← Zurück zum Blog
Security Briefing4 Min. Lesezeit2026-04-21

Sicherheitsbriefing, 21. April 2026: SGLang-RCE, Microsoft-Teams-Imitation und ZionSiphon-OT-Malware

Das heutige Lagebild zeigt, wie vertraute Arbeitsabläufe feindlich werden. KI-Modell-Serving kann zu Remote Code Execution werden, Kollaborationsplattformen werden zu Social-Engineering-Startrampen und OT-Malware rückt näher an reale Sabotage.


Top line: Drei Signale zählen heute: KI-Infrastruktur gehört zur Angriffsfläche, Kollaborationsplattformen werden für menschliche Intrusion missbraucht, und OT-Malware bewegt sich weiter in Richtung physischer Störung.


1. Kritische SGLang-Lücke macht bösartige GGUF-Dateien zu Remote Code Execution

The Hacker News hob CVE-2026-5760 hervor, ein kritisches Command-Injection-Problem im Reranking-Endpunkt von SGLang. Eine speziell präparierte GGUF-Modelldatei kann beliebige Codeausführung im Kontext des SGLang-Dienstes auslösen. Wer fremde Modellartefakte importiert, testet oder ausliefert, hat hier kein Nischenproblem, sondern ein Produktionsproblem.


2. Microsoft sagt, dass Teams zunehmend für Helpdesk-Imitationsangriffe missbraucht wird

BleepingComputer berichtete, dass Angreifer externe Microsoft-Teams-Kollaboration missbrauchen und danach legitime Admin-Tools für Zugriff und laterale Bewegung nutzen. Das funktioniert, weil Beschäftigte chatbasierte Support-Kontakte längst erwarten, besonders in verteilten Unternehmen mit teils externem Helpdesk.


3. ZionSiphon zeigt, dass OT-Malware weiter Wasserbetriebe sondiert

The Hacker News berichtete außerdem über ZionSiphon, Malware gegen israelische Wasseraufbereitung und Entsalzung mit Persistenz, lokaler Manipulation, OT-Service-Scanning und sabotageorientierter Logik rund um Chlor- und Drucksteuerung. Dass das Werkzeug noch unfertig wirkt, ist genau der Grund zur Sorge, bevor aus einem groben Werkzeug ein verlässliches wird.


Was Sicherheitsteams heute tun sollten

  1. Inventarisieren Sie jede SGLang-Nutzung und patchen oder isolieren Sie exponierte Inferenz- oder Reranking-Dienste zuerst.
  2. Prüfen Sie Teams-Föderation, externe Chat-Richtlinien und jüngste helpdeskartige Gespräche auf Imitationssignale.
  3. Fragen Sie OT- und Facility-Teams nach jüngsten Auffälligkeiten bei Controllern, Subnetzen oder USB-Medien.
  4. Briefen Sie die Führung dazu, dass heute vertraute Workflows, nicht nur Edge-Systeme, an der Front stehen.

Bottom line: Fazit: Die Angreifer von heute brechen nicht nur durch offensichtliche Löcher ein. Sie reiten auf Modelldateien, Chat-Workflows und operativen Werkzeugen, die Verteidiger noch immer als vertraut und sicher behandeln. Diese Annahme muss sterben.

Finden Sie Vertrauensbrüche, bevor daraus Vorfälle werden

KENSAI hilft Teams, exponierte Angriffspfade über Cloud, Zusammenarbeit, KI und internetseitige Systeme sichtbar zu machen, bevor aus schwachen Gliedern echte Brüche werden.

Kostenloser Scan →

Bleiben Sie wachsam.

🗡️ KENSAI Sicherheitsteam