Comretix Blog

Für den Webbrowser Firefox stehen Aktualisierungen bereit, die eine als kritisch eingestufte Sicherheitslücke schließen. Unter Windows ermöglicht sie bösartigen Akteuren, aus der Sandbox auszubrechen und somit Schadcode im System einzuschleusen und auszuführen.

In einer Sicherheitsmitteilung erklären die Mozilla-Entwickler, dass sie im Nachgang zu der jüngst in Google Chrome bekannt gewordenen, bereits in freier Wildbahn angegriffenen Sicherheitslücke ähnliche Muster im Code von Firefox für die Interprozesskommunikation (IPC, Inter Process Communication) gefunden haben. "Ein kompromittierter Child-Prozess kann dazu führen, dass der Eltern-Prozess einen unabsichtlich mächtigen Handle zurückliefert, was zu einem Ausbruch aus der Sandbox führt", erörtern die Entwickler den Fehler etwas kryptisch (CVE-2025-2857, kein CVSS, Risiko "kritisch").

Das Problem tritt lediglich unter Windows auf. Die Firefox-Versionen 136.0.4, Firefox ESR 115.21.1 und Firefox ESR 128.8.1 korrigieren die sicherheitsrelevanten Fehler. Wer die Mozilla-Webbrowser unter Windows nutzt, sollte zügig sicherstellen, die fehlerbereinigten Versionen einzusetzen.

Ob Firefox bereits aktuell ist, können Nutzerinnen und Nutzer durch den Aufruf des Versionsdialogs herausfinden. Der öffnet sich, wenn das Browser-Menü angeklickt wird, das sich hinter dem "Hamburger"-Symbol mit drei horizontalen Strichen rechts von der Adressleiste verbirgt, und dem weiteren Weg über "Hilfe" – "Über Firefox".

Der Versionsdialog installiert das Update und fordert anschließend zum Browser-Neustart auf.

IT-Forscher des IT-Sicherheitsunternehmens Forescout haben sich Photovoltaik-Anlagen angesehen und sind dabei insgesamt auf 46 neue Sicherheitslücken gestoßen. Diese könnten die Stromnetze gefährden, erörtern die IT-Forscher.

Forescout schlägt in dieselbe Bresche wie das BSI, das Anfang des Jahres Bedenken bezüglich der Sicherheit von Hersteller-Clouds von Wechselrichtern äußerte. Die IT-Sicherheitsbehörde sieht jedoch die Gefahr, dass "die Zentralregierung in Peking über die internetfähigen Komponenten von Solaranlagen direkten Einfluss auf einen systemrelevanten Teil der deutschen Stromversorgung" nehmen könnte. Die Forescout-Forscher sehen die Bedrohung eher durch bösartige Akteure im Netz, die etwa über die nun gefundenen Schwachstellen die Stromeinspeisung steuern und so die Stromnetzstabilität beeinflussen könnten.

In einem Blog-Beitrag fassen die IT-Forscher ihre Ergebnisse zusammen. Sie haben zunächst ältere, bereits gemeldete Schwachstellen gesammelt und ausgewertet. Dabei kamen sie auf 93 Lücken, von denen 80 Prozent die Risikoeinstufung "kritisch" oder "hoch" erhalten haben. Die meisten Schwachstellen fanden sie in Solar-Monitor-Systemen (38 Prozent) und den Cloud-Backends dahinter (25 Prozent). Weniger Schwachstellen weisen hingegen die Wechselrichter auf (15 Prozent).

Die IT-Forscher haben für die eigenen Analysen von den zehn größten Wechselrichter-Anbietern die oberen sechs ausgewählt: Ginlong Solis, GoodWe, Growatt, Huawei, SMA und Sungrow. Von denen haben sie Geräte für unterschiedliche Zwecke untersucht – für den Heimgebrauch, für Solarparks und für Industrie. Bei Growatt, SMA und Sungrow haben sie neue Sicherheitslücken entdeckt.

Die neu entdeckten Sicherheitslecks ermöglichen demnach Szenarien, die Einfluss auf die Stromnetzstabilität sowie die Privatsphäre haben. Einige Schwachstellen erlauben die Übernahme weiterer smarter Geräte in Heimnetzwerken. Die gute Nachricht ist jedoch, dass die Hersteller die Sicherheitslücken inzwischen gestopft haben.

Eigentlich sind Innovationen eine begrüßenswerte Sache. Doch wenn sie das Geschäftsmodell Cybercrime-as-a-Service (CaaS) betreffen, sind sie es sicher nicht: Sicherheitsforscher von Abnormal sind in einem Untergrundforum auf ein neues Cybercrime-Tool namens Atlantis AIO gestoßen, das Passwort-Attacken optimieren soll – so lautet zumindest das Werbeversprechen der kriminellen Anbieter.

Im Kontext von CaaS bieten Kriminelle Tools und Infrastrukturen für Cyberattacken an. Perfide: Die Angriffswerkzeuge sind oft so gestrickt, dass sie auch Cybercrimeeinsteiger verstehen. Nach erfolgreichen Angriffen kassieren die Anbieter eine Provision.

Werbung für Cybercrime-Dienstleistungen: Die Anbieter von Atlantis AIO versprechen ein Rundum-Sorglos-Paket inklusive Wahrung der Privatsphäre.

(Bild: Abnormal)

Dahinter stecken organisierte Profi-Verbrecher, die ihre Werkzeuge im Darknet mit Werbeanzeigen und Support anpreisen. So auch im Fall des jüngst von Sicherheitsforschern entdeckten Tools Atlantis AIO.

Splunk hat eine Reihe an Sicherheitslücken in mehreren Produkten gemeldet. Aktualisierte Software-Pakete stehen zum Herunterladen bereit, mit denen Admins diese Sicherheitslecks stopfen können.

Die gravierendste Lücke findet sich offenbar in Splunk Enterprise. Sie erlaubt Angreifern aus dem Netz, Schadcode einzuschleusen und auszuführen. Offenbar ist ein Login nötig, jedoch keine erhöhten Rechte der Rollen "admin" oder "power" (CVE-2025-20229, CVSS 8.0, Risiko "hoch"). Das Update auf Splunk Enterprise 9.4.0, 9.3.3, 9.2.5, 9.1.8 oder neuer behebt den Fehler, für die Cloud-Plattform kümmert sich Splunk um die Überwachung und das Anwenden der Patches.

Zudem können sensible Informationen aufgrund einer Schwachstelle im Splunk Secure Gateway abfließen. Nutzer mit eingeschränkten Rechten können dann mit erhöhten Rechten eine Suche starten und so unbefugt an Informationen gelangen. Beim Aufruf eines REST-Endpunkts können User-Session- und Autorisierungs-Tokens im Klartext im "splunk_secure_gateway.log" landen. Angreifer können das Ausnutzen, indem sie ein Opfer dazu bringen, eine Anfrage in ihrem Webbrowser zu starten und so die Daten "phishen". Diese Lücken schließen die Splunk-Enterprise-Versionen 9.4.1, 9.3.3, 9.2.5, 9.1.8 und neuere.

Zudem stufen die Splunk-Entwickler einige Lücken in Drittanbieter-Komponenten ein, die mit Splunk-Software ausgeliefert wird. Das betrifft etwa Splunk App for Data Science and Deep Learning, Splunk DB Connect, Splunk Infrastructure Monitoring Add-on sowie Splunk Enterprise. Außerdem warnt Splunk vor weiteren Schwachstellen mit mittlerem oder niedrigem Bedrohungsgrad und liefert Updates, die die Probleme beheben sollen.

Die einzelnen Sicherheitsmitteilungen nach Schweregrad der Lücken absteigend sortiert:

In CrushFTP, einer Datentransfer-Software, wurde eine schwerwiegende Sicherheitslücke entdeckt. Sie ermöglicht Angreifern aus dem Netz unbefugten Zugriff. Updates zum Schließen der Lücke stehen bereit.

In dem CVE-Schwachstelleneintrag zum CrushFTP-Sicherheitsleck findet sich nur eine knappe Beschreibung: CrushFTP in den Versionen 10.0.0 bis 10.8.3 und 11.0.0 bis 11.3.0 ist von einer Schwachstelle betroffen, die in nicht authentifiziertem Zugriff münden kann. HTTP-Anfragen ohne Authentifizierung aus dem Netz an CrushFTP ermöglichen Angreifern, nicht autorisierten Zugriff zu erlangen (CVE-2025-2825, CVSS 9.8, Risiko "kritisch").

Detailliertere Informationen liefert der Hersteller jedoch nicht. Auch auf der Update-Webseite von CrushFTP gibt es nur knappe Ergänzungen. Die Schwachstelle wurde im Rahmen einer "Responsible Disclosure" gemeldet. Es seien auch keine Angriffe in freier Wildbahn darauf bekannt. Sofern die DMZ-Funktion in CrushFTP genutzt werde, sei die Software jedoch nicht verwundbar.

Das Unternehmen drängt Admins, umgehend auf die Versionen 10.8.4 sowie 11.3.1 oder jeweils neuere zu aktualisieren. Dazu gibt es gegebenenfalls eine Option für automatische Updates in den Einstellungen, die durch einen manuell zu ergänzenden Eintrag in der prefs.XML-Datei ab CrushFTP 11.2.3_19 verfügbar ist und "daily_check_and_auto_update_on_idle" lautet. Unter Windows gibt es dabei jedoch unter Umständen einen Bug. IT-Verantwortliche finden die aktualisierten Software-Pakete zudem auf der Download-Seite von CrushFTP – das scheint die zuverlässigste Variante zum Anwenden des Updates zu sein.

Cyberkriminelle zeigen Interesse an Datentransfer-Software, da sie darüber oftmals an sensible Informationen gelangen können, mit denen sie angegriffene Unternehmen um Lösegeld erpressen. Etwa die Cybergang Cl0p hatte über solch eine Software (MOVEit Transfer) Daten von hunderten, teils namhaften Unternehmen abgezogen und versucht, von ihnen Geld abzupressen.

Ghostscript ist über mehrere Sicherheitslücken angreifbar. Weiterführende Informationen zu den Schwachstellen stehen aber noch aus. Ein Sicherheitspatch ist verfügbar. Derzeit gibt es keine Berichte zu Attacken.

Wie aus dem Changelog zur aktuellen Ghostscript-Version 10.05.0 hervorgeht, haben die Entwickler insgesamt neun Schwachstellengeschlossen: CVE-2025-27835, CVE-2025-27832, CVE-2025-27831, CVE-2025-27836, CVE-2025-27830, CVE-2025-27833, CVE-2025-27837 und CVE-2025-27834.

Die CVE-Nummer einer Sicherheitslücke wurde den Entwicklern zufolge noch nicht vergeben. Eine Einstufung des Bedrohungsgrads der Schwachstellen steht ebenfalls noch aus.

Den Kurzbeschreibungen der Lücken zufolge (etwa CVE-2025-27832), können Angreifer mit bestimmten Eingaben Speicherfehler auslösen. Das führt in der Regel zu Abstürzen (DoS), in vielen Fällen kann über diesen Weg aber auch Schadcode auf Systeme gelangen.

Von den Sicherheitsproblemen sind alle Ausgaben vor 10.05.0 betroffen. Zuletzt haben die Entwickler im Juli 2024 eine von Angreifern ausgenutzte Schadcode-Lücke geschlossen.

Cloudumgebungen, die Ingress NGINX Controller for Kubernetes einsetzen, sind verwundbar. Sicherheitsforscher von Wiz warnen vor tausenden, öffentlich über das Internet erreichbaren Instanzen von großen Firmen. Attacken können bevorstehen. Bislang gibt es aber noch keine Berichte zu laufenden Angriffen.

In einem Beitrag listen die Sicherheitsforscher vier Sicherheitslücken auf (CVE-2025-1097 "hoch", CVE-2025-1098 "hoch" , CVE-2025-24514 "hoch", CVE-2025-1974 "kritisch"), an denen Angreifer ohne Authentifizierung für Schadcode-Angriffe ansetzen können.

Sind Attacken erfolgreich, können Angreifer auf alle im Namespace eines Kubernetes-Cluster gespeicherten Geheimnisse zugreifen und mit diesen Informationen komplette Cluster kompromittieren. Die Sicherheitsforscher haben die Verwundbarkeiten „IngressNightmare“ getauft. Sie geben an, 6500 öffentlich über das Internet erreichbare Cluster entdeckt zu haben, die zu diversen Fortune-500-Unternehmen gehören.

Um eine Attacke einzuleiten, muss ein Angreifer Zugriff auf den Admission Controller eines verwundbaren Kubernetes-Clusters haben. Das ist aber in vielen Fällen keine große Hürde, da solche Komponenten in Netzwerken oft nicht ausreichend abgesichert sind und standardmäßig ohne Authentifizierung erreichbar sind, führen die Forscher aus. Der Admission Controller überprüft eingehende Ingress-Objekte, bevor sie bereitgestellt werden.

Ist der Zugriff gegeben, können Angreifer Instanzen über die Verarbeitung einer manipulierten Konfiguration dazu bringen, ein mit Schadcode präpariertes Modul zu laden. Weitere Details zu den Schwachstellen führen die Sicherheitsforscher in ihrem Beitrag aus. Dort erläutern sie auch, wie Admins herausfinden können, ob ihre Systeme bedroht sind oder sogar schon attackiert wurden.

Troy Hunt, Betreiber des Dienstes Have-I-Been-Pwned (HIBP), wurde Opfer einer Phishing-Attacke und damit selbst "Pwned". Es sind 16.627 E-Mail-Adressen der Mailingliste für den Newsletter zu Troys persönlichen Blog dadurch in unbefugte Hände abgeflossen.

In einem Blog-Beitrag erklärt Hunt, wie es zu dem Vorfall kommen konnte. Immerhin dürfte der Betreiber des größten öffentlich zugreifbaren Datenleck-Prüfungsdienstes erwartungsgemäß besonders widerstandsfähig gegen Phishing sein. Die Erklärung, wieso es nun anders kam, ist aber so einfach wie erwartbar: Hunt war demnach wirklich müde, litt an Jetlag und war beim Denken dadurch etwas langsam, erörtert er dort.

Hunt war in London unterwegs, als er eine Mail erhielt, die behauptete, dass seine Senderechte beim Mailinglisten-Dienst Mailchimp eingeschränkt wurden, da Beschwerden über SPAM-Versand vorlägen. Er folgte dem Link in der Mail, landete auf "mailchimp-sso.com" und gab dort seine Zugangsdaten ein, die von seinem Passwort-Manager 1Passwort nicht automatisch ausgefüllt wurden. Nach Angabe seines OTP aus der Authenticator-App hing die Seite jedoch fest – daraufhin fiel der Groschen: Hunt meldete sich bei der offiziellen Mailchimp-Webseite an, und eine Bestätigungsmail von Mailchimp benachrichtigte ihn über die Nutzung seiner Londoner IP-Adresse beim Dienst.

Er änderte umgehend sein Passwort, als ihn eine weitere Benachrichtigungsmail erreichte, in der er über den Export der Mailinglisten-Adressen von einer IP in New York informiert wurde. Nahezu zeitgleich kam eine Mail, die über einen Log-in von der New Yorker IP-Adresse informierte. Hunt erörtert, dass es offenbar ein hochautomatisierter Angriff war, um die Liste sofort zu exportieren, bevor ein Opfer Gegenmaßnahmen ergreifen kann. Die kopierten Daten umfassen die E-Mail-Adresse, IP-Adressen und geografische Ort. Es waren zudem auch noch Adressen von ehemals angemeldeten Newsletter-Empfängern enthalten, die sich bereits abgemeldet hatten. Das liege jedoch an Mailchimp: Der Anbieter löscht die Adressen nicht automatisch, sondern markiert sie lediglich als "unsubscribed"; Mailinglisten-Nutzer müssen sie manuell entfernen.

Hunt gibt sich zerknirscht und ist frustriert, auf diesen Phish hereingefallen zu sein. Er erörtert noch weitere Punkte, die den Erfolg der bösartigen Akteure begünstigt haben. So ermögliche Mailchimp die Absicherung mit zweitem Faktor, was jedoch weniger Phishing-sicher als Passkeys ist. Zudem zeigt Outlook nur den angegebenen Namen als Absender einer Mail an, anstatt die vollständige und eindeutig falsche E-Mail-Adresse selbst. Inzwischen ist die Domain auch in Googles Safe-Browsing-Datenbank gelandet, wodurch Webbrowser vor der Gefahr warnen.

In der 28. Folge des Security-Podcasts haben die Hosts einen Gast eingeladen. Viktor Schlüter sorgt für Verstärkung, wenn es um "Mobile Forensics" geht, also die möglichst umfassende Analyse der Daten auf einem Mobiltelefon. Viktor leitet das Digital Security Lab von Reporter ohne Grenzen und kennt sich gut mit solchen Smartphone-Durchsuchungen aus, weil sie immer wieder auch illegitim und beispielsweise gegen Journalisten eingesetzt werden.

In den VMware Tools klafft eine Sicherheitslücke, durch die Angreifer mit niedrigen Rechten in einer VM ihre Zugriffsrechte ausweiten können. Broadcom hat aktualisierte Software bereitgestellt, die diese Schwachstelle ausbessert.

In der Sicherheitsmitteilung von Broadcom erörtern die Autoren, dass aufgrund unzureichender Zugriffskontrollen die Umgehung der Authentifizierung möglich ist (CVE-2025-22230, CVSS 7.8, Risiko "hoch"). Bösartige Akteure mit nicht-administrativen Rechten in einem Windows-Gastsystem können dadurch Operationen, die höhere Zugriffsrechte benötigen, ausführen. Wie solche Angriffe aussehen und sich erkennen lassen, erörtern die Autoren der Mitteilung jedoch nicht.

Verwundbar sind die VMware Tools 11.x.y sowie 12.x.y unter Windows; VMware Tools für Linux und macOS sind hingegen nicht anfällig. Die VMware Tools in Version 12.5.1 für Windows sollen die Sicherheitslücke schließen.

Die aktualisierte Fassung steht nach dem Log-in auf der Download-Seite von Broadcom zum Herunterladen bereit. Laut den Release-Notes zum Update bessert die aktualisierte Software auch eine Sicherheitslücke in den mitgelieferten MS Visual C++ 2015-2022 Redistributables aus. Die Schwachstelle mit dem CVE-Eintrag CVE-2024-43590 ermöglicht laut Microsoft ebenfalls die Ausweitung der Rechte. Die Redmonder Entwickler haben eine Risikoeinschätzung als "hoch", mit einem CVSS-Wert von 7.8, dazu angegeben.

Anfang des Monats wurden Sicherheitslücken in VMware ESXi bekannt, die von Angreifern attackiert wurden. In der ersten März-Woche waren noch zehntausende Server verwundbar und im Internet exponiert. Die Admins hatten die Aktualisierung zum Stopfen der als "kritisch" eingestuften Sicherheitslücke offenbar noch nicht installiert. In Deutschland waren zu dem Zeitpunkt noch 2800 Server verwundbar, global hingegen mehr als 41.000.

Google hat in der Nacht zum Mittwoch eine Aktualisierung für den Webbrowser Chrome veröffentlicht. Sie stopft ein Zero-Day-Sicherheitsleck, das Angreifer bereits in freier Wildbahn missbrauchen. Wer Chrome einsetzt, sollte zügig prüfen, ob bereits die fehlerkorrigierte Fassung installiert und aktiv ist.

In der Versionsankündigung schreiben Googles Entwickler, dass unter nicht genannten Umständen in der Mojo-Komponente von Chrome unter Windows ein inkorrekter Handle vergeben wird (CVE-2025-2783, kein CVSS, Risiko laut Google "hoch"). Ein Handle liefert Zugriff auf Ressourcen, in diesem Fall jedoch auf die falschen, was sich von Angreifern missbrauchen lässt – und das machen sie bereits, was Google in der Versionsankündigung auch erwähnt: "Google hat Kenntnis von Berichten, dass ein Exploit für CVE-2025-2783 im Netz existiert".

Die attackierte Zero-Day-Lücke haben IT-Forscher von Kaspersky entdeckt. Sie beschreiben in einem Blog-Beitrag die beobachteten Angriffe der "Operation ForumTroll"-APT. Demnach beginnt der Angriff mit einer Phishing-Mail, die vorgeblich zu einem Event des internationalen Wirtschafts- und Politikwissenschaftsforum einlädt und zu einem Programm sowie Anmeldeformular führt. Beide Links führen im Webbrowser Chrome unter Windows jedoch zu einer Malware-Infektion, ohne weitere Interaktion der Opfer.

Details zur Schwachstelle will auch Kaspersky noch nicht erläutern, aber beschreibt den Fehler als Logikfehler zwischen Chrome und Windows-Betriebssystem, der erlaubt, den Sandbox-Schutz von Chrome zu umgehen. Die beobachteten Angriffe richteten sich insbesondere gegen russische Medienrepräsentanten, Angestellte von Bildungseinrichtungen und Regierungsorganisationen. Kaspersky geht davon aus, dass die Angreifer die Opfer ausspionieren wollen. Die Links aus den Phishing-Mails sind derzeit nicht mehr aktiv, Angreifer können den Exploit jedoch jederzeit anderweitig anwenden.

Die aktuellen fehlerkorrigierten Versionen lauten Chrome 134.0.6998.177/.178 für Windows. Die extended-Stable-Version ist mit Stand 134.0.6998.178 unter Windows auf dem fehlerkorrigierten Stand.

Verschlüsselung ist nicht nur etwas für Spione oder Dissidenten – Verschlüsselungsalgorithmen stecken in jeder Browser-Session, jedem Internet-Kauf und Bezahlvorgang und jedem eingespielten Patch. Allerdings beruht die klassische Kryptografie im Kern auf mathematischen "Einwegfunktionen". So lassen sich zwei Primzahlen zwar leicht miteinander multiplizieren, es ist aber sehr schwer, aus dem Ergebnis wieder auf die Primzahlen zurückzurechnen. Spätestens dann, wenn es praktisch einsetzbare Quantencomputer gibt, gilt diese Annahme aber nicht mehr. Dann lassen sich auch Einwegfunktionen knacken.

Bei der Quantenkryptografie wird jede Session theoretisch mit einem neuen Schlüssel verschlüsselt. Dazu wird der Schlüssel auf dem sicheren Quantenkanal zuerst übertragen. Der ist gegen Abhören gesichert – zumindest theoretisch. Denn die Übertragung nutzt die Quanten-Überlagerung von Zuständen, um Daten zu übertragen. Werden die Bits zwischendurch abgezweigt, geht diese Quanten-Überlagerung verloren, wodurch Sender und Empfänger wissen, dass sie abgehört werden.

Theoretisch sicher heißt in diesem Zusammenhang: Weil jede Quantenverschlüsselung sowohl in Hardware als auch in Software realisiert werden muss, gibt es natürlich auch wieder Lücken, die von Angreifern genutzt werden können. Allerdings ist Quanten-Hacking sehr viel aufwendiger als normales Abhören.

Quantenkryptografie kann auf vielen verschiedenen Wegen implementiert werden. Die kommerzielle Nutzung ist nach wie vor auf Nischen beschränkt. Das hat zwei Gründe. Zum einen ist die Datenübertragungsrate verhältnismäßig gering. In der Praxis wird daher über die Quantenverbindung nur der kryptografische Schlüssel getauscht. Die damit verschlüsselten Daten werden dann herkömmlich übertragen. Zum anderen ist die Reichweite quantenkryptografischer Verbindungen per Glasfaser relativ gering – rund 100 Kilometer. Dann muss eine Zwischenstation eingerichtet werden.

Chinesische Forscherinnen und Forscher konnten jedoch bereits 2016 zeigen, dass sich solche Verbindungen mit einem Satelliten auch über sehr große Entfernungen aufbauen lassen. In Kooperation mit dem Institut für Quantenoptik und Quanteninformation (IQOQI) in Wien konnten sie über den Satelliten Micius erstmals eine interkontinentale Quantenverbindung aufbauen. Im Satellit leuchtete ein ultravioletter Laser hoher Intensität in einen speziellen Kristall. Dabei entstanden aus einem Lichtteilchen zwei "verschränkte" Photonen mit der halben Energie. Ein Photon wurde nach Peking geschickt, das andere nach Wien. Wurde die Polarisation von einem der Teilchen in Wien gemessen, legte das auch die des zweiten Teilchens in Peking fest – und umgekehrt.

Der Open Technology Fund (OTF) hat vor dem US-Bezirksgericht in Washington D.C. eine Klage gegen die US Agency for Global Media (USAGM) und das Office of Management und Budget eingereicht. In seiner Klage beantragt der OTF eine einstweilige Verfügung, damit das USAGM die einbehaltenen Fördergelder freigibt. Zuvor hatte US-Präsident Donald Trump per Dekret veranlasst, die USAGM im Rahmen der aktuellen Gesetzeslage weitgehend einzuschränken. Von seinen Mitteln fördert der OTF unter anderem die Zertifizierungsstelle Let’s Encrypt und das Anonymisierungsnetzwerk Tor.

In seinem Antrag argumentiert der OTF, dass die Kündigung des Zuschusses durch die USAGM rechtswidrig sei, da die Bereitstellung der Fördermittel bereits durch den Kongress beschlossen ist. Im Rahmen dieses Beschlusses ist für das Jahr 2025 ein Gesamtbetrag von 43,5 Millionen US-Dollar vorgesehen, der 98 Prozent der Finanzierung des OTF ausmache. Der USAGM überwacht die finanziellen und programmatischen Aktivitäten der OTF und leistet die Zahlungen an das gemeinnützige Unternehmen. Für die Betriebskosten im März habe der OTF eine Auszahlung von rund 650.000 US-Dollar beantragt und nicht erhalten.

Kari Lake, geschäftsführende CEO der USAGM und Sonderberaterin der Trump-Regierung, beschrieb die US-Behörde in einer Stellungnahme als "riesige Fäulnis und Belastung für den amerikanischen Steuerzahler", die außerdem ein nationales Sicherheitsrisiko darstelle. Der OTF-Vorstandsvorsitzende Zack Cooper argumentierte hingegen, dass seine Organisation das effizienteste und effektivste Werkzeug gegen Zensur und Einflussnahme sei. Ein Ende der OTF-Projekte "würde die nationale Sicherheit Amerikas schwächen und Millionen Menschen weltweit hinter autoritären Informations-Firewalls gefangen halten", so Cooper.

Insgesamt steckt viel Geld der US-Regierung in Open-Source-Software. So erhielt Let’s Encrypt im vergangenen Jahr rund 800.000 US-Dollar Fördermittel vom OTF, das Tor-Netzwerk bekam knapp 500.000 US-Dollar und an den quelloffenen Android-Appstore F-Droid flossen 396.000 US-Dollar. Insgesamt unterstützt die Organisation derzeit rund 50 Projekte, darunter auch die Entwicklung des freien VPN-Clients OpenVPN. Eigenen Angaben zufolge hat der OTF etwa 2500 Patches für quelloffene Software veröffentlicht und fördert die Organisation VPNs für rund 45 Millionen Menschen in Ländern mit Zensur. OTF-Präsidentin Cunningham sieht in der Klage den einzigen Weg, den Fortbestand dieser Projekte zu sichern.

Cloudflare will die Kommunikation im Netz sicherer machen und würgt dazu den API-Zugriff mittels unverschlüsseltem HTTP ab. Das soll unbefugte Lauscher daran hindern, sensible Informationen abzugreifen und damit unter Umständen Missbrauch zu treiben.

In einem Blog-Beitrag erläutert Cloudflare, wie das Unternehmen einen besseren Schutz bieten möchte. Verbindungen über Klartext-Protokolle wie HTTP sind dem Risiko ausgesetzt, sensible Informationen preiszugeben, da sie unverschlüsselt übertragen werden und so von Zwischenstationen im Netz wie WLAN-Hotspots, Internet-Providern oder bösartigen Akteuren abgreifbar sind. Die Cloudflare-Mitarbeiter schreiben, dass es daher für Server inzwischen üblich ist, HTTP-Verbindungen umzuleiten oder eine HTTP-403-Fehlermeldung (Forbidden) zurückzuliefern, um die Verbindung zu schließen und die Nutzung von HTTPS durch die Clients zu erzwingen.

Zum Zeitpunkt solch einer Umleitung ist das Kind jedoch bereits in den Brunnen gefallen, da sensible Informationen wie API-Schlüssel im Klartext übertragen worden sind. Die Daten wurden offengelegt, noch bevor der Server die Möglichkeit hatte, den Client umzuleiten oder die Verbindung abzulehnen. Daher sei der bessere Ansatz, die Netzwerk-Ports für Klartext-HTTP dichtzumachen – und den setzt Cloudflare nun um.

Ab sofort schließt Cloudflare die HTTP-Ports auf "api.cloudflare.com", zumindest für die interne Nutzung. Zugleich hat das Unternehmen eingerichtet, dass die URL die IP-Adresse dynamisch ändern kann, um Namen von IP-Adressen zu entkoppeln. Wer statische API-IPs nutzt, soll rechtzeitig über zu ergreifende Maßnahmen informiert werden.

Cloudflare ermöglicht den Kunden, mittels Opt-in alle HTTP-Ports für ihre Webseiten und Domains abzuschalten. Das soll als kostenlose Funktion im letzten Quartal dieses Jahres kommen. Bereits jetzt kennt Cloudflare eine "Always use HTTPS"-Einstellung, um allen Kundenverkehr zu Kunden-Domains von HTTP auf HTTPS umzulenken. Beispielsweise durch einen HTTP-3XX-Redirect landet eine Anfrage an die http://-URL dann auf https://. Allerdings kann im Falle des Aufrufs von "api.cloudflare.com" so bereits der API-Key entfleuchen. In so einem Fall müssten Betroffene die API-Keys erneuern und darüber informiert werden. Ein präventiver Ansatz erlaubt aber gar nicht erst den Aufbau einer solchen unsicheren Verbindung, etwa durch Schließen aller Klartext-HTTP-Ports. Da keine API-Keys dadurch korrumpiert werden, müssen sie auch nicht rotiert und erneuert werden.

Sicherheitsforscher von CloudSEK berichten, dass im Darknet sensible Daten von rund 140.000 Oracle-Kunden zum Verkauf stehen. Diese Informationen sollen aus einer Cyberattacke stammen. Dem Hard- und Softwarehersteller zufolge hat es keinen IT-Sicherheitsvorfall gegeben.

Das versicherte ein Oracle-Sprecher der IT-Nachrichtenwebsite Bleepingcomputer. Die Antwort auf eine Anfrage von heise security steht derzeit noch aus. Diese Stellungnahme steht konträr zu den Aussagen der Sicherheitsforscher in ihrem Bericht.

Darin führen sie aus, dass ein Nutzer mit dem Pseudonym "rose87168" in einem Untergrundforum ein Datenpaket mit 6 Millionen Einträgen mit persönlichen Daten von 140.000 Oracle-Kunden zum Verkauf anbietet. Die Sicherheitsforscher geben an, mit dem Anbieter der Daten gesprochen zu haben.

Sie führen aus, dass der Angreifer sich über eine Sicherheitslücke Zugang zu oraclecloud.com verschafft haben könnte. Dabei soll er Daten wie verschlüsselte SSO-Passwörter kopiert haben. Er ruft nun zum Knacken der Kennwörter auf und stellt eine Belohnung in Aussicht. Auf X hat er den Forschern zufolge eine Liste mit betroffenen Unternehmen angelegt. Diese können sich beim ihm melden, sodass er ihre Daten gegen eine Gebühr entfernt.

Als Beweis, dass er die mittlerweile offline genommene Subdomain login.us2.oraclecloud.com kompromittiert hat, führen die Sicherheitsforscher eine URL auf, die zu einer Textdatei mit der Mailadresse des Cyberkriminellen auf dem Oracle-Server führt. Diese Adresse ist noch über die Waybackmachine zugänglich.

An drei Tagen standen die Referenten der secIT 2025 Rede und Antwort. Vor allem die von c’t, heise security und iX ausgewählten Vorträge und Workshops waren echte Publikumsmagneten. Die Konferenzmesse wächst stetig und feierte in diesem Jahr mit 4100 Besuchern einen neuen Rekord.

Im Herbst geht es dann direkt weiter und am 10. und 11. September 2025 findet die digitale secIT statt. Die Vorträge und Workshops sind bequem als Live-Videostream im Webbrowser abrufbar. Die secIT 2026 in Präsenz ist für 17. bis 19. März 2026 angesetzt.

In drei Messehallen, auf vier Bühnen und in vielen Workshopräumen skizzierten die Referenten die aktuelle Bedrohungslage und hatten unzählige essenzielle Sicherheitstipps im Gepäck. Sie vermittelten ihr Fachwissen verständlich, gingen aber vor allem in den Ganztagsworkshops auch in die Tiefe.

Tim Dechent

Dabei ging es unter anderem um die Sicherheit im Active Directory, M365 und Entra ID. Es wurden gängige Angriffsmuster analysiert und Gegenrezepte präsentiert. Auch die Cloudsicherheit von etwa Amazon AWS stand im Fokus und Sicherheitskonzepte wie Zero Trust wurden kritisch beleuchtet. Außerdem erläuterten die Referenten Rahmenbedingungen für ein vor Ransomware sicheres Backupkonzept.

Die Drahtzieher hinter dem Badbox-Botnet haben ihre Aktivitäten angepasst und das Badbox-2.0-Botnet aufgebaut – mit mehr als einer Million infizierten Geräten. Die ursprüngliche Badbox-Malware hatte Ende vergangenen Jahres zigtausende Internet-of-Things-Geräte mit AOSP-basierter Firmware (Android Open Source Project) infiziert. Das BSI legte im Dezember die Kommunikation von 30.000 Drohnen in Deutschland lahm.

Die geografische Verteilung der mit Badbox 2.0 infizierten Geräte zeigt besonders viele in Brasilien, den USA und Mexiko.

(Bild: Humansecurity)

Humansecurity berichtet in einem Blog-Beitrag, dass das Badbox-2.0-Netzwerk nun ebenfalls zumindest in Teilen gestört werden konnte. Das gelang in Zusammenarbeit von Humansecurity, Google, Trend Micro, Shadowserver und weiteren Beteiligten. Wie der Vorgänger Badbox befällt Badbox 2.0 primär billige Endanwender-Geräte. Mehr als eine Million markenlose, nicht zertifizierte Connected-TV-Boxen (CTV), Tablets, digitale Projektoren und weitere Geräte mit AOSP-basierter Firmware sind demnach betroffen. Mit Play Protect geschützte Geräte oder solche mit Android TV OS sind hingegen nicht darunter.

Sämtliche Geräte seien in China produziert und global verschifft worden, erörtern die IT-Forscher. Sie haben Badbox-2.0-Traffic aus 222 Ländern und Regionen beobachtet. Die größte Verbreitung hat die Malware in Brasilien (37,62 %), den USA (18,21 %) sowie in Mexiko (6,32 %). Nach der Störaktion des BSI gegen das ursprüngliche Badbox-Botnetz im Dezember weisen die Forscher für Deutschland keinen signifikanten Anteil mehr aus.