Comretix Blog

Das Werkzeug Expedition von Palo Alto Networks dient dazu, von anderen Firewalls auf Palo-Alto-Geräte umzuziehen. Aufgrund von Schwachstellen darin können Angreifer jedoch etwa wichtige Informationen wie Zugangsdaten abgreifen und damit Netzwerke kompromittieren.

Anzeige

In einer Sicherheitsmitteilung listen die Palo-Alto-Entwickler nun fünf Schwachstellen in Expedition auf. Am schwerwiegendsten stufen sie eine SQL-Injection-Schwachstelle ein, durch die authentifizierte Angreifer Inhalte aus der Expedition-Datenbank auslesen können, darunter etwa Passwort-Hashes, Nutzernamen, Gerätekonfigurationen und API-Keys von Geräten (CVE-2025-0103, CVSS 9.2, Risiko "kritisch").

Die weiteren Sicherheitslecks stellen eine geringere Bedrohung dar. Eine Reflected-Cross-Site-Scripting-Lücke erlaubt Angreifern, Expedition-Nutzern bösartigen Javascript-Code unterzujubeln und so etwa Browser-Sessions zu übernehmen (CVE-2025-0104, CVSS 7.0, hoch). Als lediglich mittleres Risiko ordnen die Palo-Alto-Mitarbeiter ein Leck ein, durch das beliebige Dateien gelöscht werden können (CVE-2025-0105, CVSS 6.9, mittel); ein ebenso niedriges Risiko stellt eine Lücke dar, durch die nicht authentifizierte Angreifer Dateien des Host-Systems auflisten können (CVE-2025-0106, CVSS 6.9, mittel). Zudem können angemeldete Nutzer Befehle einschleusen, die als Nutzer www-data ausgeführt werden (CVE-2025-0107, CVSS 6.3, mittel).

In der Übersichtstabelle gibt Palo Alto lediglich den "temporalen Risikograd" nach CVSS an, der im zeitlichen Verlauf stets niedriger ausfällt – das ist zumindest ungewöhnlich und lässt Leser eine geringere Bedrohung vermuten, als sie tatsächlich besteht. Betroffen ist Palo Altos Expedition vor der aktuellen Version 1.2.101. Palo Alto weist darauf hin, dass Expedition am Support-Ende angelangt ist und keine weiteren Updates oder Sicherheitskorrekturen mehr geplant sind. Palo Alto hat zum Meldungszeitpunkt keine Kenntnis davon, dass die Sicherheitslücken bereits missbraucht werden.

Der Europäische Gerichtshof hat am Donnerstag in zwei Fällen die Datenschutzgrundverordnung (DSGVO) genauer ausgelegt: Unnötige Pflichtangaben bleiben rechtswidrig – und Beschwerden müssen grundsätzlich bearbeitet werden.

Anzeige

Der erste Fall: Die französische Staatsbahn SNCF versuchte, bei ihren Marketingaktionen besonders höflich zu sein. Um die richtige Anrede für Mails wählen zu können, verlangte sie von Kunden bei der Onlinebuchung über SNCF Connect die Angabe ihres Geschlechts. Das befanden die Richter des Europäischen Gerichtshofs nun für unzulässig.

Denn die Datenschutzgrundverordnung (DSGVO) sehe vor, dass Daten nur dann pflichtweise erhoben werden dürfen, wenn es dafür eine Grundlage gibt. Die höfliche Anrede zu Marketingzwecken sei kein Grund im Sinne der DSGVO: Zur Vertragserfüllung sei diese Angabe nicht notwendig. Die französische Datenschutzaufsichtsbehörde CNIL hatte dies noch anders gewertet, wogegen sich der Kläger vor französischen Gerichten zur Wehr gesetzt hatte. Die legten diese Fragestellung dem EuGH zur abschließenden Klärung vor.

Das Gericht urteilte nun, dass eine höfliche Marketingkommunikation als berechtigtes Interesse in der Abwägung mit den Grundrechten des Betroffenen nachrangig sei – "insbesondere aufgrund des Risikos einer Diskriminierung aufgrund der Geschlechtsidentität." Neben der gesetzlichen Verpflichtung, der Notwendigkeit zur Vertragserfüllung oder der Einwilligung der Betroffenen ist das sogenannte berechtigte Interesse in der DSGVO als ein zulässiger Grund für die Erhebung personenbezogener Daten vorgesehen, den die Richter hier aber nun eng auslegten.

Ein angeblicher neuer Phishing-Angriff gegen Paypal-Nutzer sorgt für Aufregung. Mit einem speziell präparierten E-Mail-Verteiler und einer gefälschten Geldanforderung sollen Kriminelle die PayPal-Konten ihrer Opfer kapern können. heise security konnte den Angriff jedoch nicht bestätigen.

Anzeige

Unbekannte bedachten Carl Windsor, den CISO des US-Firewallherstellers Fortinet, im Dezember 2024 mit einer seltsamen Phishing-Mail. Es handelte sich um eine Zahlungsaufforderung eines PayPal-Nutzers, die jedoch an eine vollkommen andere E-Mail-Adresse als die des Sicherheitsprofis gerichtet war. Das machte Windsor stutzig und er forschte nach.

Offenbar hatten die Angreifer seine E-Mail-Adresse herausgefunden und auf einem Mailverteiler eingetragen. Dazu nutzten sie ein Konto bei Microsofts Cloud-Dienst M365 – dessen Reputation bei E-Mail-Servern half den Phishern, an Spam- und Malwarefiltern vorbeizukommen.

An den derart präparierten Mailverteiler hatten sie dann über ein PayPal-Konto, das sie kontrollierten, eine Zahlungsaufforderung über knapp 2200 US-Dollar gesandt. Der Trick dabei: Klickt der Empfänger solch einer E-Mail auf den Link zum Begleichen der Forderung, wird die E-Mail-Adresse des Mailverteilers seinem PayPal-Konto hinzugefügt. Zumindest weckt die Login-Seite von Paypal diesen Eindruck, lautet ein Hinweis doch: "Wir fügen Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein. Ihrem PayPal-Konto hinzu, wenn Sie sich einloggen."

Einer der größten Positionsdatensammler, Gravy Analytics, ist offenbar Opfer eines Cybervorfalls geworden. In einem Darknet-Forum behaupten Kriminelle, dass sie Daten in großem Umfang kopiert haben. Die Webseite des Unternehmens ist derzeit nicht erreichbar und liefert nur eine Fehlermeldung ("503 Service Temporarily Unavailable") zurück.

Anzeige

Die Nachrichtenagentur Reuters berichtet unter anderem von dem Datenleck. Im Netz sind am Sonntag Screenshots aufgetaucht, auf denen russischsprachige Kriminelle den Einbruch und den Diebstahl großer Mengen an Daten behaupten. In zeitlicher Nähe sind etwa 1,4 GByte an Daten angeblich aus diesem Datenleck aufgetaucht. Der HudsonRock-CTO Alon Gal etwa beschreibt auf LinkedIn, dass er einen Beispieldatensatz mit 10 Millionen Positionsdaten von mehr als 15.000 Apps untersuchen konnte, die der Einbrecher bereitgestellt habe.

Welche Apps Positionsdaten ihrer Nutzerinnen und Nutzer bei Gravy Analytics abliefern, soll eine Liste auf pastejustit zeigen. 15.396 Apps sind darauf, darunter populäre wie Grindr (Zeile 69), Tinder (Zeile 172), Candy Crush Saga (Zeile 221), µTorrent (Zeile 1778), Eurosport (Zeile 10090) oder – insbesondere in den USA in weiten Teilen sehr problematisch – Apps, die sich um Schwangerschaften drehen (26 Einträge zu Pregnancy).

Alon Gal erklärt, dass die genaue Position von diesen Apps mitgeschnitten wird, im Laufe der Zeit bildet sich daraus ein Positionsverlauf. Jeder Eintrag umfasst demnach eine eindeutige Smartphone-ID, GPS-Koordinaten, welche App die Daten geliefert hat, einen User-Agent, Smartphone-Typ, Telekommunikationsanbieter und weitere. Die bislang geleakten Daten seien nur ein kleiner Teil des kompletten Datensatzes. Es könnten auch mehr Partnerschaften von Gravy Analytics ans Licht kommen, wobei eine Liste mit mehr als 1000 Gravy-Analytics-Kunden angeblich bereits veröffentlicht wurde.

Der iX-Workshop IT-Sicherheit: Aktuelle Angriffstechniken und ihre Abwehr beschäftigt sich mit aktuellen Angriffstechniken und den sich daraus ergebenden notwendigen Schutzmaßnahmen für Ihre IT-Systeme vor potenziellen Angriffen. Ausgehend von der aktuellen Bedrohungslage im Bereich der IT-Sicherheit lernen Sie praktische Strategien und Techniken zur Abwehr häufig auftretender Angriffe kennen. In einer Laborumgebung demonstriert Referent Oliver Ripka typische Angriffstechniken und stellt nützliche Tools vor, mit denen Sie selbst Angriffe erkennen und abwehren können.

Anzeige

Am Ende des Workshops haben Sie ein Verständnis dafür entwickelt, wie Angreifer vorgehen und welche konkreten Schutzmaßnahmen Sie ergreifen können, um Ihre Systeme sicher zu machen. Auf Basis dieses Wissens lernen Sie, die Schwachstellen und Angriffsmöglichkeiten Ihrer eigenen IT-Infrastruktur zu bewerten und die Wirksamkeit der eingesetzten Sicherheitsmaßnahmen einzuschätzen.

Oliver Ripka ist ein erfahrener Sicherheitsberater und Trainer bei Söldner Consult. Als Experte für Netzwerksicherheit liegen seine fachlichen Schwerpunkte in den Bereichen offensive Sicherheit und Netzwerkanalyse.

Der nächste Sicherheitsworkshop findet am 26. und 27. Februar 2025 online statt und richtet sich an IT-Administratoren, die ihren Blick für IT-Sicherheit schärfen wollen, sowie an Interessierte, die einen Überblick über die Funktionsweise von Cyberangriffen erhalten möchten.

Angreifer können Netzwerke mit Equipment von HPE Aruba attackieren. Im schlimmsten Fall kann unter bestimmten Voraussetzungen Schadcode auf Geräte gelangen.

Anzeige

Konkret geht es um 501 Wireless Client Bridge und Networking CX 10000 Switch Series. Auch wenn Angreifer für erfolgreiche Attacken auf 501 Wireless Client Bridge über Admin-Rechte auf einem Host-System verfügen müssen, sind beide Lücken (CVE-2024-54006, CVE-2024-54007) mit dem Bedrohungsgrad "hoch" eingestuft. Ist das gegeben, können Angreifer über das Web-Interface eigenen Code ausführen.

HPE Aruba warnt, dass dafür bereits Exploitcode in Umlauf ist. Ob es bereits Attacken gibt, ist bislang nicht bekannt. Admins sollten die gegen die geschilderte Attacke abgesicherte Firmware V2.1.2.0-B0033 installieren.

Über die Lücke (CVE-2024-54010 "niedrig") in Networking CX 10000 Switch Series können Angreifer auf eigentlich abgeschottete Daten zugreifen. Abhilfe schaffen die Ausgaben 10.13.1070, 10.14.1030 und 10.15.1000.

In dem Content Management System (CMS) Sitefinity von Progress klaffen zwei Sicherheitslücken. Die Entwickler haben sie als hohes Risiko eingestuft. Admins sollten zügig die bereitstehenden Aktualisierungen herunterladen und installieren.

Anzeige

Laut der Sicherheitsmitteilung von Progress führt eine unzureichende Filterung von Eingaben während der Webseitenerstellung im CMS-Backend zu einer Cross-Site-Scripting-Schwachstelle (CVE-2024-11626, CVSS 8.4, Risiko "hoch"). Zudem können unbefugt Informationen abfließen, die sich in Fehlermeldungen des CMS finden (CVE-2024-11625, CVSS 7.7, hoch). Wie diese Schwachstellen genau aussehen oder wie bösartige Akteure sie missbrauchen können, beschreibt Progress jedoch nicht.

Betroffen sind die Sitefinity-Versionen von 4.0 bis 14.4.8142, 15.0.8200 bis 15.0.8229, 15.1.8300 bis 15.1.8327 und 15.2.8400 bis einschließlich 15.2.8421. Für unterstützte Versionen von Sitefinity schließen die Updates auf Version 14.4 8143, 15.0 8230, 15.1 8328 und 15.2 8422 die Sicherheitslücken.

Die jüngste Fassung hingegen ist Progress Sitefinity 15.2 8423, erklärt der Hersteller. Nutzer von nicht mehr unterstützten Versionen sollten ihre Instanzen auf diese Version aktualisieren, empfiehlt Progress. Für die Aktualisierung stellt Progress zudem eine eigene Anleitung bereit, die auch Informationen zum Update der Cloud-Versionen enthält.

Kurz vor Weihnachten hat Google eine Änderung seiner Policy bezüglich der Benutzung von Fingerprinting-Technik für Werbezwecke angekündigt. Bisher verbietet diese Policy das Fingerprinting:

Anzeige

You must not use device fingerprints or locally shared objects (e.g., Flash cookies, Browser Helper Objects, HTML5 local storage) other than HTTP cookies, or user-resettable mobile device identifiers designed for use in advertising, in connection with Google's platform products. This does not limit the use of IP address for the detection of fraud.

Diese Klausel entfällt in der neuen Version, die ab dem 16. Februar in Kraft treten soll.

(Device) Fingerprinting ist der Oberbegriff für eine Reihe von Techniken, die Geräte zum Beispiel für Werbetreibende wiedererkennbar machen. Browser lässt man zum Beispiel im Hintergrund für den Nutzer unsichtbar Objekte rendern. Aus den Unterschieden der Ergebnisse kann man eine Art Fingerabdruck generieren, der den Browser wiedererkennbar macht. Eine aktuelle Untersuchung zeigt, dass man auf ähnliche Weise mit CSS Nutzer per E-Mail tracken kann.

Zwei Sicherheitslücken im WordPress-Plug-in Fancy Product Designer gefährden Onlineshops. Ein Sicherheitsupdate ist bislang nicht verfügbar. Sind Attacken erfolgreich, können Angreifer Shops vollständig kompromittieren. Mit dem Plug-in können Onlineshopbetreiber unter anderem Produkte für ihren Shop gestalten.

Anzeige

Davor warnen Sicherheitsforscher von Patchstack in einem Beitrag. Die zwei Schwachstellen (CVE-2024-51919, CVE-2024-51818) sind als "kritisch" eingestuft. Sind Attacken erfolgreich, können Angreifer über die defekte Uploadfunktion Hintertüren installieren oder manipulierend auf Datenbanken zugreifen. Bislang gibt es keine Hinweise auf Attacken.

Die Forscher führen aus, die Lücken bereits im März 2024 an den Anbieter des Plug-ins gemeldet zu haben. Seitdem gab es ihnen zufolge mehrere Kontaktaufnahmen, sie haben aber bislang keine Antwort erhalten. Die aktuelle Ausgabe 6.4.3 soll nach wie vor verwundbar sein. Ob und wann ein Patch erscheint, bleibt weiterhin unklar. Bis dahin sollte man das Plug-in aus Sicherheitsgründen nicht nutzen.

Ivanti warnt vor aktiven Angriffen auf eine kritische Sicherheitslücke in der VPN-Software Ivanti Connect Secure (ICS). Diese und eine weitere Sicherheitslücke betreffen zudem auch Ivanti Policy Secure und Ivanti ZTA Gateways. Für ICS stehen Aktualisierungen bereit, für die anderen beiden Produkte hat Ivanti Updates lediglich angekündigt.

Anzeige

In einer Sicherheitsmitteilung erörtert Ivanti Details zu den Schwachstellen. Angriffe hat das Unternehmen auf einen Stack-basierten Pufferüberlauf entdeckt, der den bösartigen Akteuren ohne vorherige Anmeldung das Einschleusen und Ausführen von Schadcode ermöglicht (CVE-2025-0282, CVSS 9.0, Risiko "kritisch"). Wie genau die Angriffe aussehen, erörtert Ivanti nicht. Eine zweite Schwachstelle besteht ebenfalls in einem Stack-basierten Pufferüberlauf, der angemeldeten Nutzern die Ausweitung der eigenen Rechte erlaubt (CVE-2025-0283, CVSS 7.0, hoch). Diese Lücke wird laut Ivanti derzeit jedoch nicht missbraucht.

Angriffsdetails von Mandiant

Googles Tochter Mandiant stellt in einem eigenen Blog-Beitrag eine erste Analyse der Angriffe vor. Die Angreifer haben Malware aus dem von Mandiant Spawn genannten Ökosystem nach erfolgreichen Angriffen installiert, aber auch Dryhook und Phasejam genannte Malware-Familien. Die Exploits für die Schwachstelle sind versionsspezifisch für die einzelnen Patch-Levels von ICS. Die Malware stellt dann am Ende Tunnel bereit, Webshells, unterbindet Updates, greift Zugangsdaten ab und kann weiteren Schaden anrichten. Mandiant verortet die Angreifer UNC5337 als Untergruppe von UNC5221 in China, es handelt sich demnach um eine Spionage-Gruppe.

Ivanti spricht davon, von einer begrenzten Anzahl an angegriffenen Kunden zu wissen. Mandiant erklärt, die Angriffe haben Mitte Dezember 2024 angefangen. Die Analysen dauern noch an, die bisherigen Ergebnisse sind noch vorläufig. Mandiant listet am Ende des Beitrags noch Hinweise für Infektionen (Indicators Of Compromise, IOCs) sowie hilfreiche YARA-Regeln auf, mit denen Admins ihre IT untersuchen und sich vor Angriffen warnen lassen können.

In Unternehmen haben Mitarbeiter im vergangenen Jahr fast dreimal so häufig auf Phishing-Links geklickt als noch 2023, wie aus Zahlen des Sicherheitsunternehmens Netskope hervorgeht. Über 0,8 Prozent der Angestellten folgte demnach einem solchen Link, im Vorjahr lag der Anteil bei unter 0,3 Prozent. Insbesondere Cloud-Speicher waren dabei die Ziele der Angreifer.

Anzeige

Ein Großteil der Unternehmen schult seine Mitarbeiter im Umgang mit Phishing. Dass sie dennoch gefälschte Links anklicken, führen die Forscher auf kognitive Ermüdung durch die hohe Anzahl der Phishing-Versuche und die Kreativität der Angreifer zurück. Nachgeahmte Websites seien inzwischen schwieriger zu erkennen als zuvor. Da das Bewusstsein für Phishing in E-Mails inzwischen hoch ist, stammen die meisten Klicks auf Links aus anderen Quellen.

Fast jeder fünfte Klick auf einen Phishing-Link erfolgte von einer Suchmaschine. Dort schalteten Cyberkriminelle Werbeanzeigen oder nutzten die Suchmaschinenoptimierung aus, damit die gefälschten Websites in den Suchergebnissen möglichst weit oben auftauchen. Shopping-Websites machten zehn Prozent der Klicks aus. Andere Quellen von Phishing-Links waren Technologie-, Geschäfts- und Unterhaltungswebsites. Hier versteckten Angreifer ihre Links in Werbung und Kommentaren. Mit KI versuchen Browser-Anbieter vor Phishing-Seiten zu schützen.

Mehr als ein Viertel der angeklickten Phishing-Links führten auf gefälschte Login-Seiten von Cloud-Diensten. Für Angreifer sind die Zugänge wertvoll, da sie den Zugriff auf unternehmensinterne Daten ermöglichen und eventuell weitere Opfer erreichbar machen. Das häufigste Ziel unter den Cloud-Anwendungen war Microsoft mit über 42 Prozent der Phishing-Klicks. Dahinter lagen die Adobe-Cloud mit einem Anteil von 18 Prozent und DocuSign mit 15 Prozent.

In einer Untersuchung der Effektivität von automatisch mit großen Sprachmodellen (Large Language Models, LLMs) erzeugten Phishing-Angriffen sind Forscher zu dem Ergebnis gekommen, dass die Künstliche Intelligenz ebenso effizient ist wie von Menschen personalisiertes Phishing. Gegenüber beliebigen, nicht gezielt erzeugtem Phishing sehen sie eine 3,5-fach höhere Effizienz.

Anzeige

Die Studie findet sich auf arxiv.org. Die Forschergruppe hauptsächlich eines Instituts der Harvard-Universität hat die Phishing-Angriffe mit 101 Teilnehmern getestet. Es ging dabei darum herauszufinden, wie gut es LLMs schaffen, personalisierte Phishing-Attacken – sogenanntes Spear-Phishing – auszuführen.

Die Ergebnisse überraschen. Die 101 Teilnehmer wurden in vier Gruppen eingeteilt. Die Kontrollgruppe erhielt beliebiges, nicht personalisiertes Phishing. Eine Gruppe bekamm von LLMs erzeugte Phishing-Mails zu sehen. Von Menschen gezielt erstellte Phishing-Mails gingen an eine dritte Gruppe und schließlich gab es noch eine Gruppe, die Spear-Phishing erhielt, bei dem Menschen Feinschliff an den von der KI erzeugten Mails vornahmen.

Die Forscher haben gemessen, wie oft auf Links in diesen Mails geklickt wurde. Das beliebige Phishing kam auf eine Klickrate von 12 Prozent. Links in voll automatisiert erzeugten KI-Phishing-Mails wurden in 54 Prozent der Fälle geklickt – genau so oft wie bei gezielten, von Menschen erstellten Phishing-Mails. Sofern Menschen noch mal Hand an das KI-Phishing legten, konnte eine leichte Steigerung der Klickrate auf 56 Prozent beobachtet werden.

In den USA startet mit dem "U.S. Cyber Trust Mark" ein Anlauf zur Einführung eines freiwilligen IT-Sicherheitskennzeichens. Verbraucher sollen daran erkennen können, dass internetverbundene "smarte" Geräte sicher sind.

Anzeige

Das erinnert an das seit 2022 verfügbare IT-Sicherheitskennzeichen des Bundesamts für Sicherheit in der Informationstechnik (BSI). Mit Inkrafttreten des Cyber Resiliance Acts (CRA) in der EU wird jedoch im hiesigen Wirtschaftsraum ein Mindestmaß an Cybersicherheit Pflicht, das US-Label bleibt hingegen zumindest vorerst freiwillig. Während für das ebenfalls freiwillige BSI-Zertifikat Unternehmen lediglich Antragsformulare ausfüllen müssen, über die das BSI eine Plausibilitätsprüfung vornimmt, sieht der "U.S. Cyber Trust Mark" eine Prüfung der Geräte vor.

Das Weiße Haus teilt mit, dass insgesamt elf Unternehmen derartige Prüfungen vornehmen dürfen: CSA America Testing & Certification, LLC; CTIA Certification LLC; DEKRA Certification Inc.; Intertek Testing Services NA, Inc; ioXt Alliance; Palindrome Technologies; SGS North America Inc; Telecommunications Industry Association; TÜV Rheinland of N.A.; TÜV SÜD America sowie UL LLC. Letztere Firma, auch als UL Solutions bekannt, hat dabei die administrative Führungsrolle (Lead Administrator) für das "U.S. Cyber Trust Mark".

Das "U.S. Cyber Trust Mark" hat ein Logo, das Hersteller für erfolgreich getestete Geräte nutzen können.

Sie arbeiten in einem kleinen bis mittelgroßen Unternehmen (KMU) und möchten Ihre Sicherheit verbessern? In unserem iX-Workshop Effiziente IT-Sicherheit für kleine und mittlere Unternehmen erhalten Sie an zwei Vormittagen sinnvolle Ansätze für einen kosteneffizienten Schutz und lernen praxisnahe Lösungen und Strategien kennen – speziell auf die Bedürfnisse von KMUs zugeschnitten.

Anzeige

Ausgehend von der aktuellen Bedrohungslage im Bereich der Informationstechnologie erläutern Ihnen unsere Sicherheitsexperten, welche konkreten Schritte Sie unternehmen können, um Ihr Unternehmen abzusichern. Sie erfahren, wie Sie auch mit begrenzten Ressourcen effiziente Maßnahmen ergreifen können, um Ihre IT-Sicherheit zu verbessern und Risiken zu minimieren. Neben grundlegenden Tätigkeiten, Best Practices und typischen Fallstricken werden auch praktische Meilensteine für Ihre Projektplanung vorgestellt.

Dieser Einführungsworkshop legt den Fokus auf einen allgemeinen Überblick über die relevanten Themen und Technologien. Diskussionen dienen der Veranschaulichung der Inhalte und Sie haben die Möglichkeit, sich aktiv einzubringen und Fragen zu stellen. Trainer dieses Kurses sind Sicherheitsexperten der secuvera GmbH: Ann-Kathrin Udvary - leitende Cybersicherheitsberaterin und Viktor Rechel - leitender Cybersicherheitsberater.

Der Workshop richtet sich an Unternehmen mit 10 bis 1.000 Mitarbeitenden, die über kein oder nur ein rudimentäres Informationssicherheits-Managementsystem (ISMS) verfügen. Dabei spielt es keine Rolle, ob Sie Ihre IT-Administration selbst durchführen oder an einen IT-Dienstleister ausgelagert haben. Er dient als Einführung in das Thema Cyber- und IT-Sicherheit und richtet sich daher vorrangig an diejenigen, die in ihrer Firma für Geschäftsrisiken, Strategie und/oder Administration zuständig sind.

In der Business-Software IBM Cognos Controller und IBM Controller klaffen Sicherheitslücken. Die stopft der Hersteller nun mit aktualisierten Paketen. IT-Verantwortliche sollten sie zeitnah installieren.

Anzeige

In der zugehörigen Sicherheitsmitteilung erklärt IBM, dass insbesondere mitgelieferte Software von Drittherstellern, darunter Open-Source-Komponten, Sicherheitslücken enthalten. Insgesamt schließt das Update zehn Sicherheitslecks. Um die Schwachstellen abzumildern, gibt es laut IBM keine temporären Gegenmaßnahmen – Aktualisieren ist daher mandatorisch.

Während acht der Schwachstellen einen mittleren Bedrohungsgrad darstellen, stuft IBM zwei davon als hohes Risiko ein. Aufgrund einer unzureichenden Zertifikatsprüfung können unbefugte Nutzerinnen und Nutzer Zugriff auf geschützte Ressourcen erlangen (CVE-2024-40702, CVSS 8.2, Risiko "hoch"). Wie bösartige Akteure diese Schwachstelle missbrauchen können und wie das erkennbar wäre, erörtert IBM nicht.

Der mitgelieferte Axios-Client ist anfällig für eine Server-Side Request Forgery (SSRF) aufgrund eines Fehlers, bei dem Anfragen für "Path relative" URLs als "Protocol relative URLs" verarbeitet werden (CVE-2024-39338, CVSS 7.5, hoch).

Die Aktion für Gratis-Tickets zur Teilnahme an der IT-Security-Kongressmesse secIT 2025 wurde verlängert. Das Zugpferd der secIT sind die redaktionell kuratierten Inhalte. Diese Vorträge und Workshops sind werbefrei und locken mit hilfreichen Fakten und Vorgehensweisen, um Unternehmen effektiv vor Cyberangriffen zu schützen. Es gibt aber auch viele Hilfestellungen, wenn sich Angreifer bereits im Netzwerk befinden.

Anzeige

Die von c't, heise security und iX ausgewählten Referenten vermitteln ihr Fachwissen kompetent und verständlich, sodass Teilnehmer das Gelernte direkt in ihren Firmen für mehr IT-Sicherheit umsetzen können.

Dabei stehen Themen wie die Umsetzung der NIS2-Richtlinie oder die Sicherheit von Windows und Microsoft-Diensten wie M365 im Vordergrund. Es gibt aber auch viele Erkenntnisse und Maßnahmen gegen aktuelle Angriffsmuster und Ransomware-Attacken. Zusätzlich geht es um Supply-Chain-Attacken und den Schutz von Cloud-Umgebungen. Das Programm ist auf der Website der Veranstaltung abrufbar.

Neben den Vorträgen und Workshops findet eine Ausstellung in mehreren Hallen statt. Dort kann man sich Produkte für den Schutz von IT-Infrastrukturen anschauen und mit Anbietern von Schutzlösungen ins Gespräch kommen.

Derzeit haben Angreifer PCs im Visier, auf denen Mitel MiColab oder Oracle WebLogic Server installiert ist. Im schlimmsten Fall können Angreifer Systeme vollständig übernehmen. Sicherheitspatches stehen zum Download bereit. In welchem Umfang die Attacken ablaufen, ist derzeit nicht bekannt.

Anzeige

Wie aus einer Warnung der US-Sicherheitsbehörde CISA hervorgeht, sind zwei Lücken (CVE-2024-41713 MiColab, CVE-2020-2883 WebLogicServer) mit dem Bedrohungsgrad "kritisch" eingestuft.

Eine weitere Schwachstelle (CVE-2024-55550) ist zwar nur mit dem Bedrohungsgrad "mittel" versehen, aber Sicherheitsforscher watchTowr Labs beschreiben in einem Beitrag, dass Angreifer Lücken miteinander kombinieren können, um Dateien auf Servern einsehen zu können.

In einer Warnmeldung gibt Mitel an, dass MiCollab 9.8 SP2 (9.8.2.12) gegen die erwähnte Kombi-Attacke geschützt ist.

Google und Mozilla haben Updates für die Webbrowser Chrome und Firefox veröffentlicht. Sie schließen teils als hohes Risiko eingestufte Sicherheitslücken. Nutzerinnen und Nutzer sollten sicherstellen, die aktuelle Fassung einzusetzen.

Anzeige

Während Google in Chrome vier Sicherheitslecks abdichtet, schließt Mozilla in Firefox elf Sicherheitslücken. Mit Details zu den Schwachstellen hält Google sich wie üblich zurück. Lediglich zu einer der vier Lücken gibt es überhaupt eine kurze Information, es handelt sich um eine Type Confusion in der Javascript-Engine V8. Laut Versionsankündigung von Google ist das Risiko der Lücke hoch, sie brachte dem Melder 55.000 US-Dollar Belohnung ein – ein ungewöhnlich hoher Betrag, es könnte sich um einen Tippfehler handeln. Die Lücke ermöglicht wahrscheinlich das Einschleusen von Schadcode beim Anzeigen von sorgsam präparierten Webseiten, was der Schweregrad nahelegt.

Firefox 134 dichtet eine Sicherheitslücke in der Android-Version des Browsers aus, durch die sich die Adressleiste mit einem ungültigen Protokoll-Schema fälschen ließ (CVE-2025-0244, kein CVSS, Risiko "hoch"). Dazu kommen noch zwei Advisories zu Sicherheitslücken, die auf Fehler in der Speicherverwaltung zurückzuführen sind (CVE-2025-0242, CVE-2025-0247, kein CVSS, hoch). Derartige speicherbasierte Sicherheitslücken ermöglichen in der Regel ebenfalls, Code durch manipulierte Webseiten einzuschleusen und auszuführen. Die restlichen acht Lücken stufen die Mozilla-Entwickler als mittleres Risiko ein.

Für die ESR-Versionen 128.6 und 115.19 liefert Mozilla eigene Sammelmeldungen, die jedoch im Wesentlichen einige Lücken auflisten, die in der Version 134 geschlossen wurden und die älteren Fassungen ebenfalls betreffen.

Admins von Moxa-Routern sollten ihre Geräte zügig auf den aktuellen Stand bringen. In aktuellen Firmwareversionen haben die Entwickler zwei Sicherheitslücken geschlossen. Darüber sind Root- und Schadcode-Attacken möglich.

Anzeige

Die Router des Herstellers werden im Industrieumfeld, etwa im Energiesektor, genutzt. Demzufolge können erfolgreiche Attacken schwerwiegende Folgen haben. In einer Warnmeldung gibt Moxa an, dass die Entwickler zwei Schwachstellen (CVE-2024- 9138 "hoch", CVE-2024-9140 "kritisch") geschlossen haben.

Setzen Angreifer an der ersten Lücke an, können sie sich aufgrund von hartkodierten Zugangsdaten unbefugt Zugang mit Root-Rechten verschaffen. In so einer Position können sie Geräte vollständig kompromittieren. Es ist davon auszugehen, dass sich Angreifer von dort weiter in Netzwerken ausbreiten können.

Über die zweite Schwachstelle kann aufgrund von unzureichenden Überprüfungen von Eingaben Schadcode auf Geräte gelangen. In einer Warnmeldung listen die Entwickler die betroffenen Modelle und verwundbaren Firmwareversionen auf. Die Ausgabe 3.14 ist gegen die geschilderten Attacken abgesichert.

Admins sollten prüfen, ob die HCL BigFix-Server-Automation-Installationen auf dem aktuellen Stand sind. Ist das nicht der Fall, können Angreifer Systeme attackieren.

Anzeige

In einer Warnmeldung schreiben die Entwickler, dass sie in der Ausgabe 9.5.70 drei Schwachstellen geschlossen haben. Nutzen Angreifer die Lücken erfolgreich aus, können sie unter anderem Traffic auf von ihnen kontrollierte Websites umleiten (CVE-2024-26159 "hoch") oder unberechtigt Zugangsdaten einsehen (CVE-2024-28849 "mittel").

Bislang gibt es keine Informationen, dass Angreifer die Lücken bereits ausnutzen. Admins sollten aber nicht zu lange zögern und das Sicherheitsupdate zügig installieren.