Comretix Blog

Das aktuelle Critical Patch Update von Oracle bedeutet viel Arbeit für Admins: Ganze 378 Updates sind zu installieren, die meisten davon schließen Lücken, die sich ohne Anmeldung und aus der Ferne ausnutzen lassen; 162 Patches tragen einen CVSS von 7.0 oder höher, 42 sogar ≥ 9.0 (kritisch). Betroffen sind Datenbanken, Middleware, Cloud-Dienste und Kommunikationsanwendungen, von denen einige für globale Finanzinstitute, Telekommunikationsanbieter und Cloud-native Plattformen von zentraler Bedeutung sind.

Einen kompletten Überblick liefert das Oracle Critical Patch Update Advisory - April 2025. Darin betont der Hersteller auch, dass Berichten über erfolgreiche Angriffe zufolge "die Angreifer erfolgreich waren, weil die betroffenen Kunden es versäumt hatten, die verfügbaren Oracle-Patches anzuwenden". Ob Oracle das auch auf sich selbst und die offenbar erfolgreich kompromittierten Cloud-Server bezieht, bleibt leider offen. Zu diesen Vorfällen beschränkt Oracle die Kommunikation weiterhin auf irreführendes Kleinreden; unsere Nachfragen sind nach wie vor unbeantwortet. Das nächste Oracle CPU steht dann am 15. Juli an.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Die maximale Laufzeit von digitalen Zertifikaten für verschlüsselte Verbindungen zu Web- und anderen Servern wird sich künftig drastisch verkürzen. Im Jahre 2029 sind diese statt mit 398 Tagen nur noch mit 47 Tagen Laufzeit ausgestattet. Das hat das CA/Browser Forum per Abstimmung beschlossen und folgt damit einem Vorschlag von Apple.

Vor allem die Browserhersteller haben schon lange Bauchschmerzen bei den üblichen Laufzeiten für Serverzertifikate. Ihnen sind etwa fehlende Möglichkeiten der Löschung betrügerisch oder falsch ausgestellter Zertifikate ein Dorn im Auge, die vorhandenen Methoden (OCSP und CRLs) skalieren schlecht. Daher hatte sich Apple Ende 2024 mit dem Vorschlag vorgewagt und sich Unterstützung weiterer Mitglieder des CA/Browser Forums gesichert. Ein Vorstoß von Google aus dem Jahr 2023 war noch gescheitert.

Beim CA/Browser Forum (CA/B) ist der Name Programm: Browserhersteller und Certificate Authorities (CAs) wachen in dem Zusammenschluss über die ordnungsgemäße Ausstellung und Verarbeitung von Zertifikaten. In der Hauptsache befasst sich das CA/B mit der Web-PKI (also den Zertifikaten, die für das "s" in "https" sorgen), hat aber auch Arbeitsgruppen für S/MIME und andere eher browserferne PKI-Anwendungen. Das CA/B legt fest, welche Zertifikatsherausgeber von Browsern akzeptiert werden – CAs, die durch schlampige Überprüfung oder unsichere Vergabepraxis auffallen, fliegen raus.

Auch am Überprüfungsvorgang vor der Ausstellung oder Verlängerung der Zertifikate schraubt das CA/B. War es zuvor möglich, die notwendigen Identifikationen, also etwa automatisierte ACME-Challenges oder auch Firmendokumente, mehr als ein Jahr lang für erneute Ausstellungen oder Verlängerungen zu recyclen, verkürzt sich dieser Zeitraum schrittweise auf nur noch zehn Tage. Das bedeutet in der Praxis, dass Antragsteller für jedes neue Zertifikat alle relevanten Dokumente erneut bei der CA vorzeigen müssen. Wohl dem, der diesen Vorgang bis zum Jahr 2029 vollständig automatisiert hat.

Denn Webserver-Admins können vorerst aufatmen. Die verkürzte Laufzeit tritt nämlich nicht sofort in Kraft, sondern in einem jahrelangen Prozess mit mehreren Zwischenschritten:

Die Mutter aller Schwachstellendatenbanken, die Common Vulnerabilities and Exposures (CVEs) der MITRE Corporation, könnte in den nächsten Stunden offline gehen. Denn die US-Regierung verlängert die Finanzierung nicht. CVE ist elementar für Kooperation im Bereich IT-Sicherheit. Dank CVE erhalten gemeldete Sicherheitslücken eine eindeutige Nummer, anhand der alle Beteiligten sicherstellen können, dass sie vom selben Problem sprechen.

In einem kurzen, internen Schreiben warnt MITRE vor einem "Zerfall" der National Vulnerability Database (NVD) des National Institute of Standards and Technology (NIST) samt der zugehörigen Warnungen und Ratschläge. Ebenso betroffen wären Sicherheitsprodukte aller Provenienz, Maßnahmen zur Abwehr von IT-Angriffen und schließlich alle Arten Kritischer Infrastruktur. Die NVD baut auf CVE auf und reichert diese mit detaillierten Bedrohungsinformationen, Hinweisen zu verfügbaren Updates und sonstigen Handlungsempfehlungen an. IT-Sicherheitsverantwortliche, aber beispielsweise auch Journalisten wie wir von heise security, nutzen die NVD zum Nachschlagen aktueller Bedrohungsdetails.

Erst im Vorjahr haben sich die US-Bundesbehörden NIST und CISA (Cybersecurity and Infrastructure Security Agency) daran gemacht, die NVD zu verbessern. Ohne CVE liefe das aber ins Leere.

MITRE will nicht einfach die Server löschen, sondern versichert, dem Projekt verbunden zu sein. Die Regierung unternehme "erhebliche Anstrengungen", um MITREs Rolle zu sichern. CISA hat das Auslaufen der Finanzierung bestätigt und teilt mit, "dringlich daran zu arbeiten, die Auswirkungen zu milden und CVE zu erhalten". Allerdings ist CISA selbst von erheblichen Kürzungen und Chaos dank Elon Musks DOGE betroffen.

Offen bleibt, wie es konkret weitergeht. Eine Liste der bisher zugeteilten CVE-Nummern steht bis auf Weiteres bei Github online. Solange MITRE die eigentlichen CVE-Server noch laufen lässt, dürften bereits akkreditierte Einrichtungen (CVE Numbering Authorities) weiter in der Lage sein, sich automatisiert CVE-Nummern zu lösen. Von Dritten gemeldete Sicherheitslücken wird MITRE ab Donnerstag aber wohl nicht mehr in die Liste aufnehmen.

Microsoft deaktiviert die Unterstützung für ActiveX in seinem Office-Paket Microsoft 365. Noch im April werden die Windows-Versionen Microsoft Words, Excels, PowerPoints und Visios ActiveX standardmäßig nicht mehr ausführen und die Nutzer auch nicht mehr darauf hinweisen. Das soll das Sicherheitsniveau der Software heben.

ActiveX gilt mindestens seit 2003 als inhärent unsicher. "Die Security-Advisories von Symantec und Trend Micro zeigen: So etwas wie ein 'sicheres ActiveX-Control' gibt es nicht", schrieb Heise-Security-Leiter Jürgen Schmidt damals in seinem Kommentar. Denn: "Wenn Sie ein ActiveX-Control auf Ihrem Rechner installieren, ist das genauso sicher oder unsicher wie ein normales Programm: Wenn der Entwickler in das Control reinschreibt: 'Lösche alle Dateien auf diesem System', dann löscht es alle Dateien, auf die der Nutzer, der es gestartet hat, Zugriff hat."

In den letzten zweieinhalb Jahrzehnten hat Microsoft wiederholt am ActiveX-System gebastelt und beispielsweise das Deaktivieren einzelner ActiveX-Module im Internet Explorer, er Ruhe in Frieden, ermöglicht. Am Ende hat sich ActiveX immer wieder als Einfallstor für Malware und IT-Angreifer erwiesen.

In Office 2024 hat Microsoft die ActiveX-Unterstützung bereits zum Release im Oktober standardmäßig abgeschaltet, jetzt sind die obgenannten Microsoft-365-Anwendungen dran (ab Version 2504 respektive Build 18730.20030). Im Beta-Channel ist die Abschaltung bereits erfolgt, wie ein Blogpost Microsofts informiert. Manche ActiveX-Objekte werden demnach als statisches Bild sichtbar bleiben, Interaktion damit wird jedoch nicht mehr möglich sein.

Ganz Schluss ist mit ActiveX aber dann doch nicht. Wer gerne riskant lebt, kann in den Einstellungen des Trust Center festlegen, dass er doch wieder die Möglichkeit erhält, einzelne AcxtiveX-Objekte manuell zu reaktivieren. Gibt es einen Gruppenadmin, kann der das jedoch verhindern, oder ebenfalls für alle seine Schäfchen freigeben.

Am Montag berichtete der NDR anlässlich der Veröffentlichung der Kriminalstatistik für das Jahr 2024 des Landeskriminalamts Schleswig-Holsteins von einem IT-Unternehmen aus Lübeck, das im vergangenen Jahr eine Ransomware-Attacke erlebt hat. Die Darstellung führte zu Kopfschütteln in der IT-Szene. So äußerte fefe in seinem Blog Unverständnis über die Darstellung des NDR. Mehrere Sicherheitsprobleme und Datenlecks bei dem Unternehmen bestehen weiterhin, ergaben Untersuchungen am Montagabend.

Das Unternehmen Melting Mind hat demnach im April 2024 E-Mail vom BSI erhalten, wonach es "in der jüngeren Vergangenheit auch in unserem Hause zu einem Abfluss von Daten gekommen sein könnte" – so steht es auch noch jetzt nachlesbar auf der Webseite des Unternehmens.

Melting Mind hat im April 2024 ein Datenleck eingeräumt.

(Bild: Screenshot / dmk)

Im Darknet hat die Gruppe APT73 einen Einbruch auf den Servern gemeldet und den Verkauf der Daten angedroht. Der Inhaber des Unternehmens berichtet im NDR, dass eine Lösegeldforderung in Höhe von 50.000 Euro in Bitcoin im Raum stand. Er habe mit den Erpressern eine Ratenzahlung ausgehandelt, 3000 Euro gezahlt und dann seine Kunden informiert, dass diese ihre Daten sichern sollten. Der Bericht geht nicht darauf ein, dass am Ende also das Geld und die Kundendaten futsch waren.

Im vergangenen Jahr hatte Microsoft Probleme mit Windows-Updates, die mit dem Fehlercode 0x80070643 nicht installiert werden konnten. Automatische Lösungsversuche hat das Unternehmen inzwischen aufgegeben. Nun taucht der Fehlercode erneut auf, dieses Mal betrifft er die April-Sicherheitspatches für Windows 10.

Darauf weist Microsoft in den Windows-Release-Health-Notizen hin. "Nach der Installation des Windows-Recovery-Environment-Updates aus dem April (KB5057589) könnten Sie folgende Fehlermeldung auf der Windows-Update-Einstellungsseite zu sehen bekommen: 0x80070643 – ERROR_INSTALL_FAILURE". Diese Fehlermeldung sei jedoch nicht korrekt und sie habe keinen Einfluss auf das Update oder die Geräte-Funktionen, versichert Microsoft dort weiter.

Die Windows-Recovery-Environment (WinRE) ist eine Reparaturumgebung, die übliche Gründe für nicht startende Betriebssysteme ausbessern kann. Der Fehler tritt dann auf, wenn das Gerät das WinRE-Update installiert, wenn ein anderes Update das System für einen ausstehenden Reboot markiert hat. Auch, wenn die Fehlermeldung nahelege, dass das Update nicht vollständig angewandt wurde, wird es typischerweise erfolgreich installiert, sofern das Gerät neu startet, erklärt Microsoft weiter.

Windows Update könne das Update weiterhin als fehlgeschlagen anzeigen, bis zum nächsten täglichen Scan, an dem es nicht länger angeboten und die Fehlermeldung automatisch gelöscht wird. Dennoch schreibt Microsoft, dass die Entwickler an einer Lösung arbeiten. Betroffen sind demnach Windows 10 22H2 und 21H2 sowie Windows Server 2022.

Nachdem derartige Fehler im vergangenen Jahr aufgetreten sind und die Lösungsversuche oftmals fehlschlugen, hatte Microsoft offiziell die Suche nach automatischen Lösungen für das Problem aufgegeben. Es blieben jedoch die manuellen Versuche, mit denen sich Betroffene behelfen konnten.

Fortinet berichtet über eine aktuelle Variante, mit der sich Angreifer in Firewalls des Herstellers einnisten und Persistenz erreichen. IT-Forscher haben derweil mehr als 14.000 kompromittierte Fortinet-Firewalls weltweit aufgespürt.

In einem Blog-Beitrag erörtert Fortinet, dass Angreifer bekannte Sicherheitslücken in der VPN-Komponente der Fortinet-Firewalls zum Einsteigen in die Netzwerke missbraucht haben. Die konkret untersuchten Fälle betrafen Sicherheitslücken in FortiOS SSL-VPN (CVE-2022-42475, CVSS 9.3, Risiko "kritisch"), FortiOS und FortiProxy SSL-VPN (CVE-2023-27997, CVSS 9.2, Risiko "kritisch") sowie im sslvpnd von FortiOS und FortiProxy (CVE-2024-21762, CVSS 9.6, Risiko "kritisch").

Solche Angriffe sind nicht ungewöhnlich. Was für die Fortinet-Analysten neu war, ist, wie sich die Angreifer eingenistet haben. Sie haben auf erfolgreich attackierten FortiGate-Geräten einen Symlink (symbolic link) zwischen dem User-Dateisystem und dem root-Dateisystem in einen Ordner für Sprachdateien des SSL-VPNs erstellt. Der Symlink wurde im User-Dateisystem erstellt und versuchte so, der Entdeckung zu entgehen. Selbst nach dem Anwenden von Aktualisierungen zum Schließen der angegriffenen Schwachstelle konnte der Symlink erhalten bleiben und den Angreifern lesenden Zugriff auf das Dateisystem – einschließlich der Konfiguration – ermöglichen. Wenn das SSL-VPN nie aktiviert war, ist dieser Angriff jedoch nicht möglich, erklärt Fortinet.

Fortinet hat eine Signatur erstellt, die diese Symlinks entfernen soll, außerdem soll auch die SSL-VPN-Software angepasst worden sein, sie auszufiltern. Kunden, die als davon betroffen erkannt wurden, hat Fortinet zudem darüber informiert. Die Aktualisierung auf FortiOS 7.6.2, 7.4.7, 7.2.11, 7.0.17 sowie 6.4.16 korrigiert das Problem auf jeweils angepasste Weise. Zudem sollen IT-Verantwortliche die Konfiguration der Geräte überprüfen.

Auf X hat die Shadowserver Foundation zudem tausende aktuell kompromittierte Fortinet-Geräte gemeldet. Die meisten betroffenen Maschinen stehen in den USA (1.500), Deutschland war am vergangenen Freitag mit 233 unterwanderten Fortinet-Geräten auf Platz 18 der Liste zu finden. Am Montag waren rund 14.600 Fortinet-Systeme weltweit kompromittiert, zeigt die aktuelle Statistik von Shadowserver.

Die EU-Kommission hat einige Angestellte für Besuche in den USA mit Wegwerfhandys und einfachen Laptops ausgestattet, um das Spionagerisiko zu minimieren. Das berichtet zumindest die Financial Times unter Berufung auf mehrere eingeweihte Personen und erklärt, dass derartige Maßnahmen bislang eigentlich nur für Reisen nach China oder in die Ukraine vorgesehen sind, wo die Gefahr russischer beziehungsweise chinesischer Spionage besteht. Die Kommission selbst hat dem Bericht zufolge bestätigt, dass die Sicherheitshinweise für die USA angepasst wurden, aber gleichzeitig versichert, dass es keine offizielle Anweisung zur Nutzung von Wegwerfhandys gebe. Dass solche Geräte ausgegeben wurden, sei aber nicht dementiert worden.

In Brüssel sei man besorgt, dass die USA "in Systeme der Kommission eindringt", zitiert die britische Zeitung einen anonymen EU-Angestellten. Das unterstreicht, wie massiv sich die Beziehungen zwischen der Europäischen Union und den USA seit Amtsantritt von Donald Trump verschlechtert habe. Der US-Präsident wirft Europa unfaire Handelspraktiken vor und hat die Zölle auf Waren aus dem Staatenbund vorübergehend erhöht. "Die transatlantische Allianz ist beendet", habe gar ein EU-Angestellter gesagt, der ebenfalls nicht namentlich genannt werden will. Gleichzeitig erinnert die Zeitung aber daran, dass vor Jahren der Vorwurf für Verstimmung gesorgt hat, dass US-Geheimdienste die damalige deutsche Bundeskanzlerin Angela Merkel ausspioniert haben.

Die neuen Sicherheitshinweise für Reisen in die USA kommen jetzt nur wenige Tage vor den Flügen von zwei EU-Kommissaren und einer EU-Kommissarin über den Atlantik, schreibt die Zeitung noch. Valdis Dombrovskis, Maria Luís Albuquerque und Jozef Síkela wollen an Treffen des Internationalen Währungsfonds und der Weltbank teilnehmen. Zwar dürfte deren Einreise unproblematisch verlaufen, aber für weniger hochrangige Personen könnte das anders sein. Die Financial Times verweist noch darauf, dass Grenzbeamte und -beamtinnen der USA das Recht haben, Elektronik von Einreisenden zu konfiszieren und zu durchsuchen. Einigen sei danach die Einreise verweigert worden, weil darauf Kritik an Donald Trump gefunden wurde.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Die steigende Zahl komplexer Cyberangriffe, zunehmende geopolitische Spannungen und die Abhängigkeit von wenigen Technologieanbietern gefährden die Sicherheit und Beständigkeit digitaler Infrastrukturen in der öffentlichen Verwaltung. Zu diesem Schluss kommen das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Zentrum für Digitale Souveränität der Öffentlichen Verwaltung (ZenDiS).

In einem gemeinsamen Strategiepapier schlagen BSI und ZenDiS Gegenmaßnahmen vor, mit denen ein höheres Sicherheitsniveau für Softwareprodukte erreicht werden soll. Open Source sieht man dabei als Grundlage für die digitale Souveränität.

Die unter anderem vom BSI ins Leben gerufene Plattform openCode ist zentraler Baustein des neuen Sicherheitskonzeptes. Sie soll durch verbindliche Sicherheitsstandards und standardisierte Prüfverfahren die kritischen Schwachstellen in der Softwarelieferkette automatisiert aufdecken. Gleichzeitig will man mit openCode Abhängigkeiten transparent machen und nachvollziehbare Herkunftsnachweise für kritische Softwarekomponenten schaffen. Beides ist für einzelne Anbieter oder Organisationen bislang kaum umsetzbar. Technisch betreibt openCode dafür eine eigene GitLab-Instanz und stellt Container-Images zur Verfügung.

Durch openCode soll Open-Source-Software zu einem Schlüsselelement einer resilienten digitalen Infrastruktur in Deutschland heranwachsen und es Sicherheitsorganisationen ermöglichen, präventiv statt nur reaktiv auf Bedrohungen zu antworten. Vorfälle wie der SolarWinds-Cyberangriff, der 2020 die Systeme zahlreicher Regierungsbehörden und Unternehmen kompromittierte, sollen sich damit nicht mehr wiederholen können.

Zur Umsetzung auf der Basis von openCode schlagen BSI und ZenDis folgende Schritte vor, mit denen noch dieses Jahr begonnen werden soll: Schaffung eines sicheren Systems zur Softwareprüfung und -herstellung mit Verifikationsprozess, souveräne Container-Registry mit einheitlichen Standards, resiliente Verteil-Infrastruktur für Software sowie gemeinsame Qualitätskriterien und Prüfstandards. Läuft alles nach Plan, soll die Plattform 2026 startklar sein.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) nimmt das dräuende Support-Ende von Windows 10 in genau sechs Monaten, am 14. Oktober 2025, zum Anlass, Tipps für die Zeit danach zu geben. Allen, die noch Windows 10 nutzen, empfiehlt das BSI, rechtzeitig ein Upgrade durchzuführen oder auf ein anderes Betriebssystem umzusteigen.

Die oberste IT-Sicherheitsbehörde des Landes führt an, dass ab dem Zeitpunkt das Betriebssystem keine kostenlosen Updates mehr erhält. Insbesondere "auch solche nicht, die sicherheitsrelevant sind und zum Beispiel Schwachstellen schließen". Das betrifft alle Windows-10-Versionen, einschließlich Home, Pro oder Education. Upgrade oder Umstieg könne auf "etwa Windows 11, ein Unix-basiertes Betriebssystem wie macOS oder ein Linux-basiertes Betriebssystem" erfolgen – wobei die wohl etwas sportliche Variante, macOS auf nicht-Mac-Hardware zu installieren, von den Beamten nicht näher beschrieben wird. Einen offiziellen Weg gibt es dafür nicht.

Eine Sprecherin des BSI erklärte demnach: "Sicherheitsupdates sind für die IT-Sicherheit essentiell, weil dadurch Sicherheitslücken geschlossen werden, die sonst von Angreifenden ausgenutzt werden könnten. Die weitere Nutzung von Windows 10 nach Ende des Supportzeitraums birgt daher gravierende Sicherheitsrisiken."

Die IT-Sicherheitsbehörde empfiehlt daher, die kommenden sechs Monate für den Wechsel des Betriebssystems zu nutzen, auf ein System, das weiterhin vollumfänglich Sicherheitsupdates erhält. Das BSI empfiehlt eine Datensicherung vor dem Wechsel, um einem Datenverlust bei dem Vorgang vorzubeugen. "Um im Herbst nicht unter Zeitdruck zu geraten, sollten Verbraucherinnen und Verbraucher das Upgrade oder den Wechsel des Betriebssystems auf den betroffenen Geräten frühzeitig einleiten", schließt das BSI seine Empfehlung ab.

Für Aufregung sorgte in der vergangenen Woche ein Artikel von Microsoft, der zum Recyclen alter Geräte zum Support-Ende von Windows 10 rät. Das haben viele so aufgefasst, als würde Microsoft empfehlen, alte, nicht mit Windows 11 kompatible Geräte in den Müll zu werfen. Der Artikel war eher als Werbung für den Hardware-Neukauf und dazu passende Bonus- und Eintausch-Programme in Microsofts Store gedacht und irritierte mit Formulierungen zu "verantwortungsvollem Recycling" alter Hardware. Beim Kauf neuer Surface-Geräte von Microsoft ist in manchen Ländern und US-Bundesstaaten eine Vergünstigung oder ein Geld-gegen-Altgeräte-Programm verfügbar.

In dem Wordpress-Plug-in SureTriggers wurde vor dem Wochenende eine Sicherheitslücke bekannt. Das Plug-in ist auf mehr als 100.000 Wordpress-Instanzen installiert. Angreifer missbrauchen die Schwachstelle jetzt bereits aktiv.

Die IT-Forscher von Patchstack haben bereits kurz nach Bekanntwerden der Schwachstelle in dem Wordpress-Plug-in am vergangenen Freitag Angriffe darauf entdeckt. Am Freitag hatte das IT-Sicherheitsunternehmen Wordfence Details zur Sicherheitslücke in SureTriggers veröffentlicht. Demnach können Angreifer aus dem Netz ohne vorherige Authentifizierung administrative Nutzerkonten erstellen. Sofern kein API-Key in dem SureTriggers-Plug-in eingerichtet ist, können Angreifer dadurch Administrator-Nutzer hinzufügen und damit Wordpress-Instanzen vollständig kompromittieren (CVE-2025-3102, CVSS 8.1. Risiko "hoch").

Nur wenige Stunden nach der Veröffentlichung hat Patchstack Angriffe beobachtet. Die Schwachstelle stellt also ein signifikantes Risiko für Wordpress-User dar, die das Problem nicht mit einem Update oder anderen Gegenmaßnahmen gelöst haben.

Bei den Angriffen haben die IT-Forscher bislang vier Ursprungsadressen ausgemacht. Diese haben die URLs und REST-API-Endpunkte "/?rest_route=/wp-json/sure-triggers/v1/automation/action" sowie "/wp-json/sure-triggers/v1/automation/action" attackiert. Damit haben sie neue administrative Konten angelegt. Die Kontennamen sind zufällig zusammengewürfelt. Sie scheinen bei jedem Angriff individuell neu gewählt zu werden.

Zum Schließen des Sicherheitslecks haben die Entwickler des SureTrigger-Plug-ins Version 1.0.79 veröffentlicht. Wer das Plug-in eingesetzt hat, sollte sicherstellen, dass die aktuelle Fassung bereits aktiv ist. Gegebenenfalls sollten Plug-in-Nutzerinnen und -Nutzer ebenfalls überprüfen, ob neue oder unbekannte Konten in ihrer Wordpress-Instanz existieren.

Cyberkriminelle sind bei einem Dienstleister von Samsung eingebrochen und haben dort die Support-Datenbank mit Kundendaten kopiert. 270.000 Datensätze sollen so in die Hände von Unbefugten geraten sein, die sie im Darknet zum Kauf feilgeboten haben. Nun konnte Troy Hunt, der das Have-I-Been-Pwned-Projekt betreibt, eine Kopie erhalten und hat sie dem durchsuchbaren Datenfundus hinzugefügt.

In der Ankündigung in der stetig wachsenden Leck-Auflistung von Havbe-I-Been-Pwned (HIBP) schreibt Hunt, dass es sich tatsächlich um rund 216.000 einzelne E-Mail-Adressen zusammen mit Namen, Anschrift, getätigten Käufen, Anreden, Sendungsverfolgungsnummern sowie Support-Tickets handele. Mit den Daten scheint kein direkter Identitätsklau möglich zu sein, aber professioneller aufgemachtes, überzeugenderes Phishing können Kriminelle mit diesen Daten schon aufsetzen. Es steckt schließlich die Zusatzinformation drinnen, dass es sich um Samsung-Kunden handelt, die zudem mal Probleme mit einem Gerät und dafür gegebenenfalls Pakete versendet hatten.

Vor genau zwei Wochen wurde bekannt, dass Daten bei einem Dienstleister von Samsung entwendet werden konnten und in einem digitalen Untergrund-Forum zum Verkauf angeboten wurden. Die Daten wurden beim Dienstleister Spectos kopiert. Anfänglich behauptete eine für gewöhnlich gut informierte Firma namens Hudson Rock, dass die Täter durch veraltete Zugangsdaten Zugang zu den Systemen erlangt haben.

Dem stellt Spectos eine eigene Analyse der Vorgänge entgegen. Die Angreifer sind nicht durch jahrelang nicht geänderte Zugangsdaten eingedrungen, sondern haben für den initialen Zugang eine Schwachstelle "in einem sekundären Server" missbraucht. Dadurch gelang ihnen der Zugriff auf "verschiedene Bereiche der Cloud-Infrastruktur"; ein Zugang zu den Hauptsystemen sei verhindert worden.

Wer in jüngerer Vergangenheit einen Support-Fall bei Samsung eröffnet hat, kann durch die Eingabe der eigenen E-Mail-Adresse auf der HIBP-Webseite prüfen, ob die eigenen Daten von dem Vorfall betroffen sind. Ein anekdotischer Test mit Daten aus einem Support-Fall von vor etwas länger als einem Jahr lieferte jedoch kein Ergebnis im aktuellen Datenleck zurück.

Ein Cyberangriff auf die öffentliche Verwaltung legt zahlreiche Dienstleistungen für die Bürger lahm. Mit geballter IT-Expertise will das Kommunalministerium aus Düsseldorf die Informationssicherheit stärken.

Kommunen und Landesbehörden in Nordrhein-Westfalen erhalten bei IT-Attacken Zugriff auf spezialisierte Experten-Teams. Das vom Land geschnürte Hilfspaket "Digi-SOS" ermögliche im Ernstfall eine schnelle Schadensbegrenzung, kündigte Kommunalministerin Ina Scharrenbach (CDU) in Düsseldorf an. So könnten Betriebsunterbrechungen minimiert und die digitale Handlungsfähigkeit staatlicher Strukturen und Einrichtungen gesichert werden.

Im Oktober 2023 waren in NRW gut 70 Kommunen mit rund 1,7 Millionen Einwohnern von einer kriminellen Cyberattacke betroffen gewesen. Der folgenschwere Cyberangriff auf den kommunalen Dienstleister Südwestfalen IT (SIT) hatte Online-Dienstleistungen für die Bürger eingeschränkt oder vorübergehend fast vollständig lahmgelegt.

Das neue Unterstützungsangebot für solche Fälle steht den Angaben zufolge allen nordrhein-westfälischen Kommunal- und Landesbehörden zur Verfügung – ebenso wie kommunalen Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts sowie Unternehmen der Kommunen und der Landesverwaltung. "Damit erhalten abrufberechtigte Stellen unmittelbaren Zugang zu hoch qualifizierten IT-Sicherheitsexpertinnen und -experten", erläuterte das Ministerium.

Das Team unterstütze sowohl bei der akuten Bewältigung eines Vorfalls als auch bei der anschließenden Analyse und Behebung von Schwachstellen. Zudem würden durch den Rahmenvertrag des Landes mit vier Dienstleistern 429 kommunale Gebietskörperschaften von eigenen Ausschreibungs- und Vergabeverfahren entlastet.

Aufgrund eines Softwarefehlers kann es zu Problemen mit verschlüsseltem Datenverkehr auf Switches & Co. mit dem Netzwerkbetriebssystem Arista EOS kommen. Das passiert aber nur unter bestimmten Voraussetzungen.

Wie aus einer Warnmeldung hervorgeht, funktioniert die Verschlüsselung von Datenverkehr nicht verlässlich. Das ist aber den Entwicklern zufolge aber nur gegeben, wenn Secure Vxlan konfiguriert ist. Ist das der Fall und Nutzer starten den Tunnelsec-Agent neu, werden Pakte im Anschluss unverschlüsselt über Secure-Vxlan-Tunnel versendet.

Die Sicherheitslücke (CVE-2024-12378) ist mit dem Bedrohungsgrad "kritisch" eingestuft. Arista gibt an, dass sie von Kunden bislang keine Berichte zu Angriffen bekommen haben. Davon sollen ausschließlich die folgenden Produkte betroffen sein:

In der Warnmeldung listen die Entwickler Hinweise (Indictaors of Compromise, IoC) auf, an denen Admins bereits erfolgte Attacken erkennen können. Dort führen sie auch eine Übergangslösung auf, wenn Admins das Sicherheitsupdate nicht umgehend installieren können.

Diese EOS-Versionen sind gegen die geschilderte Attacke gerüstet:

Die Datenmanager-Software für das Mehrkanal-Strommessgerät Sentron 7KT PAC1260 von Siemens ist verwundbar und über mehrere "kritische" Sicherheitslücken angreifbar. Da das Gerät keinen Support mehr erhält, bleibt es verwundbar und Nutzer müssen auf eine noch unterstützte Hardware wechseln.

Insgesamt können Angreifer an neun Schwachstellen ansetzen, warnt Siemens in einem Beitrag. Vier davon sind als kritisch eingestuft (CVE-2024-41788, CVE-2024-41789, CVE-2024-41790, CVE-2024-41794). Hier können authentifizierte Angreifer in drei Fällen am Webinterface mit bestimmten POST-Anfragen ansetzen, um Schadcode mit Root-Rechten auszuführen. Danach liegt es nahe, dass sie die volle Kontrolle über Geräte erlangen.

Die letztgenannte Lücke ist mit dem höchstmöglichen CVSS Score 10 von 10 versehen. Aufgrund einer Hintertür in Form von hartcodierten Zugangsdaten können Angreifer Geräte kapern.

Über die verbleibenden Schwachstellen können sie noch Einstellungen verändern, sich Fernzugriff auf Geräte verschaffen oder Passwörter ändern.

Weil es keine Sicherheitsupdates mehr gibt, bleibt Nutzern nichts anderes übrig, als auf den noch unterstützten Nachfolger Sentron 7KT PAC1261 Data Manager umzusteigen. In jedem Fall sollte man das alte Gerät zügig aus dem Verkehr ziehen, um Angreifern keine Angriffsfläche zu bieten. Bislang gibt es noch keine Berichte zu Attacken.

Unternehmen, die die KI-Analyseplattform Spotfire nutzen, sollten die Software aus Sicherheitsgründen auf den aktuellen Stand bringen. Angreifer können an zwei Schwachstellen in verschiedenen Produkten ansetzen, um Systeme mit Schadcode zu kompromittieren.

Wie aus zwei Warnmeldungen zu den Sicherheitslücken (CVE-2025-3114 "kritisch", CVE-2025-3115 "kritisch") hervorgeht, sind konkret Spotfire Analyst, AWS Marketplace, Deployment Kit Spotfire Server, Desktop, Enterprise Runtime, Service for Python, Service for R und Statistics Services bedroht.

In beiden Fällen können Angreifer eigenen Code ausführen. Aufgrund der kritischen Einstufung ist davon auszugehen, dass das aus der Ferne und ohne Authentifizierung klappt. Um eine Attacke einzuleiten, müssen Angreifer eine Datei mit Schadcode versehen. Diese wird dann aufgrund von unzureichenden Überprüfungen ausgeführt. Außerdem können Angreifer aus der Sandbox ausbrechen und nicht vertrauenswürdigen Code ausführen.

Weil die Uploadfunktion im Kontext der zweiten Lücke Dateinamen nicht ausreichend prüft, können Angreifer Schadcode hochladen. Derzeit gibt es noch keine Berichte, dass Angreifer die Lücken bereits ausnutzen. Das kann sich aber schnell ändern und Admins sollten zeitnah handeln.

Die Entwickler erläutern, dass sie die Lücken in den folgenden Versionen geschlossen haben. Alle vorigen Ausgaben sind verwundbar.

Angreifer können an verschiedenen Softwareschwachstellen in IBM Installation Manager, Java Runtime, Packaging Utility und Personal Communications (PCOMM) ansetzen. Zurzeit gibt es keine Berichte zu laufenden Attacken. Admins sollten die Installation der Sicherheitspatches aber nicht zu lange herauszögern.

In einer Warnmeldung führen die Entwickler aus, dass die Lücke (CVE-2025-1095 "hoch") in PCOMM den Windows Installer (MicroSoft Installer, MSI) betrifft. Daran kann ein lokaler Angreifer ansetzen, um seine Rechte auszuweiten. Ist eine Attacke erfolgreich, verfügt ein Angreifer über System-Rechte. In so einer Position liegt es nahe, dass er PCs vollständig kompromittieren kann. Wie so ein Angriff im Detail ablaufen könnte, ist bislang nicht bekannt.

Die Entwickler versichern, die Schwachstelle in den Ausgaben 14.0.8 und 15.0.3 geschlossen zu haben. Dabei handelt es sich um ein repariertes Sicherheitsupdate. Im vergangenen Jahr hat ein Patch die Lücke (CVE-2024-25029 "kritisch") nicht verlässlich geschlossen.

Wie aus einem Beitrag hervorgeht, sind Installation Manager, Java Runtime und Packaging Utility über zwei Lücken (CVE-2025-1470 "mittel", CVE-2025-1471 "hoch") angreifbar. Die knappe Beschreibung der letztgenannten Schwachstelle liest sich so, als könnten Angreifer auf einem nicht näher beschriebenen Weg Speicherfehler (Buffer overflow) auslösen. Das führt in der Regel zu Abstürzen. In so einem Kontext kann aber auch oft Schadcode auf Systeme gelangen.

Auch hier gibt es keine weiterführenden Informationen, wie Attacken ablaufen könnten und woran Admins bereits erfolgte Angriffe erkennen können. Die Entwickler versichern, das Sicherheitsproblem in der Ausgabe 1.9.3.1 gelöst zu haben.