剣 KENSAI
← Back to archive

🛡️ KENSAI Sicherheitslagebild

Dienstag, 10. März 2026 · Tägliches Bedrohungsbriefing

Zusammenfassung

  • Ericsson US kompromittiert über Dienstleister-Hack — Mitarbeiter- und Kundendaten gestohlen
  • Cisco SD-WAN 0-Day (CVE-2026-20127) wird jetzt großflächig ausgenutzt, öffentlicher PoC verfügbar
  • CISA ergänzt iOS-Exploit-Kit-Schwachstellen — Coruna-Kit zielt auf 23 Schwachstellen (iOS 13–17.2.1)
  • Russische staatliche Hacker greifen Signal- und WhatsApp-Konten von Regierungsbeamten an
  • ShinyHunters nutzen aktiv Salesforce-Aura-Lücke für Datendiebstahl
  • FBI ermittelt wegen verdächtiger Aktivitäten auf sensiblem Überwachungssystem
  • OpenAI startet Codex Security — KI-Agent hat 1,2 Mio. Commits gescannt und 10.500 hochkritische Schwachstellen gefunden

🔓 Datenlecks & Sicherheitsvorfälle

HIGH IMPACT

Ericsson US meldet Datenleck nach Dienstleister-Kompromittierung

Ericsson Inc. (US-Tochtergesellschaft) bestätigte, dass Angreifer Mitarbeiter- und Kundendaten gestohlen haben, nachdem ein Drittanbieter kompromittiert wurde. Das Ausmaß des Vorfalls ist noch nicht bekannt. Ein weiterer Supply-Chain-Angriff, der Schwächen im Lieferantenrisikomanagement offenlegt.

CRITICAL

ShinyHunters nutzen Salesforce Aura für aktiven Datendiebstahl

Salesforce warnt Kunden vor fehlkonfigurierten Experience-Cloud-Plattformen, die Gastnutzern übermäßigen Datenzugriff gewähren. Die Erpressergruppe ShinyHunters behauptet, eine neue Schwachstelle auszunutzen, um aktiv Daten aus Salesforce-Instanzen zu stehlen — über die Fehlkonfiguration hinaus.

HIGH IMPACT

FBI untersucht Einbruch in sensibles Überwachungssystem

Das FBI untersucht „verdächtige" Cyberaktivitäten auf einem System mit sensiblen Überwachungsdaten. Die Behörde hat den Kongress informiert und arbeitet daran, Umfang und Auswirkungen zu bestimmen. Details bleiben geheim.

Quelle: SecurityWeek
HIGH IMPACT

UNC4899 (Nordkorea) kompromittierte Kryptofirma über AirDrop-Trojaner

Der nordkoreanische Bedrohungsakteur UNC4899 (auch bekannt als Jade Sleet/TraderTraitor) kompromittierte eine Kryptowährungsorganisation, indem ein Entwickler per Social Engineering dazu gebracht wurde, eine trojanisierte Datei per AirDrop auf sein Arbeitsgerät zu übertragen. Die Angreifer nutzten Cloud-Infrastruktur mittels Living-off-the-Cloud-Techniken, um Kryptowährung im Millionenwert zu stehlen.

🚨 Kritische CVEs & Schwachstellen

CVSS 10.0 CVE-2026-20127

Cisco Catalyst SD-WAN — Aktiv ausgenutzte Zero-Day-Schwachstelle

Schwachstelle mit maximaler Schwere im Cisco Catalyst SD-WAN Controller und SD-WAN Manager. Öffentlicher PoC-Exploit veröffentlicht. WatchTowr meldet großflächige Ausnutzung von zahlreichen einzelnen IP-Adressen. Ermöglicht Authentifizierungsumgehung und Root-Zugriff. Sofort patchen.

CRITICAL CVE-2026-27944

Nginx UI — Unauthentifizierter Backup-Download und -Entschlüsselung

Kritische Schwachstelle in Nginx UI ermöglicht es unauthentifizierten Angreifern, vollständige System-Backups herunterzuladen und zu entschlüsseln — Konfigurationsdateien, Zugangsdaten und sensible Daten werden offengelegt.

CRITICAL CVE-2026-29058

AVideo-Plattform — Zero-Click Command Injection

Schwachstelle mit maximaler Schwere in der Open-Source-Videohosting-Plattform AVideo ermöglicht es Angreifern, ohne jegliche Benutzerinteraktion beliebige Befehle auf Streaming-Servern auszuführen.

HIGH CVE-2026-25611

MongoDB — Unauthentifizierter Serverabsturz

CVSS-7.5-Schwachstelle ermöglicht es unauthentifizierten Angreifern, exponierte MongoDB-Server mit minimaler Bandbreite zum Absturz zu bringen. Entdeckt von Cato-CTRL-Forschern.

CRITICAL CVE-2026-1492

WordPress-Mitgliedschafts-Plugin — Administrator-Konto-Erstellung

Das Plugin „User Registration & Membership" für WordPress ermöglicht es unauthentifizierten Angreifern, Sicherheitskontrollen zu umgehen und Administratorkonten zu erstellen.

CRITICAL iOS EXPLOIT KIT

CISA nimmt Coruna-iOS-Exploit-Kit-Schwachstellen in KEV auf

iOS-Exploit-Kit auf staatlichem Niveau („Coruna") zielt auf 23 Schwachstellen in iOS 13 bis 17.2.1 ab. CISA hat diese am 5. März in den Katalog bekannter ausgenutzter Schwachstellen aufgenommen. Aktive Ausnutzung bestätigt.

Quelle: SecurityWeek
HIGH

Cisco Secure Firewall Management Center — RCE & Authentifizierungsumgehung

Zwei separate kritische Advisories für Cisco FMC: eines ermöglicht Remote Code Execution (maximale Schwere), ein weiteres erlaubt unauthentifizierte Authentifizierungsumgehung.

HIGH

ExifTool-Schwachstelle — Schadhafte Bilder lösen Codeausführung auf macOS aus

Kaspersky-Forscher entdeckten eine Schwachstelle, bei der schadhafte Bilder über ExifTool Codeausführung auf macOS auslösen können — eine Herausforderung für die Annahme, macOS sei gegen Malware immun.

MEDIUM

Google Chrome Notfall-Update — 10 Sicherheitskorrekturen

Google hat Chrome Stable auf 145.0.7632.159 aktualisiert und dabei 10 Sicherheitslücken geschlossen, darunter kritische Probleme.

🕵️ Bedrohungsakteure & Kampagnen

RUSSIA APT

Russische staatliche Hacker kapern Signal- und WhatsApp-Konten

Die niederländische Regierung gab eine Warnung heraus: Staatlich gesponserte russische Hacker führen eine Phishing-Kampagne gegen Regierungsbeamte, Militärpersonal und Journalisten durch, um deren Signal- und WhatsApp-Konten zu übernehmen und auf verschlüsselte Nachrichten zuzugreifen.

CHINA APT

CL-UNK-1068 — Chinesische Spionage gegen kritische Infrastruktur in Asien

Palo Alto Unit 42 deckte eine jahrelange chinesische Spionagekampagne (CL-UNK-1068) auf, die Luftfahrt, Energie, Regierung, Pharma und Telekommunikation in Süd-, Südost- und Ostasien ins Visier nimmt. Setzt maßgeschneiderte Malware, modifizierte Open-Source-Tools und LOLBINs zur Persistenz ein.

SOCIAL ENGINEERING

Microsoft-Teams-Phishing verbreitet A0Backdoor-Malware

Angreifer kontaktierten Mitarbeiter in Finanz- und Gesundheitsorganisationen über Microsoft Teams und verleiteten sie dazu, über Quick Assist Fernzugriff zu gewähren, um eine neue Malware namens „A0Backdoor" zu installieren.

PHISHING

ClickFix-Angriff nutzt Windows Terminal zur Erkennung­sumgehung

Eine neue Variante gefälschter CAPTCHA-Phishing-Seiten weist Opfer an, bösartige Befehle im Windows Terminal statt im Ausführen-Dialog einzufügen, um herkömmliche Erkennungsmethoden zu umgehen.

Quelle: SecurityWeek
MALWARE

Über 100 GitHub-Repos verbreiten BoryptGrab-Stealer

Über 100 GitHub-Repositories verbreiten den Informationsdieb BoryptGrab, der Browserdaten, Kryptowährungs-Wallets, Systeminformationen und Benutzerdateien abgreift.

Quelle: SecurityWeek
SUPPLY CHAIN

Chrome-Erweiterungen werden nach Eigentümerwechsel bösartig

Zwei Chrome-Erweiterungen (QuickLens, ShotBird) wurden nach einem Eigentümerwechsel bösartig und ermöglichten Code-Injection und Datendiebstahl bei ~7.800 Nutzern. Dies unterstreicht das anhaltende Supply-Chain-Risiko im Browser-Erweiterungs-Ökosystem.

SUPPLY CHAIN

Bösartiges npm-Paket installiert RAT (Credential-Stealer)

JFrog entdeckte ein bösartiges npm-Paket, das Systemzugangsdaten, Browserdaten, Krypto-Wallets, SSH-Schlüssel, Apple Keychain und iMessage-Verlauf stiehlt. Es installiert einen persistenten RAT mit SOCKS5-Proxy und Live-Browser-Session-Kloning. 178 Downloads vor der Entdeckung.

ZERO-CLICK

Mail2Shell — FreeScout-Helpdesk Zero-Click RCE

Kritische Zero-Click-Schwachstelle im Open-Source-Helpdesk FreeScout ermöglicht Angreifern, Mailserver allein durch das Senden einer manipulierten E-Mail zu übernehmen — keine Benutzerinteraktion erforderlich.

🔧 Sicherheitstools & Branchenneuigkeiten

AI SECURITY

OpenAI startet Codex Security Agent

OpenAI hat Codex Security eingeführt — einen KI-gestützten Sicherheitsagenten, der Schwachstellen findet, validiert und Korrekturen vorschlägt. In der Vorschau wurden 1,2 Millionen Commits gescannt und 10.561 hochkritische Schwachstellen gefunden. Verfügbar für ChatGPT Pro/Enterprise/Business/Edu-Nutzer. Im ersten Monat kostenlos.

CLOUD SECURITY

Google: Cloud-Angriffe verlagern sich von schwachen Zugangsdaten zu Schwachstellenausnutzung

Googles H1 2026 Cloud Threat Horizons Report zeigt, dass Angreifer zunehmend neu veröffentlichte Schwachstellen in Drittanbieter-Software ausnutzen (nicht nur schwache Zugangsdaten), um Cloud-Umgebungen zu kompromittieren. Das Zeitfenster für die Ausnutzung hat sich von Wochen auf Tage verkürzt.

M&A

Cybersecurity M&A: 42 Deals im Februar 2026

Große Transaktionen angekündigt von Check Point, Booz Allen, Proofpoint, Sophos, Palo Alto Networks und Zscaler. Die Konsolidierung im Cybersecurity-Markt schreitet in hohem Tempo voran.

Quelle: SecurityWeek
FUNDING

ArmorCode sichert sich 16 Mio. USD für Exposure Management

ArmorCode hat 16 Millionen US-Dollar eingeworben, um die Plattformentwicklung für Application Security Posture Management und Exposure Management zu beschleunigen.

Quelle: SecurityWeek
POLICY

Trumps Cyberstrategie: Gegner, kritische Infrastruktur, neue Technologien

Die neue US-Cyberstrategie fordert stärkere Abschreckung gegen Cybergegner, Modernisierung der Bundesnetzwerke, Schutz kritischer Infrastruktur sowie Investitionen in KI und Post-Quanten-Kryptografie.

Quelle: SecurityWeek
LEGAL

EU-Gericht: Banken müssen Phishing-Opfer sofort entschädigen

Der Generalanwalt des Europäischen Gerichtshofs hat eine formelle Stellungnahme abgegeben, wonach Banken Opfer von Phishing-basierten unautorisierten Transaktionen sofort erstatten müssen. Dies könnte zu einem verbindlichen Präzedenzfall in allen EU-Mitgliedstaaten werden.

📊 Aufkommende Bedrohungsmuster

Wichtige Trends dieser Woche

1. Supply-Chain-Angriffe beschleunigen sich: Bösartige npm-Pakete, Chrome-Erweiterungs-Eigentümerwechsel und Dienstleister-Kompromittierungen (Ericsson) — drei verschiedene Supply-Chain-Vektoren in 24 Stunden. Vertrauensketten sind die neue Angriffsfläche.

2. Cloud-Ausnutzungsfenster schrumpft: Googles Bericht bestätigt, dass Angreifer neu veröffentlichte Schwachstellen innerhalb von Tagen statt Wochen ausnutzen. Patching-SLAs für cloud-exponierte Dienste müssen in Stunden gemessen werden.

3. Messaging-Apps im Visier von Nationalstaaten: Russische APTs zielen gezielt auf Signal und WhatsApp zur Kontoübernahme ab. Verschlüsselte Messenger sind hochwertige Spionageziele — keine sicheren Häfen.

4. KI-Sicherheitstools werden Mainstream: Der Launch von OpenAIs Codex Security (1,2 Mio. gescannte Commits) signalisiert, dass KI-gestützte Schwachstellenerkennung von der Nische zum Standard-DevSecOps-Werkzeug wird. Direkte Konkurrenz für KENSAIs Markt.

5. Cisco-Infrastruktur unter Beschuss: SD-WAN-0-Day, Firewall-Management-RCE und Authentifizierungsumgehung — Cisco-Produkte erleben eine Häufung kritischer Schwachstellen. Organisationen mit Cisco-Infrastruktur benötigen Notfall-Patch-Zyklen.