Comretix Blog

Bei der Untersuchung einer Malware-Infektion auf einem Rechner stießen IT-Forscher auf eine Sicherheitslücke in Antivirensoftware, die Angreifer zum Ausführen von Schadcode missbraucht haben. Der Virenschutz hat damit erst die Ausführung der Malware ermöglicht.

Kaspersky hat eine Analyse der Malware veröffentlicht. Demnach stießen die IT-Forscher bei der Untersuchung von Vorfällen mit der ToddyCat-Malware auf eine verdächtige Datei namens "version.dll" im temporären Verzeichnis auf mehreren Geräten. Es handelt sich um eine in C++ programmierte 64-Bit-DLL, die ein komplexes Tool mit dem Namen TCESB enthält. Die war für ToddyCat-Angriffe neu und ist dafür ausgelegt, unauffällig bösartige Payloads unter Umgehung von Schutz- und Überwachungssoftware auf den Geräten auszuführen.

So eine DLL exportiert Funktionen und wird von einem anderen Programm eingebunden, das diese Funktionen aufruft. Bei der Suche nach Software, die diese Bibliothek einbindet und aufruft, sind Kasperskys Analysten auf eine Datei namens "ecls" gestoßen. Ein bösartiger Akteur hat vermutlich fehlerhaft die Datei ohne Endung auf das System geschoben und nach dem Angriff nur die Version mit einem ausführbaren Dateisuffix gelöscht. Es stellte sich heraus, dass es sich um den Kommandozeilenscanner aus Esets Endpoint-Protection handelt, dem "Eset Command Line Scanner".

Die weitere Untersuchung erbrachte die Erkenntnis, dass dieser Scanner auf unsichere Art und Weise die "version.dll"-Bibliothek lädt, indem sie als Erstes das aktuelle Verzeichnis und nachfolgend die Systemverzeichnisse danach durchsucht. Es handelt sich um eine klassische DLL-Hijacking-Schwachstelle.

Eset hat von Kaspersky einen Schwachstellenhinweis erhalten und mit einer eigenen Sicherheitsmitteilung am Wochenende darauf reagiert. Sie trägt den Titel "DLL-Suchreihenfolge-Hijacking-Schwachstelle in Eset-Produkten für Windows ausgebessert". Darin räumt Eset die Sicherheitslücke ein, legt jedoch Wert auf den Hinweis, dass sie nicht zum Ausweiten der Rechte im System genutzt werden kann, sondern Angreifer zuvor bereits Admin-Rechte besitzen müssen (CVE-2024-11859, CVSS 6.8, Risiko "mittel"). Die Risikoeinstufung verpasst den Status "hoch" nur um Haaresbreite.

Besitzer von noch im Support befindlichen Android-Smartphones und -Tablets sollten sicherstellen, dass die aktuellen Sicherheitsupdates installiert sind. Angreifer nutzen derzeit zwei Schwachstellen aus.

In einer Warnmeldung schreiben die Entwickler von gezielten Attacken in begrenztem Umfang. Die beiden Lücken (CVE-2024-53150, Risiko "hoch" und CVE-2024-53197, ebenfalls Risiko "hoch") betreffen die Advanced Linux Sound Architecture (ALSA). Konkret ist USB-Audio betroffen. An dieser Stelle können Angreifer unter anderem am Treiber mit speziellen Eingaben ansetzen, um Speicherfehler auszulösen. Das führt in der Regel zu Abstürzen (DoS) oder es kann sogar Schadcode auf den Systemen zur Ausführung gelangen.

Weiterführende Informationen zum Ablauf und den Auswirkungen der Attacken gibt es derzeit nicht. Google versichert, Geräte mit den Patch Levels 2025-04-01 und 2025-04-05 der Android-Betriebssysteme gegen diese Angriffe gerüstet zu haben.

Überdies haben die Entwickler in Android 13, 14 und 15 noch "kritische" Lücken (CVE-2025-22429, CVE-2025-26416, CVE-2025-22423) im Framework und System geschlossen. An diesen Stellen können Angreifer auf nicht näher beschriebenen Wegen unbefugt auf Informationen zugreifen oder sich höhere Nutzerrechte im System aneignen.

Ansonsten sind noch DoS-Attacken mit Attacken auf einige der Schwachstellen möglich. Außerdem haben die Programmierer Sicherheitslücken in Komponenten der Systems-on-a-Chip-Hersteller (SoC) Arm, Imagination Technologies, MediaTek und Qualcomm geschlossen. Davon ist unter anderem das WLAN-Modul betroffen.

SAP hat am Dienstag dieser Woche die Sicherheitsmitteilungen zum April-Patchday veröffentlicht. Insgesamt behandelt das Walldorfer Unternehmen in 18 Security-Bulletins Schwachstellen. Davon gelten drei als kritisches Sicherheitsrisiko, vier hingegen als hohes.

In der Patchday-Übersicht listet SAP die einzelnen Mitteilungen auf. Tief in die Details gehen die Beschreibungen dort nicht, die finden Admins nach Log-in in ihren SAP-Account unter der von SAP verlinkten Notiz-Nummer.

Durch die kritischen Sicherheitslücken können Angreifer Schadcode in SAP S/4HANA (Private Cloud) (CVE-2025-27429, CVSS 9.9, Risiko "kritisch") sowie SAP Landscape Transformation (Analysis Platform) (CVE-2025-31330, CVSS 9.9, Risiko "kritisch") einschleusen und ausführen. Bösartige Akteure können zudem die Authentifizierung in SAP Financial Consolidation umgehen (CVE-2025-30016, CVSS 9.8, Risiko "kritisch").

IT-Verantwortliche sollten prüfen, ob die in ihren Netzwerken eingesetzte Software unter den von Schwachstellen betroffenen Programmen findet, und zügig die bereitstehenden Updates installieren. Die aktuellen Sicherheitsmeldungen von SAP nach Risikoeinstufung sortiert:

Außerdem hat SAP zwei ältere Sicherheitsmitteilungen aktualisiert. Eine betrifft die SAP BusinessObjects Business Intelligence Platform, in der initial im Februar eine hochriskante Lücke entdeckt wurde, die andere eine Server Side Request Forgery (SSRF) in SAP CRM und SAP S/4 HANA mit niedrigem Schweregrad, die ursprünglich im März behandelt wurde.

Seit vergangener Woche sind Angriffe im Netz auf eine Sicherheitslücke in der Datentransfersoftware CrushFTP bekannt. Die zunächst vorliegende Schwachstellenbeschreibung blieb äußerst oberflächlich und nannte lediglich eine mögliche "Umgehung der Authentifizierung". CrushFTP hat nun eine eigene, vollständigere Schwachstellenmeldung herausgegeben.

CrushFTP schreibt auf der Webseite etwas aufgebracht dazu: "CVE-2025-0282 scheint eine CVE-Kopie zu sein, die automatisch von einem nicht damit in Verbindung stehendem Unternehmen ausgestellt wurde". Inzwischen räumt CrushFTP dort auch den öffentlichen Exploit der Lücke ein.

Die Beschreibung der Lücke im neuen CVE-Eintrag ist deutlich detaillierter. "CrushFTP vor Version 10.8.4 und 11.3.1 ermöglicht die Umgehung der Authentifizierung und die Übernahme des 'crushadmin'-Kontos (außer, eine DMZ-Proxy-Instanz wird genutzt), wie es in freier Wildbahn im März und April 2025 missbraucht wurde, auch bekannt als 'nicht authentifizierter HTTP(s)-Port-Zugang'", leitet die Mitteilung ein. "Eine Race Condition betrifft die AWS4-HMAC-(kompatibel mit S3)-Autorisierungsmethode der HTTP-Komponente des FTP-Servers. Der Server prüft zunächst die Existenz eines Users durch den Aufruf von login_user_pass(), ohne, dass ein Passwort nötig wäre. Das authentifiziert die Session durch den HMAC-Verifikationsprozess bis zu dem Zeitpunkt, zu dem der Server die User-Verifikation nochmals prüft. Die Schwachstelle lässt sich stabiler ausnutzen, ohne erfolgreich eine Race-Condition gewinnen zu müssen, indem ein verstümmelter AWS4-HMAC-Header gesendet wird."

Die Autoren erklären weiter: "Durch lediglich einer Angabe eines Nutzernamens und einem nachfolgenden Slash ('/') findet der Server einen Nutzernamen, was den 'erfolgreich authentifziert-Prozess' anstößt. Der Server findet den erwarteten 'SignedHeaders'-Eintrag dann nicht, was in einen 'Index-out-of-Bounds'-Fehler mündet, was den Code davon abhält, die Session-Cleanup-Routinen zu erreichen. Zusammen führt das zu einer trivialen Möglichkeit, sich als jedweder bekannter oder erratbarer Nutzer wie 'crushadmin' anzumelden, was zu einer vollständigen Kompromittierung des Systems durch Erlangen eines administrativen Zugangs führen kann" (CVE-2025-31161, CVSS 9.8, Risiko "kritisch").

Die US-amerikanische IT-Sicherheitsbehörde CISA hat auch den neuen CVE-Eintrag umgehend in die Datenbank der bekannten missbrauchten Schwachstellen (Known Exploited Vulnerabilities) aufgenommen. Die aktualisierten Softwareversionen sollten IT-Verantwortlich umgehend installieren, sofern das noch nicht geschehen ist. "CrushFTP-Instanzen sollten innerhalb eines Tages eine Benachrichtigung über eine neue Version anzeigen, sofern der Zugriff auf die Update-Server nicht blockiert wurde", schreiben die Autoren dazu auf der CrushFTP-Webseite.

Der Autovermieter Europcar ist mutmaßlich Opfer eines Cyberangriffs geworden. Dabei erbeutete ein Cyberkrimineller Kundendaten und andere vertrauliche Informationen. Wie die Tech-Webseite Bleeping Computer berichtet, ist der Angreifer wohl in die GitLab-Repos der Mietwagenfirma eingedrungen und hat so Daten von bis zu 200.000 Kunden und den Quellcode für Android- und iOS-Anwendungen gestohlen.

Dem Bericht zufolge behauptete ein Nutzer, der sich selbst Europcar nennt, in einem Internetforum, dass er "erfolgreich in die Systeme von Europcar eingedrungen ist und alle GitLab-Repositories erhalten hat". Zum Beweis veröffentlichte der Täter Screenshots von Anmeldeinformationen, die in dem gestohlenen Quellcode enthalten sind.

Der erbeutete Datensatz ist demnach 37 Gigabyte groß und enthält die Backups und Details über die Cloud-Infrastruktur und interne Anwendungen des Unternehmens. Der Angreifer versuchte laut Bleeping Computer, Europcar zu erpressen, indem er drohte, die Daten zu veröffentlichen.

Wie er Zugriff auf die Repositories von Europcar erlangen konnte, sei noch unklar, so Bleeping Computer, viele der jüngsten Sicherheitsverletzungen seien aber durch Infostealer erbeutete Zugangsdaten ausgelöst worden. Anfang vergangenen Jahres war Europcar schon einmal mutmaßlich Opfer eines Datenlecks. Ein Online-Krimineller behauptete, in die IT des Autovermieters eingebrochen zu sein und dabei rund 50 Millionen Datensätze kopiert zu haben. Europcar winkte damals ab: Die Daten seien gefälscht und könnten nicht von dem Unternehmen stammen.

Im aktuellen Fall scheint es sich jedoch nicht um Fake zu handeln. Europcar habe den Datenabfluss bestätigt, bewerte derzeit aber noch das genaue Ausmaß des Schadens, schreibt Bleeping Computer. Allerdings seien wohl nicht alle GitLab-Repositories des Unternehmens gestohlen worden. Demnach blieb ein kleiner Teil des Quellcodes unangetastet.

In der Kompressions-Bibilothek XZ wurde eine Sicherheitslücke entdeckt. Die lässt sich wahrscheinlich zum Einschleusen von Schadcode missbrauchen. Aktualisierter Quellcode steht bereit, der muss es nun in aktualisierte Software schaffen.

Die Schwachstelle behandelt eine Sicherheitsmitteilung auf Github. "Ungültige Eingabedaten können zumindest in einen Absturz münden", erklären die Autoren. "Die Effekte umfassen eine Nutzung des Heaps nach einer free-Operation sowie das Schreiben an eine Adresse basierend auf dem Null-Pointer zuzüglich eines Offsets", schreiben sie weiter. Apps und Bibliotheken, die die Funktion lzma_stream_decoder_mt nutzen, sind betroffen (CVE-2025-31115, CVSS 8.7, Risiko "hoch").

Der Single-Thread-Decoder lzma_stream_decoder weist den sicherheitsrelevanten Fehler nicht auf. Der kommt etwa beim Aufruf von xz --decompress --threads=1 oder von "xzdec" zum Einsatz, was jedoch eher selten derart genutzt werden dürfte. Die XZ-Tools kommen im Hintergrund an vielen Stellen und in vielen Projekten zum Einsatz – daher wohl auch die hohe Risikoeinstufung.

Den Fehler korrigieren die XZ-Utils in Version 5.8.1 und neuer. Die Patches haben die Entwickler auch für die älteren Entwicklungszweige 5.4, 5.6, 5.8 und dem "master"-Branch des xz-Git-Repository (zurück-)portiert. Für die alten "stable"-Branches gibt es keine neuen Release-Pakete, aber einen Standalone-Patch verlinkt die Sicherheitsmitteilung auch hierfür.

Die XZ-Utils aktualisieren mehrere Linux-Distributionen bereits. Da sie jedoch auch in diversen anderen Softwarepaketen zum Einsatz kommen, etwa in SSH, müssen diverse Apps und Dienste Aktualisierungen vornehmen und verteilen. Das betrifft natürlich auch diverse Programme, die unter macOS und Windows laufen.

Angreifer können an einer Sicherheitslücke in Winrar ansetzen und Windows-PCs mit Schadcode attackieren. In der aktuellen Version haben die Entwickler die Schwachstelle geschlossen.

Auf die Lücke ist das japanische JPCERT gestoßen. In einem Bericht schreiben sie, dass davon alle Winrar-Versionen betroffen sind. Die Winrar-Ausgabe 7.11 ist gegen mögliche Attacken gerüstet. Bislang gibt es keine Hinweise auf laufende Attacken. In der aktuellen Version haben die Entwickler nicht nur das Sicherheitsproblem gelöst, sondern auch einige Bugs gefixt. Wie aus dem Changelog hervorgeht, haben sie unter anderem den Umgang mit CAB-Archiven optimiert.

Die Lücke (CVE-2025-31334 "mittel") schrammt mit einem CVSS Score von 6.8 nur knapp am Bedrohungsgrad "hoch" vorbei. Wenn Angreifer einen präparierten symbolischen Link erstellen, der auf eine ausführbare Datei mit Schadcode zeigt, können sie aufgrund der Schwachstelle den Windows-Sicherheitsmechanismus Mark-of-the-Web (MotW) umgehen. Der sorgt unter anderem dafür, dass Windows beim Öffnen von aus dem Internet heruntergeladenen Dateien eine Sicherheitswarnung anzeigt, dass die Datei potenziell gefährlich sein könnte.

In diesem Fall wird MotW umschifft und Opfer führen Schadcode aus. Standardmäßig können aber nur Admins unter Windows symbolische Links erstellen. Diese Hürde ist offensichtlich der Grund für die Einstufung des Bedrohungsgrads der Lücke.

MotW-Lücken sorgen immer wieder für Schlagzeilen. Erst Anfang 2025 wurde bekannt, dass Angreifer so eine Lücke in 7-Zip ausgenutzt haben. Vor rund einem Jahr haben die Winrar-Entwickler ebenfalls eine MotW-Schwachstelle geschlossen.

Bitdefenders Virenschutz für das Geschäftsumfeld, GravityZone, ist von Schwachstellen betroffen, eine gilt gar als kritisches Sicherheitsrisiko. Betroffen ist die der Verwaltung dienende Console sowie der Update-Dienst.

Bitdefender warnt in einer Sicherheitsmitteilung vor der kritischen Lücke in der GravityZone Console. Demnach nutzt die Funktion sendMailFromRemoteSource in "Emails.php" die PHP-Funktion unserialize() auf benutzerübergebene Daten ohne weitere Prüfungen. Mit sorgsam präparierten Daten lassen sich dadurch PHP-Objekte einschleusen, Dateien schreiben und am Ende beliebige Befehle auf dem Host-System ausführen (CVE-2025-2244, CVSS 9.5, Risiko "kritisch").

Zudem können Angreifer eine Server-Side Request Forgery (SSRF) in der GravityZone-Console missbrauchen, um Überprüfmechanismen für Inhalte zu umgehen. Dies gelingt mit manipulierten DNS-Anfragen mit initialen Sonderzeichen, wenn die GravityZone-Console im Relay-Modus laufe. Das münde darin, dass fremder Code zur Ausführung gelangt, wenn das mit weiteren Schwachstellen verkettet wird (CVE-2025-2243, CVSS 6.9, Risiko "mittel").

Neben der Console ist jedoch auch Bitdefenders GravityZone Update Server von einer Sicherheitslücke betroffen, wie das Unternehmen in einer weiteren Sicherheitsmitteilung schreibt. Auch hier ist eine SSRF-Schwachstelle das Problem, die im Zusammenhang mit dem Relay-Modus auftreten kann. Das HTTP-Proxy-Modul, das auf Port 7074 lauscht, setzt auf eine Domain-Allow-List zum Beschränken ausgehender Anfragen. Enthalten Hostnamen ein Null-Byte (%00), lässt sich die Prüfung aus dem Tritt bringen. Mittels manipulierter Anfragen der Gestalt www.boese-domain.com%00bitdefender.com lassen sich die Allow-List-Prüfungen umgehen und Anfragen an beliebige Systeme senden (CVE-2025-2245, CVSS 6.9, Risiko "hoch").

Das Update auf Bitdefender GravityZone Console 6.41.2-1 soll die sicherheitsrelevanten Fehler ausbessern. Für den GravityZone Update Server steht als fehlerkorrigierte Fassung der Stand 3.5.2.689 oder neuer bereit. Bitdefender gibt an, dass es in der Regel automatisch erfolgt. Dennoch sollten Admins überprüfen, ob sie bereits auf diesem oder einem neueren Stand sind.

GitHub blockiert laut eigenen Angaben jede Minute mehrere Secrets wie Passwörter oder API-Schlüssel, die mit einem Push-Schutz gesichert sind. Dennoch bleiben Geheimnislecks weiterhin eine der häufigsten Ursachen für Sicherheitsvorfälle auf GitHub. Um dieser Entwicklung entgegenzuwirken, erweitert GitHub nun Sicherheitsfunktionen für Entwicklerinnen und Entwickler.

Wie zuvor schon angekündigt regelt GitHub ab April die Struktur und die Verfügbarkeit der Sicherheits-Suite GitHub Advanced Security (GHAS) neu. Des Weiteren bietet GitHub ein neues Scan-Tool an, um Entwicklerinnen und Entwickler dabei zu unterstützen, das Abfließen von Secrets zu verhindern.

Seit dem 1. April sind die Funktionen von GHAS auf die Einzelpakete GitHub Secret Protection (monatlich 19 US-Dollar) und GitHub Code Security (monatlich 30 US-Dollar) aufgeteilt und lassen sich unabhängig voneinander buchen. Zusammen sind beide damit genauso teuer wie das GHAS-Komplettpaket mit monatlich 49 US-Dollar.

Gleichzeitig hat GitHub die Zugänglichkeit der GHAS-Sicherheitsfunktionen verbessert. Während GHAS bislang nur bei GitHub Enterprise oder den Microsoft Azure DevOps-Tarifen zur Auswahl stand, bietet GitHub die beiden neuen Einzelpakete auch für GitHub Team an.

Ebenfalls seit Anfang April steht Entwicklerinnen und Entwicklern ein neues Scan-Tool für Enterprise Server ab GHES 3.18 zur Verfügung. Organisationen mit einem GitHub Team- oder Enterprise-Tarif können es ohne Aufpreis nutzen.

Seit dem 1. April ist zur Einreise nach Großbritannien eine elektronische, kostenpflichtige Genehmigung nötig, eine "Electronic Travel Authorisation" oder kurz ETA. Diese lässt sich auf einer offiziellen Webseite und in einer App anfordern.

Das LKA Niedersachsen warnt auf dem Portal polizei-praevention.de nun vor betrügerischen oder überteuerten Webseiten, die die Antragsstellung anbieten. Der Behörde liegen Hinweise zu Anzeigen von Personen vor, die eine Reise nach England geplant und die Webseite zur Beantragung der Einreisegenehmigung gesucht haben. Dadurch seien sie jedoch nicht auf der offiziellen Webseite gelandet, sondern bei Personen oder Webseiten, die unter anderem überteuerte Dienstleistungen zur ETA angeboten oder gar in betrügerischer Absicht Daten gesammelt und zu Zahlungen aufgefordert haben.

Laut LKA gibt es inzwischen mehrere Anbieter, die unterschiedlich seriöse Angebote dafür im Netz bereitstellen. In Suchergebnissen würden diese prominent platziert – es bleibt unklar, ob das durch SEO passiert oder geschaltete Werbung meint. Diejenigen, die sich darüber für einen England-Aufenthalt anmelden wollen, kommt es dann gegebenenfalls im Anschluss zur teuren oder gar bösen Überraschung, sofern sie nicht vorher Zweifel haben und den Vorgang abbrechen.

Es finden sich verschiedene Webseiten, die für diese Dienstleistung ein Vielfaches des eigentlichen "Originalpreises" auf der offiziellen Webseite in Höhe von rund 10 britischen Pfund, entsprechend derzeit etwa 12 Euro, verlangen. Die bisher aufgelaufenen Anzeigen nennen Beträge wie 70 oder sogar 200 britische Pfund.

Erschwerend kommt hinzu, dass persönliche, sensible Daten auf diesen Webseiten eingegeben werden müssen; das ist auch auf der Original-Webseite so. Was dort allerdings notwendig ist, fällt hier dann in Hände Dritter und kann damit auch an die Falschen geraten und so etwa für Phishing-Attacken oder Identitätsdiebstahl missbraucht werden. Wer auf solchen Webseiten einen Antrag stellt, läuft zudem Gefahr, dass der eigentliche Antrag nicht korrekt übermittelt werde. Es könne auch passieren, dass keine Einreisegenehmigung erfolgt oder Opfer lediglich eine gefälschte Genehmigung erhalten. Die offiziell benötigten Daten umfassen Kontaktdaten, Angaben zu Beruf und strafrechtliche Verurteilungen oder terroristische Handlungen, Reisepass-Foto und ein persönliches Foto – "solche Daten in fremden Händen wären für Cyberkriminelle viel Wert", schreiben die Strafverfolger.

Die speziell für anonymes Surfen im Netz entwickelte Linux-Distribution Tails ist in Version 6.14.1 erschienen. Sie verbessert die Integration des Tor-Browsers. Auch einige kleine Fehler haben die Entwickler korrigiert.

Wie die Maintainer des für den Start per [Link auf https://tails.net/news/version_6.14.1/index.en.html]USB-Stick ausgelegten Linux erklären, ist ihnen ein wichtiges Problem beim Test von Tails 6.14 aufgefallen, das sie rasch repariert und schließlich direkt Version 6.14.1 veröffentlicht haben.

Den zum anonymen Surfen wesentlichen Tor-Browser haben sie mit AppArmor an eine etwas längere Leine gelegt, was durch den Einsatz des neuen "XDG Desktop Portals" von Flatpak möglich wurde – das soll damit ohne Einschränkungen bei der Sicherheit möglich sein. Der Tor-Browser konnte zuvor lediglich in bestimmte Ordner schreiben und von dort lesen. Durch die Änderungen ist nun der sichere Zugriff auf alle Ordner im Home-Verzeichnis oder persistenten Speicher möglich. Es lassen sich nun auch weitere Funktionen für die Barrierefreiheit nutzen, etwa die große Text-Anzeige, änderbare Cursor-Größe und auch die Schaltflächen zum Minimieren und Maximieren sind wieder verfügbar.

Weitere kleinere Zipperlein, die die neue Version ausbessert, sind etwa ein möglicherweise einfrierender Willkommen-Bildschirm nach dem Aufsperren des persistenten Speichers, die Ergänzung einer klareren Begrenzung des Kleopatra-Fensters, wenn dieses vor einem weißen Hintergrund ist, oder eine Fehlermeldung, die aufkommt, wenn man in "Über Trails" nach Updates sucht. Zudem sind die Kernkomponenten wieder auf neuem Stand: Tor-Browser ist auf Stand 14.0.9, der Tor Client hingegen bei Version 0.4.8.16 angekommen.

Anfang März kam zudem Tails 6.13 heraus. Darin hatten die Entwickler den Tor-Verbindungsassistent aufgebohrt und einen Nachricht für den Fall hinzugefügt, dass keine WLAN-Hardware erkannt wurde.

In der Anyconnect-VPN-Software von Ciscos Meraki MX- und Z-Reihen sowie in Enterprise Chat and Email haben die Entwickler Sicherheitslücken mit hohem Risiko entdeckt. Aktualisierte Firm- und Software steht bereit, um sie zu schließen. Admins sollten sie zügig installieren.

Mit gültigen VPN-Zugangsdaten können bösartige Akteure in dem Anyconnect-VPN-Dienst von Ciscos Meraki MX- und Z-Geräten einen Denial-of-Service (DoS) provizieren, erörtert der Hersteller in einer Sicherheitsmitteilung. Das gehe darauf zurück, dass eine Variable beim Aufbau einer SSL-VPN-Sitzung nicht initialisiert werde, wodurch Angreifer manipulierte Attribute übergeben können. Das kann zum Neustart des Dienstes führen, wodurch auch andere VPN-Sitzungen in Mitleidenschaft gezogen werden (CVE-2025-20212, CVSS 7.7, Risiko "hoch").

In der Sicherheitsmitteilung listet Cisco diverse verwundbare Geräte. Für die einzelnen Firmware-Zweige gibt es Aktualisierungen, die Versionen 18.107.12 (für 18.1-Branch), 18.211.4 (für 18.2-FIrmwares) und 19.1.4 schließen die Sicherheitslecks. Firmwares vor 16.2 sind nicht anfällig, 16.2er- und 17er-Fassungen sollen auf die fehlerkorrigierten Entwicklungszweige migrieren.

In Ciscos Enterprise Chat and Email (ECE) können nicht authentifizierte Angreifer aus dem Netz einen Denial-of-Service provozieren. Daran ist laut Ciscos Warnung eine unzureichende Prüfung von User-übergebenen Daten an Chat-Entry-Points schuld. Durch das Senden manipulierter Anfragen können bösartige Akteure den Chat-Dienst lahmlegen, der sich zudem nicht automatisch davon erhole, sondern einen Neustart durch Admins benötigt (CVE-2025-20139, CVSS 7.5, Risiko "hoch").

Cisco stellt ECE 12.6 ES 10 als Software-Update bereit, das die Schwachstelle ausbessern soll. Wer die Software in Version 12.5 oder älter einsetzt, soll dennoch auf diesen Stand aktualisieren.

Eine Schadcode-Sicherheitslücke betrifft Apache Parquet. Das spaltenbasierte Open-Source-Dateiformat wird im Big-Data-Kontext eingesetzt, um Daten effizienter zu speichern und abzufragen. Ein Sicherheitspatch steht zum Download bereit.

Wie aus einem Eintrag in der Openwall-Mailingliste hervorgeht, haben die Entwickler die Schwachstelle in der Version 1.15.1 geschlossen. Alle vorigen Ausgaben sind verwundbar. Die Lücke (CVE-2025-30065) gilt als "kritisch" und ist mit dem höchstmöglichen CVSS Score 10 von 10 eingestuft. Sie betrifft konkret das parquet-avro-Modul der Java-Bibliothek von Apache Parquet.

Wie Sicherheitsforscher von Endor Labs in einem Bericht darlegen, können Angreifer mit präparierten Dateien an der Schwachstelle ansetzen. Aufgrund von unzureichenden Überprüfungen werden diese verarbeitet und es gelangt Schadcode auf Systeme. Im Anschluss können Angreifer unter anderem Malware installieren und Computer vollständig kompromittieren.

Die Forscher gehen davon aus, dass alle Applikationen, die Apache Parquet nutzen, angreifbar sind. Das betrifft somit auch Systeme, die Parquet-Dateien im Kontext von Big-Data-Frameworks wie Hadoop oder Spark verarbeiten. Admins sollten unbedingt prüfen, ob sie Apache Parquet an irgendeiner Stelle nutzen.

Bislang gibt es den Forschern zufolge keine Hinweise auf Angriffe. Aufgrund der kritischen Einstufung der Lücke sollten Admins das Sicherheitsupdate aber so schnell wie möglich installieren. Ist das nicht umgehend möglich, sollte die Verarbeitung von Parquet-Dateien streng überwacht werden. Demzufolge sollte ein lückenloses Monitoring und Logging stattfinden.

Bei koordinierten Angriffen auf die wichtigsten Pensionsfonds in Australien haben Kriminelle offenbar personenbezogene Daten erbeutet und zumindest scheinbar ganze Accounts leer geräumt. Das berichtet der Nachrichtensender ABC und erklärt, dass die Konten einiger Betroffener den Anschein erwecken, als seien allein bei vier Personen 500.000 australische Dollar (etwa 280.000 Euro) abgegriffen worden. Der betroffene Rentenfonds namens AustralianSuper hat die Angriffe eingestanden, versichert aber, dass die Konten sicher seien und die Anzeige eines Vermögens von 0 Dollar falsch sei. Ähnliche Vorgänge gibt es demnach bei anderen großen Pensionsfonds, alle hätten aber versichert, dass niemand seine Ersparnisse verloren habe.

Weitere Hintergründe zu den Vorfällen gibt es bislang nicht, lokale Medien berichten aber von erschrockenen Kunden und Kundinnen, denen der Blick in ihre Accounts einen gehörigen Schreck eingejagt hat. "Sehr beunruhigend, wenn man auf seinem Rentenkonto an einem Freitag plötzlich 0 Dollar hat", zitiert ABC einen Betroffenen. AustralianSuper hat erklärt, dass temporär der gesamten Kundschaft die Möglichkeit entzogen wurde, Bank- und einige Kontaktdaten zu ändern. Alle sollten überprüfen, ob ihre eingestellten Bankdaten korrekt sind. Zusammen mit der Information von ABC, dass einige Daten kompromittiert wurden, deutet das sehr wohl darauf hin, dass die unbekannten Kriminellen Zugriff auf mindestens einige Accounts erlangt haben.

Die betroffenen Fonds-Betreiber arbeiten demnach mit der nationalen Cybersicherheitsbehörde zusammen. Laut ABC war allein AustralianSuper im vergangenen Monat Ziel von 600 "versuchten Cyberangriffen", ohne das klar wird, was alles darunter fällt. Wer jetzt verdächtige Aktivität in seinem Konto bemerkt, soll sich telefonisch melden, schreibt das Unternehmen noch. Gleichzeitig weist es aber auch darauf hin, dass das aktuelle so viele Menschen versuchen würden, dass man sich dann auf "extrem lange" Wartezeiten einstellen müsse. Geäußert hat sich auch bereits Australiens Premierminister. Anthony Albanese erklärte demnach, dass er über den Vorfall unterrichtet wurde, Cyberattacken aber extrem häufig vorkommen würden.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Die interne Aufsicht des US-Verteidigungsministeriums untersucht die Veröffentlichung von Inhalten aus einem geheimen Gruppenchat hochrangiger Regierungsmitglieder. Auf Anfrage des Streitkräfteausschusses im Senat wird der Umgang des Verteidigungsministers Pete Hegseth mit der Signal-App geprüft, wie aus einem Schreiben der unabhängigen Kontrollinstanz hervorgeht.

Demnach soll untersucht werden, ob Hegseth unzulässigerweise operative Pläne für einen US-Militäreinsatz gegen die Huthi-Miliz im Jemen über die kommerzielle App teilte – und ob dabei Vorschriften zur Geheimhaltung sowie zur Aufbewahrung von Regierungsunterlagen eingehalten wurden. Auch das Handeln anderer Ministeriumsmitarbeiter steht laut dem Schreiben im Fokus.

Ende März hatte das US-Magazin The Atlantic die Inhalte des Chats öffentlich gemacht, nachdem dessen Chefredakteur – vermutlich versehentlich – in die Signal-Gruppe eingeladen worden war. Aus der weitergegebenen Kommunikation geht hervor, dass Hegseth etwa eine halbe Stunde vor Beginn einer Militäroperation den Zeitplan, die Abfolge der Bombardierung und eingesetzte Waffensysteme nannte. Wörtlich heißt es unter anderem: "Zielterrorist befindet sich an seinem bekannten Aufenthaltsort."

In ihrer Anfrage an die Pentagon-Aufsicht hatten der republikanische Senator Roger Wicker und der demokratische Senator Jack Reed erhebliche Bedenken geäußert. Es bestehe der Verdacht einer "Nutzung nicht klassifizierter Netzwerke für die Kommunikation über sensible und als geheim eingestufte Informationen".

Zumindest öffentlich stellte sich US-Präsident Donald Trump zuletzt hinter die Mitglieder der Chatgruppe, der auch sein Sicherheitsberater Mike Waltz angehörte. Dieser hatte den Atlantic-Chefredakteur offenbar unbeabsichtigt in die Runde eingeladen. Hinter den Kulissen gibt es laut New York Times jedoch durchaus Unmut innerhalb der Regierung.

Die Entwickler haben ein Problem in der VPN-Software Connect Secure (ICS) zunächst falsch als einfachen Bug eingeschätzt. Nun stellt sich heraus, dass es sich um eine veritable, kritische Sicherheitslücke handelt, die Cyberkriminelle bereits auf dem Schirm haben und für Angriffe auf verwundbare Systeme missbrauchen.

In einer Sicherheitsmitteilung warnt Ivanti vor den beobachteten Angriffen auf die Schwachstelle und räumt die zunächst vorgenommene Fehleinschätzung ein. Es handelt sich demnach um einen nicht detaillierter erklärten, Stack-basierten Pufferüberlauf. Angreifer können ihn ohne vorherige Authentifizierung aus dem Netz missbrauchen, um Schadcode einzuschleusen und auszuführen (CVE-2025-22457, CVSS 9.0, Risiko "kritisch").

Googles IT-Sicherheitstochterfirma Mandiant hat die seit Mitte März beobachteten Angriffe auf das Sicherheitsleck zusammen mit Ivanti untersucht. Sie lassen sich laut Mandiants Analyse auf eine Cyber-Bande aus China zurückführen. Diese habe dabei einen nur im Speicher aktiven Dropper namens "Trailblaze" sowie eine passive Backdoor mit der Bezeichnung "Brushfire" auf den ICS-Instanzen eingerichtet. Auch die Verteilung von Malware aus dem "Spawn"-Ökosystem haben die IT-Forscher beobachtet, die der APT-Gruppierung UNC5221 zugeordnet wird, die chinesischen Ursprungs ist.

Ivanti räumt die ursprüngliche Fehleinschätzung unumwunden ein: "Diese Schwachstelle wurde in Ivanti Connect Secure 22.7R2.6 (am 11. Februar 2025 herausgegeben) vollständig gepatcht und ursprünglich als Bug im Produkt identifiziert". Das Unternehmen erklärt auch, wie es dazu kam: "Bei der Schwachstelle handelt es sich um einen Pufferüberlauf, der auf die Zeichen Punkt und Zahlen beschränkt ist. Die Programmierer haben abgewägt, dass die Schwachstelle nicht zum Einschleusen und Ausführen von Code aus der Ferne ausgenutzt werden kann und auch nicht die Voraussetzungen für einen Denial-of-Service erfüllt." Ivanti und IT-Sicherheitspartner haben nun festgestellt, dass mit geschickten Methoden ein Missbrauch möglich und in freier Wildbahn zudem bereits erfolgt ist.

Der Hersteller erklärt außerdem: "Uns ist eine begrenzte Anzahl von Kunden bekannt, deren Ivanti Connect Secure (22.7R2.5 oder früher) und End-of-Support Pulse Connect Secure 9.1x Appliances zum Zeitpunkt der Veröffentlichung der Schwachstelleninformation ausgenutzt wurden." Ivanti empfehle allen Kunden, so schnell wie möglich sicherzustellen, dass sie Ivanti Connect Secure 22.7R2.6 einsetzen, das die Sicherheitslücke abdichtet.