Comretix Blog

In den Kameras aus der Produktreihe Unifi Protect sowie der zugehörigen Verwaltungsoberfläche klaffen kritische Sicherheitslücken. Angreifer können mit ihrer Hilfe Einstellungen auf den Geräten ändern und sogar eigene Kommandos ausführen.

Anzeige

Insgesamt fünf Sicherheitslücken veröffentlichte Unifi-Hersteller Ubiquiti in einem Sicherheitshinweis:

Die Sicherheitslücken betreffen alle Versionen, einschließlich 4.74.88 der Unifi-Protect-Cameras und die Unifi Protect Application in Version 5.2.46 oder früher.

Admins sollten auf die fehlerbereinigten Versionen wechseln. Das ist bei Unifi Protect Application Version 5.2.49 oder neuer, für die Kameras ist Version 4.74.106 zumindest um die vorgenannten Fehler ärmer. Zuletzt hatte der Hersteller im Oktober 2024 schwere Sicherheitslücken in einem seiner Produkte zu beklagen.

Um möglichen Angriffen vorzubeugen, sollten Admins ihre Moodle-Instanzen schnellstmöglich auf den aktuellen Stand bringen. Geschieht das nicht, können Angreifer an mehreren Schwachstellen ansetzen und Systeme im schlimmsten Fall kompromittieren.

Anzeige

Wie aus dem Sicherheitsbereich der Moodle-Website hervorgeht, haben die Entwickler insgesamt zehn Sicherheitslücken geschlossen. Auch wenn eine offizielle Einstufung nach CVSS-Standard offensichtlich noch aussteht, stufen die Entwickler das von vier Lücken (CVE-2025-26525, CVE-2025-26533, CVE-2025-26529, CVE-2025-26530) ausgehende Risiko als "ernst" ein.

Nutzen Angreifer die Schwachstellen erfolgreich aus, können sie unter anderem eigentlich abgeschottete Daten einsehen oder sogar Schadcode ausführen. Die Entwickler geben an, die Sicherheitsprobleme in den folgenden Versionen gelöst zu haben:

Anzeige

Mit Bonus-Apps sichern sich Kunden Rabatte beim Einkauf und können gesammelte Punkte zu Geld machen. Nun haben Cyberkriminelle es auf das Guthaben von Rewe-Kunden abgesehen und nutzen Gutscheinkarten, um es zu Geld zu machen. Rewe schließt eine Sicherheitslücke aus – offenbar ermöglichen schwache Passwörter und Phishing den Punkteklau.

Bonusprogramme für treue Kunden sind ein Muss für Lebensmittelmärkte: Praktisch jede Discounter- und Supermarktkette bietet eine App mit Rabatten und Treuepunkten an oder nimmt am markenübergreifenden Payback-Programm teil. Dessen Stern sank zuletzt, als der Handelskonzern Rewe sich Ende 2024 mit allen Filialen ausklinkte und auf ein eigenes Programm namens Rewe Bonus setzte. Mitglieder von Rewe Bonus sammeln beim Einkauf Punkte und können das so gesammelte Guthaben mit ihrem Einkauf verrechnen – so sparen sie bares Geld. Zudem sieht das Rewe-Bonusprogramm die Möglichkeit vor, sich das Bonusguthaben mit einer zweiten Person, zum Beispiel Partner/in oder Mitbewohner/in, zu teilen. Beide können dann über das volle Guthaben verfügen und nicht nur über den Anteil, den sie selbst eingebracht haben.

Auf der Internetplattform Reddit klagten Mitte Februar 2025 mehrere betrogene Rewe-Kunden über eine stets gleich ablaufende Abzocke. Ihr Rewe-Bonuskonto wurde über die "Gemeinsam sammeln"-Funktion mit dem Konto einer völlig fremden Person verbunden, das gesamte Guthaben in einer Rewe-Filiale ausgezahlt und etwa zum Kauf einer Paysafecard verwendet. Derlei Karten sind nicht zurückverfolgbar und lassen sich leicht auf dem Schwarzmarkt zu Bargeld machen.

Der Punkteklau lief oft innerhalb weniger Minuten ab, sodass die Bestohlenen nicht reagieren konnten. Diese befanden sich auch nicht in der Nähe des Rewe-Markts, in dem die Auszahlung stattfand. Im Zuge unserer Recherchen meldeten sich binnen weniger Tage mehr als ein Dutzend Geschädigte bei der heise-Redaktion; auch die Redaktion des Spiegel stand mit mehreren Opfern in Kontakt. Es handelte sich also nicht um einen Einzelfall.

Anzeige

Mit Bonus-Apps sichern sich Kunden Rabatte beim Einkauf und können gesammelte Punkte zu Geld machen. Nun haben Cyberkriminelle es auf das Guthaben von Rewe-Kunden abgesehen und nutzen Gutscheinkarten, um es zu Geld zu machen. Rewe schließt eine Sicherheitslücke aus – offenbar ermöglichen schwache Passwörter und Phishing den Punkteklau.

Bonusprogramme für treue Kunden sind ein Muss für Lebensmittelmärkte: Praktisch jede Discounter- und Supermarktkette bietet eine App mit Rabatten und Treuepunkten an oder nimmt am markenübergreifenden Payback-Programm teil. Dessen Stern sank zuletzt, als der Handelskonzern Rewe sich Ende 2024 mit allen Filialen ausklinkte und auf ein eigenes Programm namens Rewe Bonus setzte. Mitglieder von Rewe Bonus sammeln beim Einkauf Punkte und können das so gesammelte Guthaben mit ihrem Einkauf verrechnen – so sparen sie bares Geld. Zudem sieht das Rewe-Bonusprogramm die Möglichkeit vor, sich das Bonusguthaben mit einer zweiten Person, zum Beispiel Partner/in oder Mitbewohner/in, zu teilen. Beide können dann über das volle Guthaben verfügen und nicht nur über den Anteil, den sie selbst eingebracht haben.

Auf der Internetplattform Reddit klagten Mitte Februar 2025 mehrere betrogene Rewe-Kunden über eine stets gleich ablaufende Abzocke. Ihr Rewe-Bonuskonto wurde über die "Gemeinsam sammeln"-Funktion mit dem Konto einer völlig fremden Person verbunden, das gesamte Guthaben in einer Rewe-Filiale ausgezahlt und etwa zum Kauf einer Paysafecard verwendet. Derlei Karten sind nicht zurückverfolgbar und lassen sich leicht auf dem Schwarzmarkt zu Bargeld machen.

Der Punkteklau lief oft innerhalb weniger Minuten ab, sodass die Bestohlenen nicht reagieren konnten. Diese befanden sich auch nicht in der Nähe des Rewe-Markts, in dem die Auszahlung stattfand. Im Zuge unserer Recherchen meldeten sich binnen weniger Tage mehr als ein Dutzend Geschädigte bei der heise-Redaktion; auch die Redaktion des Spiegel stand mit mehreren Opfern in Kontakt. Es handelte sich also nicht um einen Einzelfall.

Die Dateiübertragungssoftware OpenSSH ist über zwei Sicherheitslücken attackierbar. Dabei können Angreifer Opfer dazu bringen, sich mit einem von ihnen kontrollierten Server zu verbinden. Auch wenn es derzeit noch keine Berichte zu Attacken gibt, sollten Admins nicht zu lange zögern.

Anzeige

Setzen Angreifer erfolgreich an der ersten Schwachstelle (CVE-2025-26465 "mittel") an, können sie als Man-in-the-Middle in Verbindungen schauen. Der Fehler steckt in der VerifyHostKeyDNS-Option, die aber standardmäßig nicht aktiv ist.

Eine weitere Voraussetzung ist, dass Angreifer die Speicherressourcen von verwundbaren Clients manipulieren können. Attacken sind also nicht ohne Weiteres möglich. Ist das gegeben, kommt es bei der Überprüfung eines Host-Keys zu Fehlern, sodass der Identitätscheck für Server umgangen wird. Opfer verbinden sich dann ohne Warnung mit einem unter der Kontrolle von Angreifern befindlichen Server.

An der zweiten Sicherheitslücke (CVE-2025-26466 "mittel") können Angreifer für DoS-Attacken ansetzen. Ist so ein Angriff erfolgreich, führt das in der Regel zu Abstürzen.

Die Dateiübertragungssoftware OpenSSH ist über zwei Sicherheitslücken attackierbar. Dabei können Angreifer Opfer dazu bringen, sich mit einem von ihnen kontrollierten Server zu verbinden. Auch wenn es derzeit noch keine Berichte zu Attacken gibt, sollten Admins nicht zu lange zögern.

Anzeige

Setzen Angreifer erfolgreich an der ersten Schwachstelle (CVE-2025-26465 "mittel") an, können sie als Man-in-the-Middle in Verbindungen schauen. Der Fehler steckt in der VerifyHostKeyDNS-Option, die aber standardmäßig nicht aktiv ist.

Eine weitere Voraussetzung ist, dass Angreifer die Speicherressourcen von verwundbaren Clients manipulieren können. Attacken sind also nicht ohne Weiteres möglich. Ist das gegeben, kommt es bei der Überprüfung eines Host-Keys zu Fehlern, sodass der Identitätscheck für Server umgangen wird. Opfer verbinden sich dann ohne Warnung mit einem unter der Kontrolle von Angreifern befindlichen Server.

An der zweiten Sicherheitslücke (CVE-2025-26466 "mittel") können Angreifer für DoS-Attacken ansetzen. Ist so ein Angriff erfolgreich, führt das in der Regel zu Abstürzen.

Linus Torvalds würde Code zum Programmieren des Kernels in Rust auch annehmen, wenn der Betreuer des relevanten Teilbereichs von Linux die Aufnahme blockiert. Der Begründer und leitende Entwickler des Linux genannten Kernels hat das indes nicht öffentlich verkündet – und sich auch sonst nicht zur Blockade-Haltung von Christoph Hellwig zu Rust-DMA-Kernel-Schnittstellen zu Wort gemeldet, die seit zwei Wochen für enorm viel Wirbel und Zank in der Linux-Szene sorgt.

Anzeige

Hellwig selbst aber erwähnte kürzlich beiläufig einen privaten Austausch mit Torvalds. Darin habe Letzterer klargestellt, Rust-Code im Zweifel definitiv anzunehmen, wenn sich ein Subsystem-Maintainer der Integration widersetzt ("[…] Linus in private said that he absolutely is going to merge Rust code over a maintainers objection").

Wie in unserer ersten Meldung angedeutet, war ein derartiges Vorgehen erwartet worden – ähnlich wie bei Streitigkeiten in Firmen passiert derlei aber manchmal in kleineren Runden oder Eins-zu-Eins-Gesprächen mit dem Chef. Konkret passiert ist aber bislang noch nichts – daher bleibt abzuwarten, ob Torvalds den Rust-DMA-Code nach weiterer Begutachtung und Feinschliff in den nächsten Monaten direkt annimmt oder ob Hellwig diesen doch selbst durchwinkt.

Hellwig stellt in seiner Mail zudem klar, dass er es gut fände, den Kernel in die Welt sicherer Programmiersprachen zu bringen. Zugleich wiederholt er aber auch seine Furcht vor einer unkontrollierbaren, mehrsprachigen Codebasis. Das hat zu einer Diskussion geführt, wo derzeit erneut über das Für und Wider von Rust und anderer Programmiersprachen-Ansätze zur Verbesserung der Sicherheit debattiert wird.

Linus Torvalds würde Code zum Programmieren des Kernels in Rust auch annehmen, wenn der Betreuer des relevanten Teilbereichs von Linux die Aufnahme blockiert. Der Begründer und leitende Entwickler des Linux genannten Kernels hat das indes nicht öffentlich verkündet – und sich auch sonst nicht zur Blockade-Haltung von Christoph Hellwig zu Rust-DMA-Kernel-Schnittstellen zu Wort gemeldet, die seit zwei Wochen für enorm viel Wirbel und Zank in der Linux-Szene sorgt.

Anzeige

Hellwig selbst aber erwähnte kürzlich beiläufig einen privaten Austausch mit Torvalds. Darin habe Letzterer klargestellt, Rust-Code im Zweifel definitiv anzunehmen, wenn sich ein Subsystem-Maintainer der Integration widersetzt ("[…] Linus in private said that he absolutely is going to merge Rust code over a maintainers objection").

Wie in unserer ersten Meldung angedeutet, war ein derartiges Vorgehen erwartet worden – ähnlich wie bei Streitigkeiten in Firmen passiert derlei aber manchmal in kleineren Runden oder Eins-zu-Eins-Gesprächen mit dem Chef. Konkret passiert ist aber bislang noch nichts – daher bleibt abzuwarten, ob Torvalds den Rust-DMA-Code nach weiterer Begutachtung und Feinschliff in den nächsten Monaten direkt annimmt oder ob Hellwig diesen doch selbst durchwinkt.

Hellwig stellt in seiner Mail zudem klar, dass er es gut fände, den Kernel in die Welt sicherer Programmiersprachen zu bringen. Zugleich wiederholt er aber auch seine Furcht vor einer unkontrollierbaren, mehrsprachigen Codebasis. Das hat zu einer Diskussion geführt, wo derzeit erneut über das Für und Wider von Rust und anderer Programmiersprachen-Ansätze zur Verbesserung der Sicherheit debattiert wird.

Im Universal Boot Manager U-Boot haben IT-Sicherheitsforscher mehrere Sicherheitslücken entdeckt. Sie ermöglichen Angreifern, die Vertrauenskette (Chain of Trust) zu unterlaufen und beliebigen Code einzuschleusen und auszuführen. Aktualisierte Software steht bereit, die die Schwachstellen ausbessert. U-Boot kommt insbesondere in Linux-basierten Embedded-Systemen zum Einsatz, etwa in Android-Geräten, aber auch in E-Book-Readern.

Anzeige

In einer Mail an die OSS-Security-Mailingliste listen die Entdecker die Sicherheitslücken auf. Insgesamt sechs Sicherheitslecks wurden aufgespürt. Durch sie können Angreifer mit der Möglichkeit, ext4- oder SquashFS-Dateisystemstrukturen zu verändern, mehrere Probleme in der Speicherverwaltung ausnutzen. "Auf Systemen, die auf einen verifizierten Boot-Prozess setzen, ermöglichen diese Lücken Angreifern, die Chain of Trust zu umgehen und eigenen Code auszuführen", erklären die Entdecker. Eine der Lücken (CVE-2024-57258) ermöglicht das zudem mit anderen Subsystemen als ext4 oder SquashFS.

Die Sicherheitslecks betreffen U-Boot-Bootloader bis einschließlich Version 2024.10. Derzeit steht U-Boot 2025.01-rc1 als neuere Fassung zur Verfügung, die diese Schwachstellen ausbessert.

Die aktualisierten Quellen sind im Projekt-Repository von U-Boot zu finden. Projekte, die auf den U-Boot-Bootloader setzen, dürften in Kürze aktualisierte Bootloader anbieten. Diese sollten Betroffene zeitnah installieren.

Im Universal Boot Manager U-Boot haben IT-Sicherheitsforscher mehrere Sicherheitslücken entdeckt. Sie ermöglichen Angreifern, die Vertrauenskette (Chain of Trust) zu unterlaufen und beliebigen Code einzuschleusen und auszuführen. Aktualisierte Software steht bereit, die die Schwachstellen ausbessert. U-Boot kommt insbesondere in Linux-basierten Embedded-Systemen zum Einsatz, etwa in Android-Geräten, aber auch in E-Book-Readern.

Anzeige

In einer Mail an die OSS-Security-Mailingliste listen die Entdecker die Sicherheitslücken auf. Insgesamt sechs Sicherheitslecks wurden aufgespürt. Durch sie können Angreifer mit der Möglichkeit, ext4- oder SquashFS-Dateisystemstrukturen zu verändern, mehrere Probleme in der Speicherverwaltung ausnutzen. "Auf Systemen, die auf einen verifizierten Boot-Prozess setzen, ermöglichen diese Lücken Angreifern, die Chain of Trust zu umgehen und eigenen Code auszuführen", erklären die Entdecker. Eine der Lücken (CVE-2024-57258) ermöglicht das zudem mit anderen Subsystemen als ext4 oder SquashFS.

Die Sicherheitslecks betreffen U-Boot-Bootloader bis einschließlich Version 2024.10. Derzeit steht U-Boot 2025.01-rc1 als neuere Fassung zur Verfügung, die diese Schwachstellen ausbessert.

Die aktualisierten Quellen sind im Projekt-Repository von U-Boot zu finden. Projekte, die auf den U-Boot-Bootloader setzen, dürften in Kürze aktualisierte Bootloader anbieten. Diese sollten Betroffene zeitnah installieren.

In Junipers Session Smart Router, Session Smart Conductor und WAN Assurance Router können Angreifer Sicherheitslücken missbrauchen. Eine Übernahme verwundbarer Geräte ist möglich.

Anzeige

Juniper hat deshalb eine Sicherheitsmitteilung außer der Reihe veröffentlicht. Darin warnt der Hersteller, dass es sich um eine kritische Schwachstelle handelt. Demnach können Angreifer aus dem Netz die Authentifizierung umgehen und administrative Kontrolle über die Geräte übernehmen, da eine Schwachstelle des Typs "Authentifizierungsumgehung auf einem alternativen Pfad oder Kanal" in der Firmware der Geräte besteht (CVE-2025-21589, CVSS 9.8, Risiko "kritisch").

Für die Sicherheitslücke sind Junipers Session Smart Router, Session Smart Conductor und WAN Assurance Managed Router in den Versionen 5.6.7 bis vor 5.6.17, 6.0.8, 6.1 bis vor 6.1.12-lts, 6.2 bis vor 6.2.8-lts sowie 6.3 bis vor 6.3.3-r2 anfällig. Die Fassungen Session Smart Router SSR-5.6.17, SSR-6.1.12-lts, SSR-6.2.8-lts und SSR-6.3.3-r2 stopfen die Sicherheitslecks.

In von Conductor verwalteten Umgebungen soll das Aktualisieren der Conductor-Knoten ausreichen, die Updates werden dann automatisch an die angeschlossenen Router verteilt. WAN Assurance Managed Router, die mit der Mist Cloud (englisch "Mist" für "Nebel") verbunden sind, sollen ebenfalls automatisch aktualisiert worden sein. Dennoch sollten Admins prüfen, ob die Geräte auf den genannten oder neueren Versionsständen angelangt sind und gegebenenfalls die Aktualisierung nachholen.

In Junipers Session Smart Router, Session Smart Conductor und WAN Assurance Router können Angreifer Sicherheitslücken missbrauchen. Eine Übernahme verwundbarer Geräte ist möglich.

Anzeige

Juniper hat deshalb eine Sicherheitsmitteilung außer der Reihe veröffentlicht. Darin warnt der Hersteller, dass es sich um eine kritische Schwachstelle handelt. Demnach können Angreifer aus dem Netz die Authentifizierung umgehen und administrative Kontrolle über die Geräte übernehmen, da eine Schwachstelle des Typs "Authentifizierungsumgehung auf einem alternativen Pfad oder Kanal" in der Firmware der Geräte besteht (CVE-2025-21589, CVSS 9.8, Risiko "kritisch").

Für die Sicherheitslücke sind Junipers Session Smart Router, Session Smart Conductor und WAN Assurance Managed Router in den Versionen 5.6.7 bis vor 5.6.17, 6.0.8, 6.1 bis vor 6.1.12-lts, 6.2 bis vor 6.2.8-lts sowie 6.3 bis vor 6.3.3-r2 anfällig. Die Fassungen Session Smart Router SSR-5.6.17, SSR-6.1.12-lts, SSR-6.2.8-lts und SSR-6.3.3-r2 stopfen die Sicherheitslecks.

In von Conductor verwalteten Umgebungen soll das Aktualisieren der Conductor-Knoten ausreichen, die Updates werden dann automatisch an die angeschlossenen Router verteilt. WAN Assurance Managed Router, die mit der Mist Cloud (englisch "Mist" für "Nebel") verbunden sind, sollen ebenfalls automatisch aktualisiert worden sein. Dennoch sollten Admins prüfen, ob die Geräte auf den genannten oder neueren Versionsständen angelangt sind und gegebenenfalls die Aktualisierung nachholen.

Seit vergangener Woche setzen neue Snapshots der Rolling-Release-Linux-Distribution openSUSE Tumbleweed ab Werk auf den Zugriffsschutz durch SELinux. Standardmäßig kommt als Mandatory Access Control (MAC) die Voreinstellung auf SELinux zum Zuge und löst damit AppArmor ab.

Anzeige

Das hat SUSE jüngst auf der hauseigenen Mailingliste bekanntgegeben. Auch die openSUSE Tumbleweed "minimalVM" wird seitdem mit SELinux im Enforcing-Modus ausgliefert. AppArmor und SELinux dienen zur Härtung und zur Absicherung von Linux. Damit lassen sich fein granulierte Zugriffsrechte etwa für Programme und Dienste vergeben. Unterschiede gibt es bei beiden Systemen in Details. AppArmor kann etwa Stück für Stück und für einzelne Programme eingerichtet werden und gilt als einfach. SELinux bringt hingegen eine höhere Komplexität mit und greift zunächst vollumfänglich für alle Software, gilt dafür aber als überlegen gegenüber AppArmor.

Wer openSUSE Tumbleweed etwa mittels ISO-Image installiert, bekommt SELinux im Enforcing-Modus als Standardeinstellung im Installer angeboten. Wer lieber AppArmor nutzen möchte, kann die Auswahl manuell darauf umstellen. AppArmor wird weiterhin vom bisherigen Maintainer gepflegt, erörtert SUSE.

Bei den normalen Aktualisierungen werden bestehende Installationen nicht automatisch von AppArmor auf SELinux migriert. Interessierte können jedoch selbst Hand anlegen und auf SELinux umsteigen. SUSE stellt eine Anleitung dafür bereit. Die Änderungen haben die IT-Sicherheitsleute bei SUSE sowohl mit manueller als auch mit automatischer Umsetzung getestet. Sie erbitten jedoch Feedback, sollte es zu Problemen kommen, schreibt Cathy Hu, die als SELinux Security Engineer bei SUSE arbeitet.

Seit vergangener Woche setzen neue Snapshots der Rolling-Release-Linux-Distribution openSUSE Tumbleweed ab Werk auf den Zugriffsschutz durch SELinux. Standardmäßig kommt als Mandatory Access Control (MAC) die Voreinstellung auf SELinux zum Zuge und löst damit AppArmor ab.

Anzeige

Das hat SUSE jüngst auf der hauseigenen Mailingliste bekanntgegeben. Auch die openSUSE Tumbleweed "minimalVM" wird seitdem mit SELinux im Enforcing-Modus ausgliefert. AppArmor und SELinux dienen zur Härtung und zur Absicherung von Linux. Damit lassen sich fein granulierte Zugriffsrechte etwa für Programme und Dienste vergeben. Unterschiede gibt es bei beiden Systemen in Details. AppArmor kann etwa Stück für Stück und für einzelne Programme eingerichtet werden und gilt als einfach. SELinux bringt hingegen eine höhere Komplexität mit und greift zunächst vollumfänglich für alle Software, gilt dafür aber als überlegen gegenüber AppArmor.

Wer openSUSE Tumbleweed etwa mittels ISO-Image installiert, bekommt SELinux im Enforcing-Modus als Standardeinstellung im Installer angeboten. Wer lieber AppArmor nutzen möchte, kann die Auswahl manuell darauf umstellen. AppArmor wird weiterhin vom bisherigen Maintainer gepflegt, erörtert SUSE.

Bei den normalen Aktualisierungen werden bestehende Installationen nicht automatisch von AppArmor auf SELinux migriert. Interessierte können jedoch selbst Hand anlegen und auf SELinux umsteigen. SUSE stellt eine Anleitung dafür bereit. Die Änderungen haben die IT-Sicherheitsleute bei SUSE sowohl mit manueller als auch mit automatischer Umsetzung getestet. Sie erbitten jedoch Feedback, sollte es zu Problemen kommen, schreibt Cathy Hu, die als SELinux Security Engineer bei SUSE arbeitet.

Seit dem Jahr 2022 trat die Malware nicht mehr in Erscheinung, nun hat Microsofts Threat Intelligence-Team eine neue Variante der XCSSET-Malware in freier Wildbahn entdeckt. Es handelt sich um eine fortschrittliche modulare Malware, die unter macOS läuft und durch Infektion von Xcode-Projekten auf Opfer zielt.

Anzeige

Die neue Variante hätten die IT-Sicherheitsforscher bisher lediglich "in begrenzten Angriffen" gesehen, schreiben sie auf X. Die erstmals seit 2022 wieder gesehene XCSSET-Variante setzt demnach auf verbesserte Tarnmethoden, aktualisierte Einnnistmechanismen zur Erreichung von Persistenz sowie neue Infektionsstrategien.

Sowohl die Encoding-Technik als auch die Anzahl an Encoder-Iterationen zum Erstellen der Malware-Payload sind zufällig. Die alten Varianten hätten lediglich xxd (ein Programm, das einen Hexdump von übergebenen Daten erstellt) zum Kodieren verwendet, nun kennt XCSSET auch Base64. Die Modulnamen der Malware-Variante verschlüsselt sie jetzt auch, sodass es schwieriger wird, die Absicht des Moduls zu erkennen.

Zum Einnisten setzt die neue XCSSET-Version auf zwei Varianten. Zum einen kann sie eine Datei ~/.zshrc_aliases anlegen, die die Malware-Payload enthält. Durch das Ergänzen eines Befehls in ~/.zshrc startet die Malware jedes Mal, wenn eine neue Shell geöffnet wird. Zum anderen kann XCSSET ein signiertes "dockutil" vom Command-and-Control-Server herunterladen, mit dem die Dock-Einträge verwaltet werden können. XCSSET erstellt eine falsche Launchpad-App und setzt den regulären Launchpad-Pfadeintrag im Dock auf diese Datei. Die Malware wird dann bei jedem Launchpad-Start aus dem Dock gestartet, wobei sie zudem die echte Launchpad-App zur Tarnung startet.

Seit dem Jahr 2022 trat die Malware nicht mehr in Erscheinung, nun hat Microsofts Threat Intelligence-Team eine neue Variante der XCSSET-Malware in freier Wildbahn entdeckt. Es handelt sich um eine fortschrittliche modulare Malware, die unter macOS läuft und durch Infektion von Xcode-Projekten auf Opfer zielt.

Anzeige

Die neue Variante hätten die IT-Sicherheitsforscher bisher lediglich "in begrenzten Angriffen" gesehen, schreiben sie auf X. Die erstmals seit 2022 wieder gesehene XCSSET-Variante setzt demnach auf verbesserte Tarnmethoden, aktualisierte Einnnistmechanismen zur Erreichung von Persistenz sowie neue Infektionsstrategien.

Sowohl die Encoding-Technik als auch die Anzahl an Encoder-Iterationen zum Erstellen der Malware-Payload sind zufällig. Die alten Varianten hätten lediglich xxd (ein Programm, das einen Hexdump von übergebenen Daten erstellt) zum Kodieren verwendet, nun kennt XCSSET auch Base64. Die Modulnamen der Malware-Variante verschlüsselt sie jetzt auch, sodass es schwieriger wird, die Absicht des Moduls zu erkennen.

Zum Einnisten setzt die neue XCSSET-Version auf zwei Varianten. Zum einen kann sie eine Datei ~/.zshrc_aliases anlegen, die die Malware-Payload enthält. Durch das Ergänzen eines Befehls in ~/.zshrc startet die Malware jedes Mal, wenn eine neue Shell geöffnet wird. Zum anderen kann XCSSET ein signiertes "dockutil" vom Command-and-Control-Server herunterladen, mit dem die Dock-Einträge verwaltet werden können. XCSSET erstellt eine falsche Launchpad-App und setzt den regulären Launchpad-Pfadeintrag im Dock auf diese Datei. Die Malware wird dann bei jedem Launchpad-Start aus dem Dock gestartet, wobei sie zudem die echte Launchpad-App zur Tarnung startet.

Verschiedene Computermodelle von Dell, etwa aus der Alienware- und Inspiron-Serie, sind über eine BIOS-Schwachstelle attackierbar. Außerdem können Angreifer PCs mit der Backuplösung NetWorker attackieren. Derzeit stehen aber noch nicht alle Sicherheitsupdates zum Download bereit.

Anzeige

Wie aus einer Warnmeldung hervorgeht, müssen Angreifer zum Ausnutzen der Schwachstelle (CVE-2024-52541) bereits über hohe Nutzerrechte verfügen und lokalen Zugriff haben. Trotz dieser Hürde gilt der Bedrohungsgrad "hoch" für diese Lücke. Sind die Voraussetzungen erfüllt, können sie ihre Rechte erweitern. Die dagegen abgesicherten BIOS-Ausgaben listet Dell in der Warnmeldung auf.

An der Lücke (CVE-2025-21103 "hoch") in NetWorker können lokale Angreifer ohne Authentifizierung ansetzen und Schadcode auf Systeme schieben und ausführen. Die Ausgabe 19.10.0.7 ist dagegen gerüstet. Das Sicherheitsupdate für die Version 19.11 soll im März folgen, kündigen die Entwickler in einem Beitrag an.

Wie Attacken in beiden Fällen konkret ablaufen könnten, ist derzeit nicht bekannt. Bislang gibt es keine Berichte, dass Angreifer die Lücken bereits ausnutzen. Admins sollten mit der Installation der Sicherheitsupdates aber nicht zu lange zögern. NetWorker 19.11 bleibt vorerst verwundbar.