← Zurück zum Blog
Sicherheitsbriefing5 min read2026-05-03

Sicherheitsbriefing, 3. Mai 2026: cPanel-Ransomware, ConsentFix v3, Copy Fail und Instructure-Incident-Response

Das hässliche Muster heute Morgen ist ein Vertrauenskollaps in großem Maßstab: Hosting-Control-Panels, OAuth-Login-Flows, Linux-Speicherannahmen und Bildungsplattformen zeigen gleichzeitig, wie schnell „normale“ Infrastruktur zum Angriffsweg wird.


Kurz gesagt: Vier Geschichten zählen jetzt: cPanel-Server werden so schnell angegriffen, dass CISA eine Patch-Frist für Bundesbehörden gesetzt hat; ConsentFix v3 industrialisiert Azure-Token-Diebstahl; Copy Fail bringt einen riesigen Linux-Bestand mit einem lokalen Fuß in der Tür in Root-Reichweite; und Instructure versucht noch immer, die Folgen eines neuen Vorfalls einzugrenzen.


1. cPanel sprang fast sofort von kritischer Lücke zu aktivem Ransomware-Problem

CVE-2026-41940 ist kein „später patchen“-Thema mehr. Angreifer nutzen den Auth-Bypass in cPanel und WHM massenhaft aus, und laut BleepingComputer wird darüber bereits die Linux-basierte Sorry-Ransomware verteilt. The Record berichtet, dass CISA Bundesbehörden bis zum 3. Mai zum Patchen verpflichtet hat. Das zeigt, wie ernst der Radius ist.


2. ConsentFix v3 macht Azure-OAuth-Diebstahl skalierbarer und überzeugender

ConsentFix war schon unangenehm, weil ein legitimer Microsoft-Autorisierungsfluss missbraucht wird statt Passwörter zu stehlen. Version 3 bringt Automatisierung dazu: Tenant-Prüfung, Opfer-Profilsammlung, Phishing-Infrastruktur, sofortigen Token-Tausch via Pipedream und schnelleren Zugriff auf Microsoft-Ressourcen nach der Kompromittierung. MFA allein hilft hier nicht.


3. Copy Fail ist genau die Art Linux-Fehler, die Cloud-Vertrauensgrenzen leise zerstört

Copy Fail, verfolgt als CVE-2026-31431, betrifft wichtige Linux-Distributionen seit 2017 und kann einem Low-Privilege-User Root verschaffen. Noch schlimmer: auf betroffenen Hosts kann die Lücke auch Container-Escapes ermöglichen. Theori fand sie mit KI-unterstützter Analyse, CERT-EU drängte auf schnelles Patchen, und die breite Plattformabdeckung macht das zur Wochenend-Priorität jedes ernsthaften Infrastrukturteams.


4. Instructures Vorfall erinnert daran, dass Bildungsplattformen weiter Hochwert-Ziele bleiben

Instructure hat einen neuen Cybervorfall offengelegt und untersucht den Impact mit externer Forensik. Wartung an Canvas Data 2 und Canvas Beta sowie Warnungen zu API-key-abhängigen Tools reichen aus, um das operativ relevant zu machen, noch bevor alle Fakten vorliegen. Bildungsplattformen halten enorme Mengen an Studenten- und Mitarbeiterdaten; Unklarheit ist hier Risiko, nicht bloß Unbequemlichkeit.


Was Sicherheitsteams heute tun sollten

  1. cPanel und WHM jetzt patchen und danach aktiv nach Kompromittierung suchen statt bei Versionsprüfungen stehenzubleiben.
  2. Erkennung rund um Azure-OAuth-Missbrauch ausbauen, besonders bei Token-Ausgabe und verdächtigen Consent-Workflows.
  3. Copy-Fail-Kernel-Patches in der Linux- und Container-Host-Warteschlange nach ganz vorne ziehen.
  4. Die operative Abhängigkeit von Instructure prüfen und sich auf Folgeeffekte bei APIs, Daten und Vertrauen vorbereiten.

Quellen


Fazit: Heute geht es nicht um einen einzelnen glamourösen Zero-Day. Es geht darum, dass Routine-Infrastruktur zeigt, wie wenig Vertrauensabkürzungen gegen motivierte Angreifer taugen.

Finden Sie die Vertrauensbrüche, bevor Angreifer sie verketten

KENSAI hilft Teams, exponierte Admin-Pfade, riskante Identitätsflüsse und Infrastruktur-Schwachstellen sichtbar zu machen, bevor daraus Ransomware, Token-Diebstahl oder Host-Kompromittierung wird.

Kostenlosen Scan starten →

Bleiben Sie scharf.

🗡️ KENSAI Security Team