← Zurück zum Blog
Security Briefing4 Min. Lesezeit2026-04-25

Security Briefing, 25. April 2026: Firestarter-Persistenz, Zimbra-Exponierung und BlackFile-Vishing-Erpressung

Das Muster heute ist hässlich, aber klar: Edge-Appliances, Postfächer und Helpdesk-Vertrauen werden so missbraucht, dass oberflächliche Gegenmaßnahmen nicht reichen.


Kurzfassung: Drei Themen verdienen heute Morgen sofort Aufmerksamkeit: Firewall-Malware, die Patch-Zyklen überlebt, eine E-Mail-Plattform mit Tausenden exponierten verwundbaren Servern und eine vishing-lastige Erpressergruppe, die normale Support-Abläufe in Einbruchspfade verwandelt.


1. Firestarter macht Patching auf Cisco-Firewalls zu einer falschen Ziellinie

CISA und das britische NCSC warnen, dass die Firestarter-Backdoor auf Cisco Firepower- und Secure-Firewall-Geräten selbst nach Neustarts, Firmware-Updates und Sicherheitspatches bestehen bleiben kann. Die Malware, die mit einem von Cisco verfolgten Spionageakteur verknüpft ist, hängt sich in den LINA-Prozess ein, installiert sich bei Beendigung neu und kann über präparierten WebVPN-Verkehr ausgelöst werden. Ciscos Empfehlung ist deutlich: Gepatchte Releases sind nötig, aber Re-Imaging ist der bevorzugte Bereinigungspfad.


2. Mehr als 10.000 exponierte Zimbra-Server sitzen weiter im Explosionsradius

Shadowserver meldet mehr als 10.500 internetexponierte Zimbra-Server, die weiter für CVE-2025-48700 anfällig sind, eine XSS-Lücke, die CISA bereits als aktiv ausgenutzt listet. Der Fehler betrifft mehrere ZCS-Zweige und kann es nicht authentifizierten Angreifern erlauben, JavaScript in einer Webmail-Sitzung des Opfers auszuführen, wenn in der Classic UI eine präparierte E-Mail geöffnet wird. Das ist brisant, weil Zimbra seit Jahren als Sprungbrett für Mail-Diebstahl und staatlich gestützte Operationen dient.


3. BlackFile zeigt erneut, dass gefälschte Helpdesk-Anrufe moderne Unternehmen brechen können

BlackFile wird mit einer Welle vishing-gestützter Erpressungsangriffe gegen Handel und Gastgewerbe in Verbindung gebracht. Die Angreifer geben sich als IT-Support aus, stehlen Anmeldedaten und Einmalcodes über gefälschte Login-Seiten und registrieren anschließend eigene Geräte, um MFA zu umgehen. Danach räumen sie Systeme wie Salesforce und SharePoint über normale APIs aus, stehlen sensible Dateien und erhöhen den Druck mit Lösegeldforderungen und sogar Swatting.


Was Sicherheitsteams heute tun sollten

  1. Cisco-Firewalls auf Kompromittierungsindikatoren prüfen und bei Treffern Re-Imaging einplanen.
  2. Zimbra-Patches abschließen und nach bösartigem E-Mail-basiertem Sitzungsmissbrauch suchen.
  3. Helpdesk-Identitätsprüfungen verschärfen, besonders für Remote-Support und MFA-Resets.
  4. SaaS-Exportaktivitäten und Geräteanmeldungen auf Muster im Stil von BlackFile prüfen.

Quellen


Fazit: Das Muster heute ist hässlich, aber klar: Edge-Appliances, Postfächer und Helpdesk-Vertrauen werden so missbraucht, dass oberflächliche Gegenmaßnahmen nicht reichen.

Finde die Vertrauensbrüche, bevor daraus Incidents werden

KENSAI hilft Teams, exponierte Angriffspfade über Edge-Appliances, E-Mail-Systeme, Identitätsflüsse und Cloud-Tools sichtbar zu machen, bevor Angreifer normale Abläufe in Einbruchs-Infrastruktur verwandeln.

Kostenloser Scan →

Bleib wachsam.

🗡️ KENSAI Security Team