CERT.at - Aktuelles

Microsoft Patch Tuesday Juni 2026 & "RoguePlanet"

2026-06-10T10:34:22Z

Im Rahmen des diesmonatigen Patchdays hat Microsoft Sicherheitsupdates für rund 200 Schwachstellen veröffentlicht. Damit übertrifft dieser Patchday den bisherigen Rekord von 167 Lücken aus dem Oktober 2025 deutlich. Über 30 der behobenen Sicherheitslücken sind als "Critical" eingestuft.

Besonders im Blick behalten sollten Administrator:innen drei Probleme, die bereits vor Verfügbarkeit eines Patches öffentlich bekannt waren. Alle drei werden von Microsoft als "Important" eingestuft, eine aktive Ausnutzung liegt laut Aussage des Unternehmens jedoch nicht vor.

"YellowKey" - diese Lücke ermöglicht es Angreifer:innen mit physischem Zugriff den Bitlocker-Schutz zu umgehen und auf Daten verschlüsselter Laufwerke zuzugreifen.
CVE-2026-49160 - betrifft den HTTP/2-Stack und kann betroffene Dienste / Systeme lahmlegen
CVE-2026-45586 ("GreenPlasma") - eine fehlerhafte Link-Auflösung (Link Following) ermöglicht es lokal angemeldeten Angreifer:innen SYSTEM-Rechte zu erlangen. Microsoft sieht die Ausnutzungswahrscheinlichkeit als "Exploitation More Likely"

Auch abseits dieser 0-Days sind in diesem Patchday Aktualisierungen für einige schwerwiegende Sicherheitsprobleme enthalten.

Sowohl der Remote Desktop Client als auch Microsoft Office waren von RCE-Schwachstellen betroffen, und eine kritische Lücke in Hyper-V ermöglichte Angreifer:innen den Ausbruch aus dem Gast-System auf den Host. Auch einige Umgehungen von Secure-Boot werden mit den Updates behoben.

Nur wenige Stunden nach den Veröffentlichungen zum Patchday veröffentlichte ein Sicherheitsforscher einen Proof-of-Concept für eine neue, noch nicht behobene Schwachstelle in Microsoft Defender.

Dieser Exploit (mit dem Namen "RoguePlanet") nutzt eine Race-Condition und verschafft Angreifer:innen bei erfolgreicher Ausnutzung eine Eingabeaufforderung mit SYSTEM-Rechten. Der Forscher selbst beschreibt den Angriff als "hit or miss", Sicherheitsexpert:innen des Unternehmens ThreatLocker sowie das Onlineportal BleepingComputer konnten die Funktionalität des Exploits jedoch unabhängig nachstellen.

Betroffen sind alle Versionen von Windows 10 und Windows 11. Windows Server ist zwar grundsätzlich ebenfalls verwundbar, da Standardbenutzer:innen jedoch keine ISO-Images einhängen dürfen funktioniert der Exploit hier jedoch nicht.

Ein offizielles Advisory von Microsoft liegt noch nicht vor, ThreatLocker empfiehlt als Abhilfe bis zum Erscheinen eines Patches Application Allowlisting.

Update #2: Qilin-Ransomware nutzt Initial Access aus ZipLine-Kampagne — DACH-Recruiting-Domains im Fokus

2026-05-28T16:47:03Z

Update #1: Qilin-Ransomware nutzt Initial Access aus ZipLine-Kampagne — DACH-Recruiting-Domains im Fokus

Wir haben Hinweise darauf, dass die Ransomware-Gruppe Qilin Initial Access von Akteur:innen der ZipLine-Phishing-Kampagne erwirbt und für eigene Verschlüsselungs- und Erpressungsoperationen weiterverwendet. In Österreich liegen uns bereits bestätigte Fälle vor. Aus der Schweiz wurde uns ein Vorfall gemeldet, bei dem die ZipLine-Kette ebenfalls als Root Cause identifiziert wurde.

Die ZipLine-Kampagne wurde Ende 2025 von Check Point Research erstmals umfassend beschrieben und richtet sich gezielt gegen kritische Fertigung und exportorientierte Mittelständler. Die Angreifer:innen treten als Recruiter oder Personalvermittler:innen auf, initiieren über das öffentliche Kontaktformular der Zielunternehmen einen längeren, scheinbar legitimen Schriftverkehr und bringen die Opfer erst nach Tagen oder Wochen dazu, eine präparierte ZIP-Datei zu öffnen.

Im DACH-Raum sehen wir aktuell vor allem Köderdomains mit Recruiting-Bezug. Folgende Absenderdomains sollten im eingehenden Mailverkehr (mindestens die letzten 90 Tage) retrospektiv ausgewertet werden:

jn-recruitment[.]at
headmatch[.]at
alpentalent[.]at
steinersearch[.]at

Diese Liste ist nicht abschließend — das Muster (deutschsprachige, vermeintlich seriöse Personalvermittlungs-Domains mit .at-TLD, gefolgt von längerem, unauffälligem Schriftverkehr und einer späteren ZIP-Zustellung) ist das eigentlich relevante Indiz.

Update #1: 26. Mai 2026

Uns sind weitere Köderdomains bekannt geworden, die demselben Muster folgen:

valenzsearch[.]at
haasrecruiting[.]at
bergersearch[.]at

Für haasrecruiting[.]at und bergersearch[.]at sind erst kürzlich TLS-Zertifikate ausgestellt worden. Wir gehen daher davon aus, dass über diese Domänen in Bälde Phishing-Mails verschickt werden, auch wenn entsprechende Zustellungen bislang noch nicht beobachtet wurden. Beide Domänen sollten daher präventiv in entsprechende Block- bzw. Watchlists aufgenommen werden.

Die E-Mails der Kampagne werden über dedizierte Microsoft-365-MX-Einträge zugestellt. Pro Köderdomain .at existieren dabei jeweils zwei zugehörige MX-Hosts — einer mit dem Suffix -at und einer mit dem Suffix -com, jeweils nach dem Schema -.mail.protection.outlook.com. Für steinersearch.at etwa:

steinersearch-at.mail.protection.outlook.com
steinersearch-com.mail.protection.outlook.com

Update #2: 28. Mai 2026

Eine weitere neue Köderdomain wurde bekannt, die demselben Muster folgt:

falkentalent[.]at

Vorankündigung: Kritische Sicherheitslücke in Drupal Core - Patch-Verfügbarkeit am 20. Mai 2026

2026-05-19T13:59:05Z

Drupal hat eine Vorankündigung (Pre-Announcement) zu einer als kritisch eingestuften Sicherheitslücke in Drupal Core veröffentlicht. Für alle unterstützten Versionszweige wird am 20. Mai 2026 zwischen 19:00 und 23:00 CEST eine Sicherheitsaktualisierung bereitgestellt. Zum Zeitpunkt dieser Vorankündigung sind noch keine Details zur Schwachstelle und kein Patch verfügbar. Nicht alle Konfigurationen sind betroffen; ob ein System verwundbar ist, kann erst nach Veröffentlichung des Advisories festgestellt werden.

CERT.at empfiehlt, möglichst vorab auf die jeweils aktuellste unterstützte Patch-Release (Bugfix-Release) des eingesetzten Drupal-Versionszweigs zu aktualisieren, damit etwaige Aktualisierungsprobleme vor dem Sicherheitsfenster behoben werden können.

Aktive Ausnutzung einer schwerwiegenden Sicherheitslücke in cPanel und WHM

2026-04-30T13:40:53Z

Der Hersteller cPanel hat kürzlich Sicherheitsupdates [1] zur Behebung einer kritischen Schwachstelle (CVE-2026-41940) in den Produkten cPanel & WHM sowie WP Squared veröffentlicht. Laut Berichten von watchTowr [2] wird diese Schwachstelle bereits aktiv durch Angreifer:innen ausgenutzt, um Hosting-Infrastrukturen zu kompromittieren. Es gibt Hinweise darauf, dass gezielte Zero-Day-Angriffe bereits seit Ende Februar 2026 stattfinden.

Die Schwachstelle (CVSS-Score 9.8) ermöglicht es unauthentifizierten Angreifer:innen aus der Ferne, die Authentifizierung mittels einer sogenannten CRLF-Injection im Session-Ladevorgang zu umgehen. Gelingt dies, können die Angreifer:innen weitreichende administrative Rechte erlangen und übernehmen so die vollständige Kontrolle über das Host-System, dessen Konfigurationen, Datenbanken und die dort gehosteten Webseiten. Da inzwischen detaillierte technische Analysen und Proof-of-Concept (PoC) Exploits öffentlich zugänglich sind, ist von einer unmittelbaren, massenhaften Ausnutzungswelle gegen erreichbare Instanzen auszugehen.

Unternehmen und Organisationen, die on-premise Instanzen von cPanel & WHM oder WP Squared einsetzen, sind dringend dazu angehalten, die nun zur Verfügung stehenden Sicherheitsaktualisierungen umgehend einzuspielen und möglicherweise betroffene Systeme forensisch auf Kompromittierung zu untersuchen. Als temporärer Workaround wird teilweise das Blockieren der Management-Ports (2083 und 2087) angewandt, das sofortige Einspielen der Patches ist jedoch zwingend zu bevorzugen. Weitere Details zu den Updates, sowie ein Skript welches die eigene Instanz auf etwaige Kompromittierungen untersuchen kann, entnehmen Sie der Veröffentlichung des Herstellers

CERT.at informiert die Betreiber der uns bekannten, verwundbaren Systeme in Österreich proaktiv, um eine zeitnahe Behebung der Sicherheitslücke zu gewährleisten.

1. https://support.cpanel.net/hc/en-us/articles/40073787579671-Security-CVE-2026-41940-cPanel-WHM-WP2-Security-Update-04-28-2026?ref=labs.watchtowr.com
2. https://labs.watchtowr.com/the-internet-is-falling-down-falling-down-falling-down-cpanel-whm-authentication-bypass-cve-2026-41940/

LLM-basierte Schwachstellensuche

2026-04-20T14:08:15Z

Nachdem sich Open Source Maintainer 2025 noch über eine Flut an minderwertigen Sicherheitshinweisen beschwert hatten, die durch LLM-basierte Schwachstellensuche ausgelöst wurde, so hat sich das Bild 2026 gedreht. Nach massiven Investitionen durch sowohl die Marktführer (Google Big Sleep, Anthropic Mythos, OpenAI Codex Security) als auch vielen Startups ist die Branche an einem Punkt angelangt, wo sowohl die automatisierte Schwachstellensuche in Software (zum Teil inklusive Patcherstellung), als auch Penetration-Testing auf hohem technischem Niveau durch Agentic LLMs durchgeführt werden können. Das hat zur Folge, dass

in den nächsten Monaten ein Schwall an Schwachstellen gefunden wird. Das wird die Kapazitäten für einen sauberen Coordinated Vulnerability Disclosure(CVD) Prozess, insb. bei Open Source Projekten, überlasten;
trotz aller Bemühungen diese Werkzeuge nicht nur in den Händen von wohlmeinenden Sicherheitsforschern bleiben werden;
aus Schwachstellenmeldungen schnell Exploit-Code entwickelt und global eingesetzt wird, womit das Zeitfenster für ein rechtzeitiges Patching immer kleiner wird;
alle Webseiten nicht mehr nur den jetzt schon üblichen Scans ausgesetzt werden, sondern intensiv auf Schwachstellen abgeklopft werden.

Die zu erwartende erhöhte Geschwindigkeit und das erhöhte Angriffsvolumen bringen weitere Herausforderungen für IT-Sicherheitsverantwortliche. Folgende Maßnahmen werden daher empfohlen:

Alle Prozesse rund um das Patch-Management, wie Asset Management (incl. indirekte Abhängigkeiten), Priorisierung, Testen und Rollout müssen effektiv und schnell funktionieren.
Minimierung der Angriffsfläche: Was nicht oder nur eingeschränkt (z.B. nur über eine WAF) von außen erreichbar ist, kann auch nicht einfach durch Internet-weite Scans kompromittiert werden.
Mit einer erfolgreichen Ausnutzung von Schwachstellen, insb. in Edge-Devices, ist zu rechnen. Gute Netzwerksegmentierung, eine rasche Erkennung und funktionierende Recovery-Prozesse sind hier angebracht.

Bei eigener Softwareentwicklung sollten diese neuen Methoden zur Schwachstellensuche Teil des QA-Prozesses werden.

Schwerwiegende Sicherheitslücke in Adobe Reader - aktiv ausgenutzt

2026-04-13T10:14:15Z

Update, 13.04.2026: Adobe hat inzwischen ein Sicherheitsupdate veröffentlicht welches das Problem behebt. Administrator:innen sind dringend angehalten dieses schnellstmöglich einzuspielen.

Ein Sicherheitsforscher hat eine schwerwiegende Lücke in Adobe Reader entdeckt für die bisher kein Update zur Verfügung steht. Um ein verwundbares System zu kompromittieren reicht es bereits aus, dass Nutzer:innen ein speziell präpariertes PDF-Dokument öffnen, eine weitere Interaktion ist nicht notwendig. Die Schwachstelle wird bereits seit mindestens November 2025 ausgenutzt. Ein erstes PDF-Dokument welches die Sicherheitslücke ausnutzt tauchte am 28. November 2025 auf VirusTotal auf. Die Angreifer:innen nutzten im Kontext dieses Dokumentes russischsprachige Inhalte mit einem Fokus auf Themen die für die Öl- und Gasindustrie relevant sind. Es ist nicht auszuschliessen, dass es noch weitere Kampagnen gibt die auf die Ausnutzung der Lücke abzielen.

Laut dem Sicherheitsforscher selbst wurde Adobe bereits informiert, hat aber bislang weder einen Patch noch eine CVE-Nummer veröffentlicht. Bis ein Fix bereitsteht der das Problem behebt, sollten Nutzer:innen besonders vorsichtig sein und keine PDF-Dokumente aus nicht vertrauenswürdigen Quellen öffnen. Als Schutzmaßnahme kann es helfen, JavaScript im Reader zu deaktivieren.

Supply Chain Security im CI/CD Umfeld

2026-03-25T14:38:21Z

In den letzten Wochen wurden mehrere Security Lösungen aus dem Continuous Integration/Continuous Delivery (CI/CD) Umfeld erfolgreich kompromittiert: Xygeni, Trivy, Checkmarx.
Durch Injektion böswilligen Codes wurden vordergründig Zugangsdaten aus automatisierten CI/CD Pipelines, in welchen die Softwarepakete der kompromittierten Unternehmen genutzt werden, gestohlen. Durch die so erlangten Zugangsdaten wurden in weiterer Folge andere Softwarepakete kompromittiert.

Angriffe über manipulierte Softwareupdates zeigen ein schwierig zu lösendes Spannungsfeld auf: Security Fixes sollen möglichst zeitnah ausgerollt werden. Schadsoftware natürlich aber besser nicht. Abseits plattformspezifischer Ansätze (pnpm, python) sehen wir aktuell vor allem eine bewusste, wohldefinierte zeitliche Verzögerung der Nutzung neu herausgegebener Softwarepakete als validen Ansatz, dieses Risiko zu minimieren. Diese Verzögerung erlaubt Security Researchern derartige Situationen zu erkennen und den Herausgebern zu reagieren, hoffentlich noch bevor man den böswilligen Code in die eigene Umgebung integriert.
Die Definition dieses Zeitraums ist natürlich eine sehr individuelle, in Anbetracht der aktuell gängigen Dynamiken sehen wir eine Verzögerung von einem bis drei Tage als valide Planungsgrundlage.

Schwerwiegende Sicherheitslücken in Citrix NetScaler ADC und NetScaler Gateway - Patches verfügbar

2026-03-30T15:02:56Z

30.03.2026: Sicherheitsforscher:innen des Unternehmens Watchtowr haben am 28.03.2026 und 29.03.2026 zwei Blogbeiträge mit einer technischen Analyse sowie Hinweisen zur Erkennung von Ausnutzungsversuchen veröffentlicht. Laut den Statistiken der Shadowserver Foundation sind in Österreich aktuell knapp 600 Systeme des Herstellers direkt aus dem Internet erreichbar, Zahlen zu tatsächlich verwundbaren Systemen liegen uns momentan noch nicht vor. Medienberichten zufolge bereiten sich verschiedene Bedrohungsakteure bereits auf die Ausnutzung der Schwachstellen vor.

In NetScaler ADC (vormals Citrix ADC) und NetScaler Gateway (vormals Citrix Gateway) wurden zwei schwerwiegende Sicherheitslücken, CVE-2026-3055 und CVE-2026-4368, entdeckt. Die Ausnutzung dieser Schwachstellen ermöglicht Angreifer:innen unter Umständen Zugriff auf sensible Informationen. Betroffen sind folgende Produkte beziehungsweise folgende Versionen:

CVE-2026-3055

NetScaler ADC and NetScaler Gateway 14.1 BEFORE 14.1-66.59
NetScaler ADC and NetScaler Gateway 13.1 BEFORE 13.1-62.23
NetScaler ADC FIPS and NDcPP BEFORE 13.1-37.262

CVE-2026-4368

NetScaler ADC and NetScaler Gateway 14.1-66.54

Systemadministrator:innen können mittels folgender Schritte feststellen ob sie von den Schwachstellen betroffen sind:

Für CVE-2026-3055 kann geprüft werden ob ein SAML-IDP-Profil konfiguriert ist, indem die NetScaler-Konfiguration nach dem Eintrag add authentication samlIdPProfile durchsucht wird.
Für CVE-2026-4368 sollte geprüft werden, ob ein Auth Server (AAA Vserver) mit add authentication vserver oder ein Gateway (VPN Vserver, ICA Proxy, CVPN, RDP Proxy) mit add vpn vserver konfiguriert ist

Zur Behebung der Probleme empfiehlt der Hersteller das Einspielen bereits zur Verfügung stehender Sicherheitsaktualisierungen:

NetScaler ADC and NetScaler Gateway 14.1-66.59 and later releases
NetScaler ADC and NetScaler Gateway 13.1-62.23 and later releases of 13.1
NetScaler ADC 13.1-FIPS and 13.1-NDcPP 13.1.37.262 and later releases of 13.1-FIPS and 13.1-NDcPP

Bisher liegen uns keine Informationen zu einer Ausnutzung der Sicherheitsprobleme vor. Erfahrungsgemäß ist jedoch damit zu rechnen, dass Bedrohungsakteure bereits daran arbeiten die Patches zu untersuchen und mit den daraus gewonnenen Informationen Angriffswellen zu starten.

Mehrere Sicherheitslücken in AppArmor ("CrackArmor") - Updates verfügbar

2026-03-13T15:27:17Z

Sicherheitsforscher:innen des Unternehmens Qualys haben insgesamt neun Schwachstellen in AppArmor entdeckt welche von den Expert:innen zusammengefasst als "CrackArmor" bezeichnet werden.

Bei AppArmor handelt es sich um ein Kernelmodul für Linux welches als standardmäßiger Mechanismus für Mandatory Access Control (MAC) in Ubuntu, Debian und SUSE inkludiert ist. Die Schwachstelle besteht seit 2017 (Kernel-Version 4.11) und betrifft laut den Autor:innen der Veröffentlichung weltweit über 12 Millionen Systeme.

Die Schwachstellen sind sogenannte "Confused Deputy"-Probleme bei deren Ausnutzung unprivilegierte Nutzer:innen einen privilegierten Prozess dazu bringen können, Aktionen in seinem Namen auszuführen, die er selbst nicht durchführen dürfte. Qualys selbst vergleicht das Problem mit einem Einbrecher, der einen Hausverwalter mit Generalschlüssel dazu überredet, ihm gesperrte Tresore zu öffnen.

Die Ausnutzung der Sicherheitsprobleme kann unter Umständen folgende Auswirkungen haben:

Lokale Rechteausweitung: Angreifer:innen können über die Manipulation von AppArmor-Profilen volle Root-Rechte erlangen, beispielsweise durch ein Überschreiben der Datei /etc/passwd.
Container- und Namespace-Ausbruch: Die Schwachstellen ermöglichen es, Isolierungsmaßnahmen von Containern und User-Namespaces zu umgehen.
Denial of Service: Verschachtelte Sicherheitsprofile können Ressourcen erschöpfen und möglicherweise einen Systemabsturz auslösen.
KASLR-Umgehung: Unter Umständen lässt sich die Kernel-Adressraumlayout-Randomisierung aushebeln, was Folgeangriffe erleichtert.

Systemadministrator:innen sind nachdrücklich dazu angehalten die zur Verfügung stehenden Sicherheitsupdates schnellstmöglich einzuspielen. Bisher liegen uns keine Informationen zu einer Ausnutzung der Lücken vor. Qualys hat laut eigener Aussage funktionsfähige Proof-of-Concepts entwickelt, hält den Code dafür aber zurück, um betroffene Systeme nicht unnötig zu gefährden.

Aktive Ausnutzung von Sicherheitslücken in Ivanti Endpoint Manager Mobile (CVE-2026-1281, CVE-2026-1340)

2026-02-03T12:02:17Z

Zwei kürzlich behobene Sicherheitslücken in Ivanti Endpoint Manager Mobile (CVE-2026-1281 und CVE-2026-1340, siehe dazu unsere Warnung vom 31.01.2026 sowie eine technische Analyse der Sicherheitsexpert:innen von Watchtowr) werden bereits von Bedrohungsakteuren ausgenutzt.

Laut Ivanti selbst ist die Untersuchung der bisher bekannten Vorfälle noch im Gange und verlässliche technische Indikatoren liegen noch nicht vor. Allerdings scheinen sich sowohl erfolgreiche als auch versuchte Angriffe mit 404-Errorcodes im Apache-Log niederzuschlagen. Jedoch erzeugen gepatchte Installationen laut den Entwickler:innen ebenfalls derartige Fehlercodes, weshalb Ivanti eine Regular Expression für eine bessere Filterung empfiehlt.

Erschwerend kommt hinzu, dass die Angreifer:innen nach einer erfolgten Kompromittierung die auf dem betroffenen System gespeicherten Logs manipuliert. Eine kontinuierliche Weiterleitung von Logs in ein zentralisiertes System ist dementsprechend, beziehungsweise grundsätzlich, empfohlen.

Systemadministrator:innen und Sicherheitsverantwortliche sind dringend angehalten die zur Verfügung stehenden Sicherheitsaktualisierungen einzuspielen. Nach aktuellem Stand der Dinge kann jedoch nicht ausgeschlossen werden, dass eine Ausnutzung der Sicherheitslücke bereits vor der Veröffentlichung von Updates erfolgt ist.

Möglicherweise betroffene Systeme sollten dementsprechend im Rahmen der eigenen Incident Response-Prozesse behandelt und gegebenenfalls forensisch untersucht werden. Sollten wir weitere Informationen erhalten werden wir diesen Beitrag schnellstmöglich entsprechend aktualisieren.

Aktuelle Angriffswelle gegen CVE-2025-59718, Patches unzureichend

2026-01-21T11:50:52Z

Im Dezember des vergangenen Jahres hat Fortinet Informationen über einen Login Bypass in mehreren Produkten des Unternehmens veröffentlicht (siehe dazu auch unser Warning vom 19.12.2025) und gleichzeitig Patches zur Verfügung gestellt welche das Problem beheben sollten.

Aktuell mehren sich jedoch Berichte, dass es eine neue Angriffswelle unter Ausnutzung der Schwachstelle - CVE-2025-59718 - zu geben scheint. Auffällig ist, dass mehrere der betroffenen Organisationen die Aktualisierungen zur Behebung des Problems bereits eingespielt hatten und die Angreifer:innen trotzdem in der Lage waren die angegriffenen Systeme mit Hilfe dieser Lücke zu kompromittieren.

Laut einem Beitrag in sozialen Medien hat das Unternehmen inzwischen bestätigt, dass das Problem weiterhin besteht und mit den bereits veröffentlichten Sicherheitsaktualisierungen nicht behoben ist. Als Workaround wird seitens der Entwickler:innen empfohlen den Konfigurationsparameter admin-forticloud-sso-login disable zu setzen.

Seitens Fortinet gibt es bisher noch keine öffentliche Kommunikation. Sollten wir hier weitere Informationen bekommen werden wir diesen Beitrag entsprechend aktualisieren.

Aktuelle Angriffe gegen alte Sicherheitslücke in Fortinet-Geräten (CVE-2020-12812)

2026-01-05T10:58:45Z

Eine bereits seit Juli 2020 bekannte Sicherheitslücke in Fortinet-Firewalls, CVE-2020-12812, wird aktuell aktiv ausgenutzt. Durch Ausnutzung der Schwachstelle können Angreifer:innen durch eine simple Manipulation von Groß- und Kleinbuchstaben in Benutzernamen (z. B. "Mmueller" statt "mmueller") die Zwei-Faktor-Authentifizierung (2FA) über Fortitoken umgehen. Besonders gefährdet sind Systeme, die lokale Nutzer:innen über einen LDAP-Server authentifizieren.

Trotz verfügbarer Patches sind laut aktuellen Scans der Shadowserver Foundation noch immer knapp 10.000 Systeme weltweit angreifbar, in Österreich sind es noch mehr als hundert Geräte. Administrator:innen sind dringend angehalten die zur Verfügung stehenden Sicherheitsaktualisierungen einzuspielen. Sollte dies aus operativen Gründen nicht möglich sein stellt Fortinet im ursprünglichen Advisory Workarounds zur Mitigation des Problems zur Verfügung.

Betroffene Systeme sollten aufgrund der langen Verwundbarkeit und insbesondere in Anbetracht der aktuellen Angriffe als zumindest gefährdet betrachtet werden und im Rahmen der eigenen Incident Response-Prozesse entsprechend behandelt und untersucht werden.

Schwerwiegende Sicherheitslücke in MongoDB ("MongoBleed")

2025-12-29T10:12:53Z

In MongoDB wurde um Weihnachten eine schwerwiegende Sicherheitslücke entdeckt. Die Schwachstelle, CVE-2025-14847 (auch bekannt als "MongoBleed") erlaubt es unauthentifizierten Angreifer:innen durch manipulierte, zlib-kompromierte Anfragen Teile des Heap-Speichers auszulesen und damit potentiell sensible Daten (wie beispielsweise Passwörter oder API-Schlüssel) zu stehlen.

Betroffen sind zahlreiche Releases von Version 3.6 bis 8.x. Laut MongoDB selbst sind alle Versionen mit standardmässig aktiviertem zlib-Kompressor verwundbar. Konkret handelt es sich dabei um:

MongoDB 8.2.0 through 8.2.3
MongoDB 8.0.0 through 8.0.16
MongoDB 7.0.0 through 7.0.26
MongoDB 6.0.0 through 6.0.26
MongoDB 5.0.0 through 5.0.31
MongoDB 4.4.0 through 4.4.29
All MongoDB Server v4.2 versions
All MongoDB Server v4.0 versions
All MongoDB Server v3.6 versions

Für alle betroffenen Versionen haben die Entwickler:innen bereits Updates veröffentlicht. Als Workaround wird folgendes empfohlen:

If you cannot upgrade immediately, disable zlib compression on the MongoDB Server by starting mongod or mongos with a networkMessageCompressors or a net.compression.compressors option that explicitly omits zlib. Example safe values include snappy,zstd or disabled

Nachdem bereits öffentliche Proof-of-Concept-Exploits existieren und es laut Medienberichten bereits Ausnutzungsversuche durch verschiedene Bedrohungsakteure gibt sind Systemadministrator:innen dringend angehalten die zur Verfügung stehenden Sicherheitsaktualisierungen einzuspielen beziehungsweise, falls dies nicht möglich ist, die Workarounds zu implementieren. Ebenso ist es empfehlenswert, eigene Infrastruktur auf eine mögliche Ausnutzung der Lücke zu untersuchen. Sicherheitsforscher:innen haben hierzu bereits entsprechende Signaturen veröffentlicht.

Kritische Zero-Day-Lücke in Cisco Secure Email-Lösungen aktiv ausgenutzt

2026-01-16T13:45:12Z

Update 16.01.2026: Cisco hat hierzu einen Patch veröffentlicht.

Cisco warnt in einer am 17. Dezember veröffentlichten Meldung vor einer kritischen, bislang ungepatchten Sicherheitslücke (CVE-2025-20393) in seinen auf AsyncOS basierenden E-Mail-Sicherheitslösungen. Die Schwachstelle ist mit einem maximalen CVSS-Score von 10.0 bewertet und erlaubt es entfernten Angreifer:innen, beliebige Befehle mit Root-Rechten auf den betroffenen Systemen auszuführen. Laut Cisco wird die Lücke bereits seit mindestens November 2025 aktiv ausgenutzt.

Betroffen sind alle Versionen der folgenden Produkte, sofern das Feature „Spam Quarantine“ aktiviert und aus dem Internet erreichbar ist:

Cisco Secure Email Gateway
Cisco Secure Email and Web Manager (ehemals SMA)

Die Standardkonfiguration ist in der Regel nicht verwundbar, da das betroffene Feature standardmäßig deaktiviert ist. Ob die „Spam Quarantine“-Funktion aktiviert ist, kann im Web Management Interface unter Network -> IP Interfaces (Gateway) bzw. Management Appliance -> Network -> IP Interfaces überprüft werden.

Ziel der Angriffe ist es, persistenten Zugriff auf die Zielsysteme zu erlangen. Dabei kommen verschiedene Schadprogramme zum Einsatz, darunter die Python-Backdoor AquaShell, das Tool AquaPurge zur Manipulation von Logs sowie Tunneling-Werkzeuge wie AquaTunnel und Chisel.

Cisco hat eine Liste von empfohlenen Maßnahmen in seinem Advisory veröffentlicht. Da die Untersuchung des Sachverhalts noch nicht abgeschlossen ist, wird empfohlen, dieses Advisory regelmäßig auf Aktualisierungen zu prüfen.

Schwerwiegende Sicherheitslücke in React und Next.js

2025-12-03T19:12:06Z

Ein Sicherheitsforscher hat in der Server-Komponente ("RSC") des Javascript-Frameworks React eine schwerwiegende Sicherheitslücke entdeckt. Die Schwachstelle, CVE-2025-55182, betrifft neben React selbst auch andere Javascript-Frameworks, welche die React Server-Komponente nutzen, insbesondere Next.js.

Hintergrund der Lücke ist eine unsichere Deserialisierung durch Clients verschickter RSC-Payloads, deren Struktur durch den Server nicht korrekt validiert wird. Durch einen speziell präparierten HTTP-Request kann auf diesem Weg eine entfernte Ausführung von Code erreicht werden. Laut Sicherheitsexpert:innen liegt die Erfolgsrate bei der versuchten Ausnutzung der Schwachstelle bei nahezu 100%.

Da die Lücke bei typischen bzw. Standard-Deployments auftritt sind ungewöhnlich viele Anwendungen betroffen. Laut dem auf Cloud-Sicherheit spezialisierten Dienstleister Wiz sind weltweit etwa 39% aller Cloud-Umgebungen von dem Problem betroffen.

Auch wenn bisher keine Ausnutzung durch Bedrohungsakteure bekannt ist sind Systemadministrator:innen und Entwickler:innen dringend angehalten die zur Verfügung stehenden Sicherheitsaktualisierungen einzuspielen. Für alle Deployments, die RSC nutzen (wie beispielsweise Next.js oder Plugins wie Vite/Parcel) sollte geprüft werden ob bereits ein Update zur Verfügung steht und dieses ebenfalls schnellstmöglich zu applizieren.

Kritische Sicherheitslücke in Fortinet FortiWeb wird aktiv ausgenutzt

2025-11-17T16:50:55Z

Eine kritische Sicherheitslücke (CVE-2025-64446) in Fortinet FortiWeb erlaubt es unauthentifizierten Angreifer:innen, eigene Admin-Konten zu erstellen und somit die vollständige Kontrolle über betroffene Geräte zu erlangen. Die Schwachstelle wird mindestens seit dem 6. Oktober 2025 aktiv ausgenutzt und Exploitcode ist bereits öffentlich verfügbar .

Konkret kombiniert die Sicherheitslücke zwei Schwachstellen: Über einen unzureichend gesicherten API-Endpunkt senden Angreifer:innen einen Payload an das 'fwbcgi'-Binary. Dort kann der Payload die Authentifizierung umgehen und somit ein neues Admin-Konto mit eigenen Zugangsdaten anlegen.

Betroffene Versionen:

FortiWeb 8.0.0 bis 8.0.1
FortiWeb 7.6.0 bis 7.6.4
FortiWeb 7.4.0 bis 7.4.9
FortiWeb 7.2.0 bis 7.2.11
FortiWeb 7.0.0 bis 7.0.11

Empfohlene Maßnahmen:

Betreiber:innen von Fortinet FortiWeb Installationen werden aufgefordert, unverzüglich auf folgende gepatchte Versionen zu aktualisieren: 8.0.2, 7.6.5, 7.4.10, 7.2.12 oder 7.0.12 . Sollte ein Update aktuell nicht möglich sein kann als Zwischenlösung der HTTP/HTTPS-Zugriff auf Internet-facing Interfaces selbst deaktiviert werden, bis ein Update durchgeführt werden kann.

Außerdem wird dringend empfohlen, die Konfiguration auf unerwartete Änderungen zu überprüfen und die Logs auf unautorisierten Zugriff beziehungsweise neu angelegte Admin-Konten seit Oktober 2025 zu checken.

Weitere IoCs sind hier verfügbar.

Aktuelle Phishingwelle im Namen von FinanzOnline

2025-11-05T11:25:25Z

Aktuell erreichen uns vermehrt Meldungen über Phishing-Kampagnen im Namen des österreichischen FInanzministeriums. Während eine Welle an Mails versucht Nutzer:innen mit einer gefälschten Mehrwertsteuer-Rückerstattung in die Falle zu locken warnen SMS-Nachrichten vor einem angeblich abgelaufenen FinanzOnline-Zugang. Auch Watchlist Internet berichtet bereits über diese Angriffe.

Bei der Mailkampagne handelt es sich um Mails die vorgeben vom Finanzministerium zu stammen. Die Empfänger:innen hätten laut diesen Nachrichten Anspruch auf eine Rückerstattung in der Höhe von mehreren hundert Euro - zur "Verifizierung der Bankverbindung" soll ein Link angeklickt werden.

Dieser führt Betroffene auf ein gefälschtes FinanzOnline-Portal. Von dort wird dann auf eine gefälschte Banking-Webseite weitergeleitet mittels derer die Kriminellen eingegebene Login-Daten stehlen.

Bei den SMS-Nachrichten (laut einigen Berichten in sozialen Medien rufen die Kriminellen potentielle Opfer auch an) ist das Ziel der Kriminellen ident, die Vorgehensweise jedoch anders. Empfänger:innen der SMS werden aufgefordert ihre FinanzOnline-Daten zu "bestätigen". Nach der "Anmeldung" bei einem gefälschten FinanzOnline-Portal folgt ein Anruf von vermeintlichen Support-Mitarbeiter:innen, die zur Installation einer Fernzugriffs-Software drängen - und so Vollzugriff auf das Endgerät erhalten.

In beiden Fällen gibt es eindeutige Warnsignale:

Absenderadresse: Echte Mails des Finanzministeriums enden auf @bmf.gv.at.
- Auch offizielle Seiten des Finanzamts enden immer auf .bmf.gv.at.
- Offzielle Stellen versenden in den allerseltensten Fällen Links per SMS, meistens nur Aufforderungen, sich direkt auf der Webseite einzuloggen.
Unpersönliche Anrede: Die Ansprache erfolgt mit Floskeln wie "Sehr geehrter Kunde" anstatt namentlicher Ansprache.
Aufbau von Druck: Das Vortäuschen von vermeintlich notwendiger Eile soll Stress erzeugen und so Misstrauen aushebeln. Die Nutzung solcher "emotionaler Trigger" ist eine klassische Taktik bei Phishing-Angriffen.

Sollten Sie bei bekommenen Benachrichtigungen unsicher sein ob es sich um authentische Nachrichten oder Betrugsversuche handelt sollten Sie direkt beim Finanzamt oder der Bank nachfragen. Nutzen Sie dabei Ihnen bekannte Kontaktdaten und nicht die in der Ihnen verdächtigen Nachricht angegebenen Kontaktmöglichkeiten.

SAP behebt schwerwiegende Sicherheitslücken in mehreren Produkten

2025-10-20T11:27:24Z

Im Rahmen des regulären Oktober-Patchday hat SAP insgesamt 13 Updates für Schwachstellen in seinen Produkten veröffentlicht. Besonders hervorzuheben sind dabei folgende Lücken:

CVE-2025-42944, CVSS 10.0, ist eine Deserialization in SAP NetWeaver, mittels welcher unauthentifizierte Angreifer:innen betroffene Systeme vollständig kompromittieren können. Dieses Problem wurde bereits im vergangenen Monat durch SAP adressiert, laut Sicherheitsforscher:innen bietet das aktuelle Update nochmals verbesserten Schutz.
CVE-2025-42937, CVSS 9.8 - SAP Print Service ist betroffen von einer Directory Traversal-Lücke deren Ausnutzung es unauthentifizierten Angreifer:innen erlaubt Systemdateien zu überschreiben.
CVE-2025-42910, CVSS 9.0, erlaubt es Angreifer:innen beliebige Dateien in SAP Supplier Relationship Management hochzuladen und zur Ausführung zu bringen.

Momentan gibt es noch keine Hinweise, dass eine oder mehrere dieser Sicherheitslücken durch Bedrohungsakteure ausgenutzt werden. In der Vergangenheit gelang es den Kriminellen jedoch oftmals bereits kurz nach Bekanntwerden einer Lücke funktionierende Exploits zu erstellen. Systemadministrator:innen sind dementsprechend dringend angehalten die zur Verfügung stehenden Sicherheitsaktualisierungen schnellstmöglich einzuspielen.

Kritische Redis Sicherheitslücke (CVE-2025-49844) erlaubt Authenticated Remote Code Execution

2025-10-07T16:32:14Z

Die kritische Redis Sicherheitslücke (CVE-2025-49844) erlaubt Remote Code Execution, wenn LUA-Scripting aktiviert ist und ein speziell präpariertes Script im Kontext eines authentifiziertem Benutzer ausgeführt wird.
Redis-Container werden standardmäßig ohne Authentifizierung ausgeliefert. Die Kombination aus weiter Verbreitung, häufig unsicherer Standardkonfiguration und der Schwere der Sicherheitslücke macht diese Schwachstelle unangenehm.
Es wird empfohlen bei exponierten Redis Instanzen die Authentifizierung zu aktivieren, falls nicht benötigt, LUA-Scripting zu deaktivieren und den Patch zügig einzuspielen.

CERT.at informiert automatisiert Abuse-Kontakte (direkt oder über den Internet Service Provider) von IP-Adressen mit Redis Instanzen ohne Authentifizierung seit Jahren über diesen Umstand.

https://www.wiz.io/blog/wiz-research-redis-rce-cve-2025-49844
https://github.com/redis/redis/security/advisories/GHSA-4789-qfc9-5f9q

Populäre JavaScript Pakete manipuliert

2025-09-09T12:57:05Z

Eine Reihe populärer JavaScript Pakete wurde kürzlich manipuliert um Krypotwährungstransaktionen zu manipulieren. Ursache dieses Supply-Chain-Angriffs scheint eine erfolgreiche Phishing Attacke gegen den Maintainer dieser Pakete und dessen NPM Konto gewesen zu sein. Manipulierte Versionen der betroffenen Pakete wurden bereits zurückgezogen.

Mehrere Berichte & Blogs widmen sich den Details: Betroffen waren folgende Pakete & Versionen:

backslash@0.2.1
chalk@5.6.1
chalk-template@1.1.1
color-convert@3.1.1
color-name@2.0.1
color-string@2.1.1
wrap-ansi@9.0.1
supports-hyperlinks@4.1.1
strip-ansi@7.1.1
slice-ansi@7.1.1
simple-swizzle@0.2.3
is-arrayish@0.3.3
error-ex@1.3.3
has-ansi@6.0.1
ansi-regex@6.2.1
ansi-styles@6.2.2
supports-color@10.2.1
proto-tinker-wc@1.8.7
debug@4.4.2

Wir empfehlen, eigene JavaScript-Entwicklungen auf den Einsatz dieser Pakete und Versionen zu prüfen und generell Softwarepakete Dritter, auch in automatisierten Abläufen, nur auf Sicherheitsbelange hin geprüft einzubinden.

Angriffe gegen Citrix Netscaler CVE-2025-6543

2025-07-25T08:57:22Z

Das Nationale Cybersicherheitszentrum der Niederlande NCSC-NL hat ein Script veröffentlicht, anhand dessen sich Citrix Netscaler Installationen lokal auf gewisse Indikatoren für Angriffe gegen die kürzlich bekannt gewordene Sicherheitslücke CVE-2025-6543 prüfen lassen.

Wir bitten Betreiber:Innen von Citrix Netscaler Installationen in Österreich, die eigenen Installationen durch dieses Script zu prüfen und uns über etwaige Funde zu informieren: Logfiles dieses Scripts nehmen wir gern zur Prüfung entgegen.

Aktiv ausgenutzte Schwachstellen in Citrix NetScaler ADC und NetScaler Gateway

2025-07-08T15:06:32Z

In den vergangenen Wochen hat Citrix mehrere Sicherheitsaktualisierungen für insgesamt drei Sicherheitslücken in seinen Produkten NetScaler ADC und NetScaler Gateway veröffentlicht:

CVE-2025-6543, CVSS-Score 9.2
CVE-2025-5349, CVSS-Score 8.7
CVE-2025-5777, CVSS-Score 9.3, auch bekannt als "CitrixBleed 2"

Zum Zeitpunkt der Veröffentlichung der Advisories sowie der dazugehörigen Aktualisierungen gab es laut Citrix keine aktive Ausnutzung der Schwachstellen, was bereits damals durch Sicherheitsxpert:innen angezweifelt wurde. Inzwischen mehren sich die Stimmen die von einer aktiven Ausnutzung durch Bedrohungsakteure sprechen. Weiters gibt es Indizien dafür, dass dies bereits seit mehreren Wochen der Fall sein könnte.

Da uns aktuell kaum technische Details zu möglichen Angriffen vorliegen können wir momentan noch keine genauen Anleitungen bzw. Empfehlungen zur Erkennung von Angriffsversuchen bzw. bereits erfolgten Kompromittierungen geben.

Laut Berichten in den sozialen Medien gibt es jedoch einige Anzeichen für eine Ausnutzung von CVE-2025-5777:

Logeinträge über wiederholte POST-Requests an den Endpunkt /p/u/doAuthentication, insbesondere mit Content-Length: 5
Logeinträge mit den Zeilen LOGOFF durch eine:n Benutzer:in mit einem # im Benutzer:innennamen

Betreiber:innen sind dennoch dringend angehalten zu prüfen, ob möglicherweise bereits vor dem Einspielen der zur Verfügung stehenden Patches eine Kompromittierung stattgefunden hat. Beispielsweise durch eine genaue Betrachtung von ein- und ausgehenden Verbindungen oder sonstigen ungewöhnlichen Aktivitäten auf möglicherweise betroffenen Systemen.

Auch wird von Citrix selbst angeraten, bestehende ICA- und PCoIP-Sessions zu terminieren, dies sollte jedoch erst geschehen nachdem diese auf möglicherweise verdächtige Verbindungen untersucht worden sind. Eine Beschreibung der Schritte um dies je nach System zu tun findet sich in der Dokumentation des Herstellers. Wir beobachten die Situation weiterhin und werden diese Veröffentlichung gegebenenfalls aktualisieren und um neue Informationen ergänzen.

Auswirkungen des militärischen Konfliktes zwischen Israel und dem Iran auf Österreich

2025-06-23T10:36:57Z

Vorliegende Analysen internationaler Behörden und Sicherheitsunternehmen verzeichnen seit dem Beginn der aktuellen militärischen Auseinandersetzung zwischen Israel und dem Iran verstärkte Aktivitäten von Bedrohungsakteuren aller Konfliktparteien.

Insbesondere Angriffe hacktivistischer Akteure haben massiv zugenommen. Diese setzen insbesondere auf DDoS-Angriffe und Webseiten-Defacements. In den sozialen Medien sprechen diese Angreifer:innen oft auch von erfolgreichen Datendiebstählen, wie auch in der Vergangenheit lassen sich diese Behauptungen momentan schwer verifizieren.

Laut unseren bisherigen Beobachtungen gab es bisher noch keine direkten Angriffe oder Auswirkungen auf lokale Unternehmen oder Organisationen. Eine Ausweitung der Angriffe auf europäische oder österreichische Ziele ist vor diesem Hintergrund jedoch nicht auszuschließen, zumal hacktivistisch motivierte Angreifer:innen oftmals opportunistisch vorgehen und die Wahl ihrer Ziele nicht immer rational nachvollziehbar ist. Selbst wenn es jedoch weitehrin zu keinen gezielten Angriffen auf Österreich kommt ist jedoch nicht auszuschließen, dass es für Organisationen hierzulande aufgrund von Geschäftsbeziehungen oder digitalen Schnittstellen zu Netzwerken in der Region zu Kollateralschäden kommen könnte.

CERT.at empfiehlt dringend, die bestehenden Sicherheitsmaßnahmen zu überprüfen und gegebenenfalls zu verstärken. Besonderes Augenmerk sollte auf die Segmentierung von Netzwerken, die Verbesserung der Sichtbarkeit durch Monitoring-Systeme und die Sensibilisierung von Mitarbeiter:innen gegenüber potentiellen Phishing-Angriffen und Social-Engineering-Versuchen gelegt werden.

Wir beobachten die weitere Entwicklung der Situation aktiv und werden neue Informationen beziehungsweise Veränderungen der Lage schnellstmöglich kommunizieren. Für Rückfragen stehen wir jederzeit zur Verfügung

Selenskyj kommt am 16. Juni nach Wien

2025-06-13T15:22:19Z

Passend zum letzten "Aktuellen": der ukrainische Präsident Selenskyi kommt laut Medienberichten am Montag, den 16. Juni auf einen Besuch nach Wien. Die Erfahrung aus anderen Staaten zeigt, dass das die Aufmerksamkeit gewisser Akteure auf Österreich lenken könnte, und dass daher mit DDoS-Angriffen zu rechnen ist.

Das wäre nichts neues für Österreich, auch rund um die Nationalratswahl im September gab es schon solche Störaktionen.

Wir erwarten keine ernsten Probleme, erhöhte Aufmerksamkeit ist aber angebracht.

DDoS-Angriffe auf österreichische Unternehmen und Organisationen

2025-06-06T13:51:43Z

Uns erreichen aktuell vermehrt Berichte von österreichischen Unternehmen und Organisationen über DDoS-Angriffe gegen ihre Systeme und Netzwerke. Betroffen sind Ziele in den verschiedensten Bereichen und Sektoren, ein besonderer Schwerpunkt der Kriminellen lässt sich bisher nicht festmachen. Bei manchen Angriffen liegen deutliche Hinweise auf eine finanzielle Motivation der Angreifer:innen vor, es scheint jedoch aktuell mehr als eine Täter:innengruppe aktiv zu sein.

In Anbetracht der aktuellen Geschehnisse empfehlen wir Unternehmen und Organisationen, die eigenen Prozesse und technischen Maßnahmen nochmals auf ihre Wirksamkeit zu überprüfen, um im Fall eines Angriffes bestmöglich gewappnet zu sein. Dies gilt insbesondere, da eine Intensivierung der Angriffe oder das Ausweiten der Attacken auf weitere Ziele nicht ausgeschlossen werden kann.

Mitigation durch den ISP

Effiziente DDoS Mitigation findet nicht nur beim Opfer statt, sondern auch beim jeweiligen ISP. Kontaktieren Sie diesen bezüglich entsprechender Produkte und Services. Stellen Sie darüber hinaus sicher, dass Sie einen direkten Kontakt bei Ihrem ISP haben, mit dem Sie eventuelle weitere Vorkehrungen besprechen können und der Sie im Fall eines Angriffes unterstützen kann.

Vorbereitung auf Nichtverfügbarkeit

Wir empfehlen, Kontaktdaten, die im Falle eines Angriffes relevant sein können (z.B. Kontaktdaten behördlicher Stellen, Telefonnummer der Ansprechperson bei Ihrem ISP, ...), offline und direkt verfügbar zu haben.

Für weiterführende Informationen zur Thematik DDoS generell, verweisen wir auf den Absatz "Abhilfe" in unserer Warnung vom 14.06.2021, unseren Blogpost zu Geoblocking, sowie auf die "Schriftenreihe Cybersicherheit Distributed Denial of Service DDoS" der Direktion Staatsschutz und Nachrichtendienst.

Sollten Sie auch Opfer eines solchen Angriffes werden, bitten wir um eine dementsprechende Meldung unter reports@cert.at zur Unterstützung unseres diesbezüglichen Lagebildes beziehungsweise eine NIS-Meldung, wenn die entsprechende Notwendigkeit gegeben ist.

Microsoft-Patchday behebt aktiv ausgenutzte Sicherheitslücke

2025-04-09T15:41:48Z

Microsoft hat zum April-Patchday (8. April) Aktualisierungen für mehrere kritische Schwachstellen in ihren Produkten veröffentlicht. Eine dieser Lücken wird laut dem Unternehmen bereits aktiv ausgenutzt.

Konkret handelt es sich dabei um die Sicherheitslücke CVE-2025-29824, welche mit einem CVSS-Wert von 7.8 bewertet ist. Durch das Ausnutzen eines sogenannten Use-after-free-Bugs können Angreifer:innen mit einfachen Benutzer:innenrechten vollständige Systemrechte erlangen.

Laut Microsoft wird die Schwachstelle in Verbindung mit einer Backdoor-Malware namens PipeMagic eingesetzt. Im Anschluss nutzen die Angreifer:innen die erlangten Systemrechte, um Ransomware großflächig innerhalb der Umgebung zu verteilen und auszuführen. Es wird empfohlen, die veröffentlichten Patches für die Versionen Windows 10 und 11 sowie Windows Server 2008 (R2), 2012 (R2), 2016, 2019, 2022 und 2025 zu installieren.

Des Weiteren wurden Patches für kritische Sicherheitslücken in Hyper-V, Windows Remote Desktop Services und Excel veröffentlicht.

Text-basiertes QR Code Phishing im Umlauf

2025-03-05T16:05:02Z

Über den neuen Ansatz hatten wir 2024 in unseren Newslettern berichtet, nun erhalten wir auch direkt Meldungen über "bildlose" QR-Code Phishs. Kurz umrissen: der QR-Code wird nicht wie oft üblich als Bilddatei übermittelt, sondern aus einzelnen ASCII-/Unicode Block-Zeichen zusammengesetzt. Dadurch kann der im QR-Code enthaltene Inhalt Sicherheitslösungen verborgen bleiben, für optische QR-Code Scanner jedoch funktional bleiben.

Ransomware nutzt Sicherheitslücke in FortiOS/FortiProxy Management-Interfaces

2025-02-18T17:29:02Z

CERT.at hat kürzlich Aktivitäten beobachtet, bei denen die Schwachstelle CVE-2024-55591 in FortiOS/FortiProxy als initialer Angriffsvektor für Ransomware-Angriffe genutzt wird.

Die Sicherheitslücke ist seit Mitte Jänner bekannt , Patches stehen bereits zur Verfügung. Heise [1] hat bereits vorige Woche berichtet, dass eine Ausnutzung der Schwachstelle stattfindet, wir hatten diesen Artikel auf unserem Tagesbericht. Die Lücke ermöglicht es die Authentifizierung zu umgehen und kann es ermöglichen, Super-Admin-Rechte zu erlangen. Mit Stand 17.02.2025 sehen wir noch 368 verwundbare IP-Adressen in Österreich. Diese Zahl wirkt für uns ungewöhnlich hoch, wenn man das Alter und die Schwere der Schwachstelle bedenkt.

Unternehmen und Organisationen, die eine veraltete Version von FortiOS/FortiProxy einsetzen, werden dringend dazu angehalten, die verfügbaren Sicherheitsupdates zeitnah einzuspielen, den Zugriff auf die Management-Interfaces zu beschränken und betroffene Systeme forensisch zu untersuchen. Hinweise zu den empfohlenen Maßnahmen entnehmen Sie bitte dem Advisory des Herstellers [2]. Details zur Schwachstelle und IOCs finden Sie ebenso im Blog von Arctic Wolf [3].

Wir haben Internet Service Provider und/oder Netzwerkbetreiber bereits über verwundbare Systeme in ihren Netzen informiert.

[1] https://www.heise.de/news/Fortinet-schliesst-Sicherheitsluecken-in-diversen-Produkten-Angriffe-laufen-10279425.html

[2] https://www.fortiguard.com/psirt/FG-IR-24-535

[3] https://arcticwolf.com/resources/blog/console-chaos-targets-fortinet-fortigate-firewalls/

Aktive Ausnutzung einer schwerwiegenden Sicherheitslücke in Ivanti Connect Secure VPN

2025-01-09T11:49:32Z

Der Hersteller Ivanti hat am 08.01.2025 Informationen zu zwei Sicherheitslücken veröffentlicht, CVE-2025-0282 und CVE-2025-0283. Laut einer am selben Tag erfolgten Veröffentlichung von Mandiant wird diese Schwachstelle bereits seit Mitte Dezember des vergangenen Jahres durch Angreifer:innen missbraucht um Unternehmen und Organisationen zu kompromittieren.

Die Untersuchungen der Angriffe dauern laut Mandiant noch an. Es ist laut dem Unternehmen davon auszugehen, dass mehr als ein Bedrohungsakteur an den Ausnutzungsversuchen beteiligt ist. Genaue Details sind jedoch bisher noch nicht bekannt.

Unternehmen und Organisationen die Ivanti Connect Secure VPN einsetzen sind dringend dazu angehalten die nun zur Verfügung stehenden Sicherheitsaktualisierungen einzuspielen und möglicherweise betroffene Geräte forensisch zu untersuchen. Hinleitungen und Anweisungen für die idealerweise zu setzenden Schritten können dem Advisory von Ivanti entnommen werden.

Social Engineering nach Mailbombing

2024-12-13T18:09:37Z

Rapid7 hat vor Kurzem einen Blogbeitrag zur Vorgehensweise einer Ransomwaregruppe veröffentlicht, wir haben inzwischen von mehreren Firmen in Österreich gehört, die dieses Angriffsmuster selber beobachten mussten:

Zuerst wird ein Mitarbeiter der Zielfirma mit E-Mail überschüttet: in vielen Fällen sind das legitime Newsletter, die aber in der Masse ein echtes Problem sind.
Danach wird dieser Angestellte per Teams oder über andere Kanäle kontaktiert: Man sei der Helpdesk und will ihm bei der Bewältigung der Mail-Lawine helfen.
Dazu werden Fernwartungswerkzeuge installiert / aktiviert, damit kann dann der Täter Malware einbringen und starten.
Im schlimmsten Fall endet das Ganze mit Ransomware.

Neben rein technischen Sicherheitsmaßnahmen ist hier die Awareness wichtig: Bei der echten IT-Abteilung, die sicher schnell auch von der Mailflut erfährt, und dann den Betroffenen entsprechend warnen sollte, aber auch bei allen Mitarbeitern, damit sie verstehen, was hier gespielt wird.

Stark gestiegenes Aufkommen an Microsoft Remote Desktop Protokoll (RDP) Scanning

2024-12-11T14:20:29Z

Ein internationaler Partner (Shadowserver) verzeichnet seit Anfang Dezember ein weltweit sehr stark gestiegenes Aufkommen (x160) an RDP "Scanning" in Wellen [1]. Ob es nur um Ausforschen offener RDP-Ports geht oder bereits weitere Handlungen gesetzt werden, ist aktuell unbekannt.
Der Fokus scheint nicht auf dem RDP Standard-Port 3389, sondern auf Port 1098 zu liegen.
RDP sollte niemals uneingeschränkt aus dem Internet erreichbar sein, sondern Zugriffe beispielsweise über VPN-Lösungen oder ACLs beschränkt werden.

[1] https://dashboard.shadowserver.org/statistics/honeypot/device/time-series/?date_range=30&dataset=unique_ips&limit=1000&group_by=type&style=stacked

Akute Welle an DDoS-Angriffen gegen österreichische Unternehmen und Organisationen

2024-11-18T14:48:28Z

Seit heute Früh sind verschiedene österreichische Unternehmen und Organisationen aus unterschiedlichen Branchen und Sektoren mit DDoS-Angriffen konfrontiert. Die genauen Hintergründe der Attacke sind uns zurzeit nicht bekannt, Hinweise für eine hacktivistische Motivation liegen jedoch vor.

Mitigation durch den ISP

Effiziente DDoS Mitigation findet nicht beim Opfer statt, sondern beim jeweiligen ISP. Kontaktieren Sie diesen bezüglich entsprechender Produkte und Services. Stellen Sie darüber hinaus sicher, dass Sie einen direkten Kontakt bei Ihrem ISP haben, mit dem Sie eventuelle weitere Vorkehrungen besprechen können und der Sie im Fall eines Angriffes unterstützen kann.

Vorbereitung auf Nicht-Verfügbarkeit

Weiterführende Informationen

Für weiterführende Informationen zur Thematik DDoS generell, verweisen wir auf den Absatz "Abhilfe" in unserem Warning vom 14. Juni 2021 [1] sowie auf die "Schriftenreihe Cybersicherheit Distributed Denial of Service DDoS" [2] der Direktion Staatsschutz und Nachrichtendienst.

Sollten Sie auch Opfer eines solchen Angriffes werden/sein, bitten wir um eine dementsprechende Meldung unter reports@cert.at zur Unterstützung unseres diesbezüglichen Lagebildes beziehungsweise eine NIS-Meldung, wenn die entsprechende Notwendigkeit gegeben ist.

Informationsquelle(n):

Sicherheitslücken in Citrix Virtual Apps and Desktops

2024-11-13T09:52:37Z

Sicherheitsforscher:innen des Unternehmens Watchtowr haben zwei schwerwiegende Sicherheitslücken in Produkten des Unternehmens Citrix entdeckt. Aktuell ist noch unklar wie kritisch die Schwachstellen, CVE-2024-8068 und CVE-2024-8069, tatsächlich sind.

Laut den Expert:innen handelt es sich bei der Lücke um eine unauthentifizierte Remote Code Execution, der Hersteller bestreitet dies momentan noch. Fest steht, dass Citrix Virtual Apps and Desktops vor der Version 2407 hotfix 24.5.200.8 sowie mehrere LTS-Versionen des Produktes verwundbar sind. Die genauen Details finden sich in dem vom Hersteller veröffentlichten Advisory.

Da neben Aktualisierungen welche das Problem beheben auch bereits ein Proof-of-Concept auf GitHub veröffentlicht wurde ist davon auszugehen, dass es bald zu breitflächigen Ausnutzungsversuchen kommen wird. Dementsprechend sind Administrator:innen dringend angehalten betroffene Systeme schnellstmöglich zu aktualisieren.

Wir behalten die Entwicklungen rund um die Schwachstelle weiter im Auge und aktualisieren diesen Beitrag sollten wir neue Informationen erhalten.

Zugangsdaten aus 2023 für Zugriff ausgenutzt - "Helldown Leaks"-Ransomware kompromittiert Unternehmen über Zyxel-Firewalls

2024-11-22T12:31:10Z

Seit etwa Anfang August 2024 werden international Unternehmen durch die Ransomware-Gruppe "Helldown Leaks" verschlüsselt.
Als initialer Angriffsvektor können durchgängig Zyxel-Firewalls ausgemacht werden, selbst wenn diese auf dem letzten Software-Stand sind.

Betroffen sind ...

ATP (alle Versionen)
USG FLEX (alle Versionen)

im On-Premise-Modus mit Remote-Management oder SSL-VPN, bei denen die Anmeldedaten von Administratoren und Benutzern seit 2023 NICHT aktualisiert wurden.

Anzeichen für eine Kompromittierung sind ...

Unbekannte Benutzerkonten: Vorhandensein von nicht autorisierten Admin- oder Benutzerkonten wie "SUPPORT87", "SUPPOR817" oder "VPN", aber auch andere.
Verdächtige VPN-Verbindungen: SSL-VPN-Anmeldungen von IP-Adressen, die nicht Ihrem Unternehmen zugeordnet sind, insbesondere aus dem Ausland.
Geänderte Sicherheitsrichtlinien: Anpassungen an Firewall-Regeln, die unbeschränkten Zugriff ermöglichen oder WAN-zu-LAN-Zugriff öffnen.
Ungewöhnliche Aktivitätsprotokolle: Admin-Anmeldungen zu ungewöhnlichen Zeiten oder von unbekannten Standorten.

Diese Ransomware-Kampagne ist weiter aktiv.

Es wird empfohlen bei Zyxel-Firewalls aus der ATP oder USG FLEX Serie umgehend ...

ALLE Passwörter zu ändern. Bitte verwenden Sie NICHT dasselbe Passwort wie in der Vergangenheit.
- ALLE Passwörter für Admin-Konten
- ALLE Passwörter für Benutzerkonten, einschließlich lokaler und Active Directory-Konten.
- Der Pre-Share-Schlüssel Ihrer VPN-Einstellungen (Remote Access und Site-to-Site-VPN)
- Das Administratorkennwort mit externem Authentifizierungsserver (AD-Server und Radius)
unbekannte Konten zu entfernen
- Überprüfen Sie alle Benutzerkonten und löschen Sie unautorisierte oder unbekannte Konten.
Sicherheitsrichtlinien zu prüfen
- Untersuchen Sie Firewall- und Sicherheitsregeln auf unautorisierte Änderungen und stellen Sie sicher, dass sie angemessene Zugriffsbeschränkungen enthalten.
die Abmeldung von Benutzern und Administratoren zu erzwingen, die nicht erkannt werden.
Firewall-Regeln zu entfernen, die nicht dazu gedacht sind, den gesamten Zugriff von WAN, SSL-VPN-Zonen oder Any zuzulassen.
die Firmware zu aktualisieren
- Stellen Sie sicher, dass alle Zyxel-Geräte auf dem neuesten Software-Stand sind.

Generell gilt, dass vom Hersteller nicht mehr mit Sicherheitsaktualisierungen versorgte Produkte ehestmöglich durch noch unterstützte Systeme ersetzt werden sollten. In Anbetracht der Bedrohungslage ist in diesem Fall besondere Dringlichkeit gegeben.

Informationsquelle(n):

Zyxel Advisory:
https://support.zyxel.eu/hc/en-us/articles/21878875707410-Zyxel-USG-FLEX-and-ATP-series-Upgrading-your-device-and-ALL-credentials-to-avoid-hackers-attacks

Blog von Truesec:
https://www.truesec.com/hub/blog/helldown-ransomware-group

Blog von Sekoia:
https://blog.sekoia.io/helldown-ransomware-an-overview-of-this-emerging-threat/

Artikel vom deutschen Bundesamt für Sicherheit in der Informationstechnik:
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2024/2024-290907-1032

Denial of Service in Cisco ASA & FTD und weitere Cisco Advisories

2024-10-25T15:30:18Z

Cisco berichtet in einem kürzlich veröffentlichten Advisory, sich "malicious use" einer Denial-of-Service Sicherheitslücke in Cisco Adaptive Security Appliance & Firepower Threat Defense Software Remote Access VPN bewusst zu sein. Berichten nach handelt es sich hierbei aber nicht um gezielte Denial-of-Service Angriffe, sondern um Seiteneffekte von breitgestreuten Brute-Force oder Credential-Spraying Attacken: Eine hohe Anzahl an Authentifizierungsversuchen gegen das VPN Service kann demnach zu einem Ausfall des Services führen.
Neben Updates für diese Denial-of-Service Sicherheitslücke (CVE-2024-20481) hat Cisco kürzliche weitere als kritisch eingestufte Sicherheitslücken mit Updates versorgt. Unter anderen Command Injection Vulnerabilities in Cisco Adaptive Security Appliance und Cisco Firewall Management Center oder hard-coded Credentials in Cisco Firepower Threat Defense Software for Firepower.

Auch ein .rdp File kann gefährlich sein

2024-10-23T11:09:10Z

Heute wurde in ganz Europa eine Spear-Phishing Kampagne beobachtet, bei der es darum geht, dass der Empfänger ein angehängtes RDP File öffnen soll.

Warum ist das gefährlich?

Credential-Phishing: Das Ziel soll dazu gebracht werden, seine Zugangsdaten am RDP-Server der Angreifer einzugeben.
Filesystem Access: Die RDP Files spezifizieren, dass das lokale Filesystem auch am RDP-Server verfügbar sein soll. Damit könnte es möglich sein, dass die Tätergruppe sowohl Dateien wegkopiert, als auch Malware auf das lokale System einbringt.

Empfehlungen:

Blockieren sie auf Mail und Proxy-Ebene das Einbringen von .rdp files - diese sollten ähnlich wie .lnk behandelt werden.
Blockieren sie ausgehende RDP Verbindungen auf dem Perimeter - wenn diese Funktionalität gebraucht wird, dann sollten nur einzelne Ziele freigeschalten werden.
Informieren Sie Ihre Mitarbeiter, dass .rdp Files nicht harmlos sind.

Einige Methoden zum Identifizieren und Blockieren von .rdp files finden Sie hier. Unsere Kollegen von CERT-UA haben dazu mehr Details veröffentlicht.

Aktive Ausnutzung einer Sicherheitslücke in Zimbra Mail Server (CVE-2024-45519)

2024-10-02T16:32:16Z

Der Hersteller des Zimbra Mail-Servers, Synacor, hat ein Advisory zu einer Sicherheitslücke in Zimbra Collaboration veröffentlicht. Die veröffentlichte Schwachstelle, CVE-2024-45519, erlaubt es nicht-authentifizierten Benutzern aus der Ferne Code auszuführen.

Für die betroffenen Versionen (9.0.0, 10.0.9, 10.1.1 und 8.8.15) stehen jeweils Updates bereit, welche eine striktere Prüfung von empfangenen Daten im betroffenen Service umsetzen.

Sollte die Durchführung der Updates zum momentanen Zeitpunkt nicht möglich sein, wird Administrator:innen empfohlen, den betroffenen Service (postjournal) zu deaktivieren, und mithilfe des mynetworks Parameters Zugriffsmöglichkeiten auf vertrauenswürdige IP-Adressen einzuschränken.

Da Beispielcode zur Ausnutzung der Lücke öffentlich verfügbar ist, und bereits breitflächige Angriffsversuche beobachtet werden konnten ist das Einspielen der zur Verfügung stehenden Aktualisierungen jedoch nachdrücklich empfohlen.

Hinweis

Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.

Akute Welle an DDoS-Angriffen gegen österreichische Unternehmen und Organisationen

2024-09-16T09:19:35Z

Seit kurzem sind verschiedene österreichische Unternehmen und Organisationen aus unterschiedlichen Branchen und Sektoren mit DDoS-Angriffen konfrontiert. Die genauen Hintergründe der Attacke sind uns zurzeit nicht bekannt, Hinweise für eine hacktivistische Motivation liegen jedoch vor.

Mitigation durch den ISP

Vorbereitung auf Nicht-Verfügbarkeit

Weiterführende Informationen

Für weiterführende Informationen zur Thematik DDoS generell, verweisen wir auf den Absatz "Abhilfe" in unserem Warning vom 14. Juni 2021 \[1\] sowie auf die "Schriftenreihe Cybersicherheit Distributed Denial of Service DDoS" \[2\] der Direktion Staatsschutz und Nachrichtendienst.

Informationsquelle(n):

Aktive Ausnutzung einer Sicherheitslücke in SonicWall SonicOS (CVE-2024-40766)

2024-09-06T17:25:04Z

Der Hersteller SonicWall hat am 21.08.2024 ein Advisory zu einer schwerwiegenden Sicherheitslücke in seinem Betriebssystem für Netzwerkgeräte, SonicOS, veröffentlicht. Die Ausnutzung besagter Schwachstelle, CVE-2024-40766, könnte es Angreifer:innen erlauben, betroffene Geräte zum Absturz zu bringen. Zeitgleich mit der Veröffentlichung hat das Unternehmen auch aktualisierte Versionen von SonicOS freigegeben welche das Problem beheben.

Das Advisory zu der Schwachstelle wurde heute aktualisiert und um die Information erweitert, dass die Lücke bereits aktiv durch Bedrohungsakteure ausgenutzt wird. Zusätzlich wurden weitere Empfehlungen zur Mitigation des Problems aufgelistet. Administrator:innen von Systemen deren Authentifizierung auf lokalen Benutzer:innenaccounts beruht wird geraten eine Änderung der Zugangsdaten für die betroffenen Accounts durchzuführen sowie Mehrfaktorauthentifizierung einzurichten.

Aufgrund der veränderten Bedrohungslage ist das Einspielen der zur Verfügung stehenden Aktualisierungen nachdrücklich empfohlen.

Sicherheitslücken in Veeam Backup & Replication - Updates verfügbar

2024-09-06T17:09:33Z

Der Softwarehersteller Veeam hat Aktualisierungen für mehrere seiner Produkte veröffentlicht.

Unter den Sicherheitslücken die im Rahmen dieser Veröffentlichung behoben wurden befindet sich CVE-2024-40711, eine schwerwiegende Schwachstelle in Veeam Backup & Replication. Die Ausnutzung dieser Lücke ermöglicht es Angreifer:innen unauthentifiziert entfernte Codeausführung zu erreichen.

Fehler in Veeam Backup & Replication wurden bereits in der Vergangenheit von Bedrohungsakteuren ausgenutzt, insbesondere von Ransomware-Akteuren wie Cuba oder Gruppierungen wie FIN7. Administrator:innen sind daher dringend angehalten die zur Verfügung stehenden Sicherheitsupdates schnellstmöglich einzuspielen.

Versuchte Leistungserschleichung bei Sicherheitsunternehmen

2024-08-14T11:44:39Z

Mehrere Sicherheitsunternehmen (insbesondere im Bereich von Threat Intelligence) berichten von Versuchen von Bedrohungsakteuren sich unter Vortäuschung falscher Tatsachen Zugriff auf die Produkte betroffener Firmen zu verschaffen. Die Täter:innen gehen dabei anscheinend nach einem gleichbleibenden Schema vor (beschrieben beispielsweise in Meldungen von Hudson Rock und Intel471):

Die Angreifer:innen nehmen über das Kontaktformular auf der Webseite eines Unternehmens Kontakt auf, unter missbräuchlicher Verwendung einer kompromittierten Mailadresse einer staatlichen Einrichtung oder einer Organisation der öffentlichen Verwaltung.
Dabei setzen die Kriminellen auf schmeichelnde Texte welche zumindest teilweise mittels Large Language Models erstellt wurden um Verkaufsmitarbeiter:innen zu überzeugen.
Wenn den Täter:innen Zugriff welcher Art auch immer gewährt wird nutzen diese ihn intensiv, potentiell automatisiert, um eine Vielzahl von Informationen und Daten abzufragen.

Was die Kriminellen mit diesen Angriffen bezwecken wollen ist noch nicht abschließend geklärt. Es gibt Vermutungen, dass hier Gegenaufklärung betrieben werden soll oder Zugriff auf kompromittierte Zugangsdaten erhalten werden soll, welche in weiterer Folge für Angriffe auf Unternehmen oder Organisationen missbraucht werden könnten.

Auch welcher Bedrohungsakteur hinter diesen Angriffen steckt ist aktuell nicht klar. Sollte Ihr Unternehmen, auch wenn Sie nicht direkt in dem genannten Bereich tätig sind, von ähnlichen Vorgängen betroffen sein, zögern Sie bitte nicht uns zu kontaktieren.

Mehrere schwerwiegende Sicherheitslücken in Ivanti-Produkten - Updates verfügbar

2024-08-14T11:14:02Z

Ivanti hat Updates für schwerwiegende Sicherheitslücken in mehreren seiner Produkte veröffentlicht. Von den nun behobenen Schwachstellen sind folgende Produkte betroffen:

Ivanti Avalanche

Mehrere behobene Lücken betreffen Ivanti Avalanche - CVE-2024-38652, CVE-2024-38653, CVE-2024-36136, CVE-2024-37399, CVE-2024-37373. Die Ausnutzung dieser Schwachstellen erlaubt es Angreifer:innen nicht nur, beliebige Dateien auf dem lokalen Dateisystem zu lesen sondern teilweise ach diese zu löschen. Neben dem Zugriff auf potentiell sensible Informationen haben Bedrohungsakteure so auch die Möglichkeit, verwundbare Systeme lahmzulegen.

Ivanti Neurons

CVE-2024-7569 und CVE-2024-7570 betreffen für Benutzer:innenauthentifizierung verantwortliche Komponenten von Ivanti Neurons. Ein Missbrauch der Lücken ermöglicht es Angreifer:innen unter Umständen, sensible Daten zu stehlen oder Authentifizierungsmaßnahmen zu umgehen.

Ivanti Virtual Traffic Manager (vTM)

Bei CVE-2024-7593 handelt es sich um eine fehlerhafte Implementation eines Algorithmus zur Benutzer:innenauthentifizierung welche es Angreifer:innen ermöglicht ohne Authentifizierung auf das Adminpanel zuzugreifen. Im vom Hersteller veröffentlichten Advisory zu der Lücke wird beschrieben, wie sich verifizieren lässt ob ein System verwundbar ist und auch ein Workaround für Fälle beschrieben, wo das Einspielen des Patches momentan nicht möglich ist.

Laut dem Unternehmen gibt es bisher keine Anzeichen, dass die Sicherheitslücken aktiv ausgenutzt werden. Da in einigen Fällen aber bereits ein Proof-of-Concept zur Ausnutzung öffentlich zur Verfügung steht ist davon auszugehen, dass die ersten Scans und Ausnutzungsversuche bald beginnen werden.

Microsoft Patchday August 2024 - mehrere aktiv ausgenutzte Schwachstellen

2024-08-14T10:34:23Z

Mit den im Rahmen des monatlichen Patchdays ausgelieferten Updates behebt Microsoft im August insgesamt 92 Schwachstellen. Außergewöhnlich ist in diesem Monat die Anzahl an Sicherheitslücken welche bereits aktiv durch Bedrohungsakteure ausgenutzt werden.

Bei den missbrauchten Lücken handelt es sich um CVE-2024-38189, CVE-2024-38178, CVE-2024-38193, CVE-2024-38106, CVE-2024-38213, und CVE-2024-38107. Mit einem CVSS-Score von 8.8 ist CVE-2024-38189 die Schwerwiegendste in dieser Liste. Sie betrifft Microsoft Project und ermöglicht Angreifer:innen die entfernte Ausführung von Schadcode mittels einer speziell präparierten Microsoft Office Project-Datei.

Aufgrund der bereits erfolgenden Ausnutzung ist eine Einspielung der zur Verfügung stehenden Patches dringend empfohlen.

CrowdStrike Agent erzeugt Bluescreen of Death (BSOD) Dauer-Schleife auf Windows Systemen - Fehlerhaftes Update für Falcon Sensor

2024-07-22T14:32:30Z

Durch ein fehlerhaftes Update im CrowdStrike Produkt Falcon Sensor kommt es aktuell weltweit zu massiven Systemausfällen. Das Update erzeugt eine BlueScreen-Dauerschleife auf betroffenen Systemen.
CrowdStrike ist sich dem Problem bewusst und arbeitet an einer Lösung.

Update: Microsoft hat inzwischen ein Wiederherstellungstool bereitgestellt, welches den untenstehenden Workaround automatisiert.

Update: Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor Phishing im Zusammenhang mit dem Vorfall

Vorläufige Workarounds für betroffene Systeme wurden identifiziert:

Falls eine Verbindung direkt nach dem Booten (ohne VPN etc) der betroffenen Windows-Systeme mit den CrowdStrike Servern möglich ist:

Mehrmaliger Neustart der Systeme

Falls keine direkte Verbindung der betroffenen Windows-Systeme mit den CrowdStrike Servern möglich ist:

Starten Sie Windows im abgesicherten Modus oder in der Windows-Wiederherstellungsumgebung (je nach Konfiguration sind Administrations-Berechtigungen notwendig)
Navigieren Sie zum Verzeichnis C:\Windows\System32\drivers\CrowdStrike
Suchen Sie die Datei, die C-00000291*.sys entspricht, und löschen Sie sie.
Booten Sie den Host normal.

Wir konnten die Workarounds nicht selber testen, haben aber positive Rückmeldungen zur Funktionalität erhalten.

Wir haben erfahren, dass bei Systemen mit aktiviertem BitLocker der Zugriff im abgesicherten Modus erschwert sein kann. Halten Sie hierfür die Wiederherstellungs-Schlüssel bereit.

Für Systeme in Public Clouds oder ähnlichen Umgebungen empfiehlt CrowdStrike:

Detach the operating system disk volume from the impacted virtual server
Create a snapshot or backup of the disk volume before proceeding further as a precaution against unintended changes
Attach/mount the volume to a new virtual server:
Navigate to the C:\Windows\System32\drivers\CrowdStrike directory
Locate the file matching “C-00000291*.sys”, and delete it.
Detach the volume from the new virtual server
Reattach the fixed volume to the impacted virtual server

Weitere Informationsquellen:

Schwerwiegende Sicherheitslücke in Cisco Secure Email Gateway

2024-07-18T17:24:41Z

Cisco hat ein Advisory zu einer schweren Sicherheitslücke in Cisco Secure Email Gateway veröffentlicht. Die Schwachstelle, CVE-2024-20401, befindet sich in der Inhaltsüberprüfungs- und Nachrichtenfilterungsfunktion des Produktes. Ihre Ausnutzung könnte es nicht authentifizierten, entfernten Angreifer:innen erlauben, beliebige Dateien auf dem lokalen System zu überschreiben.

Dies würde Bedrohungsakteuren potentiell auch ermöglichen, neue Benutzer:innen mit administrativen Rechten anzulegen, beliebigen Code auszuführen oder das Gerät auf eine Art und Weise lahmzulegen, bei dem die Wiederherstellung des Betriebes Unterstützung des Herstellersupports notwendig machen würde.

Diese Sicherheitslücke betrifft Cisco Secure Email Gateway, wenn es mit einer anfälligen Version von Cisco AsyncOS betrieben wird und beide der folgenden Bedingungen erfüllt ist:

Entweder ist die Dateianalysefunktion, die Teil von Cisco Advanced Malware Protection (AMP) ist, oder die Inhaltsfilterfunktion aktiviert und einer Posteingangsrichtlinie zugewiesen ist
Die Version der Content Scanner Tools ist älter als 23.3.0.4823

Eine Anleitung um heraus zu finden ob ein System betroffen ist findet sich im verlinkten Advisory. Leider hat Cisco keine Details dazu veröffentlicht welche Versionen von Cisco AsyncOS verwundbar sind. Es ist also momentan nicht auszuschließen, dass alle veröffentlichten Versionen verwundbar sind.

Administrator:innen sind in Anbetracht der Schwere der Schwachstelle dringend angehalten, die zur Verfügung stehenden Sicherheitsaktualisierungen einzuspielen.

MikroTik Router als DDoS Quellen: Zahlen für Österreich

2024-07-09T10:30:03Z

OVH beschreibt ausführlich in einem Blogbeitrag, dass sie es in letzter Zeit öfters mit DDoS-Angriffen zu tun hatten, die sie auf kompromittierte MikroTik Router zurückführen. Es geht hier um ernsthafte Bandbreiten und Packets/Sekunde: kein Wunder, wenn es die Angreifer geschafft haben, gute angebundene Router für ihre Zwecke einzuspannen.

Die DDoS-Quellen korrelieren mit von außen erreichbaren MikroTik Management-Interfaces (dass das eine schlechte Idee ist, wiederholen wir immer wieder), auch SNMP ist oft offen und kann abgefragt werden.

Ich habe das als Anlass genommen, mal in unserer Datenbasis (basierend auf Scans von Shadowserver) nachzuschauen, wie es um diese Geräte in Österreich bestellt ist: MikroTik Router, die per SNMP ihren Hersteller und ihre Modellnummern verraten.

In Summe sind das (Stand 7.7.2024) 468 IP-Adressen. Da Router potenziell über mehrere Adressen von außen erreichbar sind, sind es wahrscheinlich etwas weniger Geräte. Ob diese alle kompromittiert sind, wissen wir nicht – sorgfältig betrieben sind sie jedenfalls nicht. Wie verteilen sich diese auf die auf MikroTik Modelle? Schaut man sich die SNMP sysdescr an, so kommt man auf:

Aggregiert man auf die groben Produktkategorien, so ergibt sich folgendes Bild:

Wo sind diese Geräte? Wenn ich auf Autonomous Systems (BGP Routing Entities) schaue, dann schaut das so aus:

AS 8412 ist Magenta, AS 13026 ist steirerlan.at, AS 8447 gehört A1, AS 50719 mysys.at und AS 31543 myNET. Das entspricht überhaupt nicht den Marktanteilen dieser ISPs. Das ist oft ein Zeichen dafür, dass hier von manchen Akteuren (nicht notwendigerweise dem ISP) systematisch Geräte mit schlechter Konfiguration verbaut werden.

Update 9.7.2024: Ein regional tätiger ISP hat sich bei uns gemeldet: er hat diesen Blogpost als Anlass genommen, die MikroTik Router bei seinen Kunden besser abzusichern. Ich habe daher die Daten aktualisiert, sie sind jetzt auf Stand 7. Juli.

Generell: Wir schicken täglich Informationen zu offenen SNMP Devices an die Netzbetreiber. Das sollte gefixt werden, weil sich solche Geräte auch als DDoS-Reflektoren missbrauchen lassen.

regreSSHion: Remote Unauthenticated Code Execution Vulnerability (CVE-2024-6387) in OpenSSH server

2024-07-02T08:36:25Z

Eine kritische Schwachstelle (CVE-2024-6387) wurde im OpenSSH Server (sshd) auf glibc-basierten Linux-Systemen getestet. Diese Sicherheitslücke ermöglicht es einem nicht authentifizierten Angreifer potentiell, über eine Race-Condition im Signalhandler beliebigen Code als root auf dem betroffenen System auszuführen. OpenBSD-basierte Systeme sind nicht betroffen.

Obwohl die Schwachstelle als Remote Code Execution (RCE) eingestuft wird, ist ihre Ausnutzung äußerst komplex. Sie erfordert präzises Timing und das Überwinden der Address Space Layout Randomization (ASLR). Der erfolgreiche Nachweis eines Angriffs gelang bisher nur in kontrollierten 32-bit Umgebungen und Netzwerken. Auf 64-bit Systemen oder unter realen Internet-ähnlichen Netzwerkbedingungen konnte die Schwachstelle bisher nicht ausgenutzt werden. Ein Ausnutzen der Schwachstelle erfordert zahlreiche Versuche des Angreifers und würde potentiell Stunden oder sogar Tage dauern.

Ein erfolgreicher Angriff würde einem nicht authentifizierten Angreifer die vollständige Kontrolle über das betroffene System ermöglichen. Betroffen sind OpenSSH-Versionen früher als 4.4p1, es sei denn, sie wurden gegen die Schwachstellen CVE-2006-5051 und CVE-2008-4109 gepatcht, sowie OpenSSH-Versionen von 8.5p1 bis einschließlich 9.7p1.

Das Problem wurde durch den Commit 81c1099 behoben, der die unsicheren Code-Pfade aus dem SIGALRM-Handler entfernt hat. Administratoren sollten ihre Systeme auf die neueste, nicht verwundbare Version aktualisieren. Falls ein Update nicht möglich ist, kann die Schwachstelle vorübergehend durch das Setzen von LoginGraceTime auf 0 in der Konfigurationsdatei gemindert werden. Diese Maßnahme erhöht jedoch die Anfälligkeit des OpenSSH Servers für Denial-of-Service (DoS) Angriffe.

Potentiell sind Embedded Devices stärker betroffen, da diese oft nicht einfach upgedated werden können. Dies erhöht das Risiko, dass ältere, verwundbare Versionen von OpenSSH auf solchen Geräten länger bestehen bleiben. Es ist jedoch wichtig zu beachten, dass in Embedded Devices oftmals alternative SSH Server Implementierungen zum Einsatz kommen.

CERT.at empfiehlt generell, alle Softwarekomponenten stets aktuell zu halten und automatische Updates zu aktivieren. Regelmäßige Neustarts stellen sicher, dass die neuesten Sicherheitsupdates wirksam werden. Weitere Informationen und Details finden sich im Qualys Security Advisory und im OpenSSH Commit.

Sicherheitsvorfall beim Hersteller der Fernwartungslösung TeamViewer

2024-06-28T10:23:09Z

Gestern Abend wurden Informationen zu einem Sicherheitsvorfall beim Hersteller der Fernwartungslösung TeamViewer bekannt. Das genaue Ausmaß der Kompromittierung ist aktuell noch unklar. Das Unternehmen selbst schreibt in einer Veröffentlichung, dass ausschließlich Systeme der internen IT betroffen seien. Daten von Kund:innen seien - aufgrund einer strikten Trennung der operativen Umgebung von der internen IT - nicht in die Hände der Angreifer:innen gelangt.

Unbestätigten Gerüchten zufolge gibt es Hinweise darauf, dass der Angriff durch einen staatlich kontrollierten Bedrohungsakteur erfolgt ist. Ob die Täter:innen weiterhin Zugriff auf die Systeme des Unternehmens haben ist ebenfalls noch unklar.

Wir beobachten die weiteren Entwicklungen in diesem Fall, sollten sich neue Erkenntnisse ergeben werden wir diese Meldung schnellstmöglich aktualisieren.

Akute Welle an DDoS-Angriffen gegen österreichische Unternehmen und Organisationen

2024-06-28T09:53:16Z

Seit heute Morgen sind verschiedene österreichische Unternehmen und Organisationen aus unterschiedlichen Branchen und Sektoren mit DDoS-Angriffen konfrontiert. Die genauen Hintergründe der Attacke sind uns zurzeit nicht bekannt, Hinweise für eine hacktivistische Motivation liegen jedoch vor.

Mitigation durch den ISP
Effiziente DDoS Mitigation findet nicht beim Opfer statt, sondern beim jeweiligen ISP. Kontaktieren Sie diesen bezüglich entsprechender Produkte und Services. Stellen Sie darüber hinaus sicher, dass Sie einen direkten Kontakt bei Ihrem ISP haben, mit dem Sie eventuelle weitere Vorkehrungen besprechen können und der Sie im Fall eines Angriffes unterstützen kann.

Vorbereitung auf Nicht-Verfügbarkeit
Wir empfehlen, Kontaktdaten, die im Falle eines Angriffes relevant sein können (z.B. Kontaktdaten behördlicher Stellen, Telefonnummer der Ansprechperson bei Ihrem ISP, ...), offline und direkt verfügbar zu haben.

Weiterführende Informationen
Für weiterführende Informationen zur Thematik DDoS generell, verweisen wir auf den Absatz "Abhilfe" in unserem Warning vom 14. Juni 2021 [1] sowie auf die "Schriftenreihe Cybersicherheit Distributed Denial of Service DDoS" [2] der Direktion Staatsschutz und Nachrichtendienst.

Informationsquelle(n):
CERT Warning vom 14. Juni 2021: DDoS Angriffe gegen Unternehmen in Österreich
https://cert.at/de/warnungen/2021/6/ddos-angriffe-gegen-unternehmen-in-osterreich
Schriftenreihe Cybersicherheit Distributed Denial of Service DDoS (Quelle: BMI/DSN)
https://dsn.gv.at/501/files/Cyber_Ratgeber/Schriftenreihe_Cybersicherheit_Distributed_Denial_of_Service_DDoS_Februar_2022_BF_20220216.pdf

Supply-Chain-Angriff gegen polyfill.js

2024-06-26T10:44:21Z

Die populäre Javascript-Bibliothek polyfill.js, welche von Entwickler:innen verwendet wird, um alte Browserversionen zu unterstützen, wurde Opfer eines Supply-Chain-Angriffes beziehungsweise für einen solchen missbraucht. Im Februar dieses Jahres wurde das Github-Repository sowie die zur Einbettung des Codes verwendete Domain, polyfill[.]io von einem chinesischen Unternehmen gekauft. Inzwischen wird, wie Sicherheitsforscher:innen herausgefunden haben, über die Domain polyfill[.]io Schadsoftware verteilt.

Dies bedeutet in weiterer Folge, dass Besucher:innen von Webseiten, welche diesen Service nutzen, ebenfalls gefährdet sind. Laut aktuellen Berichten werden Aufrufe von Besucher:innen häufig auf Betrugswebseiten weitergeleitet. Dementsprechend ist es für verantwortliche Administrator:innen betroffener Seiten auch aus kommerzieller Sicht wichtig, rasch zu handeln - Google hat Werbungen, die auf Webshops verlinken, welche die Domain polyfill[.]io einbetten bereits deaktiviert / gesperrt.

Neben der Untersuchung auf potentiellen Schaden durch diesen Angriff sollten Entwickler:innen ebenso prüfen, ob die Notwendigkeit der Verwendung nach wie vor besteht. Für Webseiten, welche weiterhin auf die Bibliothek angewiesen sind, gibt es (neben der Möglichkeit, diese selbst zu hosten) die Option, die Angebote großer CDN zu nutzen - beispielsweise Cloudflare oder Fastly.