Comretix Blog

Sicherheitslücken in den SIP-Phones von Mitel gefährden potenziell Netzwerke. Insbesondere eine als kritisches Risiko eingestufte Schwachstelle sollten IT-Verantwortliche zügig ausbessern. Mitel stellt dafür Firmware-Updates bereit.

Laut der Sicherheitsmitteilung von Mitel gibt es eine Befehlsschmuggel-Lücke in den SIP-Phones der Baureihen 6800, 6900, 6900w sowie dem 6970-Konferenz-Modell. Angreifer aus dem Netz können dadurch ohne vorherige Authentifizierung Befehle einschleusen, da nicht näher genannte Parameter nicht ausreichend gefiltert werden. Damit können sie System- und Nutzer-Daten und Konfigurationen einsehen oder ändern (CVE-2025-47188, CVSS 9.8, Risiko "kritisch").

Durch unzureichende Authentifizierungsmechanismen können Angreifer bei denselben Geräten zudem ohne vorherige Anmeldung Dateien hochladen. Etwa durch das Hochladen von WAV-Dateien können sie den Speicher des Telefons aufbrauchen, was jedoch keine Auswirkung auf die Funktionsfähigkeit der Telefone hat (CVE-2025-41787, CVSS 5.3, Risiko "mittel").

Um die Schwachstellen zu missbrauchen, benötigen Angreifer Netzwerkzugriff auf die anfälligen Geräte. Sofern die Mitel-SIP-Phones jedoch nach den Richtlinien von Mitel installiert wurden, stehen die jedoch in einem geschützten internen Netzwerk.

Betroffen sind die vorgenannten Baureihen mit Firmware-Versionen R6.4.0.SP4 und älter. Die Version R6.4.0.SP5 oder neuer enthalten die Schwachstellen nicht mehr. Mitel empfiehlt Kunden, auf diese Versionen zu aktualisieren.

Die seit 2010 jährlich stattfindende gemeinsame Cyber-Sicherheitsübung Locked Shields der NATO findet derzeit wieder im Estländischen Tallin statt. Die Veranstaltung läuft zu ihrem 15. Jubiläum seit dem 21. April und endet am morgigen Donnerstag, den 9. Mai 2025. Die Truppen der teilnehmenden Staaten üben dort, Cyberangriffe abzuwehren und so für mehr Resilienz im "Cyberraum" zu sorgen.

Ein Sprecher der Bundeswehr erklärt gegenüber heise security, dass bei diesen "Live-Fire-Übungen" die "Teilnehmer ressortübergreifend und multinational hybriden Bedrohungen aus dem Cyber- und Informationsraum entgegen" wirken. Konkret "werden Echtzeitangriffe auf Computernetzwerke und Systeme kritischer Infrastruktur (KRITIS) durch ein angreifendes Team (Red-Team) aus Tallin (Estland) simuliert, die durch insgesamt 17 Blue-Teams abgewehrt werden müssen."

Der Bundeswehr zufolge besteht eines dieser Blue-Teams, Team 2, aus Mitgliedern der Teilstreitkraft Cyber- und Informationsraum (CIR) und umfasst rund 200 Übungsteilnehmende; diese sitzen in Kalkar. Die Leitung des Teams erfolgt "in diesem Jahr durch unsere Partner aus Singapur", "die Ihre wertvollen Erfahrungen aus dem indopazifischen Raum mit in die Übung einfließen lassen. Ebenfalls im Team sind zahlreiche Angehörige anderer Ressorts", etwa dem BMI, dem BSI und weiteren sowie aus der Wirtschaft, erklärt die Bundeswehr weiter.

Auch zu einigen Schwerpunkten äußern sich die deutschen Soldaten: "Einer richtet sich dabei auf die Abwehr von Cyberangriffen auf KRITIS im zivilen wie militärischen Kontext, wie zum Beispiel Energie- oder Wasserversorgung oder Radaranlagen und Flugabwehr in einem durch die NATO kreierten fiktiven Übungsszenario. In dem Zusammenhang werden neben technischen Fähigkeiten, Methoden und der Zusammenarbeit mit zivilen Unternehmen auch der Umgang mit Vorfällen im Informationsumfeld (etwa Social Media) und die juristische Bewertung von Handlungen trainiert sowie durch die NATO bewertet."

Deutschland stehe wie andere demokratische Staaten aktuell "mehr denn je im Fokus von staatlichen und nichtstaatlichen Akteuren, die hybride Mittel einsetzen, um unsere Gesellschaft zu destabilisieren. Die Bundeswehr ist gegenüber hybriden Bedrohungen aus dem Cyber- und Informationsraum aber professionell aufgestellt und wichtiger Partner aller Akteure der Sicherheitsvorsorge." Die Szenarien müssten regelmäßig geübt werden, wofür seit 2010 die Locked-Shields-Übungen der NATO einen Rahmen bieten, an dem inzwischen 41 Nationen teilnehmen.

Weil Ciscos Netzwerkbetriebssystem IOS XE mehrere Sicherheitslücken aufweist, können Angreifer verschiedene Geräte attackieren. Nach erfolgreichen Angriffen können sie sich etwa höhere Nutzerrechte aneignen.

Als besonders gefährlich gilt eine „kritische“ Schwachstelle (CVE-2025-20188) mit Höchstwertung (CVSS Score 10 von 10). An dieser Stelle kann ein entfernter Angreifer ohne Authentifizierung mit präparierten HTTPS-Anfragen an der Schwachstelle im Image Download Feature des Out-of-Band Access Points von verschiedenen Wireless Controllern ansetzen, um Schadcode auszuführen. Damit Angreifer an der Lücke ansetzen können, muss das Download Feature aktiviert sein, was standardmäßig nicht der Fall sein soll.

Der Grund für die Verwundbarkeit ist ein hartkodierter JSON Web Token. Sind Attacken erfolgreich, kann ein Angreifer eigenen Code mit Root-Rechten ausführen. Betroffen sind verschiedene Wireless Controller, die der Netzwerkausrüster in einer Warnmeldung auflistet. Nach einer erfolgreichen Attacke gelten Geräte mit sehr hoher Wahrscheinlichkeit als vollständig kompromittiert.

Überdies sind noch diverse Router und Switches angreifbar. So können Angreifer etwa manipulierend in den Bootprozess von Catalyst 2960X, 2960XR, 2960CX und 3560CX Switches eingreifen und eigenen Code ausführen (CVE-2025-20181 „hoch“).

Unter anderem sind Integrated Service Router der 1100-Serie für DoS-Attacken anfällig. Hier können entfernte Angreifer ohne Anmeldung mit speziellen DHCP-Anfragen ansetzen, um Systeme zum Neustart zu bringen (CVE-2025-20162 „hoch“).

"Sei nicht kriminell, Kriminalität ist schlecht, Umarmungen und Küsse aus Prag" – so empfingen mehrere der Darknet-Seiten der LockBit-Ransomware Besucher am 7. Mai 2025. Offenbar hatten Unbekannte sich Zugang zu den Servern verschafft und eine Kopie der Datenbank gezogen. Die steht nun im Netz, während sich der LockBit-Kundendienst um Schadensbegrenzung bemüht.

In einer knapp 26 MByte großen Datei namens paneldb_dump.sql finden sich allerlei Details der Cybercrime-Operation, darunter knapp 60.000 Bitcoin-Adressen, Tausende Chatnachrichten mit Opfern der Ransomware und Konfigurationen für den "Locker", also die Ransomware selbst.

Anhand des Zeitstempels lässt sich das Datum des Lecks eingrenzen – alle Nachrichten tragen Datumsmarken zwischen dem 19. Dezember 2024 und dem 29. April 2025. Hinter dem Angriff stecken möglicherweise dieselben Personen, die eine andere Ransomware-Gruppierung namens Everest vor einem Monat mit einem sehr ähnlichen Defacement bedachten.

"Hack am 7. Mai - OMG" - so ist die Stellungnahme von LockBitSupp betitelt

(Bild: Screenshot / cku)

In Ubiquity Unifi Protect wurden zwei Sicherheitslücken entdeckt. Eine als kritisch eingestufte erlaubt das Einschleusen und Ausführen von Schadcode. Der Hersteller hat aktualisierte Software in Stellung gebracht, die Nutzerinnen und Nutzer zügig herunterladen und installieren sollten.

In einer Sicherheitsmitteilung erörtert Ubiquity die Schwachstellen. Bösartige Akteure mit Zugriff auf das Verwaltungsnetzwerk können einen Heap-basierten Pufferüberlauf in den Unifi-Protect-Kameras mit Firmware 4.75.43 und vorherigen provozieren und dadurch beliebigen Code einschleusen und ausführen (CVE-2025-23123, CVSS 10.0, Risiko "kritisch"). Die Höchstwertung beim Risiko zeigt, dass sich die Schwachstelle einfach missbrauchen lässt. Derartige Schwachstellen nutzen etwa Botnet-Betreiber wie die des Mirai-Botnet gerne aus, um ihre Malware dauerhaft in Netzwerken zu verankern.

Ein falsch konfigurierter Zugriffstoken-Mechanismus in der Ubiquity-Unifi-Protect-Application in Version 5.3.41 und älter könnte Empfängern von "Share Livestream"-Links weiterhin Zugriff darauf gewähren, auch wenn der Link in der App deaktiviert wurde (CVE-2025-23164, CVSS 4.4, Risiko "mittel").

Weiterreichende Informationen, wie die Lücken genau aussehen und wie Angreifer sie ausnutzen können, fehlen. Auch Hinweise, woran Betroffene Angriffsversuche erkennen könnten, nennt Ubiquity nicht. Ebensowenig gibt der Hersteller Hinweise, ob die Lücken bereits in freier Wildbahn attackiert werden. Da eines der Sicherheitslecks sogar die höchste Wertung als kritisch erhalten hat, sollten Admins jedoch so schnell wie möglich die Updates herunterladen und anwenden.

Die aktualisierte Firmware für Unifi-Protect-Kameras in Version 4.75.62 stellt Ubiquity auf einer eigenen Webseite zur Verfügung. Dort erwähnt der Hersteller jedoch nicht, dass das Update eine kritische Schwachstelle ausbessert. Die fehlerkorrigierte Unifi-Protext-Application 5.3.45 ist ebenfalls verfügbar – aber auch hier verliert Ubiquity kein Wort darüber, dass die Aktualisierung sicherheitsrelevant ist.

Der neue Bundesdigitalminister Karsten Wildberger (parteilos) setzt sich zum Amtsantritt ambitionierte Ziele: "Das neue Ministerium wird Motor sein für konkrete, sichtbare Fortschritte bei der Digitalisierung und eine moderne, handlungsfähige Verwaltung", ließ Wildberger am Mittwochmittag per Pressemitteilung wissen.

Der gesamte Staatsapparat solle modernisiert werden. Wildberger setzt die Latte für seinen Erfolg hoch: "Unser klares Ziel ist es, Deutschland zur treibenden Kraft bei der Digitalisierung in Europa zu machen." Die Gründung des Digitalministeriums sei ein Zeichen, dass diese Themen hohe Priorität für die Bundesregierung haben.

Wildberger leitet das neu gegründete “Bundesministerium für Digitales und Staatsmodernisierung" (BMDS), wie es nun offiziell heißt. Volker Wissing (parteilos), der scheidende Minister für Digitales und Verkehr, hat dem ehemaligen Manager von Ceconomy am frühen Nachmittag die Amtsgeschäfte übergeben.

Die Erwartungen an den Staat seien groß, sagte Wildberger. Es gebe keinen Schalter, der umgelegt werden könne, sondern Transformation müsse immer "Schritt für Schritt für Schritt" stattfinden. Chancen und Risiken seien zugleich zu betrachten. Er sei überzeugt, dass wer die “Technologie beherrscht, […] auch die Risiken beherrschen" könne. Die aktuelle geopolitische Situation unterstreiche zudem die strategische Bedeutung des Themas: Deutschland müsse hier seinen Führungsanspruch formulieren.

Die Zuständigkeiten, die Wildbergers neuem Haus übertragen werden, sind vielfältig. Grundsätzlich soll auch die Cybersicherheit dazu gehören. Die Zuständigkeit für das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird aber aufgeteilt: Die rechtliche Aufsicht bleibt bei Innenminister Alexander Dobrindt (CSU). Für einige Aufgaben des BSI soll künftig das Wildberger-Ministerium zuständig sein – wie der schon lange existierende Zielkonflikt zwischen bestmöglicher Sicherheit und Anforderungen der Sicherheitsbehörden gelöst werden kann, ist derzeit noch unklar.

Eine Strafe gegen Deutschland rückt näher, weil der Bund beim Schutz kritischer Infrastrukturen (Kritis) und beim Erhöhen der Cybersicherheit hinterherhinkt. Die EU-Kommission hat am Mittwoch das seit Ende November laufende Vertragsverletzungsverfahren auf die zweite Stufe gehoben, weil die Bundesrepublik nach wie vor die NIS2 getaufte EU-Richtlinie zur Netzwerk- und Informationssicherheit nicht in nationales Recht gegossen hat. Sie hat der Bundesregierung zu dem Vorgang nun eine mit Gründen versehene Stellungnahme mit weiteren Fragen geschickt, auf die diese zeitnah reagieren muss.

Mit der NIS2 soll ein hohes Cybersicherheitsniveau in der gesamten EU in Sektoren wie Informations- und Kommunikationstechnologien (IKT), Energie- und Wasserversorgung, Verkehr, Finanzwesen und Medien gewährleistet werden. Die EU-Länder hätten die Richtlinie bis zum 17. Oktober umsetzen müssen. Ein erstes Auskunftsersuchen zum Stand der Dinge richtete die Kommission im Spätherbst an insgesamt 24 Mitgliedsstaaten. Den zweiten blauen Brief hat die Brüsseler Regierungsinstitution nun neben Deutschland an 18 weitere Nationen geschickt. Dabei handelt es sich um Bulgarien, Tschechien, Dänemark, Estland, Irland, Spanien, Frankreich, Zypern, Lettland, Luxemburg, Ungarn, die Niederlande, Österreich, Polen, Portugal, Slowenien, Finnland und Schweden.

Die vollständige Umsetzung der einschlägigen Rechtsvorschriften sei "von entscheidender Bedeutung für die weitere Verbesserung der Widerstandsfähigkeit und der Reaktionsfähigkeit auf Zwischenfälle" der in den Kritis-Sektoren tätigen öffentlichen und privaten Unternehmen sowie der EU insgesamt, mahnt die Kommission. Die angeschriebenen 19 EU-Staaten haben nun zwei Monate Zeit, um zu reagieren und die notwendigen Maßnahmen zu ergreifen. Andernfalls droht die Exekutivinstanz damit, die Fälle an den Europäischen Gerichtshof zu verweisen. Dieser könnte dann etwa Bußgelder verhängen.

SPD und Grüne konnten sich erst nach dem Ampel-Aus im Dezember auf einen Gesetzentwurf zur NIS2-Umsetzung und zur Einführung eines Schwachstellenmanagements zum Schließen von IT-Sicherheitslücken einigen. Verwaltungen der Länder und der Kommunen sollten demnach nicht von den verschärften Cybersicherheitsvorgaben ausgenommen und der Umgang mit "kritischen Komponenten" in Kritis-Bereichen verschärft werden. Ende Januar gaben die zuständigen Berichterstatter aber wegen erneut aufgetretener unüberbrückbarer Differenzen auf, vor allem mit der FDP.

Die neue schwarz-rote Koalition hat in ihrem Fahrplan für die nächsten Jahre festgehalten: "Wir werden im Rahmen der Umsetzung der NIS-2-Richtlinie das BSI-Gesetz novellieren." Experten mahnen, dass potenziell betroffene Firmen und Behörden trotz der Verzögerungen bereits aktiv werden sollten.

Die Entwickler der quelloffenen Office-Suite LibreOffice raten jetzt explizit von der Verwendung von Apache OpenOffice ab. In einem Post auf Mastodon verweisen sie auf Sicherheitslücken, die seit Jahren bekannt, aber noch immer nicht behoben seien. Laut einem Protokoll der Apache-Vorstandssitzung im März 2025 gibt es in OpenOffice drei Sicherheitslücken, die älter als ein Jahr sind. Das bestätigte ein Vertreter des Sicherheitsteams der Apache Software Foundation (ASF) auf Anfrage der iX-Redaktion.

Dem Protokoll zufolge gebe es zahlreiche weitere, bislang nicht behandelte Probleme mit der Office-Software. Frühere Protokolle deuten darauf hin, dass die Sicherheitslücken seit mindestens November 2023 bestehen. "Wir machen bei der Suche nach Verbesserungen Fortschritte, um diese Probleme zu beheben", erklärt der Vertreter des ASF-Sicherheitsteams.

Weiterhin werfen die LibreOffice-Entwickler der ASF vor, OpenOffice nicht mehr aktiv weiterzuentwickeln, dies jedoch mit kleinen Änderungen an HTML-Tags und Leerzeilen vorzutäuschen. Dies schade der gesamten Open-Source-Community. Zu diesen Vorwürfen äußerte sich die ASF nicht. Jedoch verfüge OpenOffice über ein aktives Projektmanagement-Komitee und behalte seinen Status als Top-Level-Projekt innerhalb der ASF, sagte Sprecher Brian Proffitt. Tatsächlich bestanden die Commits im GitHub-Repository von OpenOffice zuletzt überwiegend aus der Überarbeitung von Tippfehlern und einzelnen Anpassungen an Übersetzungen.

Die aktuelle Version 4.1.15 von OpenOffice erschien im Dezember 2023. Mit ihr bekam die Office-Suite einige Bugfixes und Updates von Wörterbüchern. Neue Funktionen erhielt OpenOffice zuletzt mit dem Release von Version 4.1 im April 2014. Angesichts dessen empfiehlt das LibreOffice-Team, Alternativen zu verwenden und bewirbt das eigene Office-Programm. Ebenfalls kritisierten die Entwickler, dass Technik-Portale weiterhin OpenOffice empfehlen würden.

OpenOffice ging im Jahr 2000 aus dem veröffentlichten Quelltext von StarOffice hervor, das Sun Microsystems zuvor übernommen hatte. Nachdem Sun seinerseits von Oracle aufgekauft wurde und für die Entwicklung von OpenOffice verantwortlich war, gab es Unsicherheiten in der Community bezüglich der Zukunft der Office-Suite, da Oracle das Projekt zunehmend weniger unterstützte. Daher gründeten einige Community-Mitglieder im September 2010 die Document Foundation und spalteten LibreOffice ab. Im Juni 2011 übergab Oracle OpenOffice an die Apache Software Foundation.

IT-Sicherheitsforscher haben eine Sicherheitslücke in der aktuellen GIMP-Version entdeckt. Beim Verarbeiten manipulierter ICO-Dateien kann die Grafiksoftware patzen und eingeschleusten Schadcode ausführen. Ein Update ist noch nicht verfügbar.

In einer Sicherheitsmitteilung haben die GIMP-Entwickler die Details zu der Sicherheitslücke von Trend Micros Zero-Day-Initiative herausgegeben. Dort erörtern die IT-Sicherheitsforscher die Sicherheitslücke anhand des Quellcodes tiefergehend. Eine Berechnung für eine Puffergröße nutzt Angaben zu Höhe und Breite einer ICO-Datei aus den Metadaten, die von Angreifern kontrollierbar sind. Aufgrund einer Multiplikation kann dabei ein Integer-Überlauf auftreten, wodurch der Wert zu klein ausfällt. In der Folge kann dann beim weiteren Verarbeiten der zu großen Datei ein Heap-basierter Pufferüberlauf auftreten.

Der Quellcode-Commit mit der Fehlerkorrektur erörtert zudem, dass ICO-Dateien auch PNGs speichern können, wodurch es möglich ist, Icons zu erstellen, die viel größer als die angegebene Bildgröße sind und dadurch ein Pufferüberlauf provoziert werden kann. Der Code prüft nun weitere Bedingungen ab, von denen die Entwickler sagen, dass sie sicherstellen, dass die Puffergrößenberechnung keinen Überlauf auslöst.

Wie die GIMP-Entwickler in den Kommentaren der Sicherheitsmeldung schreiben, haben sie Details zur Lücke bereits jetzt öffentlich gemacht, bevor eine Bugfix-Version veröffentlicht wurde, da Cyberkriminelle die Quellcode-Commits und Patches analysieren und so die Schwachstelle entdecken können. Daher sollten Nutzerinnen und Nutzer gewarnt sein.

Eine offizielle CVE-Schwachstellennummer fehlt derzeit noch, sie dürfte in Kürze folgen. Die CVSS-Wertung von 7.8 deutet auf die Risiko-Einstufung "hoch" hin.

Samsungs Content-Management-System (CMS) zum Verwalten von Digital-Sinage-Displays steht im Fokus von Angreifern. Sicherheitsupdates sind bereits seit August 2024 verfügbar.

Vor den Attacken warnen Sicherheitsforscher von Artic Wolf in einem Beitrag. Das Internet Storm Center geht davon aus, dass die Attacken über das Mirai-Botnetz laufen. Die Sicherheitslücke (CVE-2024-7399 „hoch“) ist seit Sommer 2024 bekannt. Ende April dieses Jahres haben Sicherheitsforscher von SSD Secure Disclosure Details zur Lücke und Proof-of-Concept-Code veröffentlicht.

Weil die Authentifizierung fehlerhaft ist und Dateien nicht ausreichend überprüft werden, können Angreifer ohne Anmeldung an der Schwachstelle ansetzen, um Schadcode auszuführen. Admins sollten sicherstellen, dass die dagegen gerüstete Version 21.1050 installiert ist. Alle vorigen Ausgaben sollen verwundbar sein.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Derzeit nutzen Angreifer Softwareschwachstellen in FreeType und Langflow aus und kompromittieren Systeme durch das Ausführen von Schadcode. In beiden Fällen sind Sicherheitspatches verfügbar, die Admins umgehend installieren sollten.

FreeType ist eine freie Programmbibliothek zum Erstellen von Schriftzeichen. Langflow ist ein KI-Tool, mit dem man etwa KI-Agenten erstellen kann. Beide Lücken sind seit März dieses Jahres bekannt. Seitdem gibt es auch Sicherheitsupdates, die aber offensichtlich bis jetzt nicht flächendeckend installiert sind. Nun warnt die US-Sicherheitsbehörde Cybersecurity & Infrastructure Security Agency (CISA) vor Angriffen. In welchem Umfang die Attacken ablaufen, ist bislang unbekannt.

Die Schwachstelle (CVE-2025-27363 "hoch") in FreeType bedroht alle Versionen inklusive 2.13.0. Die Entwickler geben an, die Lücke in der Ausgabe 2.13.3 geschlossen zu haben. Ist das Sicherheitsupdate nicht installiert, können Angreifer Speicherfehler auslösen und so Schadcode ausführen. Der Grund dafür sind Fehler bei der Verarbeitung von Font-Subglyph-Strukturen im Zusammenhang mit TrueType-GX- und variablen Font-Dateien. Sicherheitsforscher von Facebook haben die Schwachstelle entdeckt.

An der Sicherheitslücke (CVE-2025-3248 "kritisch") im KI-Tool Langflow setzen entfernte Angreifer ohne Authentifizierung an. Durch das Versenden von präparierten HTTP-Anfragen können sie eigenen Code ausführen und Server kompromittieren. Um das zu unterbinden, müssen Admins mindestens die Langflow-Version 1.3.0 installieren.

In einem Bericht beschreiben Sicherheitsforscher von Horizon3 weiterführende Details zur Schwachstelle und erläutern, dass Attacken vergleichsweise einfach sind.

Am vergangenen Wochenende wurden Angriffe im Internet auf eine weitere Sicherheitslücke in Commvaults Command Center Innovation Release bekannt. Das von Commvault bereitgestellte Update dichtet die Sicherheitslücke offenbar nicht korrekt ab.

Die Sicherheitslücke mit den Schwachstelleneinträgen EUVD-2025-12275 respektive CVE-2025-34028 besteht darin, dass Angreifer aus dem Netz ohne vorherige Authentifizierung ZIP-Dateien hochladen können, die beim Entpacken auf dem Zielserver zum Ausführen von darin eingeschmuggelten Schadcode führen können (CVSS 10.0, Risiko "kritisch").

Gemäß der üblichen Gepflogenheiten hat Commvault mit einem Softwareupdate auf Commvault 11.38.20 für Linux und Windows reagiert. Commvault stellt auch eine eigene Sicherheitsmitteilung bereit, die am heutigen Mittwoch aktualisiert wurde. Nun veröffentlicht der Hersteller weitere Zusatzupdates für 11.38.20 zusätzlich SP38-CU20-433 sowie SP38-CU20-436 und für 11.38.25 noch SP38-CU25-434 sowie SP38-CU25-438.

Der IT-Sicherheitsforscher Will Dormann hat mit einer virtuellen Maschine mit der Commvault-Software in Version 11.38.25 getestet, ob ein Exploit für die Sicherheitslücke funktioniert.

Dormann schreibt, dass Commvault behauptet, die Versionen 11.38.20 und 11.38.25 besserten die Schwachstelle aus; die IT-Forscher von Watchtowr hätten die Lücke in Version 11.38.20 entdeckt. Da der Proof-of-Concept-Exploit gegen die vermeintlich gefixte Version 11.38.25 funktioniere, habe er da "Vertrauensprobleme". Vor wenigen Stunden hat Dormann die zusätzlichen Updates erwähnt, die Commvault nun in der aktualisierten Sicherheitsmitteilung auflistet. Deren Installation will ihm nicht gelingen. Dadurch ist es ihm auch nicht möglich, deren Wirksamkeit zu prüfen.

"Zumindest wird es nicht langweilig", bilanzieren Podcast-Hosts Sylvester und Christopher den IT-Sicherheits-April. Und so fällt es beiden leicht, im heise-Security-Podcast erneut fast zwei Stunden über aktuelle Ereignisse zu sprechen.

Los geht's mit dem sogenannten "ChoiceJacking", einer Abwandlung der als "JuiceJacking" bekannten Angriffe auf Smartphones. Über die USB-Schnittstelle zapfen bei ersterem Schnüffelgeräte Daten vom Gerät ab, indem sie sich als Ladegerät ausgeben. Schon länger verhindern Smartphone-Hersteller diesen Trick mit entsprechenden Sicherheitsabfragen, aber die österreichischen Entdecker des ChoiceJacking fanden eine neue Methode, sich trotzdem die Kontrolle übers Gerät zu verschaffen.

Fünf Monate nach dem Sieg von WhatsApp im Rechtsstreit gegen den Spyware-Hersteller NSO Group hat eine Jury dem Messenger des US-Konzerns Meta fast 168 Millionen US-Dollar (rund 148 Millionen Euro) Schadenersatz zugesprochen. Das berichtet das Gerichtsmagazin Courthouse News Service unter Berufung auf die in Kalifornien getroffene Entscheidung. Demnach besteht die Summe aus fast 445.000 US-Dollar an Entschädigung für die Behebung der Schäden durch die Angriffe des israelischen Unternehmens und mehr als 167 Millionen US-Dollar reinen Schadenersatz. Meta hat die Entscheidung begrüßt und als wichtige Abschreckung gegen die "bösartige Branche" bezeichnet.

In dem Verfahren ging es um den Vorwurf, dass die NSO Group mit der Bereitstellung und Installation der Spionagesoftware Pegasus gegen verschiedene Gesetze verstoßen haben soll, darunter das Bundesgesetz über Computerbetrug und -missbrauch. Meta hatte geklagt, weil bei WhatsApp Anfang 2019 unrechtmäßige Zugriffe auf die eigenen Server festgestellt wurden, über die NSO die Überwachung von 1400 Personen, darunter Journalisten und Journalistinnen sowie Menschenrechtler, ermöglichte. NSO hat immer argumentiert, dass die eigene Arbeit im Auftrag ausländischer Regierungen erfolgt und mit der Spyware Strafverfolgungsbehörden und Nachrichtendienste bei der Verbrechensbekämpfung unterstützt wurden.

Zu Weihnachten hat die zuständige Richterin WhatsApp Recht gegeben, seitdem war nur noch offen, welche Folgen das Urteil für die NSO Group haben würde. Dazu kamen nun vor Gericht Verantwortliche von Meta und NSO sowie Entwickler zu Wort, die die Attacke abgewehrt haben. Laut dem Courthouse News Service hat der Geschäftsführer des israelischen Unternehmens dabei ausgesagt, dass seine Firma in finanziellen Schwierigkeiten steckt und keinen Schadenersatz an Meta würde zahlen können. Zur Jury-Entscheidung habe er sich jetzt nicht geäußert. Der Rechtsstreit ist demnach aber noch nicht abgeschlossen, WhatsApp plant demnach eine dauerhafte Unterlassungsklage, um NSO weitere Angriffe über WhatsApp zu untersagen.

Nach der Entscheidung hat WhatsApp jetzt Mitschriften der Befragungen der NSO-Verantwortlichen veröffentlicht, "damit Forschende und Journalisten sowie Journalistinnen die Gefahren untersuchen und am Schutz der Bevölkerung arbeiten können". Weitere Mitschriften des Gerichts sollen publik gemacht werden, sobald sie bereitstehen. NSO hat derweil noch einmal versichert, dass man dort weiter davon ausgeht, dass die eigene Spyware bei der Verbrechensbekämpfung hilft und "verantwortungsvoll eingesetzt wird". Dem widerspricht der Cybersicherheitsforscher John Scott-Railton, der bei der Aufdeckung der Praktiken geholfen hat. Auf X schreibt er: "Niemand mag Firmen, die Diktatoren helfen, Dissidenten zu hacken."

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Das Internet eröffnet uns unzählige Möglichkeiten, uns zu informieren, mit Freunden und Familie auf der ganzen Welt in Kontakt zu bleiben oder auch neue Freunde zu finden. Doch hinter der glänzenden Fassade lauert eine dunkle Seite: Hasskommentare, Cybermobbing und Drohungen. In der neuen Staffel des Podcasts "Bits und Böses" von heise online blicken wir in die Untiefen des Hasses im Netz.

Die Folgen werden sich mit prominenten Fällen beschäftigen, aber auch ganz persönliche Geschichten von Betroffenen erzählen. Denn Hassbotschaften sind leider keine Seltenheit. Oft richten sie sich gegen Menschen in der Öffentlichkeit – Politikerinnen, Influencer, Promis. Aber es kann jede und jeden von uns treffen.

So berichtet eine Betroffene im Podcast: "Er hatte Fotos von mir, da war ich nackt. Er hat gedroht, sie meiner Familie zu schicken. Er schrieb so was wie, du Schlampe, verdienst es nicht zu leben. Ich mach dein Leben kaputt." Die Folgen für die Opfer sind oft verheerend. Viele ziehen sich zurück, bekommen Angstzustände, einige müssen sogar umziehen.

Doch es gibt Menschen und Organisationen wie Hate Aid, die versuchen, das Leid der Opfer zu mindern. Auch um ihre Arbeit wird es in der zweiten Staffel des Podcasts gehen. Denn es ist nicht immer leicht, sowohl die Opfer zu schützen, als auch die Täter zur Rechenschaft zu ziehen.

Cyberkriminelle haben die Großbrauerei Oettinger angegriffen. Offenbar haben sie Daten verschlüsselt und kopiert, um das Unternehmen zu erpressen.

Detail-Webseite im Darknet zum Oettinger-Einbruch bei der Cyberbande RansomHouse.

(Bild: Screenshot / dmk)

Auf der Darknet-Webseite der kriminellen Online-Bande RansomHouse ist ein Eintrag zur Oettinger-Brauerei aufgetaucht, in dem die Täter behaupten, am 19. April in die IT-Systeme eingedrungen zu sein. Demnach haben sie die Daten beim Unternehmen verschlüsselt. Als Beleg haben sie eine Verzeichnisstruktur und Dokumente hochgeladen. Darunter finden sich auch sensible Informationen, ein Verzeichnis deutet auf Abmahnungen für Mitarbeiter hin.

Ein Verzeichnis der kopierten Daten enthält offenbar Abmahnungen für Mitarbeiter.

Im Vergleich zu 2024 ist die Zeit, die zum Knacken von Passwörtern mit Grafikprozessoren (GPUs) für den Verbrauchersektor benötigt wird, um fast 20 Prozent gesunken. Ein achtstelliges Passwort, das nur aus Kleinbuchstaben besteht, kann jetzt in nur 3 Wochen geknackt werden. Das geht aus der von Hive Systems am World Password Day Anfang Mai veröffentlichten Passworttabelle 2025 hervor. Die IT-Sicherheitsfirma vertritt angesichts dieser Entwicklung die These einer "dramatischen Beschleunigung" der auf dem Markt leicht verfügbaren Rechenfähigkeiten, die auch zum Knacken von Kennwörtern verwendet werden kann, innerhalb eines Jahres.

Mittlerweile sei die Geschwindigkeit beim Knacken von Passwörtern durch den Einsatz von Hardware für Systeme mit Künstlicher Intelligenz (KI) im Vergleich zu Geräten für den Privatgebrauch um über 1,8 Milliarden Prozent gestiegen, meint Hive. Das liege am Boom insbesondere von großen Sprachmodellen wie ChatGPT, Gemini oder Claude, die mit vielen Daten trainiert werden müssen und daher auch sehr Hardware-hungrig sind.

"Wir erleben einen astronomischen Hochlauf der Rechenleistung", erklärt der CEO von Hive Systems, Alex Nette. Die heutige KI-Hardware verändere die Cybersicherheitsrisiken. Passwörter, die voriges Jahr noch sicher gewesen seien, könnten "heute in einem Bruchteil der Zeit geknackt werden".

Die Passworttabelle von Hive bietet einen jährlich aktualisierten Überblick darüber, wie schnell unterschiedliche Arten von Passwörtern – basierend auf Länge und Komplexität – von einem Angreifer mit moderner Hardware per Brute-Force-Methode geknackt werden können. Dabei werden systematisch alle erdenklichen Kombinationen von Zeichenkombinationen durchprobiert, bis ein korrektes Kennwort erraten ist. Je mehr Rechenkraft zur Verfügung steht, desto schneller läuft diese Abfrage.

Die Ergebnisse dieses Jahres spiegeln laut Hive die kombinierten Auswirkungen schnellerer GPUs, verteilten Cloud-Computings und KI-spezialisierter Hardware wider. Die Security-Experten sehen darin eine Erinnerung daran, "dass sich die Passworthygiene parallel zur Technologie weiterentwickeln muss". Kürzere, einfachere Passwörter, die früher jahrelang Bestand hatten, seien heute innerhalb von Monaten, Wochen oder sogar Tagen angreifbar. Dieses Zeitfenster werde mit der zunehmenden Rechenleistung immer kleiner.

In der Affäre um die von US-Regierungsmitgliedern für den Austausch vertraulicher Informationen genutzte modifizierte Signal-Variante TeleMessage meldet sich nun auch Signal selbst zu Wort. Insbesondere zum Thema Datenschutz und Sicherheit hat die Signal-Stiftung eine klare Position.

Der modifizierte Messenger stellte inzwischen nach einem zweiten Einbruch den Betrieb ein. TeleMessage erlaubt es, die sonst Ende-zu-Ende-verschlüsselten Nachrichten an die Server des Anbieters auszuleiten, womit die Nutzer offenbar der Dokumentationspflicht der Regierungskommunikation in den USA nachkommen wollten. Das reißt allerdings ein Sicherheitsleck auf.

Der TeleMessage-Quellcode ist inzwischen öffentlich, er war auf der Webseite des Anbieters herunterladbar. Erste Analysen kamen zu dem Ergebnis, dass etwa Zugangsdaten darin fest einprogrammiert sind. Mit diesen können Angreifer sich dann offensichtlich an den TeleMessage-Servern anmelden und unbefugt auf Daten zugreifen.

Die Signal-Stiftung hat dazu nun Stellung bezogen: "Wir können die Datenschutz- und Sicherheitseigenschaften von inoffiziellen Versionen von Signal nicht garantieren." Das ist nachvollziehbar, denn mit dem Quellcode von Signal, der unter Open-Source-Lizenz verfügbar ist, können andere Entwickler eigene Varianten erstellen und darin unsichere Ergänzungen einbauen. Genau so, wie es im Fall von TeleMessage geschehen ist.

Für etwas, was Fremde außerhalb der Kontrolle der Signal-Stiftung erstellen, können die Signal-Entwickler logischerweise nicht einstehen. Die Funktionen zum Ausleiten und Archivieren von Nachrichten, die TeleMessage implementiert hat, nutzte offenbar die vorgenannten, dilettantisch hartkodierten Zugangsdaten und ermöglichte dadurch aller Wahrscheinlichkeit nach die Angriffe auf den Dienst überhaupt erst.