Comretix Blog

Eine schwerwiegende Sicherheitslücke in vielen Bluetooth-Kopfhörern erlaubt Angreifern, Daten aus der Ferne von den Geräten auszulesen und Verbindungen zu übernehmen. Das haben Forscher des deutschen Sicherheitsunternehmens ERNW herausgefunden. Sie stellten ihren Fund auf der diesjährigen Ausgabe der Security-Konferenz TROOPERS vor. Betroffen sind mutmaßlich Millionen Geräte verschiedener Hersteller; Updates zur Problembehebung sind noch nicht verfügbar. Dennoch beruhigen die Forscher: Angriffe seien zwar möglich, die Zielgruppe für Attacken jedoch begrenzt.

Die Lücken befinden sich in Bluetooth-SoC (System-on-Chip) des taiwanischen Herstellers Airoha, der vor allem für "True Wireless Stereo"-Kopfhörer (TWS) beliebt ist. Mittels Airoha-Chips können kleine In-Ear-Kopfhörer Stereoton latenzfrei von Abspielgeräten wie Smartphones wiedergeben. Namhafte Hersteller wie Sony, JBL, Marshall oder Bose greifen teilweise darauf zurück, verbauen aber auch Bluetooth-Technik anderer Zulieferer.

Airoha verpasste seinen Bluetooth-Chips ein selbstgestricktes Protokoll, das Manipulationen am Arbeits- und Flashspeicher der Geräte per Funk ermöglicht. Das Protokoll, das sowohl via Bluetooth Low Energy (BLE) als auch über "klassisches" Bluetooth (BD/EDR) erreichbar ist, soll mutmaßlich zur Interaktion mit Hersteller-Apps dienen, war aber auch eine Einladung für die neugierigen Sicherheitsforscher. Sie konnten darüber Kopfhörer verschiedener Hersteller aus der Ferne übernehmen – und das ohne Anmeldung an einer App oder das bei Bluetooth übliche "Pairing". Mittels Vollzugriff auf Flash und RAM der Ohrstöpsel konnten sie zudem die Verbindungen zu anderen Geräten, etwa dem Smartphone des eigentlichen Nutzers, übernehmen.

Über einen Zugriff auf den Arbeitsspeicher des Bluetooth-Chips konnten die Forscher zunächst auslesen, welche Medien der Nutzer gerade abspielt, etwa einen Podcast oder ein Musikstück. Dieser Angriff ist jedoch mühselig: Da die Speicheradressen sich von Gerät zu Gerät unterscheiden, konnten die Forscher nicht einfach in einem vollbesetzten Bus wahllos Daten auslesen, sondern mussten ihren Angriff anpassen. Auf Android-Geräten konnten die Experten zudem die Telefonnummer des Geräts und eingehender Anrufe auslesen, bisweilen sogar die Anrufhistorie und das Adressbuch des Telefons.

Die ENRW-Forscher konnten auslesen, welche Musik auf einem Kopfhörer mit Airoha-Chipsatz abgespielt wird, hier ein Lied von Lady Gaga

Bestimmte Versionen von Cisco Identity Services Engine (ISE) und ISE Passive Identity Connector (ISE-PIC) sind verwundbar. Nach erfolgreichen Attacken können Angreifer die volle Kontrolle über Systeme erlangen.

Über ISE steuern Admins unter anderem Netzwerkzugriffe von Firmenmitarbeitern. Die Anwendung kommt also an einer zentralen Stelle in Unternehmen zum Einsatz, wo Angriffe richtig wehtun können. Demzufolge sollten Admins zügig handeln und die Sicherheitspatches ISE/ISE-PIC 3.3 Patch 6 oder 3.4 Patch 2 installieren. Die ISE-Ausgaben bis einschließlich 3.2 sind nicht bedroht.

Wie aus einer Warnmeldung hervorgeht, sind beide Schwachstellen (CVE-2025-20281, CVE-2025-20282) mit dem Bedrohungsgrad "kritisch" und dem höchstmöglichen CVSS Score 10 von 10 eingestuft. In beiden Fällen können entfernte Angreifer ohne Authentifizierung an den Lücken ansetzen.

Aufgrund von unzureichenden Überprüfungen können Angreifer über präparierte API-Anfragen oder das Hochladen von manipulierten Dateien Schadcode mit Root-Rechten ausführen. Es ist davon auszugehen, dass Instanzen nach erfolgreichen Attacken vollständig kompromittiert sind. Cisco führt aus, dass es bislang noch keine Hinweise auf Attacken gibt.

Weiterhin haben die Entwickler von Cisco noch eine Sicherheitslücke (CVE-2025-20264 "mittel") in ISE geschlossen. Aufgrund von Fehlern in der SAML-SSO-Implementierung im Kontext von externen Identitätsanbietern können entfernte, aber authentifizierte Angreifer mit bestimmten Befehlen an der Lücke ansetzen. Sind Attacken erfolgreich, können sie Systemeinstellungen verbiegen. Dagegen sind die folgenden ISE-Ausgaben gerüstet: 3.2P8 (Nov 2025), 3.3P5 und 3.4P2.

In der vergangenen Woche hatte Citrix vor mehreren Sicherheitslücken in Netscaler ADC und Gateways. Eine davon galt bereits als kritisch. Nun hat Citrix die Schwachstellenbeschreibung aktualisiert, was IT-Sicherheitsforscher an die CitrixBleed-Lücke aus 2023 erinnert, weshalb nun das Wort von "CitrixBleed 2" die Runde macht.

Hinter CitrixBleed verbirgt sich eine Sicherheitslücke in Netscaler ADC und Gateway (CVE-2023-4966 / EUVD-2023-54802, CVSS 9.4, Risiko "kritisch"), die es Angreifern erlaubt, aus der Ferne und ohne Authentifizierung im RAM auf gültige Session-Tokens zuzugreifen und diese zu extrahieren. Damit können sie die Anmeldung umgehen und auf Systeme zugreifen – und das machten die dann auch fleißig. Die originale Schwachstellenbeschreibung lautete: "Sensitive information disclosure in NetScaler ADC and NetScaler Gateway when configured as a Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) or AAA virtual server."

Die Sicherheitslücke aus der vergangenen Woche hatte erst eine allgemeinere Beschreibung, die Citrix am Montag dieser Woche nahezu unbemerkt aktualisiert hat. Zunächst hieß es, Angreifer können in Netscaler ADC und Gateway Speicherbereiche außerhalb vorgesehener Grenzen lesen, was auf unzureichende Prüfung von übergebenen Daten zurückgeht (CVE-2025-5777 / EUVD-2025-18497, CVSS 9.3, Risiko "kritisch").

Beinahe unbemerkt hat Citrix die Schwachstellenbeschreibung Anfang der Woche angepasst.

(Bild: Screenshot / dmk)

Ende Februar machte der Chaos Computer Club (CCC) auf gravierende Sicherheitslücken bei den Websites von über 500 Restaurants in ganz Deutschland aufmerksam.

Dabei informierte der CCC aufgrund weiterhin offener Lücken wiederholt den zuständigen IT-Dienstleister Karvi Solutions GmbH. Wie viele Restaurantkunden insgesamt betroffen sind, ist bislang nicht bekannt. Ob alle Schwachstellen inzwischen behoben wurden, ist weiterhin unklar. Nun prüft der Hamburger Datenschutzbeauftragte Thomas Fuchs (HmbBfDI) den Fall.

Gegenüber heise online hatte der Geschäftsführer von Karvi Solution, Vitali Pelz, zuvor versichert, dass alle Lücken geschlossen und Daten der Betroffenen aus dem System gelöscht seien. Er erklärte, ein Mitbewerber habe versucht, den Ruf eines Restaurants durch die Manipulation einer "Order-Receiver-API" zu schädigen. Es seien bereits "alle verfügbaren Sicherheitsmaßnahmen implementiert" worden. Diese Verdächtigungen konnten nicht verifiziert werden. Auf weitere Rückfragen reagierte Pelz nicht.

Laut einem Sprecher des HmbBfDI bestehen jedoch noch offene Fragen. Bei der Behörde seien ebenfalls Beschwerden eingegangen – die Klärung laufe. Auf wen die Verantwortlichkeit fällt, "wird noch zu prüfen sein", teilte der Sprecher auf Anfrage von heise online mit.

Die entdeckten Sicherheitslücken reichten vom ungeschützten Zugriff auf das Backend der Websites über eine frei zugängliche Superadmin-Datenbank bis zu Klartextpasswörtern, die per SQL-Injection einsehbar waren. Zudem nutzten die Restaurants identische Zugangsdaten, und Rechnungs-URLs waren einsehbar. Offen zugängliche Backups enthielten neben dem Quellcode Kundendaten zahlreicher Restaurant-Websites.

Französischen Ermittlern ist ein weiterer Schlag gegen Datenhehler im Untergrund gelungen. Sie haben insgesamt fünf Administratoren des Darknet-Forums "BreachForums" festgenommen, vier davon Anfang dieser Woche. Nun sitzen die fünf Personen in Untersuchungshaft, das Forum ist bereits seit April offline. Ob es unter neuer Leitung wiedereröffnen wird, bleibt abzuwarten.

Die in dieser Woche festgenommenen Verdächtigen sind französische Staatsbürger und hören auf die Pseudonyme Hollow, Noct, Depressed und ShinyHunters. Der Fünfte im Bunde mit dem Spitznamen IntelBroker sitzt bereits seit Februar ein. Zugeschlagen haben die französischen Ermittler in den Départements Hauts-de-Seine im Großraum Paris, Seine-Maritime im Nordwesten des Landes und Réunion, einer französischen Insel im Indischen Ozean. Von der Festnahme hat zuerst die Zeitung Le Parisien berichtet. Ein Termin für das Gerichtsverfahren ist noch nicht bekannt.

Die fünf Verdächtigen waren mutmaßlich die Betreiber des Darknetforums und haben zudem häufig selber brisante Datenschätze veröffentlicht. Vor allem ShinyHunters und IntelBroker haben sich in den vergangenen Jahren durch zahlreiche Datenlecks profiliert. So bot IntelBroker Entwicklungsdaten von Cisco sowie AMD an und klaute Daten bei HPE. ShinyHunters hingegen zeichnete für einen Angriff auf den Veranstaltungskonzern LiveNation verantwortlich, in dessen Kielwasser ein anderes Forumsmitglied 170.000 Tickets für Konzerte der Sängerin Taylor Swift verteilte.

Die BreachForums wurden im April von Behörden mittels einer PHP-Sicherheitslücke geknackt und sind seitdem offline, offiziell aus Vorsicht. Es war das vermutlich größte Forum für Handel mit gestohlenen Daten – hier boten Kriminelle Passwortlisten und vertrauliche Geschäftsgeheimnisse an. Meist stammten diese aus IT-Angriffen oder wurden mittels Infostealern eingesammelt. Das Forum stand seit Jahren unter Beobachtung der Behörden und wurde erstmals im Jahr 2023 und erneut 2024 bereits durch diese gekapert.

Angreifer haben eine mit Schadcode präparierte Windowsversion von Sonicwalls VPN-Software NetExtender veröffentlicht. Darüber schneiden sie VPN-Zugangsdaten mit.

Davor warnt das IT-Unternehmen in einem aktuellen Beitrag. Über NetExtender stellen etwa Firmenmitarbeiter eine VPN-Verbindung ins Unternehmensnetzwerk her, um unter anderem auf Netzwerklaufwerke zuzugreifen.

In Zusammenarbeit mit Sicherheitsforschern von Microsoft ist Sonicwall nun auf eine mit Schadcode versehene Variante der VPN-Software gestoßen. Sie wurde auf einer Website angeboten, die wie die legitime NetExtender-Seite gestaltet war. Mittlerweile wurde die Website offline genommen und Windows stuft das Zertifikat, mit der die Fake-App signiert wurde, als nicht vertrauenswürdig ein. In welchem Umfang die Anwendung in Umlauf ist, ist derzeit nicht bekannt. Inzwischen sollten Virenscanner den Schadcode erkennen und Alarm schlagen.

Um zu erkennen, ob man die Fake-Version installiert hat, muss man die Eigenschaften der ausführbaren NetExtender-Datei öffnen und die "Digitale Signatur" prüfen. Steht dort "CITYLIGHT MEDIA PRIVATE LIMITED", handelt es sich um die verseuchte Version und Admins sollten sie umgehend löschen. Im Beitrag von Sonicwall findet man auch die Prüfsummen betroffener Dateien.

Sonicwall gibt an, dass die Cyberkriminellen die Dateien NEService.exe und NetExtender.exe mit Schadcode manipuliert haben. In der erstgenannten Datei haben die Angreifer die Validierung des Zertifikats entfernt, sodass die Datei starten kann, auch wenn die Signatur ungültig ist. In NetExtender.exe steckt Code, um VPN-Zugangsdaten inklusive Passwort zu kopieren und an einen Server der Angreifer zu schicken.

In den vergangenen Tagen machte sich bereits Unmut in einigen Internetforen breit, nun bestätigt Microsoft das Problem: Auf einigen Windows-Rechnern blockiert das Betriebssystem den Start etwa des Webbrowsers Google Chrome, ohne eine weitere Fehlermeldung anzuzeigen. Auslöser ist der aktivierte Kinderschutz "Microsoft Family Safety". Die Entwickler arbeiten an einer Lösung.

Im Windows-Release-Health-Message-Center erörtert Microsoft das Problem recht ausführlich. Die Redmonder holen weiter aus: "Bestimmte Gesetze erfordern, dass Microsoft Kinder vor schädlichen und illegalen Inhalten im Internet schützt. Daher erstellt Microsoft Werkzeuge für Eltern und Aufsichtsberechtigte, die ihnen helfen, die digitale Erfahrung der Kinder zu lenken und sie vor schädlichen und illegalen Online-Inhalten zu schützen".

Eines dieser Werkzeuge ist das "Filtern von Websites und Suchvorgängen mithilfe von Microsoft Family Safety". Etwa Microsofts Edge-Browser liefert diese Funktion, wodurch Edge als Standardbrowser auf von Kindern genutzten Geräten genutzt werden könne, sofern Webfilterung in Windows aktiviert ist. Bei aktivierter Webfilterung müssen Eltern oder Aufsichtspersonen andere Webbrowser zunächst freigeben, bevor sich diese nutzen lassen. "Das soll Eltern verstehen helfen, dass andere Einstellungen für andere Browser in Bezug auf das Blockieren unangemessener Webseiten und der Filterung von Suchergebnissen gelten", erklärt Microsoft weiter.

Das Blockieren funktioniere weiterhin – sofern ein Browser auf eine neue Version aktualisiert wird, kann Windows nichts blockieren, solange Microsoft den Browser nicht auf die Block-Liste setzt. Im Zuge von Aktualisierungen kann es temporär passieren, dass ein Browser nicht blockiert wird. "Wir arbeiten aktiv daran sicherzustellen, dass die jüngsten Versionen der Browser blockiert werden, und bekräftigen unsere Anstrengungen, Eltern und Aufsichtspersonen zu unterstützen", schreiben die Redmonder.

"Während Microsoft die Block-Liste aktualisierte, erreichten uns Berichte über ein neues Problem, das Google Chrome und ein paar andere Browser betrifft. Wenn Kinder versuchen, die zu öffnen, schließen sie sich unerwartet wieder", erörtern die Entwickler. Standardmäßig sollte jedoch eine Anfrage erscheinen, um die elterliche Zustimmung zur Nutzung einzuholen: "Du musst nachfragen, um diese App zu nutzen". Sofern die Zustimmung erteilt wurde, laufe der Browser wie erwartet. Sofern Aktivitätsberichte deaktiviert sind, kann dieses Verhalten auftreten.

Im November vergangenen Jahres gab Microsoft bekannt, dass auch Privatkunden einen erweiterten Support-Zeitraum für Windows 10 erhalten können. Nun konkretisiert das Unternehmen, wie es sich das vorstellt. Sogar eine "kostenlose Version" ist dabei.

In einem Blog-Beitrag erörtert Microsoft zunächst die Vorzüge von Windows 11 ausführlich, um dann kurz auf die Windows 10 Extended Security Updates (ESU) einzugehen. Um die PCs von Windows-10-Nutzern in der Übergangszeit zu Windows 11 nach dem Support-Ende am 14. Oktober 2025 weiterhin zu schützen, liefert Microsoft im ESU-Programm weiterhin monatliche "kritische und wichtige Sicherheitsupdates". Da Microsoft das nicht als Langzeitlösung vorsieht, gibt es jedoch keine neuen Funktionen, nicht-Sicherheitsupdates, Designänderungen oder technischen Support.

"Zum ersten Mal überhaupt können private Windows-10-PCs am ESU-Programm teilnehmen und monatlich kritische sowie wichtige Sicherheitsupdates erhalten, für ein Jahr, nachdem der Support im Oktober endet", präzisiert Microsoft dort. Privatkunden können also offenbar nicht das für Business-Kunden zugängliche ESU mit bis zu drei Jahren Laufzeit erhalten – nach derzeitigem Stand.

Ein ESU-Wizard soll durch die Windows-Benachrichtigungen und in den Windows-Einstellungen erscheinen, der die Teilnahme am ESU-Programm einfach direkt vom betroffenen PC aus ermöglicht. Dieser Wizard hat drei Optionen für die Teilnahme. Als Erste können Interessierte Windows Backup aktivieren, das die Einstellungen in die Cloud synchronisiert – das ist kostenlos und genügt, um das ESU zu aktivieren. Als Zweites können Nutzerinnen und Nutzer Microsoft Reward-Punkte einlösen. Dazu sind 1000 Stück nötig, es fallen keine Zusatzkosten an. Und schließlich steht als dritte und letzte Option die Zahlung von 30 US-Dollar zur Verfügung, wobei "lokale Preise abweichen können".

Nach der Auswahl einer Option und dem Befolgen der angezeigten Schritte erhält der PC die ESU-Updates. Der Zeitraum der Privatkunden-ESU läuft konkret vom 15. Oktober 2025 bis zum 13. Oktober 2026. Der ESU-Beitritts-Wizard steht ab heute im Windows Insider-Programm bereit und soll im Juli als Option an Windows-10-Kunden verteilt werden. Die allgemeine Verfügbarkeit plant Microsoft ab Mitte August 2025.

Eine nicht gepatchte Sicherheitslücke in Cisco-Routern diente einer chinesischen Cybergang als Einstiegspunkt in das Netzwerk eines kanadischen Telekommunikationsanbieters. Das berichtet die IT-Sicherheitsbehörde "Canadian Centre for Cyber Security" (oder auch kurz "Cyber Centre") und warnt vor derzeitigen Angriffen von staatlich unterstützten chinesischen Cyber-Banden.

Das Cyber Centre hat die Analyse zusammen mit dem US-amerikanischen FBI veröffentlicht. Damit wollen die Behörden vor der Gefahr durch chinesisch-staatlich unterstützte Bedrohungsakteure warnen, die globale Telekommunikationsanbieter infiltrieren und ausspähen wollen. Insbesondere die Gruppe Salt Typhoon steche heraus.

Die Angriffe laufen demnach aktuell auch gegen kanadische Telko-Anbieter. Bei einem nicht namentlich genannten Provider konnten Mitglieder der Gruppe Salt Typhoon Mitte Februar des Jahres eindringen. Sie haben dazu die Schwachstelle CVE-2023-20198 (EUVD-2023-24377) missbraucht, um von drei verwundbaren Geräten die Konfigurationsdateien zu sammeln und auf mindestens einem zu manipulieren, sodass Daten aus dem Netzwerk über einen dabei konfigurierten GRE-Tunnel ausgeleitet werden konnten.

Die Sicherheitslücke betrifft Ciscos IOS XE. Das Linux-basierte System läuft auf Routern und Switches von Cisco und bringt eine webbasierte Bedienoberfläche mit. Sofern die aktiv ist, können Angreifer die Sicherheitslücke missbrauchen, um direkt die komplette Kontrolle über das anfällige System zu übernehmen. Die Entwickler stufen die Schwachstelle mit einem CVSS-Wert von 10.0, mithin die Höchstwertung, daher als Risiko "kritisch" ein. Im Oktober 2023 wurde die Lücke bekannt und Cisco stellte aktualisierte Software bereit, um sie zu schließen. Die hat der angegriffene kanadische Telko-Anbieter offenbar über ein Jahr lang nicht installiert.

Die Untersuchungen der IT-Experten des "Cyber Centre" deuten darauf hin, dass die Ziele weiter reichen als lediglich in den Telekommunikationssektor. In einigen Fällen ermöglichte das Kompromittieren der Geräte das Ausspähen der Netzwerke oder das Infizieren weiterer Geräte, in anderen hingegen ging es lediglich darum, später erneut auf infiltrierte Geräte zuzugreifen (Reconnaisence). Für die kommenden zwei Jahre erwarten die IT-Sicherheitsexperten weitere Angriffe der chinesisch gelenkten Cybergang. Telekommunikationsanbieter seien dabei höchste Priorität, da Angreifer dort am weitreichendsten ausspähen könnten.

Angreifer können IBM Storage Protect und InfoSphere Information Server ins Visier nehmen. Sicherheitsupdates schließen mehrere Softwareschwachstellen.

In einer Warnmeldung erläutern die Entwickler, dass Angreifer über einen bislang offensichtlich undokumentierten Admin-Account weitreichenden Zugriff auf Instanzen bekommen können. Es ist davon auszugehen, dass Angreifer nach dem Umgehen der Anmeldung Instanzen kompromittieren. Die Lücke (CVE-2025-3319) ist mit dem Bedrohungsgrad "hoch" eingestuft. Wie so eine Attacke ablaufen könnte, ist bislang unklar. Unbekannt ist derzeit auch, an welchen Parametern Admins bereits erfolgreich attackierte Systeme erkennen können.

Von dem Sicherheitsproblem sollen die Ausgaben 8.1.0.000 bis einschließlich 8.1.26.000 unter AIX Linux Windows bedroht sein. Die Entwickler geben an, die Lücke in der Version 8.1.27 geschlossen zu haben. Auch wenn es zurzeit keine Berichte zu Attacken gibt, sollten Admins mit der Installation des Sicherheitsupdates nicht zu lange warten.

InfoSphere Information Server ist über zwei Schwachstellen (CVE-2025-3221 "hoch", CVE-2025-3629 "mittel") angreifbar. An diesen Stellen können Angreifer DoS-Zustände auslösen oder Kommentare von Nutzern löschen. Von beiden Lücken sind den Entwicklern zufolge die Versionen 11.7.0.0 bis einschließlich 11.7.1.6 betroffen. Die Sicherheitspatches für die verwundbaren Ausgaben verlinkt IBM in einem Beitrag.

Erst kürzlich sorgte unter anderem eine "kritische" Schadcode-Lücke (CVE-2025-33117) in IBMs IT-Sicherheitslösung QRadar SIEM für Schlagzeilen.

Die am heutigen Dienstag erwartete Version 138 des Webbrowsers Chrome von Google unterstützt als letzte noch Android 8 (Oreo) und 9 (Pie). Anfang August soll Chrome 139 mindestens Android 10 voraussetzen.

Die Chrome-Entwickler erläutern das Abschneiden der alten Zöpfe in einem Support-Beitrag aus der Nacht. Wer neuere Versionen von Chrome nutzen will, muss demnach sicherstellen, dass Android 10.0 oder neuer auf dem Gerät läuft.

Ältere Versionen von Chrome funktionieren weiterhin, erörtern die Entwickler weiter. Aber es wird keine weiteren Updates für Nutzerinnen und Nutzer auf diesen veralteten Betriebssystemen geben. "Wenn du derzeit Android 8 oder 9 nutzt, möchten wir dich ermutigen, auf eine unterstützte Android-Version (oder neuer) zu wechseln, um sicherzustellen, dass du weiterhin die jüngsten Sicherheitsupdates und Chrome-Funktionen erhältst", schreiben sie im Support-Beitrag.

Den Sicherheitsaspekt sollten Betroffene nicht unterschätzen, schließlich dienen Smartphones inzwischen allumfassend dem Zugriff auf Dienste oder dem Online-Einkauf. Mangels der unter anderem künftig fehlenden Aktualisierungen etwa von Zertifikaten werden die Browser bald viele Webseiten gar nicht mehr öffnen können. Das Problem reicht jedoch noch tiefer. Die alten Android-Versionen enthalten ungepatchte Sicherheitslücken, von denen auch viele bereits im Netz angegriffen wurden und werden.

In der quelloffenen Kanban-Software Kanboard haben die Entwickler mit einer aktualisierten Software-Version eine hochriskante Schwachstelle ausgebessert. Angreifer können dadurch Kanboard-Konten übernehmen.

Die Kanboard-Entwickler erörtern die Sicherheitslücke in einer Sicherheitsmitteilung im Github-Repository. "Kanboard ermöglicht den Versand von E-Mails zum Zurücksetzen von Passwörtern mit URLs, die aus dem nicht überprüften Host-Header stammen, wenn die Konfiguration 'application_url' nicht gesetzt ist – was die Standardeinstellung von Kanboard ist. Angreifer können einen bösartigen Link zum Passwortrücksetzen erstellen, der das Token an eine Angreifer-kontrollierte Domain weiterleitet. Wenn Opfer – einschließlich Administratoren – auf den bösartig manipulierten Link klicken, können Angreifer das Konto übernehmen. Dies betrifft alle Benutzer, die ein Passwort-Reset anstoßen, während 'application_url' nicht gesetzt ist", schreiben sie dort (CVE-2025-52560 / EUVD-2025-18976, CVSS 8.1, Risiko "hoch").

Offenbar ist zudem etwas Social Engineering nötig, um potenzielle Opfer zum Anfordern eines Passwort-Resets zu bewegen. Der Fehler betrifft Kanboard vor der aktuellen Fassung 1.2.46. Am Sonntag haben die Entwickler das Update herausgegeben. Die Release-Notes zu Kanboard 1.2.46 nennen neben dieser Sicherheitskorrektur weitere Fehlerbehebungen und teils neue Funktionen. Ein wichtiger Hinweis ist etwa, dass PHP 7.4 nicht mehr unterstützt wird, Kanboard 1.2.46 setzt mindestens PHP 8.1 voraus; das Docker-Image nutzt standardmäßig PHP 8.4.

Admins sollten das Update zeitnah installieren, da die Risikoeinstufung "hoch" lautet. Die Kanboard-Entwickler stellen aktualisierte Quellen und auch Docker-Container bereit, sie verlinken sie in den Release-Notes und erörtern das Docker-Update.

Ein Cyberangriff auf Diensthandys der Polizei Mecklenburg-Vorpommerns hat offenbar weitreichendere Folgen als zunächst vermutet worden war. Nach unbestätigten Informationen könnten sämtliche für die polizeiliche Arbeit genutzten Smartphones unbrauchbar sein. Offenbar besteht die Gefahr, dass die Hacker auch nach einem Neustart Zugriff auf sensible Daten und den E-Mail-Verkehr der Polizei haben.

Laut Ministerium hatte es Anfang Juni über den Server, der die Mobiltelefone der Beamten (sogenannte mPol-Geräte) vernetzt, einen "Angriffsversuch" gegeben. Zunächst war davon die Rede, dass die Mobilgeräte nur "für einige Tage nicht in vollem Umfang im Streifendienst genutzt werden können". Doch sei noch immer in der Klärung, welche Auswirkungen der Angriff auf die Endgeräte hatte, hieß es.

Weder die Smartphones noch der betroffene Server befinden sich laut Ministerium im Einsatz. Eine Sprecherin des Innenministeriums bestätigte, dass die Landespolizei ihre Smartphones im alltäglichen Dienst nicht nutzt und stattdessen wieder auf die alte Funktechnik zurückgreifen müsse.

Damit solle auch eine Gefährdung der gesamten weiteren IT-Infrastruktur der Polizei ausgeschlossen werden. Zu den Hintermännern des Angriffs liefen strafrechtliche Ermittlungen. Informationen über laufende Ermittlungsverfahren der Polizei seien vom Hackerangriff nicht betroffen. Diese befänden sich auch auf anderen Servern der Landespolizei.

Mit Millionenaufwand war die Landespolizei mit speziell geschützten und auf den jeweiligen Nutzer gemünzten Diensthandys ausgestattet worden. Mit diesen Geräten konnten laut Ministerium auf Streifenfahrten und -gängen rasch online Abfragen nach Fahrzeughaltern erfolgen oder Prüfungen von Ausweispapieren und weitergehende Recherchen vorgenommen werden. Dies muss nun wieder umständlich über Funk im Polizeirevier abgefragt werden

Angreifer können an mehreren Sicherheitslücken in IBM QRadar SIEM ansetzen und im schlimmsten Fall Schadcode ausführen. Ein Sicherheitspatch schließt mehrere Lücken.

Wie die Entwickler in einer Warnmeldung aufführen, sind die Ausgaben 7.5 bis einschließlich 7.5.0 UP12 IF01 verwundbar. Am gefährlichsten gilt eine "kritische" Lücke (CVE-2025-33117/kein EUVD) im Kontext der Auto-Update-Funktion. Hier können Angreifer mit nicht näher ausgeführten Nutzungsrechten mit einer präparierten Autoupdate-Datei ansetzen. Darüber können sie dann eigene Befehle ausführen und Systeme kompromittieren. Außerdem können in zwei Fällen (CVE-2025-36050, Risiko "mittel"; CVE-2025-33121, "hoch") Daten unbefugt zugänglich werden. Wie solche Angriffe im Detail ablaufen könnten, ist zurzeit nicht bekannt.

Aus einer zweiten Warnmeldung geht hervor, dass noch weitere Komponenten bedroht sind. So kann es etwa bei der Verarbeitung eines manipulierten XML-Dokuments zu Speicherfehlern und schließlich zu Abstürzen kommen (CV-2024-8176, "hoch"). Zusätzlich können Angreifer Opfern mit Schadcode versehene Dateien im eigentlich vertrauenswürdigen Kontext unterschieben (CVE-2024-12087, "mittel").

Gegen die geschilderten Attacken ist IBM QRadar 7.5.0 UP12 IF02 gerüstet. Bislang gibt es keine Hinweise auf Attacken. IBMs Entwickler führen derzeit nicht aus, woran Admins bereits erfolgreich attackierte Instanzen erkennen können. Admins sollten mit der Installation nicht zu lange zögern.

Zuletzt gab es wichtige Sicherheitsupdate für IBM /AIX/VIOS und DataPower Gateway. An diesen Stellen sind Schadcode-Attacken vorstellbar. Sicherheitsupdates stehen auch in diesem Fall zum Download bereit.

In der Windows-Version von WinRAR können Angreifer eine Sicherheitslücke missbrauchen, um eingeschleusten Schadcode auszuführen. Eine Beta-Version steht als Aktualisierung bereit, die die Schwachstelle ausbessert.

In der Ankündigung der Beta-Version beschreiben die WinRAR-Entwickler die Lücke sehr oberflächlich als "beim Extrahieren von Dateien kann WinRAR, RAR, UnRAR, portable UnRAR sowie die UnRAR.dll dazu gebracht werden, einen Pfad zu nutzen, der in einem manipulierten Archiv vorgegeben wird, anstatt einen Nutzer-vorgegebenen Pfad zu verwenden". Die Entdecker des Sicherheitslecks bei Trend Micros Zero-Day-Initiative werden hingegen etwas präziser: "Der spezielle Fehler besteht im Umgang mit Pfaden innerhalb von Archiv-Dateien. Ein präparierter Dateipfad kann dazu führen, dass der Prozess in nicht vorgesehene Verzeichnisse wandert (traverse). Angreifer können das missbrauchen, um Schadcode im Kontext des aktuellen Users auszuführen" (CVE-2025-6218 / noch kein EUVD, CVSS 7.8, Risiko "hoch").

Die WinRAR-Entwickler betonen, dass der Fehler die Windows-Versionen der Software betrifft. "Unix-Versionen von RAR, UnRAR, portable UnRAR Quellcode und die UnRAR-Bibliothek sowie RAR für Android sind nicht betroffen". Die Beta-Version schließt noch weitere Sicherheitslücken. So konnte beim Erstellen von Reports der Dateiname ungefiltert in die Berichts-HTML-Datei einfließen, was das Einschleusen von unsicheren HTML-Tags ermöglichte. Die Ersetzung der "< >"-Zeichen für Tags durch Strings für die Symbole korrigiert das Problem.

Auf der Download-Seite von WinRAR ist die Beta-Version recht unscheinbar über der Dateiliste mit Suchfiltern einsortiert. Sie lässt sich hier direkt herunterladen. Die Beta-Version verschwindet jedoch umgehend, sofern die Entwickler die finale Version von WinRAR 7.12 online stellen.

Bereits WinRAR 7.11 hatte eine Sicherheitslücke geschlossen. Ein präparierter symbolischer Link konnte dazu führen, dass der Mark-of-the-Web-Mechanismus (MotW) nicht griff, wodurch beim Ausführen und Öffnen potenziell gefährlicher entpackter Dateien aus dem Internet keine Warnmeldung von Windows erscheint.

Cloudflare hat Mitte Mai den "größten jemals registrierten" Denial-of-Service-Angriff (DDoS) mit bislang kaum für möglich gehaltenen 7,3 Terabit pro Sekunde (TBit/s) blockiert. Dies teilte der US-Anbieter rund um Lösungen für IT-Sicherheit und Internetperformance am Freitag mit. Diese Attacke war demnach rund 12 Prozent größer als der vorherige Rekord und lieferte ein massives Datenvolumen von 37,4 Terabyte in nur 45 Sekunden. Diese Menge sei heutzutage an sich zwar nicht atemberaubend, die für die Auslieferung benötigte sehr kurze Zeitspanne aber schon.

"Dies entspricht dem Überfluten Ihres Netzwerks mit über 9350 HD-Filmen in voller Länge oder dem ununterbrochenen Streamen von 7480 Stunden hochauflösendem Video" in weniger als einer Minute, veranschaulicht Cloudflare die Datenflut. "Stellen Sie sich vor, Sie könnten mit Ihrem Smartphone 12,5 Millionen hochauflösende Fotos schießen und hätten nie einen vollen Speicherplatz." Und das alles in 45 Sekunden.

Ziel des massiven Angriffs war ein Hosting-Provider, ließ der Dienstleister durchblicken, ohne dabei einen Namen zu nennen. Die Attacke sei erfolgreich abgewehrt worden. Die Cyberkriminellen hätten "durchschnittlich 21.925 Zielports einer einzelnen IP-Adresse unseres Kunden bombardiert, mit einem Spitzenwert von 34.517 Zielports pro Sekunde". Der Vorfall sei von einer ähnlichen Verteilung der Ursprungsports ausgegangen. Mitgewirkt hätten über 122.145 Quell-IP-Adressen, die sich über 5433 autonome Netzwerksysteme in 161 Ländern erstreckten.

Laut Cloudflare handelte es sich um einen Angriff unter Einsatz verschiedener Vektoren. Rund 99,996 Prozent des Verkehrs stufte das Unternehmen als sogenannte UDP-Floods ein. Ein Angreifer sendet eine riesige Menge von UDP-Paketen (User Datagram Protocol) an zufällige Ports auf einem Zielserver. Da UDP verbindungslos ist, fällt es Übeltätern damit leichter, die Absender-IP-Adresse der Pakete zu fälschen (IP-Spoofing). Das macht es schwieriger, die tatsächliche Quelle der Attacke zu identifizieren. Die Netzwerk- und Serverressourcen eines Ziels können so schnell überlastet werden.

Die restlichen 0,004 Prozent des Angriffsverkehrs, die 1,3 Gigabyte ausmachten, identifizierte Cloudflare als Attacken über diverse andere Internetprotokolle wie das Network Time Protocol (NTP), das Quote of the Day Protocol (QOTD) oder Echo und über Portmapper-Dienste, die zur Identifizierung von Netzwerkressourcen verwendet werden. Zudem seien ein oder mehrere Mirai-basierte Botnetze beteiligt gewesen. Diese bestehen typischerweise aus kompromittierten Routern in Privathaushalten und Büros, Webcams und anderen Geräten im Internet der Dinge.

Der jetzt geleakte Referentenentwurf des NIS2-Umsetzungsgesetzes vom 2. Juni scheint die Fassung zu sein, die derzeit zwischen Bundesministerium des Innern (BMI), Bundeskanzleramt (BKAmt) und Bundesfinanzministerium (BMF) abgestimmt wird. Der aktuelle NIS2-Entwurf ist wie alle bisherigen öffentlich gewordenen Fassungen bei der unabhängigen Interessensgemeinschaft AG KRITIS, bei der der Autor Gründer und Sprecher ist, öffentlich abrufbar.

Was gibt es Neues? Eine Differenzanalyse zum vorherigen Leak des Referentenentwurfs vom 26.5.2025 zeigt einige interessante Punkte auf.

Die vermutlich wichtigste Änderung für alle Betroffenen ist im § 28 (Besonders wichtige Einrichtungen und wichtige Einrichtungen) Absatz 3 zur Bestimmung der Einrichtungsart vorgenommen worden, denn der Absatz wurde neu beschrieben:

"Bei der Zuordnung zu einer der Einrichtungsarten nach den Anlagen 1 und 2 können solche Geschäftstätigkeiten unberücksichtigt bleiben, die im Hinblick auf die gesamte Geschäftstätigkeit der Einrichtung vernachlässigbar sind."

Die Gesetzesbegründung hierzu erklärt diese Änderung so:

Standardmäßig mehr Sicherheit für Microsoft 365: Für die Office-Anwendungen, Entra, SharePoint Online und OneDrive sind künftig viele Legacy-Protokolle ab Werk deaktiviert. Die Änderungen sind Teil der Secure Future Initiative (SFI), bei der Microsoft auf Basis des Secure-by-Default-Prinzips die Standardkonfiguration seiner Dienste anpasst. Betroffen sind explizit alle Microsoft-365-Tenants sowie Administratoren und Nutzer gleichermaßen.

Konkret blockiert M365 künftig den Webbrowser-Zugriff auf SharePoint und OneDrive über das RPS-Protokoll (Relying Party Suite). Es ist anfällig für Brute-Force-Angriffe und kam bislang bei alten Webbrowsern oder Client-Anwendungen zum Einsatz, die ohne moderne Authentifizierungstechnik auf Cloud-Dienste zugreifen mussten.

Außerdem blockiert M365 das FPRPC-Protokoll, über das sich bislang Office-Dokumente öffnen ließen. Der Name FrontPage Remote Procedure Call zeigt: Es stammt vom vor fast 20 Jahren abgekündigten Webdesign-Werkzeug FrontPage ab. Entsprechend veraltet und sicherheitsanfällig ist der Zugriff via FPRPC, es kommt allerdings noch immer wie RPS bei Legacy-Anwendungen und automatisierten Prozessen in Unternehmen zum Einsatz.

Schließlich fordert Microsoft künftig von Drittanbieter-Applikationen beim Zugriff auf Dateien und Seiten eine explizite Freigabe durch den Administrator ein. Anwender können standardmäßig also nicht mehr selbst diese Einwilligung erteilen. Verantwortliche können die zugehörigen Rechte granular steuern, indem sie zum Beispiel bestimmte Programme auf einzelne Nutzer oder Gruppen einschränken.

Die Auswirkungen der Änderungen sind zweischneidig: Zum einen erhöhen sie fraglos die Sicherheit der M365-Standardkonfiguration. Allerdings könnten bislang eingesetzte Applikationen ohne händisches Einschreiten der Administratoren von einem Tag zum anderen nicht mehr funktionieren – daher empfiehlt Microsoft, sofort betroffene Anwendungen zu identifizieren. Sollten Drittentwickler-Apps zusammen mit M365 eingesetzt werden, sollten Verantwortliche außerdem einen Workflow für die Freigabe des Zugriffs einrichten.

Im WordPress-Theme "Motors" haben IT-Sicherheitsforscher eine kritische Sicherheitslücke entdeckt. Sie ermöglicht Angreifern, ihre Rechte auszuweiten und in der Folge anfällige WordPress-Instanzen zu kompromittieren. Genau das findet seit Anfang Juni offenbar statt.

Die Sicherheitslücke besteht laut Schwachstellenbeschreibung darin, dass das Theme die Identität von Nutzern nicht korrekt validiert, bevor es Passwort-Änderungen übernimmt. Angreifer aus dem Netz können dadurch ohne vorherige Authentifizierung Passwörter beliebiger Nutzer ändern – einschließlich das des Admins, und dadurch Vollzugriff erlangen (CVE-2025-4322 / EUVD-2025-15813, CVSS 9.8, Risiko "kritisch").

Die Wordfence-Software hat Angriffe auf damit ausgestattete WordPress-Instanzen blockiert und protokolliert. Mehrere Angriffswellen waren zu beobachten.

(Bild: Wordfence)

Die IT-Sicherheitsforscher von Wordfence schreiben in einer Analyse, dass sie seit dem 7. Juni massenhaften Missbrauch der Schwachstelle in dem Theme beobachten. Das Theme heißt mit vollem Namen "Motors - Car Dealer, Rental & Listing". Laut Anbieter-Webseite wurde es rund 22.500 Mal verkauft. Es ist daher offenbar weit verbreitet im Einsatz.