• ·

    Moin Dr. Anatolii Nazarko – Security Analyst & Head of Research bei Neosec

    VonJ. Benjamin Espagné

    Seit dem 1. September 2025 verstärkt Dr. rer. nat. Anatolii Nazarko das Team von Neosec als Security Analyst & Head of Research bei Neosec.

    Mit seiner außergewöhnlichen Kombination aus wissenschaftlicher Präzision, analytischer Tiefe und praktischer Cyberabwehr-Erfahrung bringt er neue Impulse in den Bereich der Sicherheitsforschung und operativen Bedrohungserkennung.

    Dr. Nazarko ist promovierter Physiker der Technischen Nationaluniversität der Ukraine (KPI) und blickt auf mehr als 15 Jahre Erfahrung in Datenanalyse, Machine Learning, mathematischer Modellierung und automatisierter Detektionzurück.

    Vor seinem Wechsel zu Neosec war er u. a. bei Welltech Apps LimitedMaverixtech und Auroratechnologies tätig, wo er komplexe Datenströme analysierte, prädiktive Modelle entwickelte und die Integration von KI in sicherheitsrelevante Systeme verantwortete. Seine Arbeit reichte von der Segmentierung von Nutzerverhalten bis hin zu Echtzeit-Analysen und automatisierten Entscheidungsmodellen – Kompetenzen, die heute zentral für die Weiterentwicklung moderner MDR-Lösungen sind.

  • · ·

    Neue “Erfahrungen”: Adobe Experience Manager schafft es in die Hall of Shame

    VonJ. Benjamin Espagné

    Die US-Behörde CISA (Cybersecurity and Infrastructure Security Agency) hat am 15. Oktober 2025 eine kritische Sicherheitslücke in Adobe Experience Manager (AEM) in ihren Known Exploited Vulnerabilities (KEV)-Katalog aufgenommen. Die Schwachstelle mit der Kennung CVE-2025-54253 erlaubt Remote-Code-Execution (RCE) über eine fehlerhafte Konfiguration in der Administrationsoberfläche von AEM Forms on JEE – CVSS-Score 10.0, also maximal kritisch.

    Betroffen sind AEM-Versionen 6.5.23.0 und älter. Adobe hatte bereits im August 2025 ein außerplanmäßiges Update bereitgestellt, nachdem ein Proof-of-Concept öffentlich geworden war. CISA setzt nun eine verbindliche Patch-Frist bis zum 5. November 2025.

    Neosec hat ermittelt: Laut BuiltWith setzen über 2.700 produktive Websites in Deutschland auf AEM – darunter große Konzerne aus der Automobil-, Industrie-, Energie- und Finanzbranche. Zu den bekannten AEM-Nutzern zählen BMWMercedes-BenzVolkswagenSAPAllianzFreseniusE.ONDHLToyotaPhilips und viele andere. BuiltWith verzeichnet zudem mehr als 3.000 weitere Domains, bei denen AEM bereits in der Implementierungsphase ist – darunter Porsche SE.

    Die Lücke reiht sich ein in eine Serie kritischer AEM-Schwachstellen (u. a. CVE-2025-49533, CVE-2025-54254) und betrifft insbesondere Umgebungen, in denen AEM als zentrale Content-Management-Plattform mit Backend-Systemen wie SAP, Salesforce oder Azure AD integriert ist. Ein erfolgreicher Angriff kann daher vollständige Systemkompromittierung und Datenabfluss sensibler Informationen zur Folge haben.

  • Zwei neue Windows-Zero-Days erschüttern das Vertrauen in Microsofts Update-Kultur

    VonJ. Benjamin Espagné

    Am 15. Oktober 2025 veröffentlichte Microsoft Patches für 183 Sicherheitslücken – darunter zwei aktiv ausgenutzte Zero-Days:

    • CVE-2025-24990: Schwachstelle im „Agere Modem Driver“, betrifft jede Windows-Version seit 2000.
    • CVE-2025-59230: Lücke im „Remote Access Connection Manager (RasMan)“.

    Beide erlauben Privilegienerweiterungen bis hin zu Systemrechten. Besonders kritisch: Der betroffene Treiber ist selbst auf Systemen installiert, die gar keine Modem-Hardware besitzen. Microsoft kündigte an, ihn vollständig zu entfernen – ein seltenes Eingeständnis, wie tief verwurzelte Legacy-Komponenten noch immer Risiken bergen.

  • · ·

    Cybercrime auf Industrieniveau – Europol et al. zerschlagen kriminellen Dienstleister

    VonJ. Benjamin Espagné

    Im Rahmen einer internationalen Operation haben Europol, Eurojust und das FBI ein weitreichendes Cybercrime-as-a-Service-Netzwerk zerschlagen. Sieben Personen wurden festgenommen, zahlreiche Server beschlagnahmt.
    Das Netzwerk bot anderen Kriminellen technische Infrastruktur, Schadsoftware, Hosting-Services und Zahlungssysteme an – ein Modell, das den industriellen Charakter moderner Cyberkriminalität unterstreicht.
    Die Ermittlungen deckten auf, dass Angriffe auf Banken, Unternehmen und öffentliche Einrichtungen europaweit koordiniert wurden. Durch die Zusammenarbeit mehrerer Strafverfolgungsbehörden konnten Server in Deutschland, den Niederlanden und der Tschechischen Republik vom Netz genommen werden.
    Nach Angaben von Europol war der Dienst ein zentraler Bestandteil mehrerer größerer Ransomware-Kampagnen und diente als technischer Backbone für Betrugs- und Erpressungsoperationen.

  • · ·

    Shellshock-Angriffe sind wieder auf dem Vormarsch – was Sie jetzt wissen müssen

    VonJ. Benjamin Espagné

    Die Shellshock-Schwachstelle, auch bekannt als Bash-Bug (CVE-2014-6271 und weitere), wurde bereits 2014 entdeckt und gilt damals wie heute als extrem gefährlich; sie ermöglicht Angreifern, beliebigen Code über manipulierte Umgebungsvariablen einzuschleusen, wenn Bash-Skripte etwa in CGI-Anwendungen genutzt werden.

    Bereits 2014 kam es zu einem massiven Aufkommen an Scans, Exploits und Botnetz-Aktivitäten; auch namhafte Ziele wie große Internetplattformen und Regierungsinstitutionen waren betroffen. Trotz der Veröffentlichung von Patches hat sich die Bedrohung bis heute nicht aufgelöst: Laut aktuellen Analysen zielen Angreifer wieder verstärkt auf Organisationen ab, darunter Banken und Finanzdienstleister.

    Nach unseren jüngsten Erhebungen müssen wir warnen: Shellshock-Schwachstellen in Web-Anwendungen werden erneut vermehrt aktiv angegriffen – alte Systemkomponenten bleiben ein Risikofaktor in der Lieferkette.

  • Kritische SAP-Lücke (CVE-2025-42957) aktiv ausgenutzt – wie sollten Sie reagieren?

    VonJ. Benjamin Espagné

    Was war

    SecurityBridge Threat Research Labs entdeckte und meldete am 27. Juni 2025 eine äußerst gefährliche Code­injection-Schwachstelle in SAP S/4HANA (CVE-2025-42957). Die Schwachstelle erhielt einen CVSS-Score von 9,9 (kritisch).

    Betroffen sind sowohl On-Premise als auch Private Cloud Installationen von S/4HANA (S4CORE-Versionen 102–108). Verfügt ein Angreifer über niedrig privilegierte Nutzerkonten, kann er beliebigen ABAP-Code per RFC einschleusen. Damit umgeht er alle Autorisierungskontrollen und legt eine tarnfähige Hintertür – mit potenzieller vollständiger Kompromittierung des Systems. Das umfasst:

    • Manipulation oder Diebstahl von Geschäftsdaten
    • Erstellung von Superuser-Konten (SAP_ALL)
    • Auslesen von Passwort-Hashes
    • Eingriffe in Geschäftsprozesse oder Installation von Ransomware

    Was ist

    SAP brachte bereits am 11./12. August 2025 einen Patch heraus (Security Note 3627998), doch zahlreiche Systeme bleiben weiterhin gefährdet. Die Ausnutzung der Schwachstelle wurde bereits von SecurityBridge verifiziert – sie ist also kein theoretisches Problem mehr, sondern Realität. Die offene Codebasis von ABAP erleichtert zudem das Reverse Engineering der Patches und schafft so zusätzliche Angriffsmöglichkeiten.

    Forschende Sicherheitspartner wie Pathlock und das niederländische NCSC beobachteten bereits Anzeichen für Ausnutzungsversuche. Neben der Einspielung von Patches werden Monitoring-MaßnahmenZugriffsbeschränkungen per UCON und RFC-Beschränkungen empfohlen.

  • Threat Analysis: ToolShell Zero-Day in Microsoft SharePoint – und wie unser SIEM schützt

    VonJ. Benjamin Espagné

    Was war

    Ende Juli 2024 wurde eine neue Zero-Day-Schwachstelle in Microsoft SharePoint bekannt, die unter dem Namen „ToolShell“ diskutiert wird. Angreifer nutzten gezielt die URL-Struktur /_layouts/15/ToolPane.aspx, um über Deserialisierungsfehler Schadcode einzuschleusen. Im Anschluss wurde häufig eine Webshell als .aspx-Datei im SharePoint-Verzeichnis platziert, die den Angreifern dauerhaften Zugriff ermöglichte.

    Die Angriffskette ist typisch für moderne Exploits auf Collaboration-Plattformen:

    • Initialer Exploit über eine fehlerhafte Serverkomponente
    • Dropping einer Webshell ins Webroot
    • Post-Exploitation mit PowerShell, oft Base64-kodiert aus dem Prozess w3wp.exe (IIS-Worker) heraus
    • Zugriff auf Kryptografie-Keys und damit persistente Backdoors

    Was ist

    Microsoft hat zwischenzeitlich Sicherheitsupdates für SharePoint 2019 und die Subscription Edition bereitgestellt, für ältere Versionen (z. B. 2016) gelten gesonderte Workarounds. CISA sowie mehrere Security-Firmen haben Indicators of Compromise (IOCs) und TTP-Beschreibungen veröffentlicht.

    Die Besonderheit: Auch ohne direkten Patch lassen sich die Aktivitäten des Angriffs sehr gut über Logs und Verhaltennachvollziehen. So fallen u. a. auf:

    Ausgehende Netzwerkverbindungen des IIS-Workers unmittelbar nach Dateiänderungen

    Zugriffe auf /_layouts/15/ToolPane.aspx in den IIS-Logs

    Neue .aspx-Dateien im Webroot (\_layouts\15\App_Data)

    w3wp.exe → powershell.exe mit -EncodedCommand

  • ·

    RMM-Systeme im Visier –N-able N-central Schwachstellen

    VonJ. Benjamin Espagné

    Am 15. August 2025 meldete die Shadowserver Foundation, dass über 1.000 N-able N-central Instanzen weltweit noch ungepatcht gegen die Sicherheitslücken CVE-2025-8875 und CVE-2025-8876 waren. N-central ist eine weit verbreitete Lösung für Remote Monitoring und Management (RMM), die vor allem von IT-Dienstleistern genutzt wird, um Kundensysteme zentral zu überwachen und zu administrieren.

    Beide Schwachstellen wurden kürzlich in den Known Exploited Vulnerabilities (KEV)-Katalog der US-Behörde CISA aufgenommen. Damit gilt als bestätigt, dass sie bereits aktiv von Angreifern ausgenutzt werden. Laut Shadowserver sind vor allem die USA, Kanada, die Niederlande und Großbritannien besonders stark betroffen.

    Die Lücken ermöglichen Angreifern eine nicht autorisierte Ausführung von Befehlen auf verwundbaren Systemen. Shadowserver integriert seit Mitte August 2025 die Erkennung dieser CVEs in seine täglichen Scans. Unternehmen, die eine Verwundbarkeitsmeldung erhalten, sollen ihre Systeme dringend überprüfen und umgehend auf die abgesicherte Version N-central 2025.3.1 aktualisieren.

  • Citrix NetScaler CVE-2025-7775: Patching-Fortschritt im Fokus

    VonJ. Benjamin Espagné

    Am 26. August 2025 wurde eine kritische Zero-Day-Sicherheitslücke in Citrix® NetScaler ADC und NetScaler Gateway bekannt (CVE-2025-7775). Es handelt sich um einen Memory Overflow, der eine Remote-Code-Execution (RCE) oder einen Denial-of-Service (DoS) ohne Authentifizierung ermöglicht. Kurz darauf empfahl Citrix dringend, die betroffenen Systeme umgehend zu aktualisieren, da bereits aktive Angriffe in freier Wildbahn bestätigt wurden.

    Die US-Behörde CISA nahm CVE-2025-7775 in ihren Known Exploited Vulnerabilities (KEV)-Katalog auf und setzte eine Frist für alle Bundesbehörden, die Lücke bis zum 28. August 2025 zu schließen.

    Aktuelle Scans von Shadowserver zeigen: Zwar sank die Zahl ungepatchter NetScaler-Instanzen von ursprünglich rund 28.200 auf etwa 12.400 Systeme, doch bleibt das Risiko erheblich. Besonders auffällig ist, dass Europa im Vergleich zu Nordamerika deutlich schneller patcht.

    Dashboards mit Zeitreihen (Stacked oder Overlapping) veranschaulichen den länderübergreifenden Fortschritt. Parallel informieren Shadowserver-Meldungen in sozialen Medien regelmäßig über aktuelle Zahlen und Trends.

  • · ·

    Wenn Pflegebetrieb zur Zielscheibe wird — Ransomware bei der Sozial-Holding Mönchengladbach

    VonJ. Benjamin Espagné

    Am 17. März 2025 wurde die Sozial-Holding der Stadt Mönchengladbach GmbH Opfer eines großangelegten Cyberangriffs. Die IT-Systeme der städtischen Tochtergesellschaft, die unter anderem sieben Seniorenheime betreibt und täglich Tausende Mahlzeiten ausliefert, waren betroffen: Server wurden verschlüsselt, E-Mail- und Telefoninfrastruktur war zeitweise nicht nutzbar. Die Täter forderten laut Berichten ein Lösegeld von rund 100.000 Euro. Die Sozial-Holding meldete den Vorfall bei Polizei und Datenschutzbehörden und arbeitete mit externen IT-Forensikern zusammen; nach etwa zehn Tagen war das IT-Netz wieder aufgebaut. 

    Unabhängige Medienberichte und Fachportale (dpa, WDR, CSO Online, Heise) bestätigten, dass sensible Daten von Bewohnerinnen und Bewohnern sowie Mitarbeitenden betroffen sein könnten (Personenstammdaten, Gesundheits- und Pflegedaten, Personalakten, Zugangsdaten). Die Betreiberin erklärte, die Versorgung der Bewohner sei jederzeit sichergestellt geblieben; ein Lösegeld wurde offenbar nicht bezahlt.

    Was bislang offen bleibt: Die Ermittlungen und die polizeilichen Verfahren verhinderten zunächst die Veröffentlichung technischer Details zur Angriffs-Kette und zum genauen Einstiegspunkt der Angreifer. Medienberichte sprechen von einer möglichen Beteiligung ausländischer Tätergruppen; eine gerichtliche oder behördliche Attribution war zum Zeitpunkt der Berichterstattung nicht abschließend bestätigt.

Keine weiteren News.

Keine weiteren News.

Sicherheitslücken schließen. Risiken senken. Jetzt handeln!

Unsere Experten zeigen Ihnen live, wie wir Angriffe erkennen, stoppen und Ihr Unternehmen schützen.

Blog

Aktuelle Sicherheitsereignisse