Comretix Blog

In Zoho ManageEngine Applications Manager gefährdet eine Sicherheitslücke die betroffenen Installationen. Bösartige Akteure können dadurch ihre Rechte ausweiten und weiteren Schaden anrichten.

Anzeige

In einer Sicherheitsmitteilung erklärt Zohocorp, dass eine "vertikale Rechteausweitungsschwachstelle" in ManageEngine Applications Manager vorliegt. Ein delegierter Admin kann ohne Autorisierung Admin-Zugriff durch Veränderung der User-Group-Parameter erlangen. Dies erfolge durch die API, die Nutzerprofile aktualisieren kann (CVE-2024-41140, CVSS 8.1, Risiko "hoch").

Der Sicherheitsmitteilung zufolge stellt Zohocorp bereits seit Anfang Januar aktualisierte Software bereit, die dieses Sicherheitsleck abdichtet. Die Veröffentlichung der Informationen zum CVE-Eintrag CVE-2024-41140 erfolgte jedoch erst Mitte dieser Woche. Betroffen ist demnach ManageEngine Applications Manager bis einschließlich der Version v173900. Die Schwachstelle haben die Entwickler hingegen in den Versionen 170008 bis 170099, 173303 bis 173399 sowie 174000 und neueren Fassungen ausgebessert.

Auf der Zohocorp-Webseite stehen die Service-Packs zum Abdichten der Lücke zum Herunterladen bereit. Da die Schwachstelle vom Hersteller als hochriskant eingestuft wird, sollten IT-Verantwortliche mit der Aktualisierung nicht warten, sondern sie zeitnah durchführen. Cyberkriminelle greifen Schwachstellen in Zoho ManageEngine-Software öfter an. Etwa nach Veröffentlichung eines Proof-of-Concept-Exploits durch ein IT-Sicherheitsunternehmen erfolgten rasch Attacken auf Schwachstelle CVE-2022-47966 in 24 Produkten aus der Palette.

Broadcom warnt vor fünf Sicherheitslücken in VMware Aria Operations for Logs und VMware Aria Operations sowie VMware Cloud Foundation. Angreifer können unbefugt auf Informationen zugreifen und so etwa Zugangsdaten ausspähen, und damit weiteren Schaden anrichten.

Anzeige

In der Sicherheitsmitteilung schreiben die VMware-Entwickler, dass bösartige Akteure mit Nur-Lesen-Admin-Rechten die Zugangsdaten von VMware-Produkten auslesen können, die in VMware Aria Operations for Logs hinterlegt sind (CVE-2025-22218, CVSS 8.5, Risiko "hoch"). Außerdem können Angreifer mit nicht-administrativen Berechtigungen ein Informationsleck missbrauchen, um Zugangsdaten für ein Plug-in zu erlangen, sofern sie eine gültige Dienst-Zugangs-ID kennen (CVE-2025-22222, CVSS 7.7, "hoch").

Weiterhin meldet Broadcom eine Stored Cross-Site-Scripting-Schwachstelle in VMware Operations for Logs, durch die Angreifer bösartige Skripte einschleusen können, die beliebige Operationen als Admin ausführen kann (CVE-2025-22219, CVSS 6.8, mittel). Eine ähnlich gelagerte Lücke ermöglicht Angreifern mit Admin-Rechten, ein Skript in Browser von Opfern einzuschmuggeln, was ausgeführt wird, wenn diese eine Lösch-Operation in der Agent-Konfiguration anstoßen (CVE-2025-22221, CVSS 5.2, mittel). Schließlich können aufgrund defekter Rechteprüfungen nicht-administrative Nutzerkonten mit Netzwerkzugriff auf die Aria Operations for Logs-API einige Aufgaben im Kontext eines Admin-Nutzers ausführen (CVE-2025-22220, CVSS 4.3, mittel).

Die Sicherheitslücken schließen VMware Aria for Operations und VMware Aria for Operations for Logs mit der Version 8.18.3. Für VMware Cloud Foundation 4.x und 5.x wurden bereits am Donnerstag Updates bereitgestellt, die mit dem VMware Aria Suite Lifecycle Manager ausgerollt werden können.

Angreifer können an mehreren Schwachstellen im Open-Source-PHP-Paket Voyager zum Verwalten von Laravel-Anwendungen ansetzen und im schlimmsten Fall Schadcode ausführen. Sicherheitsupdates gibt es bislang nicht.

Anzeige

Voyager ist ein Admin-Interface für mit Laravel erstelle Apps. Darüber können Entwickler unter anderem Menüs für ihre Anwendungen erstellen. Den Angaben der offiziellen Website zufolge, wurde Voyager bislang mehr als 2,3 Millionen Mal heruntergeladen.

Sicherheitsforscher von Sonar sind insgesamt auf drei Lücken (CVE-2024-55415, CVE-2024-55416, CVE-2024-55417) gestoßen, für die eine Einstufung des Bedrohungsgrads offensichtlich noch aussteht. Angreifer können unter anderem die Überprüfung beim Hochladen von Dateien umgehen, um eigenen Code auf Servern auszuführen. Bringen sie einen Admin dazu, auf einen präparierten Link zu klicken, kann ebenfalls Schadcode auf Systeme gelangen und diese komprimieren.

In einem Beitrag geben die Forscher an, die Entwickler mehrmals kontaktiert zu haben, aber bislang keine Antwort erhalten zu haben. Softwareentwickler, die Voyager nutzen, sind demzufolge angreifbar. Ob es bereits Attacken gibt, ist zurzeit nicht bekannt.

Europol hat unter Federführung deutscher Behörden zwei der größten Cybercrime-Foren vom Netz genommen. Strafverfolger aus acht Ländern waren beteiligt, die die Plattformen mit zusammen mehr als zehn Millionen Nutzern ausgehoben haben.

Anzeige

Die Foren zeigen derzeit eine Hinweis-Plakette mit den Logos der beteiligten Behörden, dass die Webseite beschlagnahmt wurde. Wie Europol in der Mitteilung erklärt, handelt es sich bei den kriminellen Foren um "Cracked.io" und "Nulled.to". Sie haben einen schnellen Einstiegspunkt in die Cybercrime-Szene geboten. Die Seiten seien zentrale Anlaufstellen gewesen und dienten nicht nur der Diskussion unter Cyberkriminellen, sondern auch als Marktplätze für illegale Güter und Cybercrime-as-a-Service, etwa für gestohlene Daten, Malware oder Hacking-Tools, führt Europol aus.

Die Operation lief vom Dienstag, den 28. Januar bis zum heutigen Donnerstag. Dabei kam es zu zwei Verhaftungen von Verdächtigen, sieben Durchsuchungen von Immobilien und der Beschlagnahme von 17 Servern, 50 elektronischen Geräten sowie rund 300.000 Euro in bar und Kryptowährungen.

Außerdem beschlagnahmten die Ermittler zwölf Domains, die zu Cracked und Nulled gehörten. Sie haben auch weitere damit in Verbindung stehende Server stillgelegt. Dazu gehört ein Finanzabwickler namens "Sellix", der auf der Cracked-Plattform zum Einsatz kam. Ebenso erging es einem "StarkRDP" genannten Hosting-Dienst, der auf beiden Plattformen beworben und von den gleichen Verdächtigen betrieben wurde.

Im Rahmen der "Operation Shield V" zielte Europol zwischen April und November 2024 zusammen mit Strafverfolgungsbehörden, Zoll, Anti-Doping-Behörden und weiteren Einrichtungen aus 30 Ländern auf den Schmuggel von Dopingmitteln und Medikamenten, die für falsche Zwecke vermarktet werden sollten oder gefälscht wurden. Der Wert der Beschlagnahmungen beläuft sich nach Angaben der Behörde auf mehr als 11,1 Millionen Euro.

Anzeige

Der Handel mit gefälschten Medikamenten finde größtenteils in sozialen Medien, auf Online-Marktplätzen sowie im Darknet statt, teilte Europol mit. "Netzwerke aus der organisierten Kriminalität verkaufen minderwertige, falsch etikettierte oder gefälschte pharmazeutische Produkte sowie Produkte, die aus der legalen Lieferkette abgezweigt wurden, und stecken hinter einer breiten Palette illegaler Arzneimittel und Dopingmittel", so Europol. "Der Kauf gefälschter Arzneimittel finanziert Kriminelle, gefährdet die Gesundheit der Verbraucher und untergräbt die Wirtschaft. Die Verbraucher sollten gewarnt sein, dass sie durch den Kauf gefälschter Arzneimittel das organisierte Verbrechen finanzieren und sich selbst schaden."

Der Handel mit gefälschten Medikamenten nehme zu, hält Europol fest, mit hohen Kosten für Individuen und die Gesellschaft. Pharma-Kriminalität habe einen direkten Einfluss auf die öffentliche Gesundheit und Sicherheit, sie betreffe neben dem Einzelnen auch die Gemeinschaft und nationale Gesundheitssysteme. Im Rahmen der Operation Shield V haben die Strafverfolger 418 Personen verhaftet, angeklagt oder strafrechtlich verfolgt. Zudem untersuchten sie 52 Banden, die der organisierten Kriminalität zugerechnet werden.

Zudem konnten die Ermittler vier Untergrundlabore ausheben. Unter den beschlagnahmten Gegenständen waren mehr als 426.000 Packungen illegaler pharmazeutischer Präparate, 4111 Kilogramm an Pulvern und Rohmaterial, 108 Liter aktiver Zutaten, knapp 175.000 Ampullen und Fläschchen und mehr als 4,6 Millionen Tabletten und Pillen.

Ein massives Datenleck betrifft potenziell hunderttausende Patienten der ZAR-Reha-Kliniken in ganz Deutschland. Abrufbar waren unter anderem hochsensible medizinische Berichte. Die betroffenen Reha-Zentren stehen unter dem Dach der Nanz medico, nach eigenen Angaben der größte Anbieter ambulanter Reha-Leistungen in Deutschland. Insgesamt gehören dazu 39 Reha-Kliniken.

Anzeige

In der Wochenliste der "ZAR PAT"-App sind alle Termine der Patienten gelistet.

(Bild: Nanz medico GmbH & Co. KG)

Die ZAR-Reha-Zentren bieten je nach Standort Therapiemöglichkeiten für Orthopädie, Neurologie, Kardiologie, Onkologie und Psychosomatik an. Zur Kommunikation zwischen Patient und Reha-Zentrum dient eine App namens ZAR PAT, mit der Patienten im Rahmen der Behandlung etwa Tages- und Wochenpläne komfortabel einsehen können. Allein die Android-Version der App wurde über 100.000 Mal heruntergeladen.

Das Mirai-Botnetz expandiert und unbekannte Angreifer kompromittieren dafür derzeit bestimmte Router von Zyxel und Telefoniegeräte von Mitel. Für betroffene Mitel-Geräte gibt es bereits seit Sommer vergangenen Jahres Sicherheitspatches. Für die verwundbaren Zyxel-Router der CPE-Serie ist bislang kein Update verfügbar.

Anzeige

In welchem Umfang die Angriffe ablaufen, ist derzeit nicht bekannt. Werden infizierte Geräte ins Botnetz aufgenommen, dienen sie primär als Rechenknechte für DDoS-Attacken.

Vor den Attacken auf Zyxel-SIP-Phones warnen Sicherheitsforscher von Akamai in einem Beitrag. An der Sicherheitslücke (CVE-2024-41710 "mittel") sollen Angreifer mit der auf dem Mirai-Botnet basierenden Malware Aquabot ansetzen. Dabei handele es sich den Forschern zufolge mittlerweile um die dritte bekannte Version des Trojaners.

In dieser Ausgabe soll die Malware erstmals Alarm schlagen und die Command-and-Control-Server der Angreifer kontaktieren, wenn versucht wird, die Schadfunktionen auf dem Gerät zu deaktivieren. Das konnten die Sicherheitsforscher aber eigenen Angaben zufolge bislang nicht reproduzieren.

In Dells Enterprise Sonic Distribution hat das Unternehmen eine Sicherheitslücke entdeckt. Sie ermöglicht die vollständige Kompromittierung betroffener Systeme.

Anzeige

Dell Enterprise Sonic ist ein System zum Netzwerkmanagement, vorrangig für Cloud-Umgebungen – Dell nennt insbesondere auch private Clouds von Unternehmen als "Zielgruppe". Damit lässt sich Software etwa für die Lastverteilung mittels Containern verteilen und über ein zentrales Management verwalten. Unterstützt werden aber auch Edge- und Enterprise-Rechenzentrum-Funktionen, etwa für Switches von Dell.

In einer Sicherheitsmitteilung warnt Dell nun davor, dass Angreifer aus dem Netz mit erhöhten Rechten sensible Informationen in die Logs schleusen können. Das können sie missbrauchen, um unbefugt auf Informationen zuzugreifen (CVE-2025-23374, CVSS 8.0, Risiko "hoch"). Die hohe Risikoeinschätzung spricht dafür, dass das möglicherweise wichtige Informationen wie Zugangsdaten betrifft – immerhin erörtert Dell, dass Angreifer dadurch Systeme vollständig kompromittieren können.

Wie solche Angriffe im Detail aussehen könnten, wie IT-Verantwortliche sie erkennen oder ob sie temporäre Gegenmaßnahmen zur Abmilderung der Auswirkungen der Sicherheitslücke umsetzen können, erörtert Dell hingegen nicht. Auch weitergehende Informationen dazu, wie die Sicherheitslücke entdeckt und ob sie eventuell bereits missbraucht wurde, lässt sich der Sicherheitsmitteilung nicht entnehmen.

Während die meisten beim Thema Sicherheit sofort an Firewalls und Verschlüsselung denken, wird ein Aspekt oft übersehen: die physische Sicherheit. Die physische IT-Sicherheit sorgt dafür, dass IT-Systeme vor physischen Gefahren geschützt werden oder solche Bedrohungen gar nicht erst entstehen. Die Maßnahmen können unterschiedlich sein und reichen von gesicherten Computergehäusen bis hin zu hochsicheren Zugangskontrollen für Rechenzentren.

Anzeige

Im Workshop Beyond Bits: Physische Sicherheit in der IT – von Angriffsmethoden zu Schutzstrategien erfahren Sie, warum es wichtig ist, IT-Landschaften auch physisch gegen Angriffe abzusichern und lernen, wie Sie dies effektiv tun können.

In diesem Workshop führen Sie gemeinsam einen simulierten physischen Penetrationstest gegen ein fiktives Unternehmen durch. Dabei kommen reale Angriffsmethoden wie Lockpicking, Bypassing, Social Engineering und der Diebstahl von RFID-Credentials zum Einsatz. So lernen Sie die Techniken und Taktiken der Angreifer kennen, wie diese Schutzmaßnahmen umgehen und welche wirksamen Schutzmaßnahmen und Verhaltensrichtlinien es gibt, um sich gegen solche Angriffe zu wehren. Darüber hinaus werden Verhaltensrichtlinien für Mitarbeiter gegen die oft unterschätzte Gefahr des Social Engineering erarbeitet.

Der Workshop legt großen Wert auf Praxisnähe und Interaktion. Um das Gelernte auf das eigene Unternehmen anwenden zu können, erarbeiten Sie in einer Gruppenaufgabe eine Checkliste zum physischen Zugangsschutz. Diese hilft, bestehende Sicherheitsmaßnahmen besser einzuschätzen, vorhandene Schwachstellen selbst zu erkennen und notwendige Schutzmaßnahmen auszuwählen.

Der Hype um die chinesische KI-Schmiede DeepSeek ruft auch Kriminelle auf den Plan. Diese versuchen, mit gefälschten Kryptowährungen Opfer um ihr Geld zu bringen oder über gefälschte Webseiten Malware zu verteilen. DeepSeek hat derweil die Sicherheit schleifen lassen: Eine Datenbank mit sensiblen Informationen stand offen im Netz.

Anzeige

Die IT-Sicherheitsforscher von Wiz schreiben in einem Blog-Beitrag, dass sie aufgrund der Aufregung um den jungen KI-Star DeepSeek nach Sicherheitslücken gesucht haben und rasch fündig wurden. "Innerhalb von Minuten haben wir eine öffentlich zugreifbare ClickHouse-Datenbank mit Verbindung zu DeepSeek gefunden – vollständig offen und ohne Authentifizierung, Zugriff auf sensible Daten gewährend. Sie wurden unter 'oauth2callback.deepseek.com:9000' sowie 'dev.deepseek.com:9000' gehostet", schreiben die IT-Forscher.

In der Datenbank fand sich demnach ein "signifikantes Volumen an Chat-Verläufen, Backend-Daten und sensibler Informationen, einschließlich Log-Streams, API-Secrets und operative Details". Als kritisch stufen die Wiz-Forscher ein, dass eine vollständige Kontrolle der Datenbank sowie eine potenzielle Rechteausweitung innerhalb der DeepSeek-Umgebung möglich war, ohne jede Authentifizierung oder Verteidigungsmechanismen nach außen. Nach Hinweisen der IT-Forscher habe DeepSeek die Datenbanken umgehend gesichert.

Derweil springen auch Kriminelle auf den DeepSeek-Zug auf und wollen daraus illegal Kapital schlagen. Auf X teilt BSCN mit, dass Betrüger falsche DeepSeek-Kryptowährungen aufsetzen und damit massiven finanziellen Schaden anrichten.

Ein internationales Team von Cybersicherheitsforschern meldet zwei Sicherheitslücken in Apples aktuellen M2- und M3-Prozessoren entdeckt zu haben. An den Analysen war unter anderem Professor Yuval Yarom von der Ruhr-Universität Bochum beteiligt.

Anzeige

Die erste Lücke nutzt Eigenschaften des von Apple eingeführten Load Value Predictor (LVP) aus, der Berechnungen beschleunigt, indem er Arbeitsschritte vorhersagt und die zu ladenden Daten aus dem Speicher antizipiert. Der Prozessor führt Berechnungen basierend auf diesen Vorhersagen durch und vergleicht seine Annahmen mit den tatsächlichen Daten, sobald diese eintreffen. Stellt sich seine Vorhersage als falsch heraus, verwirft er die vorausberechneten Ergebnisse und rechnet mit den korrekten Daten neu.

Dieser Vorgang ist laut dem Forschungsteam fehleranfällig: "Wenn der LVP falsch rät, kann die CPU unter spekulativer Ausführung beliebige Berechnungen mit falschen Daten durchführen". Dadurch, so das Team in einer Pressemeldung vom heutigen Mittwoch, lassen sich kritische Prüfungen in der Programmlogik für die Speichersicherheit umgehen. Die Umgehung wiederum eröffnet Angriffsflächen zum Ausspähen von Daten, die im Speicher abgelegt sind. Laut der Analyse, die die Forscher im Fachaufsatz "FLOP: Breaking the Apple M3 CPU via False Load Output Predictions" veröffentlicht haben, seien Angriffe auf Webbrowser möglich. Die Meldung der Ruhr-Universität Bochum führt Safari und Chrome als Beispiele auf. Prinzipiell könnten vertrauliche Daten wie Suchverläufe, Kalendereinträge und Kreditkartendetails ausgespäht werden.

Die zweite Lücke fand das Team in Apple-Chips der Serien M2 und A15. Sie bezieht sich auf den Load Address Predictor (LAP), der die nächste Speicheradresse vorhersagt, von der die CPU Daten abrufen wird. Bei einer fehlerhaften Vorhersage können willkürliche Berechnungen gestartet werden: "Dies ermöglicht einen End-to-End-Angriff auf den Safari-Browser", erläutert das Team. Angreifer könnten damit Browseraktivitäten ausspähen. E-Mail-Inhalte, die per HTTP (also mittels der Browser-Engine) von fernen Servern abgerufen werden, könnten ebenso in falsche Hände geraten. Die Ergebnisse zur LAP-Lücke beschreibt das Team in der Facharbeit "SLAP: Data Speculation Attacks via Load Address Prediction on Apple Silicon".

Sie arbeiten in einem kleinen bis mittelgroßen Unternehmen (KMU) und möchten Ihre Sicherheit verbessern? In unserem iX-Workshop Effiziente IT-Sicherheit für kleine und mittlere Unternehmen erhalten Sie an zwei Vormittagen sinnvolle Ansätze für einen kosteneffizienten Schutz und lernen praxisnahe Lösungen und Strategien kennen – speziell auf die Bedürfnisse von KMUs zugeschnitten.

Anzeige

Ausgehend von der aktuellen Bedrohungslage im Bereich der Informationstechnologie erläutern Ihnen unsere Sicherheitsexperten, welche konkreten Schritte Sie unternehmen können, um Ihr Unternehmen abzusichern. Sie erfahren, wie Sie auch mit begrenzten Ressourcen effiziente Maßnahmen ergreifen können, um Ihre IT-Sicherheit zu verbessern und Risiken zu minimieren. Neben grundlegenden Tätigkeiten, Best Practices und typischen Fallstricken werden auch praktische Meilensteine für Ihre Projektplanung vorgestellt.

Dieser Einführungsworkshop legt den Fokus auf einen allgemeinen Überblick über die relevanten Themen und Technologien. Diskussionen dienen der Veranschaulichung der Inhalte und Sie haben die Möglichkeit, sich aktiv einzubringen und Fragen zu stellen. Trainer dieses Kurses sind Sicherheitsexperten der secuvera GmbH: Ann-Kathrin Udvary - leitende Cybersicherheitsberaterin und Viktor Rechel - leitender Cybersicherheitsberater.

Der Workshop richtet sich an Unternehmen mit 10 bis 1.000 Mitarbeitenden, die über kein oder nur ein rudimentäres Informationssicherheits-Managementsystem (ISMS) verfügen. Dabei spielt es keine Rolle, ob Sie Ihre IT-Administration selbst durchführen oder an einen IT-Dienstleister ausgelagert haben. Er dient als Einführung in das Thema Cyber- und IT-Sicherheit und richtet sich daher vorrangig an diejenigen, die in ihrer Firma für Geschäftsrisiken, Strategie und/oder Administration zuständig sind.

Im Avi Load Balancer von VMware klafft eine Sicherheitslücke, durch die Angreifer SQL-Befehle einschleusen können. Dadurch können sie auf die Datenbank zugreifen und davon ausgehend weiteren Schaden anrichten. Ein Update steht bereit.

Anzeige

In der Sicherheitsmitteilung schreibt Broadcom, dass in Avi Load Balancer eine SQL-Injection-Schwachstelle ohne vorherige Authentifizierung entdeckt wurde. Die Entwickler haben die Lücke evaluiert und als "wichtig" eingestuft – die Lücke CVE-2025-22217 kommt jedoch auf einen CVSS-Wert von 8.6 und liegt damit am oberen Ende für "hohes" Risiko.

"Bösartige Nutzer mit Netzwerkzugriff können speziell präparierte SQL-Anfragen senden, um Datenbankzugriff zu erlangen", erörtern die Entwickler lediglich. Wie genau solche Anfragen aussehen oder wie die sich filtern lassen, oder gar andere temporäre Gegenmaßnahmen zur Abmilderung der Auswirkungen des Sicherheitslecks beschreibt VMware nicht.

Offenbar sind die potenziellen Datenbankzugriffe weitreichend, was die Risikoeinstufung nahelegt. Möglicherweise sind beispielsweise Zugriffe auch auf die Nutzerdatenbank möglich, wodurch sich weiterer Zugang verschaffen ließe – VMware lässt das jedoch im Dunkeln.

Ein Konsortium aus über zehn Organisationen aus dem Bereich der Anwendungssicherheit hat Opengrep als Fork von Semgrep CE (Community Edition, ehemals Semgrep OSS) ins Leben gerufen, um eine offene und zugängliche Plattform für statische Codeanalyse bereitzustellen, die Entwicklerinnen und Entwicklern weltweit ohne kommerzielle Einschränkungen zur Verfügung steht.

Anzeige

Opengrep entstand als Reaktion auf Lizenzänderungen bei Semgrep, einem Tool für die statische Codeanalyse, das ursprünglich als Open-Source-Projekt entwickelt wurde, um Entwicklerinnen und Entwicklern zu helfen, Sicherheitslücken und andere Probleme im Quellcode zu identifizieren. Im Dezember 2024 hatten die Betreiber beschlossen, kritische Funktionen ihrer Open-Source-Engine hinter eine kommerzielle Lizenz zu verschieben.

Diese Änderung hat in der Open-Source-Community offenbar Besorgnis ausgelöst, da sie die Zugänglichkeit und Weiterentwicklung von statischen Codeanalysetools einschränkt. Um dieser Entwicklung entgegenzuwirken und die Mission der offenen Softwareentwicklung fortzuführen, haben sich mehrere Organisationen zusammengeschlossen, um Opengrep ins Leben zu rufen.

Für Entwicklerinnen und Entwickler bedeutet Opengrep, dass sie weiterhin Zugang zu einer offenen Plattform für statische Codeanalyse haben. Sie können laut Ankündigungsbeitrag von Funktionsweisen profitieren, die bei Semgrep nur in der kommerziellen Version verfügbar sind. Die Betreiber garantieren, dass zukünftige Verbesserungen und Funktionsweisen nicht hinter kommerzielle Lizenzen gestellt werden.

Angreifer können an mehreren Sicherheitslücken in industriellen Kontrollsystemen (ICS), die weltweit genutzt werden, ansetzen und so etwa kritische Infrastrukturen attackieren. Dabei können sie sich unbefugt Zugriff verschaffen und Systeme kompromittieren. Sicherheitspatches sind verfügbar.

Anzeige

Davor warnt die US-Behörde Cybersecurity & Infrastructure Security Agency (CISA) in einer Sammelmeldung. Konkret bedroht sind ICS von BD Diagnostic Solutions, B&R, Rockwell und Schneider Electric.

Angreifer können etwa an einer Lücke (CVE-2024-8603 "hoch") in B&R Automation und mapp View ansetzen und einen schwachen kryptografischen Algorithmus ausnutzen, um etwa einen Service mit Schadfunktion legitim aussehen zu lassen. Abhilfe schafft die Version 6.1. Alle vorigen Ausgaben sollen bedroht sein.

Schneider Electric Power Logic ist über zwei Schwachstellen (CVE-2024-10497 "hoch", CVE-2024-10498 "mittel") angreifbar. An dieser Stelle können sich Angreifer über das Versenden von präparierten HTTPS-Anfragen aus der Ferne höhere Nutzerrechte verschaffen. SCADAPackTM x70 ist für Schadcode-Attacken (CVE-2024-12703 "hoch") anfällig. Dafür muss ein authentifiziertes Opfer aber eine präparierte Projekt-Datei öffnen.

Den Rasenmäher oder Schminktechniken auf YouTube erklären: Öffentlich zur Verfügung gestellte Audio- und Videodateien können mit der Weiterentwicklung von Künstlicher Intelligenz (KI) von Kriminellen mit schwerwiegenden Folgen missbraucht werden, warnt der Chef des rheinland-pfälzischen Landeskriminalamts (LKA), Mario Germano, im Gespräch mit der Deutschen Presse-Agentur in Mainz.

Anzeige

"Ich gebe Videodaten von mir preis, ich gebe Stimmdaten von mir preis und zwischenzeitlich braucht eine KI nicht mehr viel, um daraus perfekte Audio- und Videofiles kreieren zu können", sagt der LKA-Chef. "Dann kann einer über seine Tastatur eingeben, was der Mensch sagen soll und das in einer solchen Qualität, dass nicht zu erkennen ist, dass das gar nicht die reale Person ist."

Um ein passendes Opfer zu finden, sei für potenzielle Täter noch "ein bisschen Detektivarbeit" notwendig. "Aber auch das wird mir in Zukunft die KI abnehmen, weil ich programmieren kann, was ich suche."

"Mit der Generierung von Stimmen und Bildern ist viel denkbar, vom Identitätsdiebstahl bis zur missbräuchlichen Nutzung einer geklauten Identität", sagt Germano. Einen Firmenchef, der einen Mitarbeiter telefonisch anweist, Geld zu überweisen, nennt er als Beispiel. Beide ließen sich künftig mit KI finden.

Der Trubel um die KI-Firma DeepSeek hat weitere Auswirkungen: Das Unternehmen berichtet von Cyberattacken gegen die Dienste. Neue Registrierungen sind daher derzeit nicht möglich, auch die Performance leidet.

Anzeige

Auf der DeepSeek-Status-Seite liefert das Unternehmen Hinweise zu den Cyberangriffen und den ergriffenen Maßnahmen.

(Bild: Screenshot / dmk)

Auf der Status-Webseite schreibt DeepSeek, dass es zurzeit zu "verminderter Performance" komme. Die Angriffe fingen demnach bereits im Laufe des Montags, den 27. Januar, an. Zunächst waren weder Log-in noch API oder Web-Interface nutzbar, nach ersten Untersuchungen wurden die Dienste dann wieder verfügbar – jedoch mit eingeschränkter Geschwindigkeit.

Die Gematik weist Vorwürfe zurück, zu spät auf bekannt gewordene Sicherheitslücken bei der elektronischen Patientenakte 3.0 reagiert zu haben. Darüber berichtet das Deutsche Ärzteblatt, dem dazu ein Brief an die Kassenärztliche Bundesvereinigung (KBV) vorliegt. Hintergrund des Schreibens ist die Tatsache, dass die Sicherheitsforschenden die Gematik bereits im August 2024 auf die Sicherheitslücken hingewiesen hatten.

Anzeige

Zwar geht aus dem Schreiben hervor, dass die Gematik bereits im August über die Schwachstellen informiert wurde, allerdings seien diese bekannt gewesen und damals "übergangsweise als akzeptabel bewertet" worden, heißt es von der Gematik laut Ärzteblatt.

Der Security-Podcast beschäftigt sich mal wieder – aber nicht nur – mit Zertifikaten. Die Hosts besprechen einige Ankündigungen von Let's Encrypt, die manchen Hörern gar nicht schmecken dürften. Außerdem geht es um Zertifikatswiderrufe, die unverändert problematisch sind. Gleich zwei aktuelle Fälle, bei denen Widerrufe alles andere als glatt über die Bühne gingen, besprechen die Hosts.

Anzeige

Das Gesetz zur Umsetzung der EU-Richtlinie NIS2 und Stärkung der Cybersicherheit kommt nicht mehr vor der Bundestagswahl. Nachdem SPD, Grüne und FDP auch nach dem Aus der Ampel-Koalition über das Gesetz weiterverhandelt hatten, gaben die zuständigen Berichterstatter nun auf. Damit bleibt über zwei Jahre nach der Verabschiedung der EU-Richtlinie eine Vorschriften-Schwachstelle offen und die EU-Umsetzungsfrist wird noch länger überschritten als ohnehin schon.

Anzeige

Dabei hatte es nach dem Ampel-Ende noch einmal Hoffnung gegeben, dass zumindest dieses Gesetz noch durchkommt, das von weiten Teilen der Wirtschaft als besonders wichtig empfunden wird. Denn ohne das Gesetz gibt es weiterhin keine klaren Vorschriften dazu, wie die digitalen Aspekte kritischer Infrastrukturen abgesichert werden müssen. Auch BSI-Präsidentin Claudia Plattner hatte mehrfach die Hoffnung geäußert, dass das Gesetz noch verabschiedet werden könne.

Am Ende scheiterten die Verhandlungen jedoch unter anderem an der FDP, die auf das einst im Koalitionsvertrag vorgesehene Schwachstellenmanagement beharrte und dabei vor allem zeitlich zu Kompromissen bereit war. Laut Verhandlungskreisen war die SPD aber trotz eines geplanten Vorlaufs von zwei Jahren dazu nicht bereit. SPD-Verhandlungsführer Sebastian Hartmann warf der FDP "Maximalforderungen" vor.

Wenig überraschend geben die Grünen beiden Verhandlungspartnern die Schuld – darüber hinaus aber auch Bundesinnenministerin Nancy Faeser (SPD): Die habe es versäumt, die Gesetzentwürfe rechtzeitig vorzulegen – schließlich lägen die EU-Richtlinien seit über zwei Jahren vor. Keine Lust mehr auf konstruktive Gespräche zu den beiden Gesetzesvorhaben verspürte am Ende der Legislatur die Unionsfraktion, für die insbesondere der NIS2-Vorschlag nicht verhandlungstauglich war.