Comretix Blog

In Hardware-Appliances von Palo Alto Networks klaffen Sicherheitslücken in den Firmwares und Bootloadern. Der Hersteller beschwichtigt, diese Lücken seien kaum ausnutzbar, arbeitet jedoch an korrigierten Firmwares und Bootloadern.

Anzeige

In der Sicherheitsmitteilung von Palo Alto erklären die Entwickler des Unternehmens, dass es von der "Behauptung von mehreren Schwachstellen in Hardware-Geräte-Firmware und Bootloadern als Teil unserer PA-Baureihe an (Hardware-)Firewalls" wisse. "Es ist bösartigen Akteuren oder PAN-OS-Administratoren nicht möglich, diese Schwachstellen unter normalen Bedingungen in PAN-OS-Versionen mit aktuellen, gesicherten Verwaltungsschnittstellen auszunutzen, die den Best-Practices-Regeln entsprechend aufgesetzt wurden", schreiben sie weiter.

User und Admins hätten keinen Zugriff auf die BIOS-Firmware oder die Rechte, sie zu ändern. Angreifer müssten das System kompromittieren und schließlich Linux-Root-Rechte erlangen, um die Lücken zu missbrauchen. Die Schwachstellen hat die IT-Sicherheitsfirma Eclypsium aufgespürt und merkt dazu etwas ironisch an: "Glücklicherweise für Angreifer (und unglücklich für Verteidiger), ist das Erlangen von Root-Rechten auf Palo Alto PAN-OS-Geräten möglich durch das Kombinieren von Exploits für zwei Schwachstellen, CVE-2024-0012 und CVE-2024-9474" –Ende November wurden dadurch weltweit mehr als 2000 Palo-Alto-Geräte geknackt.

Die Sicherheitsmitteilung listet eine Reihe älterer Sicherheitslücken auf, für die jeweils einige konkret untersuchte Geräte-Reihen anfällig sind. Dazu gehört etwa die BootHole genannte Schwachstelle, die im Jahr 2020 bekannt wurde und aufgrund von Fehlern im Bootloader Grub2 trotz Secure Boot Angreifern ermöglicht, sich in den Boot-Prozess einzuklinken und quasi unsichtbare Schadsoftware einzuschleusen.

In den Posteingängen von Internetnutzern landen abermals Phishing-Mails, die Opfer mit einer vermeintlichen Steuerrückzahlung ködern. Auffällig bei der aktuell laufenden Masche: Die Absender-Domain nutzt einen "Tipp-Fehler" mit "i" anstatt "l", also als Absender-Domain "eister.de".

Anzeige

Die angebliche Steuerrückzahlung kommt angeblich von der Domain "eister.de" anstatt "elster.de".

(Bild: polizei-praevention.de)

Das LKA Niedersachsen erörtert in der Warnung, dass solche Buchstabenverdreher bereits länger zum Einsatz kommen und ausnutzen, dass Empfänger sie beim flüchtigen Lesen nicht erkennen. Die konkret gezeigte E-Mail landete "bei einer Mitarbeiterin des Landesamtes für Steuern Niedersachsen, die die Fälschung natürlich sofort erkannte". Auffällig ist unter anderem auch die Frist, die bis zum 01.02.2024 läuft – hier könnten Empfänger aufmerken, da wir inzwischen im Jahr 2025 unterwegs sind.

Das Landgericht Düsseldorf hat in einem Verfahren zwischen der Stuttgarter Firma Skinport und Google Irland eine einstweilige Verfügung erlassen und nach einer mündlichen Verhandlung nun auch bestätigt. Der Online-Marktplatz für sogenannte Skins für Counter Strike 2 ist damit nicht nur in erster Instanz erfolgreich gegen unzulässige Phishing-Werbeanzeigen über Google Ads vorgegangen. Vielmehr hat die zuständige Zivilkammer auch entschieden, dass Google in solchen Fällen als Störer nach dem Digital Services Act (DSA) haftet: Der Betreiber des Werbedienstes muss demnach verhindern, dass Betrüger "kerngleiche" – also ähnlich gestrickte – Anzeigen über ihn schalten können.

Anzeige

Mit der im deutschen Recht verankerten Störerhaftung lassen sich Dritte, die zur Verletzung eines geschützten Gutes nur beitragen, zur Verantwortung ziehen. Nach Artikel 8 DSA wird Anbietern von Vermittlungsdiensten – wie in diesem Fall Google – keine allgemeine Pflicht auferlegt, die von ihnen übermittelten oder gespeicherten Informationen zu überwachen oder aktiv nach Umständen zu forschen, die auf eine rechtswidrige Tätigkeit hindeuten. Der EU-Gesetzgeber hat damit im Kern die Haftungsfreistellung aus der E-Commerce-Richtlinie übernommen, die sich hierzulande im Telemediengesetz (TMG) niederschlug. Ob die Störerhaftung mit den DSA-Vorgaben vereinbar ist, bereitet Juristen bislang Kopfschmerzen.

Google brachte vor dem Landgericht vor: Man habe keine "haftungsbegründende Kenntnis". Der Konzern hat nach Darstellung seiner Anwälte von der umstrittenen Textanzeige vom 8.6. 2023 erstmals mit der Zustellung des ersten gerichtlichen Beschlusses vom 20.6. 2023 erfahren. Die Reklame und der Werbetreibende seien sodann gesperrt worden, damit dieser keine vergleichbaren Phishing-Anzeigen mehr schalten könne. Die Voraussetzungen einer Haftung als Betreiber eines Hosting-Dienstes nach Artikel 6 DSA seien aber nicht erfüllt. Auch bestehe keine Pflicht, vorbeugend gegen einschlägige künftige Rechtsverletzungen vorzugehen.

"Der Widerspruch ist unbegründet", erklärt die Zivilkammer dagegen in ihrem jetzt veröffentlichten Urteil vom 15. Januar (Az.: 2a O 112/23). Google hafte zwar nicht als Täter oder Teilnehmer, aber als Störer. Denn: "Die Störerhaftung steht in Einklang mit den Vorgaben" des nunmehr geltenden Artikel 6 DSA für Vermittlungsdienstleister. Auch damit bleibe die Option bestehen, "dass eine Justiz- oder Verwaltungsbehörde nach dem Rechtssystem eines Mitgliedstaats vom Diensteanbieter verlangt, eine Zuwiderhandlung abzustellen oder zu verhindern".

Der Chaos Computer Club (CCC) wirft dem Vertrauensdiensteanbieter D-Trust "Cyber-Augenwischerei" vor, statt sich seiner Verantwortung nach Entdeckung eines Sicherheitslecks zu stellen. Deswegen schlägt CCC-Sprecher Linus Neumann dem Unternehmen einen 5-Punkte-Plan vor.

Anzeige

Der Entdecker der API-Schwachstelle hatte sich an den CCC gewandt, statt direkt mit D-Trust zu kommunizieren. Grund sei die fehlende rechtliche Absicherung für Sicherheitsforscher, so Neumann. Während D-Trust von einer "gezielten Manipulation" spricht und Strafanzeige erstattete, betont der CCC, dass kein Zugriffsschutz umgangen wurde.

Der CCC empfiehlt nach diesem Vorfall einen 5-Punkte-Plan, nachdem das Unternehmen unter anderem Verantwortung tragen, den Stand der Technik und damit "Sicherheitsstandards des aktuellen Jahrhunderts" einhalten müsse. Zudem fordert der CCC erneut eine Abschaffung des Hackerparagraphen und eine Bestrafung durch die Bundesbeauftragte für Datenschutz und Informationsfreiheit.

Im Podcast "Logbuch:Netzpolitik" sagte Neumann, dass seiner Ansicht nach diejenigen eine Strafanzeige erhalten müssten, die für die offene API Verantwortung tragen. Stattdessen seien die Daten ohne angemessenen Schutz ins Internet gestellt worden, was D-Trust laut Neumann erklären müsse.

Eine Malvertising-Kampagne läuft bei Google: Mit Links, die vermeintlich auf die Homebrew-Webseite führen, versuchen die Täter ihre Opfer zu ködern. Wer genau hinschaut, entdeckt den kleinen Fehler in der URL.

Anzeige

Die Webseite brew.sh ist die offizielle Webseite zum Homebrew-Projekt, das diverse Open-Source-Programme für macOS verfügbar macht. Es handelt sich um einen – oder eigentlich korrekter, den – Open-Source-Paketmanager für Macs.

Homebrew ist äußerst populär. Daher könnten Opfer auf solche Werbeanzeigen bei Google hereinfallen, die vermeintlich auf die Homewbrew-Webseite verweisen. Die Werbung scheint auch noch korrekte URLs zu verwenden: An mehreren Stellen findet sich die URL "brew.sh" respektive "https://www.brew.sh".

Klicken potenzielle Opfer auf den Link, landen sie auf einer Webseite, die der Original-Homebrew-Webseite zum Verwechseln ähnelt. Die URL lautet jedoch "brewe[.].sh", mit einem zusätzlichen "e" am Ende. Der angegebene Konsolenbefehl, der zur Installation des brew-Systems dient, verweist jedoch nicht auf das reguläre Homebrew-Installationsskript unter "githubusercontent.com", sondern auf eine eher beliebige, vermutlich kompromittierte URL.

Häufig sind es Fehlkonfigurationen, die Angreifern den Zugang zu Cloud-Umgebungen erleichtern, auch bei AWS. Entwicklungsfehler, unzureichende Härtung sowie Standardeinstellungen, die eher auf Funktionalität als auf Sicherheit ausgerichtet sind, erhöhen das Risiko, dass Angreifer einzelne Anwendungen, Ressourcen und Identitäten kompromittieren können.

Anzeige

In dem Workshop Angriffe auf und Absicherung von Amazon Web Services (AWS) lernen Sie die Techniken der Angreifer kennen und erfahren, mit welchen Sicherheitsmaßnahmen Sie Ihre AWS-Dienste und Cloud-Identitäten besser schützen und so potenzielle Angriffe frühzeitig erkennen und abwehren können.

Dabei setzen Sie sich mit verschiedenen Angriffsszenarien und Sicherheitsstrategien auseinander. Sie werden in die wichtigsten Methoden wie unautorisierte Informationsbeschaffung, initiale Kompromittierung von AWS Identitäten und Privilegieneskalation eingeführt. Sie erfahren auch, wie wichtig es ist, die Angriffspfade zwischen lokalen Umgebungen und der AWS-Cloud zu verstehen. Beim Aufspüren von Fehlkonfigurationen lernen Sie, wie Sie diese beheben und Sicherheitsfunktionen aktivieren können. Frank Ully zeigt Ihnen, wie Sie Angriffe auf Ihre AWS-Umgebung erkennen und wie Sie CloudTrail, CloudWatch und GuardDuty konfigurieren und einsetzen, um Sicherheitsprotokolle zu analysieren und auf Sicherheitsvorfälle zu reagieren.

Die Schulung richtet sich an Administratoren, IT-Sicherheitsverantwortliche und Security-Fachleute, die sich intensiver mit Angriffen auf und Absicherung von Amazon Web Services (AWS) auseinandersetzen wollen. Referent ist Frank Ully, erfahrener Pentester und Head of Research bei der Oneconsult Deutschland AG in München. Der nächste Workshop findet am 6. und 7. März 2025 statt

Auf dem Hacking-Wettbewerb Pwn2Own Automotive 2025 in Tokyo haben die Teilnehmer viele Treffer gelandet. Insgesamt wurde ein Preisgeld von knapp mehr als 886.000 US-Dollar ausgezahlt. Bleibt zu hoffen, dass die Autohersteller zeitnah Sicherheitsupdates veröffentlichen.

Anzeige

Schließlich können Attacken auf Infotainmentsysteme weitreichende Folgen haben und im schlimmsten Fall lebensbedrohliche Folgen haben, wenn Angreifer Steuerungssysteme während einer Fahrt manipulieren.

Die Pwn2Own-Wettbewerbe veranstaltet Trends Micros Zero Day Initiative. Je nach Ausrichtung stehen verschiedene Produkte und Geräte im Fokus. Ziel ist es, Sicherheitslücken aufzudecken, sodass Hersteller diese schließen können.

Teslas Wall Charger musste öfter dran glauben und Angreifer attackierten die Ladestation für E-Autos erfolgreich.

Es ist der wohl bislang größte Ransomware-Angriff auf deutsche Institutionen in diesem Jahr: Mehrere Dutzend Schulen in Rheinland-Pfalz wurden Mitte Januar mit einem Verschlüsselungstrojaner infiziert. Einfallstor für die Attacke war wohl das Netz eines externen Dienstleisters. Dessen Name tauchte nun auf der Leaksite der Lockbit-Bande auf.

Anzeige

Wie die "Rheinpfalz" berichtete, sind 45 Schulen in verschiedenen Städten und Landkreisen in Rheinland-Pfalz betroffen. Die Angriffe erstreckten sich wohl auf einen externen Dienstleister, der mittlerweile daran arbeite, die Netzwerke und Server wiederherzustellen, so die Zeitung weiter.

Sowohl die betroffenen Verwaltungen als auch das zwischenzeitlich eingeschaltete LKA Rheinland-Pfalz schwiegen sich über Details des Angriffs zunächst aus. Ransomware sei im Spiel und auch Unternehmenskunden des Dienstleisters seien betroffen, hieß es. Doch welche Bande dahintersteckte, ob man um Lösegeld verhandele und welche Bande sich an den Schulnetzen vergriffen habe, blieb im Dunklen.

Ist Lockbit für den Angriff auf rheinland-pfälzische Schulen verantwortlich? Zumindest behauptet die Bande das auf ihrer Leaksite.

Die Betreiber von GitLab haben Patch-Releases für ihre Versionsverwaltungsplattform veröffentlicht. Die Updates stehen sowohl für die Community Edition (CE) als auch für die Enterprise Edition (EE) bereit.

Anzeige

Die Versionen 17.8.1, 17.7.3, 17.6.4 beheben drei Schwachstellen, von denen eine mit dem Bedrohungsgrad "hoch" eingestuft ist und zwei mit "mittel".

GitLab rät in seinem Blog dringend dazu, die Patch-Releases schnellstmöglich zu installieren. Wer den Service auf GitLab.com verwendet, arbeitet bereits mit den aktualisierten Versionen – um die Cloud-Server kümmert sich der Anbieter selbst.

Als hohe Bedrohung gilt die mit dem Schweregrad CVSS 8.7 von 10 eingestufte Schwachstelle mit dem CVE-Eintrag (Common Vulnerabilities and Exposures) CVE-2025-0314, der bisher lediglich als reserviert markiert ist. Sie ermöglicht Stored XSS (Cross-Site-Scripting) über das Rendern von Asciidoctor-Inhalten. Stored XSS bedeutet, dass der Schadcode auf dem Server abgelegt ist und dadurch nicht nur durch direkte Eingaben ausgelöst wird, sondern auch bei anderen Anfragen. Im Juni 2024 gab es ebenfalls bereits eine Stored-XSS-Schwachstelle in GitLab.

Eine Supply-Chain-Attacke im Chrome Web Store hat im Dezember um die dreißig Browser-Erweiterungen getroffen und die persönlichen Daten von 2,6 Millionen Nutzerinnen und Nutzern gefährdet. Die Sicherheitsfirma Sekoia hat nun weitere Details, insbesondere über die hinter dem Angriff liegende Infrastruktur, veröffentlicht.

Anzeige

Bereits Anfang Januar hat das Security-Unternehmen Annex eine erste Analyse des Angriffs und eine Liste der betroffenen Extension veröffentlicht. Der Angriff beginnt mit gezielten Phishing-Mails an Extension-Entwickler. Die Mails kommen vermeintlich von Googles Web-Store-Team, und die Angreifer drohen damit, dass die Extension aus dem Store entfernt wird, wenn die Entwickler nicht die Program Policy akzeptieren. Ein Button führt zu einer bösartigen Anwendung, die sich über OAuth in das Google-Konto der Opfer einloggt. Sobald die Täter Zugriff auf den Quellcode der Extension haben, fügen sie schädliche Abschnitte hinzu, die darauf abzielen, persönliche Browser-Daten der Opfer abzugreifen: Social-Media-Logins (Facebook), API-Schlüssel (ChatGPT), Session-Cookies und weiteres.

Sobald eine Anwenderin oder ein Anwender die betreffende Extension startet, führt diese standardmäßig ein Update durch, das den bösartigen Code enthält.

Sekoia hat insgesamt ein Dutzend verseuchter Beispiele untersucht, die vom 12. Dezember 2024 (VPNCity) bis zum 30. Dezember 2024 (Proxy SwtichyOmega V3) online waren. Die Liste von Annex geht sogar bis Juli 2024 (HiAI) zurück, die Analysten vermuten jedoch eine Aktivität der Kampagne sogar seit 2023. Die Täter scheinen diese Ende Dezember gestoppt zu haben, auffallend war insbesondere der Aufwand und die Breite der gezielten Angriffe. Es gab sogar extra Werbeseiten für die gekaperten Extensions, um möglichst viele Nutzerinnen und Nutzer anzugehen.

Die US-amerikanische IT-Sicherheitsbehörde CISA warnt aktuell vor Angriffen auf Servern. Im Visier der Angreifer stehen veraltete jQuery-Installationen, die die Server verwundbar machen. jQuery dient zur einfachen Manipulation von Webseiten mit Javascript, etwa um Animationen zu erzeugen oder Elemente in der Seite zu verändern.

Anzeige

Bei der Schwachstelle, auf die die CISA Angriffe beobachtet hat, handelt es sich um eine Cross-Site-Scripting-Lücke in jQuery. HTML mit "<option>"-Elementen aus nicht vertrauenswürdigen Quellen kann beim Durchreichen an eine der DOM-Manipulationsmethoden von jQuery in der Ausführung von nicht vertrauenswürdigem Code münden, selbst, wenn zuvor eine Filterung stattgefunden hat, lautet die Schwachstellenbeschreibung (CVE-2020-11023, CVSS 6.9, Risiko "mittel").

Betroffen von dieser Sicherheitslücke sind jQuery-Versionen von 1.0.3 bis vor 3.5.0, die Fassung schließt die Schwachstelle. Sie wurde im April 2020 veröffentlicht. Aktuell ist jQuery 3.7.1 – aber auch daran nagt bereits der Zahn der Zeit, die Version stammt aus August 2023.

Die CISA führt nicht aus, wie die Angriffe vonstatten gehen. Auch über das Ausmaß und konkrete Folgen schweigt die Behörde. Indizien für Angriffe (Indicators of Compromise, IOCs) gibt es ebenfalls nicht.

Ortsbasierte Sperren sollen Datensicherheit auf Android-Handys stärken. Die als "Identity Check" bezeichnete, optionale Funktion verhindert den Zugriff auf bestimmte Daten und Funktionen, wenn sich das Gerät außerhalb vordefinierter geografischer Orte befindet. Die Orte, an denen kein Identitiy Check erforderlich ist, kann der Nutzer selbst festlegen. Google denkt dabei insbesondere an Arbeitsplatz und Wohnung.

Anzeige

Für Zugriff an anderen Orten kann die Sperre laut Googles Mitteilung nur durch biometrische Authentifizierung aufgehoben werden. Geschützt werden bestimmte Funktionen: Ändern von PINs, Mustern, Passwörtern oder biometrischen Merkmalen zum Entsperren des Gerätes, Ausschalten des Android-Diebstahlschutzes und der Gerätelokalisierung (Find My Device), Zugriff auf Passwörter und Passkeys im Google Password Manager, automatische Eintragung von Passwörtern in Apps (nicht aber im Chrome-Browser), das Zurücksetzen auf die Werkseinstellung, Anzeige der als vertrauenswürdig hinterlegten Orte, Kopie von Daten und Einstellungen auf ein neues Gerät, Löschen oder Hinzufügen eines Google-Kontos, Zugriff auf Entwickler-Optionen und selbstredend Ausschalten von Identity Check.

Die neue Funktion findet zunächst Eingang auf Pixel-Handys mit Android 15 sowie Samsung-Handys der Galaxy-Reihe, die das User Interface One UI 7 nutzen. Android-Geräte anderer Hersteller sollen folgen. Mit der Aktivierung des Identity Check wird automatisch verstärkter Zugriffsschutz für das verbundene Google-Konto sowie gegebenenfalls das Samsung-Konto des Gerätes eingeschaltet. Die Ausspielung dürfte, wie üblich, schrittweise erfolgen, nicht für alle erfassten Mobiltelefone gleichzeitig.

Im Oktober hat Google damit begonnen, Diebstahlschutz für Android auszurollen. Dies ist nach Angaben des Datenkonzerns nun abgeschlossen. Alle Android-Handys ab Android 10 können die Diebstahlschutzfunktion nutzen, mit Ausnahme der abgespeckten Android-Go-Varianten. Seit Android 9 hat jede Android-Version auch eine "Go"-Variante. Das ist eine für weniger leistungsstarke Geräte und Mobilfunknetze optimierte Variante des Betriebssystems, die zudem auf Bedürfnisse mehrsprachiger Nutzer zugeschnitten ist. Abzuwarten bleibt, ob Identity Check eines Tages auch für Android Go kommt.

Der Mikrocontroller Raspberry Pi RP2350 hat Sicherheitsfunktionen wie ARM TrustZone sowie nur einmal programmierbaren Speicher (One-Time Programmable, OTP), um kryptografische Schlüssel zu hinterlegen.

Anzeige

Um die Robustheit dieser Funktionen gegen böswillige Angreifer zu demonstrieren, lobte Raspberry Pi im August 2024 einen Hacking-Wettbewerb mit Preisgeld (Bug Bounty) aus. Kürzlich wurden vier Gewinner verkündet, die alle jeweils die volle Summe von 20.000 US-Dollar bekamen.

Außer Konkurrenz – denn dabei ging es um eine Schwachstelle, für die kein Preisgeld ausgelobt war – erwähnte Raspi-Chef Eben Upton noch einen erfolgreichen Angriff auf den im RP2350 eingebauten Glitch-Detektor.

Upton betonte, dass alle erfolgreichen Angriffe physischen Zugriff auf den RP2350 voraussetzen. Die Angreifer rückten dem Chip unter anderem mit Spannungsimpulsen, Laserlicht sowie elektromagnetischen Feldern zu Leibe. Einige der Schwachstellen sollen in künftigen Revisionen des RP2350 abgedichtet werden und sie wurden als Errata in die Dokumentation aufgenommen.

In den Verwaltungskonsolen der SonicWall-Appliance SMA1000 klafft eine schwere Sicherheitslücke. Über eine unsichere Deserialisierung (CVE-2025-23006, Einstufung kritisch, CVSS-Wert 9,8/10) können Angreifer unter bestimmten Bedingungen Systemkommandos aus der Ferne einschleusen, welche das Gerät dann ausführt.

Anzeige

Wie der Hersteller in einem Sicherheitshinweis erklärt, ist lediglich die Appliance vom Typ SMA1000 betroffen, die Produktserien "SonicWall Firewall" und SMA 100 leiden nicht unter der Sicherheitslücke.

Wer die Produktversion 12.4.3-02804 oder älter einsetzt, ist angreifbar und sollte seine Geräte flugs auf die reparierte Ausgabe 12.4.3-02854 aktualisieren. Zudem legt SonicWall seinen Kunden nahe, den Zugriff auf die Application Management Console (AMC) und Central Management Console (CMC) auf vertrauenswürdige Netze zu beschränken.

Der Hinweis auf den Codeschmuggel-Fehler kam offenbar von Microsofts Threat Intelligence Center (MSTIC). Der Wink, dass Angreifer die Lücke bereits aktiv ausnutzen, kam vermutlich ebenfalls aus Redmond, dürfte aber in Kürze auch über die Kanäle der US-Cybersicherheitsbehörde CISA laufen.

Die prorussische Gruppe "NoName057(16)" spezialisiert sich auf DDoS-Angriffe. Sie gibt Zielserver an, die sie mit Überlastungsangriffen mithilfe freiwilliger Unterstützer, also einer riesigen Menge an Netzwerkanfragen, in die Knie zwingen und für reguläre Nutzer unerreichbar machen will. Seit Dienstag dieser Woche stehen Schweizer Einrichtungen im Fokus der kriminellen Gruppe aus Russland.

Anzeige

Der Tracker auf Telegram verfolgt, welche Ziele die Gruppe NoName057(16) derzeit ins Visier für DDoS-Attacken nimmt.

(Bild: Screenshot / dmk)

Die russischen Aktivisten wollen Aufmerksamkeit im Zuge des derzeit laufenden Weltwirtschaftsforums, das vom 20. bis 24. Januar im schweizerischen Davos stattfindet, erregen. Die Ziele wechseln, so waren anfangs etwa die Webseite mehrerer Banken nicht erreichbar.

Die neue US-Regierung hat alle nicht vom Staat entsandten Mitglieder verschiedener Beratungsgremien entlassen und damit unter anderem eine Untersuchung des verheerenden Cyberangriffs auf US-Provider abrupt gestoppt. Das berichtet die Nachrichtenagentur Reuters. Die Untersuchung des Angriffs durch das Cyber Safety Review Board sei damit "gestorben", zitiert der Cybersecurity-Journalist Eric Geller auf X eine mit dem Vorgang vertraute Quelle. Senator Ron Wyden (Demokraten) spricht von einem "massiven Geschenk an die chinesischen Spione, die auch Donald Trump und JD Vance ins Visier genommen haben".

Anzeige

Cisco warnt vor einer kritischen Sicherheitslücke im Meeting Management. Zudem hat der Hersteller Schwachstellen in Broadworks und ClamAV mit Sicherheitsupdates geschlossen.

Anzeige

Die gravierendste Sicherheitslücke betrifft die REST-API von Ciscos Meeting Management. "Eine Schwachstelle in der REST-API von Cisco Meeting Management ermöglicht entfernten authentifizierten Angreifern mit niedrigen Rechten, ihre Rechte auf betroffenen Geräten zu Administrator heraufzustufen", schreibt Cisco in der Sicherheitsmitteilung (CVE-2025-20156, CVSS 9.9, Risiko "kritisch").

Die Sicherheitslücke stamme daher, dass ordnungsgemäße Autorisierung von REST-API-Nutzern nicht erzwungen werde. Angreifer können das Leck missbrauchen, indem sie API-Anfragen an Endpunkte senden. Bei Erfolg können Angreifer Kontrolle auf Admin-Ebene über Edge-Nodes erhalten, die mit Ciscos Meeting Management verwaltet werden. Version 3.10 ist von der Lücke nicht betroffen, für Version 3.9 steht die Aktualisierung auf Cisco Meeting Management 3.9.1 bereit. Wer noch Fassung 3.8 oder ältere einsetzt, soll auf eine unterstützte Version migrieren.

Eine Denial-of-Service-Lücke betrifft Ciscos Broadworks. Das Unternehmen schreibt in einer Sicherheitsmeldung, dass im Subsystem zur SIP-Verarbeitung nicht authentifizierte Angreifer aus dem Netz die Verarbeitung eingehender SIP-Anfragen lahmlegen können (CVE-2025-20165, CVSS 7.5, hoch). Die Speicherbehandlung für bestimmte SIP-Anfragen ist unzureichend, was Angreifer durch das Senden einer großen Zahl von SIP-Anfragen missbrauchen können, um den Speicher aufzubrauchen, den Ciscos Broadworks zum Verarbeiten von SIP-Traffic reserviert. Sofern kein Speicher mehr verfügbar ist, verarbeiten die Netzwerkserver keine eingehenden Anfragen mehr. Der Fehler ist ab Version RI.2024.11 von Cisco Broadworks korrigiert.