Comretix Blog

Das auf Security für die CI/CD-Pipelines (Continuous Integration/Continuous Delivery) spezialisierte Unternehmen StepSecurity hat einen Angriff auf das Open-Source-Tool tj-actions/changed-files für GitHub Actions entdeckt. Unbekannte haben Schadcode in das Tool eingeschleust, der sensible Informationen wie AWS Keys, GitHub Zugriffstoken (Personal Access Tokens, PAT) und private RSA-Schlüssel aus dem Projekt in einer Logdatei ablegt.

Der CVE-Eintrag (Common Vulnerabilities and Exposures) CVE-2025-30066 ist mit einem Score von 8.6 als hoch eingestuft. StepSecurity hat den Angriff am 14. März entdeckt. Die Maintainer von tj-actions/changed-files haben den Schadcode inzwischen aus dem Projekt entfernt. Es besteht jedoch nach wie vor die Gefahr, dass Build-Logs mit den sensiblen Informationen in öffentlichen GitHub-Repositories einsehbar sind.

tj-actions/changed-files lässt sich in den Workflow mit GitHub Actions einbinden. Das Tool trackt im CI/CD-Prozess, welche Dateien geändert wurden.

Die Angreifer haben sich offenbar über ein persönliches Zugriffstoken zum @tj-actions-bot Zugang zum Repository verschafft. Laut dem Issue im Repository lässt sich nicht nachvollziehen, wie das PAT kompromittiert wurde. GitHub hat das Token inzwischen zurückgezogen. Die Maintainer des Projekts haben das Passwort geändert und als Schutz vor künftigen Attacken Passkey-Authentifizierung aktiviert.

Für den Angriff landete zunächst ein Base64-kodierter Codeabschnitt im Repository, der dekodiert ein Python-Skript von einem GitHub-Gist aufruft:

Google hat die zweite Version seines Schwachstellen-Scanners für Open-Source-Projekte veröffentlicht, der nun tiefergehende Analysen in komplexen Projekten und Containern durchführt. Außerdem unterstützt er Java-Projekte via Maven und wirft die Ergebnisse als interaktiv filterbares HTML aus.

Mit dieser Version verbindet Google das 2022 vorgestellte Konsolen-Tool Open-Source-Vulnerability-Scanner (OSV-Scanner) mit der Analyse-Bibliothek OSV-Scalibr (Software Composition Analysis LIBRary), die verzweigte Projekt- und Abhängigkeitsstrukturen in Repositories und Containern untersucht.

Der Scanner analysiert damit nun die Ebenen von Container-Images und kann Aussagen treffen, in welchem Layer ein Paket zugefügt wurde, wie das Basis-Image gestaltet ist, welche Befehle ausgeführt wurden und welches Betriebssystem zugrunde liegt. Dabei filtert es Schwachstellen heraus, die das Image wahrscheinlich nicht beeinträchtigen. Die Layer-Analyse funktioniert mit Images von Alpine OS, Debian und Ubuntu sowie Code in den Sprachumgebungen Go, Java, Node.js und Python. Der Scan-Befehl lautet:

osv-scanner scan image <image-name>:<tag>

Außerdem entdeckt der Scanner jetzt Schwachstellen in weiteren Formaten von Abhängigkeiten von Projekten und Containern: Node-Module, Python-Wheels, Java-Uber-Jars und Go-Binaries sowie Lock- und Manifest-Dateien wie .NET deps.json, Python uv.lock, JavaScript bun.lock und Haskell cabal.project.freeze und stack.yaml.lock.

Die US-Cybersicherheitsbehörde CISA sorgt durch Kündigungen, Vertragsauflösungen und eine hastige Rückholaktion für Verwirrung unter ihren Mitarbeitern, aber auch der IT-Sicherheitsgemeinschaft. In einer Meldung direkt auf der Startseite ihres Webauftritts wendet sich die Agentur nun an gekündigte Mitarbeiter, um diese zurückzuholen. Doch scheint die Behörde nicht genau zu wissen, wen sie entlassen hat, Betroffene sollen sich daher per E-Mail melden.

Aufgrund einer einstweiligen Verfügung des Bezirksgerichts Maryland sind verschiedene Bundesbehörden, darunter auch die CISA, verpflichtet, durch das DOGE (Department of Government Efficiency) vorgenommene Entlassungen rückgängig zu machen. Das macht die Behörde jetzt – oder versucht es. Denn offenbar fehlen Kontaktdaten einiger Ex-Mitarbeiter, die sich an eine Kontakt-Mailadresse der Behörde wenden sollen. Offenbar hat die CISA nicht alle notwendigen Informationen über Mitarbeiter in der Probezeit. Die englische Formulierung "probationary period" kann jedoch auch "Bewährungsfrist" bedeuten, etwa eine Frist zur Leistungsverbesserung.

Doch auch wer zur CISA zurückkehrt, darf nicht wieder dort arbeiten: Alle Rückkehrer werden unmittelbar nach Wiederantritt ihrer Stelle bei vollen Bezügen freigestellt, so die Behörde auf ihrer Website. Wer das nicht wolle, möge sich schriftlich äußern – natürlich könne man auch jederzeit freiwillig kündigen.

Zu ihrer Identifikation sollen die Entlassenen einen passwortgeschützten Anhang mit personenbezogenen Informationen zusammenstellen – etwa ihren Namen, Anstellungs- und Kündigungsdatum sowie Geburtsdatum oder Sozialversicherungsnummer. Auch ein etwaiges Kündigungsschreiben erbittet die CISA per E-Mail.

Wie der Sicherheitsforscher Kevin Beaumont auf Mastodon schreibt, erwartet die Cybersicherheitsbehörde das Passwort für den Anhang in einer separaten E-Mail an dieselbe Adresse – eine unsichere Praxis, die Angreifer mit Zugriff auf den CISA-Mailverkehr die Einsicht in die sensiblen Daten ermöglicht. Derlei Attacken sind dabei nicht bloße Theorie: Die CISA nutzt mutmaßlich die Microsoft-Cloud und könnte daher von einem Datenleck wie dem im Jahr 2024 betroffen sein. Damals hatte die CISA per Notfall-Dekret andere Bundesbehörden zu umfangreichen Aufräumaktionen verdonnert.

Die Low-Coding-Plattform Flowise zum Erstellen von AI-Agents und LLMs ist verwundbar. In der aktuellen Version haben die Entwickler eine Schwachstelle geschlossen.

Setzen Angreifer erfolgreich an der "kritischen" Lücke (CVE-2025-26319) an, können sie einem Bericht der Entdecker der Schwachstelle zufolge Fehler im Whitelist-Ansatz der Uploadfunktion ausnutzen, um Dateien auf Flowise-Servern zu überschreiben. So können sie unter anderem eigenen Code ausführen und die volle Kontrolle über Server erlangen.

Die Sicherheitsforscher geben an, die Lücke im Januar dieses Jahres an die Entwickler gemeldet zu haben. Mittlerweile soll es erste Attacken geben. Wie und in welchem Umfang diese ablaufen, ist derzeit unklar.

Im Changelog der aktuellen Flowise-Ausgabe 2.2.7-patch.1 geben die Entwickler an, die Schwachstelle geschlossen zu haben.

Online-Dateikonverter sind praktisch und wandeln etwa eine .doc-Datei in ein PDF-Dokument um. Dafür gibt es viele Gratisangebote. Wie das Federal Bureau of Investigation (FBI) Denver nun warnt, sind darunter aber auch schwarze Schafe, die Opfern Malware unterschieben wollen.

Weitere Hintergründe dazu führt die US-Sicherheitsbehörde in einem aktuellen Beitrag auf. Sie geben an, Services dokumentiert zu haben, die zwar Dokumente umwandeln, sie im gleichen Zuge aber auch mit Malware verseuchen. Davon bekommt ein Opfer erst mal nichts mit. Wenn die Datei aber heruntergeladen wird, stehen die Chancen gut, dass ein Virenscanner Alarm schlägt. Es kann aber auch sein, dass der Schadcode noch so neu ist, dass kein Scanner darauf anschlägt.

In einigen Fällen wollen Cyberkriminelle dem FBI zufolge Opfer auch dazu bringen, Dateikonvertertools herunterzuladen, um Dokumente lokal auf einem PC umzuwandeln. In einigen Fällen sind diese Tools aber mit einem Trojaner versehen, der Systeme infiziert.

Ist die Malware einmal auf Computern installiert, operiert so in der Regel von Opfern unbemerkt im Verborgenen und kopiert Daten. Angreifer sind vor allem auf persönliche Daten, Log-in-Zugänge und Kryptowährungs-Wallets aus. Diese Daten leitet der Trojaner dann an die Kriminellen.

Diesen Umstand haben auch Sicherheitsforscher von Malwarebytes in einem Beitrag aufgegriffen. Darin ergänzen sie die Problematik um konkrete Webadressen von betrügerischen Online-Dateikonvertern. Das ist natürlich nur ein Ausschnitt und eine Bestandsaufnahme. Mittlerweile sind mehrere der aufgelisteten Services offline. Sie tauchen aber mit hoher Wahrscheinlichkeit unter einer anderen URL wieder auf.

Die Sozial-Holding der Stadt Mönchengladbach GmbH ist Opfer eines Cyberangriffs geworden, teilte die Stadtverwaltung gegenüber dpa mit. In der Folge sind die IT-Systeme der städtischen Altenheime in Mönchengladbach lahmgelegt, wie auch aus einem Hinweis auf der Website der Sozial-Holding hervorgeht. Demnach sind die Einrichtungen sowie die Zentrale der Sozial-Holding telefonisch und per E-Mail nicht erreichbar. Auf der Website wird auf technische Störungen hingewiesen. Die Verwaltung von Mönchengladbach ist nach Angaben eines Sprechers nicht betroffen. Gegenüber dpa erklärte die Sozial-Holding, dass die Versorgung der Bürger sichergestellt ist. Wann die IT-Systeme wieder funktionieren, ist noch unklar. Das Unternehmen betreibt unter anderem sechs Seniorenheime.

Nach einem Cyberangriff auf Europas größten Flug-Ticket-Händler "Aerticket", am 9. März, kam es zu technischen Ausfällen, die auch das Buchungssystem "Cockpit" betreffen. In der Folge stellte das Unternehmen aus Berlin laut Mitteilung rund eine Woche später die Zwischenlösung "Cockpit Light" bereit – eine abgespeckte Version von Cockpit. Ein Krisenstab analysiere derzeit die Situation und der Wiederaufbau laufe, heißt es von Aerticket. Daten seien nur wenige abgeflossen, die Ermittlungen laufen noch. Vor rund zehn Jahren hatte es bei Aerticket bereits eine Sicherheitslücke gegeben. In der Folge waren Millionen Fluggastdaten ungeschützt im Netz abrufbar.

Die Schweizer Supermarktkette Spar hat derzeit noch mit den Nachwirkungen eines Cyberangriffs zu tun. Die weltweit größte Handelskette mit Franchise-Unternehmen und hat ihre Wurzeln in den Niederlanden. Betroffen waren EC-Geräte und das Warenbestellsystem, gezahlt werden konnte in den Schweizer Supermärkten zeitweise nur mit Bargeld. Inzwischen informiert die Schweizer Spar Gruppe darüber, dass der "Betrieb trotz des aktuellen Cyberangriffs so gut wie möglich aufrecht erhalten werden kann". Seit Samstag funktioniere die Bezahlung mit EC-Karte "in fast allen" Märkten wieder.

"Die Warenauslieferung in die Märkte wurde unter grossem Einsatz der Spar Mitarbeitenden manuell erfasst, gerüstet und ausgeliefert". Die Spar Gruppe arbeite noch daran, ein komplettes Sortiment anbieten zu können, bittet aber um Verständnis dafür, wenn nicht überall alles verfügbar ist. Details zum Angriff nennt die Gruppe nicht.

Eine kürzlich veröffentlichte Studie zeigt, dass die Cybersicherheit Kommunen in Deutschland vor große Herausforderungen stellt. Grund für Unsicherheiten sind vorwiegend eine voreilige Digitalisierung, fehlende einheitliche Standards zur Cybersicherheit und ein langsames Handeln der Politik. Insbesondere fehlt es den Kommunen an finanziellen und personellen Ressourcen, um notwendige Sicherheitsmaßnahmen umzusetzen.

Ein britischer Geheimbefehl schreibt Apple vor, eine Hintertür in starke Verschlüsselung von Backups und weiteren Daten einzubauen. Nun deutet sich an, dass Apple nicht alleine ist und auch Google eine vergleichbare geheime Anordnung zugestellt worden ist. Die Geheimbefehle heißen in Großbritannien Technical Capability Notice (TCN).

Der Autor dieser Zeilen hat keine TCN erhalten. Das darf ich öffentlich mitteilen, weil und solange ich keine erhalten habe. Hätte ich eine erhalten, dürfte ich das von Rechts wegen weder verneinen noch bejahen. Und weil Apple sich auch an britisches Recht hält, hat es gegenüber dem US-Parlament nur mitgeteilt, dass es im Falle des Falles nicht sagen dürfte, ob es eine TCN erhalten hat oder nicht.

Auffallend ist, dass Google dem Büro des US-Senators Ron Wyden ebenfalls mitgeteilt hat, im Falle des Falles nichts darüber sagen zu dürfen. Ein Dementi ist das gerade nicht.

Apple versucht, sich durch Abschaltung des Zusatzdienstes Advanced Data Protection (ADP) im Vereinigten Königreich aus der Affäre zu ziehen. Das schwächt zwar die Verschlüsselung, doch meint Apple in einen im Land gar nicht angebotenen Dienst auch keine Hintertür einbauen zu müssen. Das aber stellt die königlichen Geheimdienste, die weltweit spionieren wollen, nicht zufrieden.

Daher wehrt sich Apple juristisch gegen die geheime Anordnung Londons. Es hat beim Investigatory Powers Tribunal eine Beschwerde gegen den Geheimbefehl eingereicht. Das beim britischen Innenministerium angesiedelte Gremium bezeichnet sich als unabhängige Einrichtung. Es entscheidet im Geheimen über Beschwerden über womögliche Rechtsverstöße beim Einsatz heimlicher Untersuchungs- oder Überwachungsmethoden durch Behörden des Vereinigten Königreichs.

Die Google-Mutter Alphabet unternimmt einen neuen Anlauf zur Übernahme des auf IT-Sicherheit spezialisierten Startups Wiz. Voriges Jahr hat Wiz ein Angebot Alphabets über 23 Milliarden US-Dollar ausgeschlagen und sich stattdessen auf einen Börsengang vorbereitet. Dabei wäre Wiz die größte Übernahme in der Geschichte des Google-Konzerns gewesen. Vielleicht hat es sich ausgezahlt für die Wiz-Aktionäre, denn jetzt bietet Alphabet 30 Prozent mehr, nämlich 30 Milliarden Dollar (27,6 Milliarden Euro).

Das berichtet das Wall Street Journal unter Berufung auf Eingeweihte. Demnach sind die Verhandlungen weit fortgeschritten. Google bemüht sich vermehrt im Bereich Cloud Computing. Wiz bietet genau dafür Sicherheitssoftware an, unter Zuhilfenahme Künstlicher Intelligenz. Diese soll Bedrohungen in Echtzeit erkennen und verhindern. Das 2020 in Israel gegründete Unternehmen Wiz soll bereits Amazon, Microsoft und Google als Kunden gewonnen haben. Die Unternehmensgründer haben Erfahrung: 2015 verkauften sie das ebenfalls von ihnen gegründete IT-Sicherheitsunternehmen Adallom an Microsoft.

Im Sommer sollen sie mit Google bereits fast handelseins gewesen sein; laut Medienberichten sind Wiz' Wagniskapitalgeber allerdings scheu geworden, weil sie lange Prüfungen der Übernahme durch Wettbewerbsbehörden fürchteten. US-Präsident Donald Trump legt allerdings deutlich weniger Wert auf Wettbewerb als Joe Biden. Angesichts radikaler Kahlschläge bei US-Bundesbehörden ist unklar, wie viel Know-how und Personal für eine vertiefte Prüfung im Bereich KI/IT-Sicherheit überhaupt noch vorhanden wäre.

Das erleichtert kapitalstarken Großkonzernen wie Alphabet, durch Übernahmen noch größer zu werden. Für Alphabet wäre es der mit Abstand größte Zukauf der Geschichte. Bisheriger Rekordhalter ist die Übernahme Motorola Mobilities durch 2012. Damals zahlte Google 12,5 Milliarden Dollar (inflationsbereinigt etwa 17 Milliarden Dollar), nur um den Großteil davon zwei Jahre später um lediglich drei Milliarden Dollar an Lenovo abzustoßen.

2022 stieß die IT-Sicherheitsfirma Mandiant zu Google Cloud. 5,4 Milliarden Dollar (entsprechend etwa 5,8 Milliarden heute) bedeuten den bis dahin zweitgrößten Zukauf Alphabets. Googles ersten Kauf im Milliardenwert gab es 2006: Die damals als erstaunlich hoch eingeschätzten 1,65 Milliarden Dollar in Google-Aktien für Youtube nehmen sich heute vergleichsweise bescheiden aus. Inflationsbereinigt wären das heute ungefähr 2,6 Milliarden Dollar. Anders ausgedrückt wäre Wiz Alphabet bei einer Bewertung von 30 Milliarden Dollar größenordnungsmäßig so viel wert wie ein Dutzend Youtubes zum Zeitpunkt dessen Übernahme.

Derzeit haben es Betrüger auf Github-Repositories abgesehen. Auf Basis einer gefälschten Sicherheitswarnung wollen sie Konten kompromittieren. Die Drahtzieher dieser Phishing-Kampagne sollen es auf rund 12.000 Github-Projekte abgesehen haben.

Davor warnt unter anderem ein Sicherheitsforscher mit dem Pseudonym "lc4m" auf X. Um Projektinhaber aufs Glatteis zu führen, veröffentlichen die Betrüger eine Fake-Sicherheitswarnung im Issues-Reiter von Repositories. An dieser Stelle legen eigentlich Nutzer von über Github angebotene Tools Meldungen über Bugs an, damit Entwickler diese ausbessern. Solche Einträge kann in der Regel jeder mit einem Github-Account anlegen.

In der gefälschten Warnung im Namen des Github Security Teams steht, dass es "ungewöhnliche Zugriffsversuche" (Security Alert: Unusual Access Attempt) gegeben hat. Danach folgt der Hinweis, dass Betroffene zügig handeln müssen, um ihren Account abzusichern. Dafür gibt es mehrere Links, um etwa das Passwort zu ändern. Mit dem alleinigen Empfang der Fake-Sicherheitswarnung passiert erst mal nichts Schlimmes. Damit die Angreifer weiter vorankommen können, müssen Opfer mitspielen.

Die Links führen alle zu einer OAuth-App mit der Bezeichnung "gitsecurityapp". Vorsicht: Dabei handelt es sich um eine Hintertür, die Angreifern vollen Zugriff auf Github-Konten ermöglicht. Vor der Installation fordert die App umfangreiche Berechtigungen ein, unter anderem den vollen Zugriff auf Repositories und die Bearbeitung von Nutzerprofilen. Wer dem zustimmt, verliert die Kontrolle über sein Github-Konto.

Wer das bereits gemacht hat, muss, solange der Zugriff noch gegeben ist, schleunigst in die Github-Einstellungen und die Berechtigungen von gitsecurityapp widerrufen. Aus Sicherheitsgründen sollte zudem die Zugangsdaten geändert werden. Inwiefern derartige Attacken bereits erfolgreich waren, ist bislang nicht bekannt. Wer eine solche Fake-Warnung bekommen hat, sollte sie direkt löschen.

Bei ihren Antworten geben ChatGPT, Copilot, Grok und andere KI-Chatbots laut einer systematischen Analyse auch russische Propaganda wieder. Demnach zielt ein prorussisches Netzwerk namens "Pravda" – das russische Wort für "Wahrheit" – darauf ab, möglichst viel russlandfreundliche Falschinformationen in die Trainingsdaten der KI-Modelle zu bekommen sowie die Echtzeit-Suche zu beeinflussen.

Zu dieser These kommt eine Studie, die das privatwirtschaftliche Unternehmen Newsguard veröffentlicht hat, welches sich für Glaubwürdigkeit und Transparenz bei Online-Medien einsetzt, dabei aber auch schon selbst in die Kritik geraten ist. Die getesteten Chatbots waren ChatGPT von OpenAI, der Smart Assistant von You.com, Grok von xAI, Pi von Inflection, le Chat von Mistral, Copilot von Microsoft, Meta AI, Claude von Anthropic, Gemini von Google und die KI-Suchmaschine von Perplexity. Newsguard testete die Chatbots mit einer Stichprobe von 15 Falschmeldungen, die von einem Netzwerk von 150 Kreml-nahen Websites zwischen April 2022 und Februar 2025 verbreitet wurden. In 33 Prozent der Fälle wiederholten die Chatbots Inhalte von Falschmeldungen.

Das russische Desinformationsnetzwerk "Pravda" verfolgt diesen Effekt laut Newsguard ganz gezielt. Dabei wird Propaganda auf dafür erstellten Webseiten von den Crawlern der KI-Anbieter in das Repertoire der Trainingsdaten aufgenommen sowie bei der Echtzeit-Suche genutzt. Laut der Analyse gibt es 3,6 Millionen Artikel, die alleine im Jahr 2024 mit dieser Absicht veröffentlicht wurden. Bereits seit 2022 soll das Netzwerk Falschinformationen verbreiten und das auch in zahlreichen Sprachen.

Die Webseiten mit den Artikeln sollen dabei gezielt für die Crawler und weniger für den menschlichen Leser ausgelegt sein. Verbreitet werden vor allem bestehende Inhalte aus den russischen Staatsmedien und von Kreml-freundlichen Influencern. Das heißt, es geht um eine Multiplikator-Wirkung, die durch häufiges Veröffentlichen und Teilen der Inhalte geschieht und so die Wahrscheinlichkeit erhöhen soll, von KI-Modellen genutzt zu werden.

Newsguard und eine weitere Non-Profit-Organisation aus den USA, Sunlight Project, sprechen von "LLM Grooming". Grooming bezeichnet eigentlich den Versuch erwachsener Personen, an Kinder und Jugendliche heranzutreten und diese zu manipulieren. In der Regel geht es um sexuellen Missbrauch. Die Übertragung des Begriffs auf KI und Propaganda ist fragwürdig.

Am Nachmittag des 15. März 2025 sind die Webseiten der Online-Glücksspielanbieter Slotmagie, Crazybuzzer und Merkurbets in einen Wartungsmodus versetzt worden. Sie gehören der Merkur.com AG, einem der größten deutschen Unternehmen für Glücksspiele aller Art. Die Spielangebote gingen nach Beobachtungen von heise online am Samstagnachmittag zwischen 14 und 16 Uhr vom Netz. Die Webseiten sind noch erreichbar, Spiele sind dort jedoch zum Zeitpunkt dieser Meldung nicht mehr möglich.

Am Vorabend hatte die Sicherheitsforscherin Lilith Wittmann in einem Blogpost auf ein bis kurz zuvor existierendes massives Datenschutzproblem hingewiesen: Zahlreiche Daten von mehreren Hunderttausenden Spielern waren über APIs der Casinos abrufbar. Bereits am Donnerstag hatte der Anbieter die Spieler über eine Sicherheitslücke und einen damit einhergehenden Datenabfluss am Donnerstagabend informiert.

Zum Einsatz kommt dort eine GraphQL-Schnittstelle, die auch verschachtelte Abrufe von mehreren Objekten zugleich erlaubt. Unberechtigte Abfragen sollten eigentlich durch ein funktionierendes Berechtigungsmanagement verhindert werden, was hier aber nicht der Fall war. Wittmann fand nicht nur Daten wie vollständige Namen und Kontoinformationen, sondern auch Spielverläufe sowie Ein- und Auszahlungen der Spieler. Bei vielen kamen auch Informationen dazu, mit denen diese sich gegenüber dem Glücksspielanbieter legitimierten.

Laut den Reports, mit denen Wittmann die Glücksspielbehörde der Länder (GGL) informiert hatte, und die heise online vorliegen, waren darin auch unter anderem Kopien von Personalausweisen und Schreiben von Arbeitsagenturen zu finden. Allein bei den Ausweisen sollen es über 70.000 Exemplare gewesen sein, insgesamt fanden sich Daten von über 800.000 Personen. Legitimation von Kunden, unter anderem durch Ausweise, ist für manche Onlineanbieter im Zuge von "Know-Your-Customer"-Verfahren (KYC) rechtlich vorgeschrieben.

Die Merkur-Gruppe nutzt in Ihren Casinos eine Portalsoftware der maltesischen Firma "The Mill Adventures". Diese verfügte über eine unzureichend geschützte GraphQL-Schnittstelle. Wittmann zufolge betreibt das Unternehmen neben einer legalen Instanz seiner Software auch eine weitere für einige in Deutschland nicht legale Online-Casinos. Nach Stichproben am frühen Samstagabend sind auch diese mutmaßlich illegalen Casinos vorerst nicht mehr erreichbar.

Kryptowährung im Wert von 1,5 Milliarden US-Dollar konnten Cyberkriminelle stehlen, weil es ihnen gelang, das vom betroffenen Unternehmen genutzte Wallet des Anbieters "Safe{Wallet}" zu manipulieren. Dieser beschäftigt sich seitdem damit, wie das passieren konnte und es künftig (hoffentlich) nicht nochmal wird. Erste Untersuchungsdetails veröffentlichte Safe jetzt, demnach könnten die Angreifer unter anderem einen verantwortlichen Entwickler bei Safe getäuscht haben.

Der Coup, der den Kriminellen am 21. Februar bei der Kryptobörse Bybit gelang, machte große Schlagzeilen: Als die Verantwortlichen eine große Menge der Kryptowährung Ethereum (Ether) von einem Wallet ins andere transferieren wollten, gelangten die Coins in die Hände professioneller Angreifer, wohl auch, weil diese das eingesetzte Safe-Wallet manipulieren konnten. Das FBI macht die mit dem nordkoreanischen Staat in Verbindung stehende Gruppe "TraderTraitor" verantwortlich. Safe kooperiert bei der Aufarbeitung des Vorfalls jetzt mit der amerikanischen IT-Sicherheitsberatung Mandiant.

Auf X teilte Safe den aktuellen Stand der Untersuchungen mit. Mit der klaren Einschränkung: Dies sei nur ein vorläufiger Bericht, es sei noch viel weitere Arbeit zu tun. Bestimmte Lücken bei der Rekonstruktion würden bleiben, da es dem Angreifer gelungen sei, die Malware nach dem Angriff vom betroffenen Gerät zu löschen, ebenso wie den Verlauf des Bash-Terminals. Zudem arbeite Safe daran, alle Dienste und Netzwerke für Online-Nutzer wiederherzustellen.

Das Übel nahm bereits am 4. Februar seinen Lauf: An diesem Tag wurde laut Safe der Laptop eines Entwicklers ("Developer1") kompromittiert und ein Sitzungstoken für Amazon Web Services (AWS) entwendet, um die Kontrollen der Multi-Faktor-Authentifizierung (MFA) zu umgehen. Der Betroffene war demnach einer der wenigen Mitarbeiter, die für die Erfüllung ihrer Aufgaben eine höhere Zugriffsberechtigung hatten.

Die Sicherheitsforscher gehen davon aus, dass für die Kompromittierung ein Docker-Projekt namens MC-Based-Stock-Invest-Simulator-main mit der Domain getstockprice(.)com kommuniziert hat. Das Docker-Projekt sei auf dem Gerät nicht mehr verfügbar, dennoch waren Dateien dazu im Verzeichnis ~/Downloads/ zu finden, was ein möglicher Anhaltspunkt für Social Engineering sei. Dabei versuchen Angreifer, die Opfer zu manipulieren, indem sie menschliche Schwächen und Eigenschaften ausnutzen. Zum Beispiel, damit die Opfer selbstständig Programme auf Systemen installieren, wie womöglich in diesem Fall. Mandiant verweist auf weitere ähnliche Angriffe durch TraderTraitor, von denen das Unternehmen Kenntnis hat.

Die Union, SPD und die Grünen haben sich auf ein Finanzpaket geeinigt, das die Schuldenbremse auflockert. Dabei geht es auch um das Budget für die IT-Sicherheit: Es soll nicht mehr auf die Schuldenbremse angerechnet werden, soweit die Ausgaben künftig 1 Prozent des Bruttoinlandsprodukts überschreiten. Die gleiche Regelung gilt für Ausgaben bei der Bundeswehr, dem Katastrophen- und Zivilschutz sowie bei Nachrichtendiensten. Das gaben der wahrscheinlich nächste Bundeskanzler und CDU/CSU-Fraktionsvorsitzende Friedrich Merz und CSU-Landesgruppenchef Alexander Dobrindt am Freitagmittag bei der Vorstellung der Einigung bekannt.

Damit dürfte nun – nachdem zuletzt die IT-Sicherheit trotz vieler Lippenbekenntnisse immer wieder zum Streichposten im Haushalt erklärt worden war – deutlich mehr Mittel für die zuständigen Stellen zur Verfügung stehen, allen voran das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn. Auch das Auswärtige Amt, heißt es aus Verhandlerkreisen, soll deutlich mehr Geld für Cybersicherheitsmaßnahmen erhalten können, wenn benötigt.

Allerdings sind die Pläne bislang nicht weiter inhaltlich unterfüttert. Die Änderungen bei der Schuldenbremse sowie die Einrichtung eines 500-Milliarden-Euro-Sondervermögens für Investitionen in die Infrastruktur mit einer Laufzeit von 12 Jahren müssen noch vom Bundestag mit Zwei-Drittel-Mehrheit verabschiedet werden. CDU/CSU-, SPD- und Grünen-Fraktion hatten bis in den frühen Morgen hinein über die Einigung verhandelt. Zur Einigung zählen 100 Milliarden Euro für den Klimaschutz, inklusive klimafreundlicher Förderungen der Wirtschaft.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Um Attacken auf Windows-Computer mit der Fernzugriffssoftware Ivanti Secure Access Client (ISAC) vorzubeugen, sollten Admins eine aktuelle Version installieren. Bislang gibt es den Entwicklern zufolge aber keine Hinweise, dass Angreifer die nun geschlossene Sicherheitslücke bereits ausnutzen.

Wie aus einer Warnmeldung hervorgeht, müssen Angreifer für Attacken lokalen Zugriff haben und authentifiziert sein. Ist das gegeben, können sie sich über die Schwachstelle (CVE-2025-22454 "hoch") höhere Rechte verschaffen. Aufgrund der Einstufung der Lücke ist davon auszugehen, dass Angreifer auf diesem Weg Systeme kompromittieren können.

Die Entwickler versichern, dass sie die Schwachstelle in den ISAC-Ausgaben 22.7R4 und 22.8R1 geschlossen haben. Weil es ihnen zufolge noch keinen Exploit gibt, können sie Admins keine Hinweise (Indicator of Compromise, IoC) geben, woran sie bereits erfolgte Attacken erkennen können.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Angreifer können an Sicherheitslücken in Zoom Meetings SDK, Rooms Client, Rooms Controller, Workplace App, Workplace Desktop App und Workplace VDI Client ansetzen. Sind Attacken erfolgreich, verfügen sie über höhere Nutzerrechte. Aktualisierte Ausgaben schließen die Schwachstellen.

Im Sicherheitsbereich der Zoom-Website listen die Entwickler die bedrohten Anwendungen auf. Bislang gibt es keine Berichte, dass Angreifer Lücken bereits ausnutzen.

Haben Angreifer Netzwerkzugriff und sind authentifiziert, können sie etwa an einer Schwachstelle (CVE-2025-0151 "hoch") ansetzen, um ihre Rechte zu erhöhen. Wie so ein Angriff im Detail abläuft, ist bislang nicht bekannt.

Außerdem können Angreifer via DoS-Attacke Abstürze provozieren (CVE-2025-0150 "hoch"). Von den Sicherheitslücken sind die Betriebssysteme Android, iOS, Linux, macOS und Windows bedroht. Admins sollten sicherstellen, dass die aktuellen, gegen die geschilderten Attacken geschützten Ausgaben installiert sind. Diese findet man im Downloadbereich der Zoom-Website.

Unter bestimmten Voraussetzungen können Angreifer FortiAnalyzer, FortiOS, FortiSandbox, FortiPAM, FortiProxy und FortiWeb ins Visier nehmen. Bislang gibt es aber noch keine Informationen über laufende Attacken. Admins sollten aber nicht zu lange mit der Installation der Sicherheitsupdates warten.

Wie aus dem IT-Sicherheitsbereich der Fortinet-Website hervorgeht, sind verschiedene Versionen der genannten Produkte verwundbar. Am gefährlichsten gilt eine Lücke (CVE-2024-52961 "hoch") in FortiSandbox 3.0 bis einschließlich 5.0.

Weil Eingaben nicht ausreichend bereinigt werden, können Angreifer ohne Authentifizierung mit speziellen, nicht näher spezifizierten Eingaben eigene Befehle ausführen. Dafür sollen aber mindestens Nur-Lese-Berechtigungen nötig sein. Die Ausgaben 4.0.6, 4.2.8, 4.4.7 und 5.0.1 sind dagegen gerüstet.

FortiOS, FortiPAM, FortiProxy und FortiWeb sind unter anderem für Schadcode-Attacken (CVE-2024-45324 "hoch") anfällig. Die dagegen gerüsteten Ausgaben listet der Netzwerkausrüster in einer Warnmeldung auf.

Ciscos Netzwerkbetriebssystem IOS XR ist verwundbar. Demzufolge können Angreifer etwa Aggregation Services Router (ASR) der ASR-9000-Serie attackieren. Sicherheitspatches stehen zum Download bereit. Hinweise zu den Sicherheitsupdates finden Admins in den unterhalb dieses Beitrags verlinkten Warnmeldungen.

Als besonders gefährlich gilt eine Lücke (CVE-2025-20138 "hoch"), nach deren erfolgreicher Ausnutzung Angreifer als Root auf das Betriebssystem zugreifen können. In der Regel gelten Geräte im Anschluss als vollständig kompromittiert.

Dafür muss ein lokaler Angreifer einem Beitrag von Cisco zufolge aber bereits mit einem Low-Privileged-Account authentifiziert sein. Ist das gegeben, kann er aufgrund von unzureichenden Überprüfungen seine Rechte zum Root hochstufen und eigene Befehle ausführen.

Darüber hinaus sind an mehreren Stellen (etwa CVE-2025-20115 "hoch") DoS-Attacken möglich. An dieser Stelle können Angreifer mit präparierten Anfragen am Border Gateway Protocol (BGP) ansetzen und so Speicherfehler auslösen. Das führt in der Regel zu Abstürzen.

Außerdem können Angreifer den Schutzmechanismus Secure Boot umgehen (CVE-2025-20143 "mittel"), um so unter anderem das System bereits vor dem Start zu kompromittieren. Die Hürden dafür sind aber hoch: Angreifer müssen über Root-Rechte verfügen und in so einer Position können sie ohnehin schon weitreichenden Schaden anrichten.

Angreifer können an mehreren Schwachstellen in Gitlab ansetzen und Systeme im schlimmsten Fall kompromittieren.

Anzeige

Wie aus einer Warnmeldung hervorgeht, gelten zwei Sicherheitslücken (CVE-2025-25291, CVE-2025-25292) als "kritisch". Systeme sind aber nur verwundbar, wenn die Authentifizierung via SAML SSO aktiv ist und Angreifer bereits einen Nutzer-Account übernommen haben.

Die Fehler finden sich in der ruby-saml-Bibliothek, die Gitlab für diese Form der Anmeldung nutzt. Sind die Voraussetzungen erfüllt, können sich Angreifer als ein anderer Nutzer an Systemen anmelden.

Die Entwickler geben an, die Schwachstellen in Gitlab Community und Enterprise Edition 17.7.7, 17.8.5 und 17.9.2 geschlossen zu haben. Auf Gitlab.com laufen bereits die abgesicherten Ausgaben. Bislang gibt es keine Berichte, dass Angreifer die Lücken bereits ausnutzen. Die Gitlab-Entwickler raten dennoch zur raschen Installation des Patches.