Das hässliche Muster heute Morgen ist ein Vertrauenskollaps in großem Maßstab: Hosting-Control-Panels, OAuth-Login-Flows, Linux-Speicherannahmen und Bildungsplattformen zeigen gleichzeitig, wie schnell „normale“ Infrastruktur zum Angriffsweg wird.
Kurz gesagt: Vier Geschichten zählen jetzt: cPanel-Server werden so schnell angegriffen, dass CISA eine Patch-Frist für Bundesbehörden gesetzt hat; ConsentFix v3 industrialisiert Azure-Token-Diebstahl; Copy Fail bringt einen riesigen Linux-Bestand mit einem lokalen Fuß in der Tür in Root-Reichweite; und Instructure versucht noch immer, die Folgen eines neuen Vorfalls einzugrenzen.
CVE-2026-41940 ist kein „später patchen“-Thema mehr. Angreifer nutzen den Auth-Bypass in cPanel und WHM massenhaft aus, und laut BleepingComputer wird darüber bereits die Linux-basierte Sorry-Ransomware verteilt. The Record berichtet, dass CISA Bundesbehörden bis zum 3. Mai zum Patchen verpflichtet hat. Das zeigt, wie ernst der Radius ist.
ConsentFix war schon unangenehm, weil ein legitimer Microsoft-Autorisierungsfluss missbraucht wird statt Passwörter zu stehlen. Version 3 bringt Automatisierung dazu: Tenant-Prüfung, Opfer-Profilsammlung, Phishing-Infrastruktur, sofortigen Token-Tausch via Pipedream und schnelleren Zugriff auf Microsoft-Ressourcen nach der Kompromittierung. MFA allein hilft hier nicht.
Copy Fail, verfolgt als CVE-2026-31431, betrifft wichtige Linux-Distributionen seit 2017 und kann einem Low-Privilege-User Root verschaffen. Noch schlimmer: auf betroffenen Hosts kann die Lücke auch Container-Escapes ermöglichen. Theori fand sie mit KI-unterstützter Analyse, CERT-EU drängte auf schnelles Patchen, und die breite Plattformabdeckung macht das zur Wochenend-Priorität jedes ernsthaften Infrastrukturteams.
Instructure hat einen neuen Cybervorfall offengelegt und untersucht den Impact mit externer Forensik. Wartung an Canvas Data 2 und Canvas Beta sowie Warnungen zu API-key-abhängigen Tools reichen aus, um das operativ relevant zu machen, noch bevor alle Fakten vorliegen. Bildungsplattformen halten enorme Mengen an Studenten- und Mitarbeiterdaten; Unklarheit ist hier Risiko, nicht bloß Unbequemlichkeit.
Fazit: Heute geht es nicht um einen einzelnen glamourösen Zero-Day. Es geht darum, dass Routine-Infrastruktur zeigt, wie wenig Vertrauensabkürzungen gegen motivierte Angreifer taugen.
KENSAI hilft Teams, exponierte Admin-Pfade, riskante Identitätsflüsse und Infrastruktur-Schwachstellen sichtbar zu machen, bevor daraus Ransomware, Token-Diebstahl oder Host-Kompromittierung wird.
Kostenlosen Scan starten →Bleiben Sie scharf.
🗡️ KENSAI Security Team