Comretix Blog

Die US-amerikanische IT-Sicherheitsbehörde CISA warnt vor jüngst beobachteten Angriffen in freier Wildbahn auf Schwachstellen in Linux, Apache OFBiz, Microsofts .Net-Framework und Paessler PRTG. IT-Verantwortliche sollten daher rasch prüfen, ob die aktuellen Sicherheitsupdates dafür installiert sind und das gegebenenfalls nachholen.

Anzeige

In der Nacht zum Donnerstag hat die CISA eine Warnung vor einer bei einem Angriff missbrauchten Sicherheitslücke im Linux-Kernel herausgegeben. Die Schwachstelle betrifft den USB-Video-Class-Treiber (UVC), der beim Verarbeiten von Videoströmen Frames mit dem Typ "UVC_VS_UNDEFINED" übersprungen hat, was zu Schreibzugriffen außerhalb vorgesehener Grenzen führen kann, da diese Frames bei der Berechnung einer Puffergröße nicht berücksichtigt wurden (CVE-2024-53104). Die Lücke wurde Anfang des vergangenen Dezembers bekannt, Kernel-Updates zum Schließen des Lecks stehen seitdem bereit.

Kurz zuvor hat die CISA zudem vor weiteren Angriffen im Netz gewarnt. Angreifer nehmen demnach Sicherheitslücken in Apache OFBiz (CVE-2024-45195, Fix seit September 2024 verfügbar), in Microsofts .Net-Framework (CVE-2024-29059, Korrekturen seit März 2024 erhältlich) sowie in Paessler PRTG ins Visier (CVE-2018-9276, Juli 2018 gefixt, und CVE-2018-19410, im November 2018 behoben).

Die CISA nennt keine weitergehenden Details, etwa wie die Angriffe aussehen, wie weitreichend sie sind, welche Auswirkungen sie haben oder wie sich attackierte Systeme identifizieren lassen. Jedoch stehen für alle angegriffenen Sicherheitslücken Softwareupdates bereit, die die Lücken schließen. IT-Verantwortliche, die die betroffenen Produkte einsetzen, sollten prüfen, ob alle Instanzen auch auf aktuellem Stand und somit abgesichert sind.

Elon Musk glaubt, die Zukunft der Menschheit liege auf dem Mars. Das britische Unternehmen Deep hingegen sieht sie im Meer. Dafür entwickelt Deep mehrere Habitate, in denen Menschen 200 Meter unter der Meeresoberfläche leben können. Getestet werden sie künftig in einem 80 Meter tiefen See in einem stillgelegten Steinbruch in der Grafschaft Gloucestershire, nahe der Grenze zu Wales.

Anzeige

Starten will Deep mit dem Modul Vanguard, in dem drei Menschen Platz finden sollen. Gedacht ist es als unterseeische Basis für Taucher, etwa für Expeditionen oder auch für Rettungsmissionen wie bei der im vergangenen Jahr gesunkenen Superyacht Bayesian des britischen Unternehmers Mike Lynch. Wenn die Taucher eine Basis am Meeresgrund haben, dann verlängert sich die Einsatzdauer im Wasser.

Vanguard ist für kürzere Missionen gedacht. Das modulare System Sentinel hingegen soll längere, mehrere Wochen dauernde Aufenthalte in der Tiefe ermöglichen. Ein Sentinel-Segment soll einen Durchmesser von 6 Metern haben, wird also zwei Stockwerke hoch. Es wird aus etwa 3 Meter großen Sektionen bestehen, die beliebig kombiniert werden können.

Gefertigt werden die Module aus einem Spezialstahl in einem additiven Verfahren. Dafür hat Deep kürzlich eine eigene Fertigungssparte gegründet. Zunächst sollen die Roboter Komponenten für Sentinel bauen. Deep Manufacturing plant aber, auch als Auftragsfertiger tätig zu sein.

Google.org, der gemeinnützige Arm des Internetkonzerns Alphabet, gibt jährlich etwa 100 Millionen US-Dollar für nicht kommerzielle Zwecke aus. Bis zu eine Million fließt nun an die TU München.

Anzeige

Die Technische Universität München hat mit Unterstützung aus dem kalifornischen Silicon Valley ein neuartiges Ausbildungsprogramm zur Verbesserung der Cybersicherheit in Deutschland gestartet. Über 200 Studierende haben dabei die Möglichkeit, die an der Uni erworbenen Fähigkeiten im Bereich Cybersicherheit in realen Situationen anzuwenden, teilen die TU München und Google.org mit.

Die Hochschule in München ist die einzige deutsche Universität, die im Rahmen dieses Cybersicherheits-Programms gefördert wird. Weltweit erhalten mehr als 20 Universitäten Mittel aus dem Fördertopf, der insgesamt 15 Millionen Dollar enthält.

Durch das Programm sollen mehr als 250 Unternehmen und gemeinnützige Organisationen in Deutschland unterstützt werden, die typischerweise als besonders gefährdet für Cyberangriffe gelten. Mit dem Projekt strebe man an, hohe Sicherheitsstandards zu erreichen. Betroffenen Einrichtungen sollen Cyberangriffe besser abwehren können.

Zu der Liste an Diensten und Angeboten, die sich mit Passkeys nutzen lassen, gesellt sich nun das Online-Konto bei der Bundesagentur für Arbeit. Anstatt lediglich auf Nutzernamen und Passwort – und gegebenenfalls einen zweiten Faktor – zu setzen, ist damit eine tatsächlich vor Phishern weitgehend sichere Anmeldeoption verfügbar.

Anzeige

Eine eigene Passkey-Webseite der Bundesagentur für Arbeit erläutert die Einrichtung und beantwortet einige häufig gestellte Fragen. Technisch verdongelt bei Passkeys ein Zertifikatspaar den genutzten Rechner mit einem Dienst oder Angebot: Ein privates Zertifikat wird lokal gesichert und ein öffentliches liegt auf dem Server des Online-Dienstes. Es werden keine Passwörter mehr übertragen. Nutzernamen und Passwörter sind oftmals das Ziel von Phishing-Angriffen. Derartige Zugangsdaten finden sich auch immer wieder in Datensammlungen im Internet. Angreifer können sie dann nutzen, um im Namen der Opfer zu agieren und so Schaden anzurichten. Private Schlüssel von Passkeys bleiben lokal und werden nicht an Server geschickt, sodass Angreifer sie nicht stehlen können.

Wer Passkeys nutzt, muss keine Nutzernamen und Passwörter mehr eingeben, sondern legt in der Regel einfach einen Finger auf den Fingerabdruckscanner von Smartphone oder PC oder lässt das Gesicht scannen, um die Nutzung des privaten Schlüssels zu erlauben. Damit lässt sich der Zugriff auf das Konto einfach und schnell freigeben. Die sicherere Lösung ist damit sogar komfortabler.

Die Passkeys lassen sich im Benutzerkonto unter dem Punkt "Arbeitsagentur-Konto" – "Passkeys verwalten" erstellen und gegebenenfalls auch löschen. Bis zu zehn Passkeys können Interessierte erstellen.

Internet-Router der Nighthawk Pro Gaming-Reihe von Netgear haben eine Sicherheitslücke, durch die Angreifer Schadcode einschleusen und ausführen können. Dafür ist keine Anmeldung erforderlich, Netgear stuft die Lücke daher als kritisch ein. Updates stehen bereit, die Admins umgehend anwenden sollten.

Anzeige

In einer Sicherheitsmitteilung warnt Netgear, dass die Router XR500, XR1000 und XR1000v2 anfällig sind. Daher habe das Unternehmen Sicherheitsupdates veröffentlicht, die die Lücke stopfen. Die neuen Versionen 2.3.2.134 für XR 500, 1.0.0.74 für XR1000 und 1.1.0.22 für XR1000v2 enthalten die Fehler nicht mehr. Netgear rät dringend dazu, die neue Firmware so schnell wie möglich herunterzuladen. Weitere Informationen zur Schwachstelle bleibt Netgear schuldig, die Autoren schreiben nicht, wie Angreifer die Lücke missbrauchen können. Einzig das Firmware-Update helfe jedoch, die Lücke zu schließen (CVE-2025-25246, CVSS 9.8, Risiko "kritisch"). Mitre stuft die Schwachstelle etwas harmloser ein, mit einem CVSS-Score von 8.1 als "hohes" Risiko.

Auf der Netgear-Support-Webseite sollen Admins die Modellnummer ihres Routers in die Suchbox eingeben und aus dem erscheinenden Drop-Down-Menü das eigene Modell auswählen. Unter "Downloads", dann "Current Version" ist der Titel, der mit "Firmware Version" anfängt, anzuklicken. Auf der Seite muss dann noch mal "Download" geklickt werden, um die Datei herunterzuladen. Einfacher soll das Firmware-Update mit den Netgear-Apps klappen, insbesondere mit der Netgear Nighthawk Aoo zur Verwaltung von Nighthawk-Routern.

Die älteren Netgear-Router FVS336Gv2 und FVS336Gv3 weisen eine Sicherheitslücke auf, durch die Angreifer Befehle über Telnet einschleusen können. Laut Schwachstelleneintrag in der NIST-Datenbank müssen Angreifer dafür angemeldet sein, können dann aber beliebige Befehle mit Root-Rechten ausführen. Dazu müssen sie lediglich manipulierte "util backup_configuration" senden (CVE-2024-23690, CVSS 7.2, hoch). Da die Router an ihrem End-of-Life angelangt sind, gibt es dafür keine Sicherheitsupdates mehr. Nutzerinnen und Nutzer sollten die Geräte durch aktuelle mit Hersteller-Support austauschen.

In Veeam Backup Appliances kommt ein Updater zum Einsatz, der eine Sicherheitslücke erhält. Angreifer können dadurch Schadocde einschleusen und ausführen. Updates sind verfügbar.

Anzeige

In einer Sicherheitsmitteilung erörtert Veeam die Schwachstelle. "Eine Schwachstelle in der Veeam Updater-Komponente ermöglicht Angreifern, eine Man-in-the-Middle-Attacke zu nutzen, um beliebigen Code auf betroffenen Appliances mit Root-Berechtigungen auszuführen", schreibt der Hersteller (CVE-2025-23114, CVSS 9.0, Risiko "kritisch"). Davon sei etwa die aktuelle Version von Veeam Backup for Salesforce 3.1 und vorherige betroffen.

Der Versuch, die betroffenen Versionen aufzulisten, wird etwas von den Marketing-Bemühungen durchkreuzt, die Lücke und Auswirkungen möglichst kleinzureden. Konkret betroffen sind demnach jedoch Veeam Backup for AWS 6a und 7, for Google Cloud 4 und 5, for Microsoft Azure 6a und 6, for Nutanix AHV 5.0 und 5.1 sowie for Oracle Linux Virtualization Manager und Red Hat Virtualization 3, 4.0 und 4.1. Für diese stehen teils seit Mitte vergangenen Jahres jedoch aktualisierte Versionen bereit. Für Veeam Backup for Salesforce steht nun neu die Updater-Komponente in Version 7.9.0.1124 zur Verfügung, die die Schwachstelle ebenfalls ausbessert.

Wer Veeam Backup & Replication mit diesen Appliances einsetzt, muss die Software auf Version 12.3 oder neuer aktualisieren und die Appliances auf die genannten fehlerkorrigierten Stände oder jüngere bringen. Die aktualisierten Pakete sollen im Repository von Veeam zum Download bereitstehen. Die Aplliances und Software enthält jedoch einen einfach nutzbaren Update-Mechanismus, der standardmäßig aktiv ist und die Aktualisierungen bereits durchgeführt haben sollte. Dies sollten IT-Verantwortliche überprüfen und gegebenenfalls nachholen.

Angreifer können an fünf Sicherheitslücken in HPE Aruba Networking ClearPass Policy Manager (CPPM) ansetzen und Systeme im schlimmsten Fall kompromittieren. Sicherheitsupdates stehen zum Download bereit.

Anzeige

CPPM ist eine Zugriffsmanagementlösung, mit der Admins Netzwerkzugriffe steuern und überwachen können.

In einer Warnmeldung listen die HPE-Entwickler weiterführende Informationen zu den geschlossenen Sicherheitslücken (CVE-2025-23058 "hoch", CVE-2024-7348 "hoch", CVE-2025-23059 "mittel", CVE-2025-23060 "mittel", CVE-2025-25039 "mittel") auf.

Sind Attacken erfolgreich, können sich Angreifer unter anderem höhere Nutzerrechte verschaffen und etwa bestimmte Funktionen mit Admin-Rechten ausführen. Außerdem können Angreifer sensible Daten einsehen. Wie Attacken konkret ablaufen könnten, ist bislang unklar.

Socket-Forscher haben im Ökosystem der Programmiersprache Go ein bösartiges Typosquatting-Paket entdeckt, das sich als das BoltDB-Modul ausgibt. Dieses Paket enthält eine Hintertür zur Remote-Code-Ausführung und nutzt den Go Module Mirror-Dienst, um im Cache zu bleiben. Gleichzeitig wurden die Git-Tags geändert, um die Malware vor manuellen Überprüfungen zu verbergen.

Anzeige

Das Thema Typosquatting ist nicht neu: Bereits bei den Paketmanagern PyPI und npm hatte es in den letzten Jahren immer wieder derartige Vorfälle gegeben, bei denen Schadcode in Paketen mit ähnlich klingenden Namen wie populäre Bibliotheken versteckt wurde, um Nutzerinnen und Nutzer zu täuschen und zum Herunterladen dieser bösartigen Pakete zu verleiten.

Im aktuellen Fall entwickelte ein Angreifer ein bösartiges Go-Paket mit dem Namen boltdb-go/bolt, das dem weitverbreiteten und legitimen BoltDB-Paket zum Verwechseln ähnlich sieht. Nachdem das bösartige Paket vom Go Module Proxy zwischengespeichert wurde, änderte der Angreifer die Git-Tags im Quell-Repository, sodass sie auf eine saubere, legitime Version verweisen. Dadurch blieb die bösartige Version für Entwicklerinnen und Entwickler verfügbar, die den Proxy nutzten, selbst wenn sie manuell das GitHub-Repository überprüften.

Ein bösartiges Codebeispiel aus dem Blogbeitrag von Socket zeigt anhand von Kommentaren, wie der Angreifer beim Einrichten und Aktivieren einer versteckten Hintertür in der db.go-Datei vorgegangen ist:

Der Support für mehrere Zyxel-Router ist dem Hersteller zufolge schon seit mehreren Jahren ausgelaufen. Demzufolge sollten die Geräte nicht mehr genutzt werden. Aktuell laufende Attacken verschärfen die Situation.

Anzeige

In einem Beitrag führt Zyxel aus, dass die betroffenen Router aufgrund des Supportendes keine Sicherheitsupdates mehr bekommen und verwundbar bleiben. Wer so ein Gerät noch einsetzt, sollte es aufgrund der derzeit laufenden Attacken durch eine Mirai-Botnet-Malware zügig aus dem Verkehr ziehen und durch einen aktuellen Router ersetzen.

Konkret geht es um diese Modelle:

Setzen Angreifer erfolgreich an den Lücken (CVE-2024-40890, Risiko "hoch"; CVE-2024-40891, "hoch"; CVE-2025-0890, "kritisch") an, können sie unter anderem aufgrund von unsicheren Standard-Zugangsdaten für eine Telnet-Verbindung über das Managementinterface die Zugangsdaten für Admins ändern. In so einer Position ist davon auszugehen, dass Angreifer Geräte vollständig kompromittieren.

Vor etwa zwei Wochen wurde eine Sicherheitslücke in 7-Zip bekannt, die den Mark-of-the-Web-Schutz (MotW) betrifft, also die Ausführungsverhinderung von aus dem Internet heruntergeladener Dateien. Jetzt erörtert Trend Micro Details zur Schwachstelle und weist darauf hin, dass sie in freier Wildbahn missbraucht wurde, um Opfern Schadcode unterzuschieben.

Anzeige

Eine tiefgehende Analyse von Trend Micros Zero-Day-Initiative-Team (ZDI) erörtert die Schwachstelle CVE-2025-0411 genauer, als das bislang der Fall war. MotW stattet aus dem Netz heruntergeladene Dateien mit einem NTFS Alternate Data Stream (ADS) mit dem Namen "Zone.Identifier" aus, in dem der Text "ZoneId=3" eingebettet ist. Der steht für "nicht vertrauenswürdige Zone", etwa dem Internet, als Ursprung. Solche Dateien prüft Windows zusätzlich etwa mit Microsoft Defender Smartscreen. Derart markierte Dateien führt Windows standardmäßig nicht ohne Rückfrage aus und verhindert so etwa den automatischen Start von Schadcode.

Durch das Verpacken eines Archivs in ein anderes hat 7-Zip vor Version 24.09 die MotW-Markierung nicht korrekt weitergereicht – das passiert unabhängig vom genutzten Archivformat. Angreifer können das missbrauchen, um Archive zu erstellen, die bösartige Skripte oder Binärdateien enthalten, die nicht mit dem MotW-Marker ausgestattet werden. Das macht Windows-Nutzer für Angriffe anfällig, da solche Inhalte ohne weitere Warnung ausführbar sind. Auch der Schutz vor bösartigen Dokumenten in Microsoft Office basiert darauf.

Das ZDI-Team hat am 25. September den Missbrauch dieser Sicherheitslücke in freier Wildbahn beobachtet. Vermutlich russische kriminelle Banden haben damit die ukrainische Regierung und Organisationen in einer SmokeLoader-Malware-Kampagne angegriffen. Bei der Untersuchung stellte sich heraus, dass E-Mails von ukrainischen Behörden- und Unternehmens-Konten stammten und auf kommunale Organisationen und Unternehmen zielten.

Regelmäßig schlüpfen unzählige Trojaner-Apps an Schutzmaßnahmen in Googles App Store Play vorbei. Jahr für Jahr stellt das Unternehmen in einem Bericht Gegenmaßnahmen vor und nennt Zahlen zu unter anderem entfernten Apps.

Anzeige

Trojaner-Apps kopieren etwa Log-in-Daten vom Onlinebanking und leiten diese an Kriminelle weiter. Auf diesem Weg sind Angreifer aber auch auf weitere persönliche Daten wie Kreditkartennummern aus.

Im aktuellen Jahresbericht für 2024 steht, dass im vergangenen Jahr knapp 2,4 Millionen gefährliche Apps ausgesperrt wurden. Die Schadfunktionen dieser Apps wurden Google zufolge durch verschiedene Mechanismen vor der Veröffentlichung im Play Store erkannt und die Anwendungen geblockt. Außerdem wurden 158.000 Entwickler-Accounts gesperrt und bei 1,3 Millionen Apps wurde die unnötige Verarbeitung von persönlichen Informationen unterbunden.

Die Analysen werden Google zufolge neben automatischen Erkennungsmechanismen auch durch menschliche Reviewer erledigt, die neuerdings durch KI unterstützt werden. Zusätzlich soll Googles Echtzeitscanner Play Protect 13 Millionen bösartige Apps erkannt und blockiert haben, die aus Dritt-Anbieter-App-Stores stammen. Der Ansatz scannt jede App auf einem Android-Gerät, egal, woher sie stammt.

Das Let's-Encrypt-Projekt will die Unterstützung für Benachrichtigungen über auslaufende Zertifikate abschaffen. Dieses Standardverhalten endet am 4. Juni dieses Jahres. Solche E-Mails versendet das Projekt bis dahin, wenn die Verlängerung eines Zertifikats über einen bestimmten Zeitraum nicht geklappt hat. Darüber hat das Projekt Nutzerinnen und Nutzer nun mit E-Mails informiert.

Anzeige

In einer zugehörigen Mitteilung auf der Let's-Encrypt-Webseite schreiben die Autoren, dass in den vergangenen zehn Jahren mehr und mehr Abonnenten verlässliche Automatisierung für die Zertifikatserneuerung eingesetzt haben. Zum Versenden der Ablauf-Benachrichtigungen muss Let's Encrypt Millionen von E-Mail-Adressen vorhalten, die mit den Herausgeber-Einträgen verknüpft sind. Dem Projekt ist Privatsphäre wichtig, daher sei den Maintainern das Entfernen dieser Anforderung wichtig.

An dritter Stelle nennt das Projekt die Kosten, die das Versenden der Nachrichten verursacht. Zehntausende Dollar jährlich fielen an, die die Maintainer lieber in "andere Aspekte der Infrastruktur" stecken könnten. Außerdem erhöhen die Ablauf-Benachrichtigungen die Komplexität der Infrastruktur, was Zeit und Aufmerksamkeit binde und die Wahrscheinlichkeit für Fehler erhöhe. Auf lange Sicht müsse das Projekt die Komplexität im Griff halten, insbesondere, wenn es neue Dienstbestandteile veröffentlicht und dafür Komponenten herauswirft, die nicht mehr länger zu rechtfertigen seien.

Für diejenigen, die weiterhin Benachrichtigungen über auslaufende Zertifikate erhalten wollen, empfiehlt Let's Encrypt Drittanbieterdienste wie Red Sift Certificates Lite, die bis zu 250 Zertifikate kostenlos überwachen und gegebenenfalls Ablauf-Benachrichtigungen schicken. Das kann sinnvoll und empfehlenswert sein, wenn über längere Zeiträume auslaufende Zertifikate nicht auffallen.

Bei einer aktuellen Malware-Kampagne senden die Täter WhatsApp-Nachrichten mit Schadsoftware. Wer die als Hochzeitseinladung ausgegebene Software ausführt, gibt den Angreifern unter anderem Zugriff auf sensible Informationen und weitere Funktionen des Smartphones.

Anzeige

Die Täter geben WhatsApp-Nachrichten mit Malware-Installer als Hochzeitseinladungen aus.

(Bild: Kaspersky)

In einem Blog-Beitrag analysieren Kasperskys Malware-Forscher die Schadsoftware-Kampagne. Die Kampagne richtet sich gegen Nutzerinnen und Nutzer im Sultanat Brunei und in Malaysia, der Erfolg der Masche könnte aber auch als Anreiz für derartige Attacken in weiteren Regionen der Welt einschließlich Deutschland, Österreich und der Schweiz dienen. Thematisch sollen Nutzerinnen und Nutzer auch bei anderen Aufhängern wachsam bleiben, die Cyberkriminellen könnten auch auf Geburtstage, andere religiöse Ereignisse und ähnliche Anlässe setzen.

Wer ein Android-Smartphone oder -Tablet besitzt, das sich noch im Support befindet, sollte sicherstellen, dass die aktuellen Sicherheitspatches installiert sind. Eine Schwachstelle nutzen Angreifer bereits aus.

Anzeige

In einem Beitrag zum aktuellen Patchday warnt Google, dass es Anzeichen gibt, dass Angreifer "in begrenztem Umfang" eine Lücke (CVE-2024-53104 "hoch") gezielt ausnutzen. Die Schwachstelle betrifft den Linux-Kernel von Android.

Das Sicherheitsproblem findet sich konkret im USB-Video-Class-Treiber. Weil das Parsing von bestimmten Frames (UVC_VS_UNDEFINDED) fehlerhaft ist, kommt es zu Speicherfehlern (out-of-bounds). Das dient als Schlupfloch für Schadcode.

Weitere Sicherheitslücken betreffen unter anderem das Framework und das System. An diesen Stellen können Angreifer sich etwa höhere Rechte verschaffen oder auf eigentlich abgeschottete Informationen zugreifen. Klappen Attacken, kann das aber auch zu DoS-Zuständen führen. In solchen Fällen stürzen Dienste oder sogar das ganze Smartphone ab.

Die Online-Wett-Plattform 1win hatte im November einen IT-Vorfall, bei dem Daten der rund 96 Millionen Nutzerinnen und Nutzer von Angreifern kopiert wurden. Diese sind nun im digitalen Untergrund aufgetaucht. Troy Hunt hat sie erhalten und konnte sie der Datenbank seines Have-I-Been-Pwned-Projekts (HIBP) hinzufügen.

Anzeige

Ein kurzer Eintrag auf der HIBP-Webseite erörtert das Datenleck beim Wett-Anbieter. Demnach umfasst der Datensatz E-Mail-Adressen, IP-Adressen, Telefonnummern, geografische Position, Land, Geburtsdaten sowie mit SHA-256 gehashte Passwörter. 1win ist auch auf Deutsch verfügbar, wie viele Nutzer konkret aus dem DACH-Raum betroffen sind, ist jedoch nicht bekannt.

Diese Daten können Betrüger nutzen, um gezieltere und glaubwürdigere Phishing-Attacken gegen potenzielle Opfer zu starten. Wer die Wett-Plattform 1win vor dem November 2024 genutzt hat, sollte daher besonders bei E-Mails aus dem Themenkreis Online-Wetten Vorsicht walten lassen.

Ob die eigenen Daten bei diesem oder anderen Datenlecks aufgetaucht sind, können Interessierte auf der Hauptseite von Have I Been Pwned durch Eingabe ihrer E-Mail-Adresse herausfinden. Wer seine E-Mail-Adresse dort registriert, kann sich auch informieren lassen, wenn die eigene Adresse in Datenhalden von Infostealern auftauchen. Das ist Malware, die auf Rechnern von Opfern Daten sammelt und an die Server der Täter schickt, in der Regel komplette Zugangsdaten aus Nutzernamen und Passwörtern. Da diese Informationen die Privatsphäre verletzen können, lassen sich diese Funde nicht durch simple Eingabe der E-Mail-Adresse herausfinden.

Im Linux-Client von HP Anyware hat HP eine Sicherheitslücke entdeckt. Sie ermöglicht die Ausweitung der Rechte. Updates stehen bereit, um das Sicherheitsleck zu stopfen.

Anzeige

In einer Sicherheitsmitteilung warnt HP vor der Schwachstelle. Mit Details hält sich das Unternehmen zurück. "Eine mögliche Schwachstelle wurde in HP Anyware Agent für Linux entdeckt, die eine Umgehung der Authentifizierung erlauben und im Ergebnis zu einer Ausweitung der Berechtigungen führen könnte", beschreibt HP die Sicherheitslücke (CVE-2025-1003, CVSS 8.5, Risiko "hoch"). Das klingt wesentlich harmloser, als es die Risikoeinstufung nach CVSS ausdrückt – die ist der Stufe "kritisch" (>=CVSS 9.0) deutlich näher als "mittel" (CVSS <7.0).

Wie die Lücke genau aussieht und wie Angreifer sie missbrauchen können, erörtert HP nicht. Eine temporäre Gegenmaßnahme empfiehlt HP jedoch, sollte ein umgehendes Update noch nicht möglich sein: In der Konfiguration sollen IT-Verantwortliche durch das Setzen von "pcoip.session_retry_timeout" auf "0" die "PC over IP"-Funktion, einem "sicheren Remote-Display-Protokoll", deaktivieren.

Die Schwachstelle haben HPs Entwickler in Version 24.10.2 sowie 24.07.5 von HP Anyware Agent für Linux ausgebessert. Die Sicherheitsmitteilung verlinkt die unterschiedlichen Installationspakete. Admins sollten aufgrund der Risikoeinstufung das Update zügig herunterladen und anwenden.

Der iX-Workshop IT-Sicherheit: Aktuelle Angriffstechniken und ihre Abwehr beschäftigt sich mit aktuellen Angriffstechniken und den sich daraus ergebenden notwendigen Schutzmaßnahmen für Ihre IT-Systeme vor potenziellen Angriffen. Ausgehend von der aktuellen Bedrohungslage im Bereich der IT-Sicherheit lernen Sie praktische Strategien und Techniken zur Abwehr häufig auftretender Angriffe kennen. In einer Laborumgebung demonstriert Referent Oliver Ripka typische Angriffstechniken und stellt nützliche Tools vor, mit denen Sie selbst Angriffe erkennen und abwehren können.

Anzeige

Am Ende des Workshops haben Sie ein Verständnis dafür entwickelt, wie Angreifer vorgehen und welche konkreten Schutzmaßnahmen Sie ergreifen können, um Ihre Systeme sicher zu machen. Auf Basis dieses Wissens lernen Sie, die Schwachstellen und Angriffsmöglichkeiten Ihrer eigenen IT-Infrastruktur zu bewerten und die Wirksamkeit der eingesetzten Sicherheitsmaßnahmen einzuschätzen.

Oliver Ripka ist ein erfahrener Sicherheitsberater und Trainer bei Söldner Consult. Als Experte für Netzwerksicherheit liegen seine fachlichen Schwerpunkte in den Bereichen offensive Sicherheit und Netzwerkanalyse.

Der nächste Sicherheitsworkshop findet am 26. und 27. Februar 2025 statt und richtet sich an IT-Administratoren, die ihren Blick für IT-Sicherheit schärfen wollen, sowie an Interessierte, die einen Überblick über die Funktionsweise von Cyberangriffen erhalten möchten.

Für vernetzte Geräte, die über eine Funkschnittstelle wie Bluetooth oder WLAN verfügen, gelten im Europäischen Wirtschaftsraum (EWR) bald strengere Vorgaben für IT-Sicherheit und Datenschutz. Ab 1. August 2025 muss ein CE-Kennzeichen deutlich machen, dass die betroffenen Smartphones, Wearables und sonstigen Funkanlagen auch grundlegende Anforderungen zum Schutz von Netzwerken, Privatsphäre und vor Betrug erfüllen. Ansonsten ist der Verkauf im EWR unzulässig.

Anzeige

Die Auflagen ergeben sich aus einem nachgeordneten Rechtsakt zur umstrittenen EU-Richtlinie über Funkanlagen (Radio Equipment Directive, RED). Eigentlich sollte die delegierte Verordnung von 2022, mit der die EU-Kommission Datenpannen bei drahtlos vernetzten Geräten den Kampf ansagt, schon seit 1. August 2024 gelten. Die EU-Kommission hat im Juli vorigen Jahres aber eine Zusatzverordnung beschlossen, die den 1. August 2025 als Termin vorsieht. Grund: die zuständigen Normungsinstitute CEN und Cenelec brauchten mehr Zeit.

Inzwischen ist der Standardisierungsprozess vollendet, sodass die harmonisierten Normen EN 18031-1/- 2/-3 Ende voriger Woche im EU-Amtsblatt veröffentlicht werden konnten. Damit ist klar, dass der spätere Starttermin gehalten werden kann und die Umsetzungsfrist läuft. Die Normen spezifizieren die verbindlichen Vorschriften aus und definieren Prüfkriterien, was Konformitätsnachweise vereinfachen soll. Das soll auch kleineren Unternehmen erleichtern, die Auflagen zu befolgen.

Inhaltlich behandeln die Normen unter anderem die Absicherung vertraulicher Kommunikation sowie das Vorhandensein eines Update-Mechanismus. Sie erfüllen aber lediglich mit Einschränkungen die Konformitätsvermutung. Restriktionen betreffen insbesondere das zwingende Setzen von Nutzer-Passwörtern sowie die Gewährleistung der Zugangssteuerung durch Eltern oder Erziehungsberechtigte für Spielzeuge. Außen vor bleiben ferner Geräte, die finanzielle Transaktionen ermöglichen.