netz. Derweil laufen offenbar weitere Angriffswellen auf die Schwachstelle CVE-2025-31324 / EUVD-2025-11987.

Bisherige Schutzmechanismen schützen nicht immer gegen Spectre-artige Seitenkanalangriffe auf Prozessoren, selbst wenn sie perfekt implementiert sind und verschiedene Domains voneinander abschotten. Zu dem Ergebnis kommen Forscher der Systems and Network Security Group an der Vrije Universiteit Amsterdam (VUSec).

Auf Basis von Spectre v2 stellen sie den Angriffsvektor Training Solo vor: Ein Angreifer (etwa ein nicht privilegierter Benutzer auf demselben System) kann das Opfer (etwa einen Kernel) dazu verleiten, sich selbst zu trainieren. Eine derart beeinflusste Sprungvorhersage ermöglicht das Auslesen von Daten.

Zuvor zielten Spectre-artige Angriffe auf domainübergreifende Prozesse ab – eine Anwendung im User-Space etwa konnte die Sprungvorhersage im Kernel beeinflussen. Schutzmechanismen wie Intels Indirect Branch Restricted Speculation (IBRS) verhindern, dass sich mehrere Prozesse über Domaingrenzen hinweg beeinflussen. Training Solo umgeht diese Einschränkung durch das Training innerhalb einer einzelnen Domain.

Bisher leifen Spectre-Angriffe domainübergreifend. Training Solo verleitet den Kernel dagegen zum Selbsttraining.

(Bild: Sander Wiebing, Cristiano Giuffrida, VUSec)

Die US-Cybersicherheitsbehörde CISA schraubt weiter an ihren Informationsangeboten für die Sicherheitsgemeinde. Nun dampft sie eine Webseite ein, die CISA-Alarme und -Sicherheitshinweise übersichtlich bündelte und RSS-Feeds anbot. Wer die Benachrichtigungen weiter erhalten will, muss sie von sozialen Medien besorgen oder sich bei einem Warndienst der US-Regierung anmelden. Zur Begründung gibt die CISA an, sie wolle wirklich dringenden Warnhinweisen die notwendige Aufmerksamkeit garantieren.

In einer am 12. Mai veröffentlichten Ankündigung führt die US-Cybersicherheitsbehörde als weiteren Grund an, Nutzer-Feedback habe bei der Veränderung eine Rolle gespielt. Welche Kategorien von Warnmeldungen genau betroffen sind, erwähnt die Ankündigung nur vage: "Cybersecurity-Updates und die Veröffentlichung neuer Anleitungen" würden nicht mehr in der Übersicht veröffentlicht. Darunter dürften Sicherheitshinweise (Advisories) fallen, aber auch detaillierte Analysen und Handlungsempfehlungen für US-Behörden.

Doch die Inhalte verschwinden nicht komplett – sie werden lediglich weniger prominent platziert. Ihrer Präsenz auf der Plattform X wird die CISA hingegen künftig mehr Bedeutung beimessen: Auf dem Konto @CISACyber erhalten Interessierte "zügige Cybersicherheits-Updates", erklärt die Behörde.

Auch der Katalog der "Known Exploited Vulnerabilities" (KEV, etwa: "bekannte ausgenutzte Schwachstellen") ist von den Veränderungen betroffen. Er büßt seine prominente Position auf der CISA-Übersichtsseite ein, auf der die Behörde noch bis zum 7. Mai 2025 jede Neuaufnahme in den Katalog veröffentlichte. Zudem fliegen die bekannten Schwachstellen aus den RSS-Feeds der Behörde, was die Arbeitsabläufe mancher Sicherheitsexperten und -werkzeuge stören könnte. Wer über bekannte Schwachstellen weiter auf dem Laufenden bleiben will, dem bleiben neben dem Blick auf X noch eine JSON- und eine CSV-Version der "Known Exploited Vulnerabilities". Letztere eignen sich besonders gut zur Weiterverarbeitung in Skripten und Automatismen.

Admins, die Installationen von IBM App Connect und Storage Scale verwalten, sollten die Software zeitnah auf den aktuellen Stand bringen. Geschieht das nicht, können Angreifer an mehreren Sicherheitslücken ansetzen und Systeme kompromittieren. Bislang sind keine Berichte zu Attacken bekannt.

Die Integrationssoftware App Connect ist über Schwachstellen in verschiedenen Komponenten wie Node.js und einem Python-Modul angreifbar. So können Angreifer Sicherheitsmaßnahmen umgehen oder Speicherfehler auslösen (beispielsweise CVE-2025-6827 "hoch"), was in der Regel zu Abstürzen führt. Außerdem werden Daten in einer Datenbank gespeichert, deren kryptografische Absicherung schwächer ist, als eigentlich angenommen (CVE-2025-1993 "mittel").

Wie konkrete Attacken ablaufen könnten, ist bislang nicht bekannt. Die Sicherheitsupdates für App Connect listet IBM in den unterhalb dieser Meldung verlinkt Warnbeiträgen auf.

IBM Storage Scale fasst unter anderem Daten, die an unterschiedlichen Standorten liegen, zusammen und stellt sie zum Abruf bereit. Hier sind unter anderem im Kontext von SSH-Verbindungen (CVE-2025-22869 "hoch") DoS-Attacken möglich. In einem Beitrag geben die Entwickler an, die Lücken in den Ausgaben 5.1.9.9 und 5.2.3.0 geschlossen zu haben.

Zuletzt sorgten mehrere Sicherheitslücken in IBM Business Automation Workflow für Schlagzeilen. In diesem Fall können Angreifer unter anderem auf eigentlich abgeschottete Zugangsdaten zugreifen.

Im WordPress-Plug-in TheGem, das mehr als 82.000-mal verkauft wurde und daher auf ähnlich vielen WordPress-Instanzen aktiv ist, haben IT-Forscher zwei Schwachstellen entdeckt. Eine kann Angreifern ermöglichen, Schadcode einzuschleusen und auszuführen. Eine aktualisierte Fassung steht bereit, die die Sicherheitslücken schließt.

TheGem ist ein Multifunktions-Plug-in, es stellt neben Themes auch direkt nutzbare Funktionen für selbst erstellte Webseiten bereit. Es ist kompatibel zu den populären WordPress-Website-Baukästen Elementor, WPBakery und WooCommerce.

Die IT-Sicherheitsforscher von Wordfence haben über ihr Bug-Bounty-Programm zwei Sicherheitslücken gemeldet bekommen. Aufgrund einer fehlenden Dateityp-Prüfung in der Funktion thegem_get_logo_url() können Angreifer beliebige Dateien hochladen, wodurch die Ausführung von eingeschleustem Schadcode und schließlich die vollständige Kompromittierung der Instanz möglich wird. Die Angreifer benötigen dafür mindestens Zugriffsrechte auf "Subscriber"-Level (CVE-2025-4317, CVSS 8.8, Risiko "hoch").

Die zweite Schwachstelle ermöglicht die Veränderung von Daten, da die ajaxApi()-Funktion unzureichende Prüfungen vornimmt. Dadurch können Angreifer mit "Subscriber"-Level-Zugang oder höheren Rechten beliebige Optionen des Themes aktualisieren (CVE-2025-4339, CVSS 4.3, Risiko "mittel").

Betroffen sind die TheGem-Versionen bis einschließlich 5.10.3, die Schwachstellen bessert hingegen das Update auf Version 5.10.3.1 aus. WordPress-Admins sollten die Aktualisierung zügig anwenden.

Apples am Montagabend publizierte Betriebssystemupdates für iPhone, Mac, iPad, Apple Watch, Apple TV und Vision Pro enthalten einmal mehr ein ganzes Bündel an sicherheitsrelevanten Fehlerbehebungen. Einige der Bugs sind kritisch, zudem wurde erstmals eine Lücke in Apples mit dem iPhone 16e eingeführtem Mobilfunkmodem C1 entdeckt und geschlossen. Auch ältere Betriebssysteme erhielten eine Aktualisierung, wie üblich aber nicht mit allen Fixes.

Die Updates auf iOS 18.5 (iPhone) und iPadOS 18.5 (iPad) kommen mit über 30 von Apple näher ausgeführten Fehlerbehebungen. Hinzu kommen 15 "Credits", bei denen Apple nur den Bereich nennt, in dem ein Fix eingearbeitet wurde, neben den Angaben des jeweiligen Melders aber keinerlei weitere Angaben macht. Dies wird zumeist Wochen oder Monate später nachgeholt – offenbar, um zu verhindern, dass (zu schnell) Exploits entwickelt werden, auch wenn Sicherheitsexperten eine solche "Security through Obscurity" stets ablehnen.

Mindestens zwei der von Apple genannten Lücken – eine im Kernel, eine im Security-Framework – lassen sich aus der Ferne ausnutzen, um Apps zu beenden beziehungsweise Speicher auszulesen. Die Bereiche, die Fixe erhielten, sind unter anderem die Bilderleseroutine AppleJPEG (manipulierte Dateien konnten Prozessspeicher schädigen und Apps abstürzen lassen), in Core Bluetooth (sensible Nutzerdaten konnten leaken), in CoreGraphics (dito), CoreMedia (App-Absturz) sowie FaceTime (Denial of Service) und iCloud-Document-Sharing (Angreifer konnte Ordner freigeben, ohne sich anzumelden). Teils kritische Fehler steckten auch in der Browser-Engine WebKit, in mDNSResponder und weiteren Systemteilen. Interessant: Erstmals wurde Apple ein Bug im C1-Chip gemeldet, der auch gefixt wurde. Beim iPhone 16e war es demnach möglich, dass ein Angreifer Datenverkehr mitlauscht, allerdings nur, wenn er sich in einer "privileged network positon" befand. Was das konkret heißt – etwa ob die Person im WLAN sein musste oder im Mobilfunknetzwerk selbst –, gibt Apple nicht an.

Über 45 behobene Fehlerbereiche nennt Apple bei macOS 15.5. Details zu mehr als einem weiteren Dutzend kommuniziert der Konzern (noch) nicht. Neben den in iOS 18.5 und iPadOS 18.5 behobenen Problemen sind unter anderem der afp-Daemon betroffen (Fehler konnte zum Systemabsturz führen), Apple Intelligence (KI-Berichte waren Apps zugänglich), BOM und Audio (Abstürze durch Web-Inhalte und Apps), Finder (Zugriff auf sensible Daten durch Apps), ProRes (Abstürze des Systems und des Kernels) und Sandbox (Datenschutzlücken). Auch zahlreiche Bugs in WebKit wurden behoben.

Für ältere Systeme stehen macOS 13.7.6 (Ventura) und macOS 14.7.6 zum Download bereit. Sie beheben einen Teil der Lücken aus macOS 15. Einige Fixes werden außerdem für iPadOS 17 in Form von iPadOS 17.7.7 ausgeliefert. Safari 18.5, das Teil von macOS 15.5 ist, gibt es für Ventura und Sonoma auch als Einzel-Update, das die WebKit-Fehlerbehebungen enthält. Dringend aktualisieren sollte man auch die Apple Watch (watchOS 11.5), Apple TV (tvOS 18.5 und Vision Pro (visionOS 2.5). Viele der in iOS 18.5 und macOS 15.5 behobenen Probleme werden auch in den anderen Systemen angegangen.

Wer einen Desktop-PC mit Asus-Mainboard unter Windows betreibt, sollte Updates für die Funktionen "Armoury Crate" und "DriverHub" einspielen. Denn in diesen Funktionen stecken Fehler, die Angreifer missbrauchen können, um Malware ferngesteuert auf dem Rechner zu installieren. Daher ist der Schweregrad der Sicherheitslücken CVE-2025-3462 und CVE-2025-3463 auch als "hoch" beziehungsweise "kritisch" eingestuft.

Updates für "DriverHub" verteilt Asus über diese fehlerhafte Update-Automatik selbst und stellt Armoury Crate in der korrigierten Version v6.1.13 zum Download bereit.

Ärgerlich ist an den Schwachstellen, dass sie ein Konzept nutzen, welches Fachleute seit mehr als zehn Jahren als unsicher kritisieren. Die im UEFI-BIOS verankerte Download-Automatik für Windows-Software wurde schon mehrfach für Angriffe genutzt, unter anderem für die "Lojax"-Attacke mittels UEFI-Rootkit.

Quelle des Übels sind Funktionen von Windows zur automatischen Installation von Software, die im Flash-Speicher des Mainboards für das UEFI-BIOS abgelegt sind.

Der Mainboard-Hersteller packt dazu ausführbare Dateien oder Treiber mit ins BIOS-Image und trägt sie in die Windows Platform Binary Table (WPBT) ein. Diese ACPI-Tabelle (Advanced Configuration and Power Interface) wertet Windows nach dem Booten aus und installiert die dort verknüpfte Software.

In der Republik Moldau haben die Behörden einen Verdächtigen festgenommen, der mit Ransomware-Attacken auf niederländische Unternehmen im Jahr 2021 in Verbindung gebracht wird. Das berichtete am Montag die Cybersecurity-Webseite Bleeping Computer.

Dem Bericht zufolge durchsuchten Polizeibeamte am vergangenen Dienstag die Wohnung und das Auto des Verdächtigen und beschlagnahmten eine elektronische Geldbörse, 84.800 Euro, zwei Laptops, ein Mobiltelefon, ein Tablet, sechs Bankkarten und mehrere Datenspeichergeräte. Die Verhaftung sei das Ergebnis einer gemeinsamen Aktion der moldawischen Staatsanwaltschaft, des Zentrums für die Bekämpfung von Cyberkriminalität der Republik Moldau sowie der niederländischen Strafverfolgungsbehörden, schreibt Bleeping Computer.

Der 45-jährige Verdächtige befindet sich seit seiner Festnahme in Haft; ein Auslieferungsverfahren in die Niederlande soll eingeleitet werden. Zu seiner Nationalität machten die Behörden keine Angaben. In einer Pressemitteilung der moldawischen Polizei ist lediglich die Rede von einem "ausländischen Staatsangehörigen, der sich vorübergehend in der Republik Moldau aufhält". Er werde "international wegen der Begehung mehrerer Cyberstraftaten (Ransomware-Angriffe, Erpressung und Geldwäsche) gegen Unternehmen mit Sitz in den Niederlanden gesucht", heißt es weiter.

Der Mann soll demnach im Jahr 2021 einen Ransomware-Angriff auf die Niederländische Organisation für wissenschaftliche Forschung (NWO), die nationale niederländische Wissenschaftsorganisation, organisiert haben. Die NWO machte den Vorfall Mitte Februar 2021 öffentlich. Der Angriff habe sie gezwungen, ihr System zur Beantragung von Fördermitteln abzuschalten, hieß es damals. Der entstandene Schaden wurde auf rund 4,5 Millionen Euro beziffert. Nachdem sich die NWO geweigert hatte, ein gefordertes Lösegeld zu zahlen, veröffentlichten die Angreifer die gestohlenen Dokumente auf der Dark-Web-Leak-Site von DoppelPaymer.

DoppelPaymer ist eine Schadsoftware, die 2019 auftauchte, als Cyberkriminelle begannen, den Erpressungstrojaner für Angriffe auf Organisationen, kritische Infrastrukturen und Branchen zu verwenden. Er basiert auf der BitPaymer-Ransomware und gehört zur Dridex-Malware-Familie. Laut dem Europäischen Polizeiamt (Europol) verwendet die Ransomware "ein einzigartiges Instrument, das in der Lage ist, Verteidigungsmechanismen zu kompromittieren". Dabei werden sicherheitsrelevante Prozesse der angegriffenen Systeme gestoppt oder unterlaufen. Die dabei erbeuteten Dateien werden, wie im Fall NWO, von den Cyberkriminellen nicht selten eingesetzt, um Lösegeldzahlungen zu erzwingen.