J. Benjamin Espagné

Datenklau · DDoS · Sicherheitslücken

Shellshock-Angriffe sind wieder auf dem Vormarsch – was Sie jetzt wissen müssen
VonJ. Benjamin Espagné 09/09/202509/09/2025

Die Shellshock-Schwachstelle, auch bekannt als Bash-Bug (CVE-2014-6271 und weitere), wurde bereits 2014 entdeckt und gilt damals wie heute als extrem gefährlich; sie ermöglicht Angreifern, beliebigen Code über manipulierte Umgebungsvariablen einzuschleusen, wenn Bash-Skripte etwa in CGI-Anwendungen genutzt werden.

Bereits 2014 kam es zu einem massiven Aufkommen an Scans, Exploits und Botnetz-Aktivitäten; auch namhafte Ziele wie große Internetplattformen und Regierungsinstitutionen waren betroffen. Trotz der Veröffentlichung von Patches hat sich die Bedrohung bis heute nicht aufgelöst: Laut aktuellen Analysen zielen Angreifer wieder verstärkt auf Organisationen ab, darunter Banken und Finanzdienstleister.

Nach unseren jüngsten Erhebungen müssen wir warnen: Shellshock-Schwachstellen in Web-Anwendungen werden erneut vermehrt aktiv angegriffen – alte Systemkomponenten bleiben ein Risikofaktor in der Lieferkette.

Mehr Inforamtionen Shellshock-Angriffe sind wieder auf dem Vormarsch – was Sie jetzt wissen müssen
Sicherheitslücken

Kritische SAP-Lücke (CVE-2025-42957) aktiv ausgenutzt – wie sollten Sie reagieren?
VonJ. Benjamin Espagné 08/09/202508/09/2025
Was war

SecurityBridge Threat Research Labs entdeckte und meldete am 27. Juni 2025 eine äußerst gefährliche Codeinjection-Schwachstelle in SAP S/4HANA (CVE-2025-42957). Die Schwachstelle erhielt einen CVSS-Score von 9,9 (kritisch).

Betroffen sind sowohl On-Premise als auch Private Cloud Installationen von S/4HANA (S4CORE-Versionen 102–108). Verfügt ein Angreifer über niedrig privilegierte Nutzerkonten, kann er beliebigen ABAP-Code per RFC einschleusen. Damit umgeht er alle Autorisierungskontrollen und legt eine tarnfähige Hintertür – mit potenzieller vollständiger Kompromittierung des Systems. Das umfasst:
- Manipulation oder Diebstahl von Geschäftsdaten
- Erstellung von Superuser-Konten (SAP_ALL)
- Auslesen von Passwort-Hashes
- Eingriffe in Geschäftsprozesse oder Installation von Ransomware
Was ist

SAP brachte bereits am 11./12. August 2025 einen Patch heraus (Security Note 3627998), doch zahlreiche Systeme bleiben weiterhin gefährdet. Die Ausnutzung der Schwachstelle wurde bereits von SecurityBridge verifiziert – sie ist also kein theoretisches Problem mehr, sondern Realität. Die offene Codebasis von ABAP erleichtert zudem das Reverse Engineering der Patches und schafft so zusätzliche Angriffsmöglichkeiten.

Forschende Sicherheitspartner wie Pathlock und das niederländische NCSC beobachteten bereits Anzeichen für Ausnutzungsversuche. Neben der Einspielung von Patches werden Monitoring-Maßnahmen, Zugriffsbeschränkungen per UCON und RFC-Beschränkungen empfohlen.
Mehr Inforamtionen Kritische SAP-Lücke (CVE-2025-42957) aktiv ausgenutzt – wie sollten Sie reagieren?
Sicherheitslücken

Threat Analysis: ToolShell Zero-Day in Microsoft SharePoint – und wie unser SIEM schützt
VonJ. Benjamin Espagné 05/09/202505/09/2025
Was war

Ende Juli 2024 wurde eine neue Zero-Day-Schwachstelle in Microsoft SharePoint bekannt, die unter dem Namen „ToolShell“ diskutiert wird. Angreifer nutzten gezielt die URL-Struktur /_layouts/15/ToolPane.aspx, um über Deserialisierungsfehler Schadcode einzuschleusen. Im Anschluss wurde häufig eine Webshell als .aspx-Datei im SharePoint-Verzeichnis platziert, die den Angreifern dauerhaften Zugriff ermöglichte.

Die Angriffskette ist typisch für moderne Exploits auf Collaboration-Plattformen:
- Initialer Exploit über eine fehlerhafte Serverkomponente
- Dropping einer Webshell ins Webroot
- Post-Exploitation mit PowerShell, oft Base64-kodiert aus dem Prozess w3wp.exe (IIS-Worker) heraus
- Zugriff auf Kryptografie-Keys und damit persistente Backdoors
Was ist

Microsoft hat zwischenzeitlich Sicherheitsupdates für SharePoint 2019 und die Subscription Edition bereitgestellt, für ältere Versionen (z. B. 2016) gelten gesonderte Workarounds. CISA sowie mehrere Security-Firmen haben Indicators of Compromise (IOCs) und TTP-Beschreibungen veröffentlicht.

Die Besonderheit: Auch ohne direkten Patch lassen sich die Aktivitäten des Angriffs sehr gut über Logs und Verhaltennachvollziehen. So fallen u. a. auf:

Ausgehende Netzwerkverbindungen des IIS-Workers unmittelbar nach Dateiänderungen

Zugriffe auf /_layouts/15/ToolPane.aspx in den IIS-Logs

Neue .aspx-Dateien im Webroot (\_layouts\15\, App_Data)

w3wp.exe → powershell.exe mit -EncodedCommand
Mehr Inforamtionen Threat Analysis: ToolShell Zero-Day in Microsoft SharePoint – und wie unser SIEM schützt
Offline Security · Sicherheitslücken

RMM-Systeme im Visier –N-able N-central Schwachstellen
VonJ. Benjamin Espagné 29/08/202529/08/2025

Am 15. August 2025 meldete die Shadowserver Foundation, dass über 1.000 N-able N-central Instanzen weltweit noch ungepatcht gegen die Sicherheitslücken CVE-2025-8875 und CVE-2025-8876 waren. N-central ist eine weit verbreitete Lösung für Remote Monitoring und Management (RMM), die vor allem von IT-Dienstleistern genutzt wird, um Kundensysteme zentral zu überwachen und zu administrieren.

Beide Schwachstellen wurden kürzlich in den Known Exploited Vulnerabilities (KEV)-Katalog der US-Behörde CISA aufgenommen. Damit gilt als bestätigt, dass sie bereits aktiv von Angreifern ausgenutzt werden. Laut Shadowserver sind vor allem die USA, Kanada, die Niederlande und Großbritannien besonders stark betroffen.

Die Lücken ermöglichen Angreifern eine nicht autorisierte Ausführung von Befehlen auf verwundbaren Systemen. Shadowserver integriert seit Mitte August 2025 die Erkennung dieser CVEs in seine täglichen Scans. Unternehmen, die eine Verwundbarkeitsmeldung erhalten, sollen ihre Systeme dringend überprüfen und umgehend auf die abgesicherte Version N-central 2025.3.1 aktualisieren.

Mehr Inforamtionen RMM-Systeme im Visier –N-able N-central Schwachstellen
Sicherheitslücken

Citrix NetScaler CVE-2025-7775: Patching-Fortschritt im Fokus
VonJ. Benjamin Espagné 29/08/202529/08/2025

Am 26. August 2025 wurde eine kritische Zero-Day-Sicherheitslücke in Citrix® NetScaler ADC und NetScaler Gateway bekannt (CVE-2025-7775). Es handelt sich um einen Memory Overflow, der eine Remote-Code-Execution (RCE) oder einen Denial-of-Service (DoS) ohne Authentifizierung ermöglicht. Kurz darauf empfahl Citrix dringend, die betroffenen Systeme umgehend zu aktualisieren, da bereits aktive Angriffe in freier Wildbahn bestätigt wurden.

Die US-Behörde CISA nahm CVE-2025-7775 in ihren Known Exploited Vulnerabilities (KEV)-Katalog auf und setzte eine Frist für alle Bundesbehörden, die Lücke bis zum 28. August 2025 zu schließen.

Aktuelle Scans von Shadowserver zeigen: Zwar sank die Zahl ungepatchter NetScaler-Instanzen von ursprünglich rund 28.200 auf etwa 12.400 Systeme, doch bleibt das Risiko erheblich. Besonders auffällig ist, dass Europa im Vergleich zu Nordamerika deutlich schneller patcht.

Dashboards mit Zeitreihen (Stacked oder Overlapping) veranschaulichen den länderübergreifenden Fortschritt. Parallel informieren Shadowserver-Meldungen in sozialen Medien regelmäßig über aktuelle Zahlen und Trends.

Mehr Inforamtionen Citrix NetScaler CVE-2025-7775: Patching-Fortschritt im Fokus
Hacks

Komprimierte Katastrophe – WinRAR-Schwachstelle als Einfallstor
VonJ. Benjamin Espagné 18/03/202529/08/2025

WinRAR ist eines der bekanntesten Windows-Programme zum Komprimieren und Entpacken von Dateien. Doch im Sommer 2023 wurde eine gravierende Sicherheitslücke entdeckt: CVE-2023-38831 ermöglichte es Angreifern, beliebigen Code auf den Systemen der Opfer auszuführen.
Obwohl die Schwachstelle kurz darauf gepatcht wurde, sind viele Systeme weltweit noch immer ungepatcht – und damit leichte Beute. Staatlich unterstützte Hackergruppen nutzen die Lücke gezielt aus, indem sie manipulierte Archive verbreiten. Diese wirken auf den ersten Blick harmlos, enthalten aber versteckte Schadsoftware, die beim Entpacken automatisch aktiv wird. Erste Angriffswellen richteten sich gegen Händler; mittlerweile sind auch Institutionen in der Ukraine und sogar Infrastrukturen in Papua-Neuguinea betroffen.

Mehr Inforamtionen Komprimierte Katastrophe – WinRAR-Schwachstelle als Einfallstor
Datenklau · Offline Security · Sicherheitslücken

Lufthansa-Chef wird Opfer von Lufthansa Sicherheitslücke
VonJ. Benjamin Espagné 26/09/202221/08/2023

DER SPIEGEL, Hamburg, 23.09.2022, 13.00 Uhr: “Weil sie sensible Daten enthält, solle man seine Bordkarte »wie Bargeld« behandeln, sagt Lufthansa. Carsten Spohr, Chef der Fluglinie, hat sich offenbar nicht daran gehalten – und wurde Opfer eines IT-Schlupflochs.”

Noch Unbekannte haben vor kurzem eine Gelegenheit genutzt und den QR-Code einer Bordkarte des Vorstandsvorsitzenden ausgelesen. Wie Lufthansa gegenüber DER SPIEGEL eingesteht, enthalten die QR-Codes der Lufthansa-Bordkarten neben Reiseinformationen auch persönliche Informationen der Reisenden wie bsw. Servicekartennummern, Email-Adressen und Mobiltelefonnummern.

Mehr Inforamtionen Lufthansa-Chef wird Opfer von Lufthansa Sicherheitslücke
Datenklau · PhaaS · Sicherheitslücken

Phishing-as-a-Service gewinnt im Dark Web an Bedeutung
VonJ. Benjamin Espagné 26/08/202221/08/2023

Cybersicherheitsexperten haben im Dark Web einen neuen Phishing-as-a-Service-Anbieter gefunden, der seinen Kunden die Möglichkeit bietet, Phishing-Angriffe auf Kunden beliebter Dienste durchzuführen, auch wenn MFA (Multi Factor Authentication) aktiviert ist.

Kriminelle arbeiten mit Reverse-Proxy- und Cookie-Injection-Technologien. Der Dienst ermöglicht Angriffe auf Nutzer von Apple, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, Twitter, Yahoo, Yandex und anderen Diensten. Konten mit aktiviertem MFA, sowohl SMS als auch Anwendungstoken, werden angegriffen.

Mitarbeiter von Fortune-500-Unternehmen wurden bereits erfolgreich angegriffen.

Mehr Inforamtionen Phishing-as-a-Service gewinnt im Dark Web an Bedeutung
Datenklau · Hacks · Sicherheitslücken

Datenbank mit 800 Millionen Gesichtern im Netz
VonJ. Benjamin Espagné 10/06/202221/08/2023

Medienberichten zufolge stand eine Datenbank mit 800 Millionen Datensätzen, bestehend aus Fotos von Gesichtern und Nummernschildern, bis in den August offen zugreifbar im Netz. Die Daten stammten demnach von Überwachungskameras des chinesischen Herstellers Xinai Electronics.

Die Systeme des Herstellers sollen Zugangskontrollen von Personen und Fahrzeugen etwa zum Arbeitsplatz, Parkhäusern, Schulen oder Baustellen bieten. Wie Techcrunch berichtet, will das Unternehmen nicht nur Zutrittskontrollen damit umsetzen, sondern damit auch die Überwachung der Anwesenheit von Mitarbeitern etwa für Gehaltsabrechnungszwecke ermöglichen. Die Cloud-Systeme zum Scannen von Kfz-Kennzeichen sollen hingegen etwa Parkhausbetreibern ermöglichen, Parkgebühren ohne Personal vor Ort zu erheben.

“Daten auf Unternehmensservern sicher”

Xinai betreibt dazu ein weitreichendes Netz von Kameras in ganz China. Damit sammelte das Unternehmen Millionen Fotos von Gesichtern und Nummernschildern. Auf der Firmenwebseite behauptet Xinai, die Daten seien sicher auf den eigenen Servern abgelegt. Das entpuppte sich nun offenbar als leeres Versprechen.

Der IT-Sicherheitsforscher Anurag Sen fand die ungeschützte Datenbank auf einem vom Unternehmen Alibaba in China gehosteten Server. Sen zufolge enthielt die Datenbank eine große Fülle an Informationen und wuchs rapide von Tag zu Tag an. Bis sie schließlich mehrere Hundert Millionen von Datensätzen und vollständige Webadressen von Bilddateien enthielt, die auf mehreren Domains gehostet wurden, die zu Xinai gehörten. Weder die Datenbank noch die gehosteten Bilddateien seien durch Passwörter geschützt gewesen und konnten von jedem, der wusste, wo er suchen musste, über den Webbrowser aufgerufen werden.

Weiter enthielt die Datenbank Links zu hochauflösenden Fotos von Gesichtern. So etwa von Bauarbeitern beim Betreten von Baustellen, von Bürobesuchern beim Einchecken, sowie zu anderen persönlichen Informationen wie Name, Alter und Geschlecht der Person und zu den Einwohner-ID-Nummern. Zudem enthielt sie Aufzeichnungen von Fahrzeugkennzeichen, die von den Kameras in Parkhäusern, Einfahrten und anderen Büroeingängen erfasst wurden.

Mehrere Entdecker der Datenbank

Wie Techcrunch ausführt, war Sen nicht der Einzige, der die Datenbank entdeckt hat. In einer undatierten Lösegeldforderung behauptete ein Erpresser, er habe den Inhalt der Datenbank gestohlen und würde die Daten im Austausch gegen einige hundert Dollar in Kryptowährung wiederherstellen. Es sei nicht bekannt, ob der Erpresser Daten gestohlen oder gelöscht hat. Die in der Lösegeldforderung angegebene Blockchain-Adresse habe jedoch keine Gelder erhalten.

Mitte August sei die Datenbank verschwunden und nicht mehr zugreifbar gewesen. Zwar gilt seit dem 1. Novermber 2021 ein Datenschutzgesetz in China, das etwa vorsieht, vor der Erhebung und Verarbeitung von Daten durch Unternehmen die Einwilligung von Nutzern einzuholen. Doch staatliche Stellen bleiben außen vor. Offensichtlich dämmt es die Datensammelwut auch nicht ein.

So wurde etwa vor rund zwei Monaten bekannt, dass die Shanghaier Polizei sich rund eine Milliarde Datensätze hat stehlen lassen. Es bleibt abzuwarten, ob die jungen Datenschutzgesetze hier künftig zu Besserungen für die chinesische Bevölkerung führen.

Mehr Inforamtionen Datenbank mit 800 Millionen Gesichtern im Netz