🛡️ KENSAI Sicherheitslagebild
Zusammenfassung
- Ericsson US kompromittiert über Dienstleister-Hack — Mitarbeiter- und Kundendaten gestohlen
- Cisco SD-WAN 0-Day (CVE-2026-20127) wird jetzt großflächig ausgenutzt, öffentlicher PoC verfügbar
- CISA ergänzt iOS-Exploit-Kit-Schwachstellen — Coruna-Kit zielt auf 23 Schwachstellen (iOS 13–17.2.1)
- Russische staatliche Hacker greifen Signal- und WhatsApp-Konten von Regierungsbeamten an
- ShinyHunters nutzen aktiv Salesforce-Aura-Lücke für Datendiebstahl
- FBI ermittelt wegen verdächtiger Aktivitäten auf sensiblem Überwachungssystem
- OpenAI startet Codex Security — KI-Agent hat 1,2 Mio. Commits gescannt und 10.500 hochkritische Schwachstellen gefunden
🔓 Datenlecks & Sicherheitsvorfälle
Ericsson US meldet Datenleck nach Dienstleister-Kompromittierung
Ericsson Inc. (US-Tochtergesellschaft) bestätigte, dass Angreifer Mitarbeiter- und Kundendaten gestohlen haben, nachdem ein Drittanbieter kompromittiert wurde. Das Ausmaß des Vorfalls ist noch nicht bekannt. Ein weiterer Supply-Chain-Angriff, der Schwächen im Lieferantenrisikomanagement offenlegt.
ShinyHunters nutzen Salesforce Aura für aktiven Datendiebstahl
Salesforce warnt Kunden vor fehlkonfigurierten Experience-Cloud-Plattformen, die Gastnutzern übermäßigen Datenzugriff gewähren. Die Erpressergruppe ShinyHunters behauptet, eine neue Schwachstelle auszunutzen, um aktiv Daten aus Salesforce-Instanzen zu stehlen — über die Fehlkonfiguration hinaus.
FBI untersucht Einbruch in sensibles Überwachungssystem
Das FBI untersucht „verdächtige" Cyberaktivitäten auf einem System mit sensiblen Überwachungsdaten. Die Behörde hat den Kongress informiert und arbeitet daran, Umfang und Auswirkungen zu bestimmen. Details bleiben geheim.
UNC4899 (Nordkorea) kompromittierte Kryptofirma über AirDrop-Trojaner
Der nordkoreanische Bedrohungsakteur UNC4899 (auch bekannt als Jade Sleet/TraderTraitor) kompromittierte eine Kryptowährungsorganisation, indem ein Entwickler per Social Engineering dazu gebracht wurde, eine trojanisierte Datei per AirDrop auf sein Arbeitsgerät zu übertragen. Die Angreifer nutzten Cloud-Infrastruktur mittels Living-off-the-Cloud-Techniken, um Kryptowährung im Millionenwert zu stehlen.
🚨 Kritische CVEs & Schwachstellen
Cisco Catalyst SD-WAN — Aktiv ausgenutzte Zero-Day-Schwachstelle
Schwachstelle mit maximaler Schwere im Cisco Catalyst SD-WAN Controller und SD-WAN Manager. Öffentlicher PoC-Exploit veröffentlicht. WatchTowr meldet großflächige Ausnutzung von zahlreichen einzelnen IP-Adressen. Ermöglicht Authentifizierungsumgehung und Root-Zugriff. Sofort patchen.
Nginx UI — Unauthentifizierter Backup-Download und -Entschlüsselung
Kritische Schwachstelle in Nginx UI ermöglicht es unauthentifizierten Angreifern, vollständige System-Backups herunterzuladen und zu entschlüsseln — Konfigurationsdateien, Zugangsdaten und sensible Daten werden offengelegt.
AVideo-Plattform — Zero-Click Command Injection
Schwachstelle mit maximaler Schwere in der Open-Source-Videohosting-Plattform AVideo ermöglicht es Angreifern, ohne jegliche Benutzerinteraktion beliebige Befehle auf Streaming-Servern auszuführen.
MongoDB — Unauthentifizierter Serverabsturz
CVSS-7.5-Schwachstelle ermöglicht es unauthentifizierten Angreifern, exponierte MongoDB-Server mit minimaler Bandbreite zum Absturz zu bringen. Entdeckt von Cato-CTRL-Forschern.
WordPress-Mitgliedschafts-Plugin — Administrator-Konto-Erstellung
Das Plugin „User Registration & Membership" für WordPress ermöglicht es unauthentifizierten Angreifern, Sicherheitskontrollen zu umgehen und Administratorkonten zu erstellen.
CISA nimmt Coruna-iOS-Exploit-Kit-Schwachstellen in KEV auf
iOS-Exploit-Kit auf staatlichem Niveau („Coruna") zielt auf 23 Schwachstellen in iOS 13 bis 17.2.1 ab. CISA hat diese am 5. März in den Katalog bekannter ausgenutzter Schwachstellen aufgenommen. Aktive Ausnutzung bestätigt.
Cisco Secure Firewall Management Center — RCE & Authentifizierungsumgehung
Zwei separate kritische Advisories für Cisco FMC: eines ermöglicht Remote Code Execution (maximale Schwere), ein weiteres erlaubt unauthentifizierte Authentifizierungsumgehung.
ExifTool-Schwachstelle — Schadhafte Bilder lösen Codeausführung auf macOS aus
Kaspersky-Forscher entdeckten eine Schwachstelle, bei der schadhafte Bilder über ExifTool Codeausführung auf macOS auslösen können — eine Herausforderung für die Annahme, macOS sei gegen Malware immun.
Google Chrome Notfall-Update — 10 Sicherheitskorrekturen
Google hat Chrome Stable auf 145.0.7632.159 aktualisiert und dabei 10 Sicherheitslücken geschlossen, darunter kritische Probleme.
🕵️ Bedrohungsakteure & Kampagnen
Russische staatliche Hacker kapern Signal- und WhatsApp-Konten
Die niederländische Regierung gab eine Warnung heraus: Staatlich gesponserte russische Hacker führen eine Phishing-Kampagne gegen Regierungsbeamte, Militärpersonal und Journalisten durch, um deren Signal- und WhatsApp-Konten zu übernehmen und auf verschlüsselte Nachrichten zuzugreifen.
CL-UNK-1068 — Chinesische Spionage gegen kritische Infrastruktur in Asien
Palo Alto Unit 42 deckte eine jahrelange chinesische Spionagekampagne (CL-UNK-1068) auf, die Luftfahrt, Energie, Regierung, Pharma und Telekommunikation in Süd-, Südost- und Ostasien ins Visier nimmt. Setzt maßgeschneiderte Malware, modifizierte Open-Source-Tools und LOLBINs zur Persistenz ein.
Microsoft-Teams-Phishing verbreitet A0Backdoor-Malware
Angreifer kontaktierten Mitarbeiter in Finanz- und Gesundheitsorganisationen über Microsoft Teams und verleiteten sie dazu, über Quick Assist Fernzugriff zu gewähren, um eine neue Malware namens „A0Backdoor" zu installieren.
ClickFix-Angriff nutzt Windows Terminal zur Erkennungsumgehung
Eine neue Variante gefälschter CAPTCHA-Phishing-Seiten weist Opfer an, bösartige Befehle im Windows Terminal statt im Ausführen-Dialog einzufügen, um herkömmliche Erkennungsmethoden zu umgehen.
Über 100 GitHub-Repos verbreiten BoryptGrab-Stealer
Über 100 GitHub-Repositories verbreiten den Informationsdieb BoryptGrab, der Browserdaten, Kryptowährungs-Wallets, Systeminformationen und Benutzerdateien abgreift.
Chrome-Erweiterungen werden nach Eigentümerwechsel bösartig
Zwei Chrome-Erweiterungen (QuickLens, ShotBird) wurden nach einem Eigentümerwechsel bösartig und ermöglichten Code-Injection und Datendiebstahl bei ~7.800 Nutzern. Dies unterstreicht das anhaltende Supply-Chain-Risiko im Browser-Erweiterungs-Ökosystem.
Bösartiges npm-Paket installiert RAT (Credential-Stealer)
JFrog entdeckte ein bösartiges npm-Paket, das Systemzugangsdaten, Browserdaten, Krypto-Wallets, SSH-Schlüssel, Apple Keychain und iMessage-Verlauf stiehlt. Es installiert einen persistenten RAT mit SOCKS5-Proxy und Live-Browser-Session-Kloning. 178 Downloads vor der Entdeckung.
Mail2Shell — FreeScout-Helpdesk Zero-Click RCE
Kritische Zero-Click-Schwachstelle im Open-Source-Helpdesk FreeScout ermöglicht Angreifern, Mailserver allein durch das Senden einer manipulierten E-Mail zu übernehmen — keine Benutzerinteraktion erforderlich.
🔧 Sicherheitstools & Branchenneuigkeiten
OpenAI startet Codex Security Agent
OpenAI hat Codex Security eingeführt — einen KI-gestützten Sicherheitsagenten, der Schwachstellen findet, validiert und Korrekturen vorschlägt. In der Vorschau wurden 1,2 Millionen Commits gescannt und 10.561 hochkritische Schwachstellen gefunden. Verfügbar für ChatGPT Pro/Enterprise/Business/Edu-Nutzer. Im ersten Monat kostenlos.
Google: Cloud-Angriffe verlagern sich von schwachen Zugangsdaten zu Schwachstellenausnutzung
Googles H1 2026 Cloud Threat Horizons Report zeigt, dass Angreifer zunehmend neu veröffentlichte Schwachstellen in Drittanbieter-Software ausnutzen (nicht nur schwache Zugangsdaten), um Cloud-Umgebungen zu kompromittieren. Das Zeitfenster für die Ausnutzung hat sich von Wochen auf Tage verkürzt.
Cybersecurity M&A: 42 Deals im Februar 2026
Große Transaktionen angekündigt von Check Point, Booz Allen, Proofpoint, Sophos, Palo Alto Networks und Zscaler. Die Konsolidierung im Cybersecurity-Markt schreitet in hohem Tempo voran.
ArmorCode sichert sich 16 Mio. USD für Exposure Management
ArmorCode hat 16 Millionen US-Dollar eingeworben, um die Plattformentwicklung für Application Security Posture Management und Exposure Management zu beschleunigen.
Trumps Cyberstrategie: Gegner, kritische Infrastruktur, neue Technologien
Die neue US-Cyberstrategie fordert stärkere Abschreckung gegen Cybergegner, Modernisierung der Bundesnetzwerke, Schutz kritischer Infrastruktur sowie Investitionen in KI und Post-Quanten-Kryptografie.
EU-Gericht: Banken müssen Phishing-Opfer sofort entschädigen
Der Generalanwalt des Europäischen Gerichtshofs hat eine formelle Stellungnahme abgegeben, wonach Banken Opfer von Phishing-basierten unautorisierten Transaktionen sofort erstatten müssen. Dies könnte zu einem verbindlichen Präzedenzfall in allen EU-Mitgliedstaaten werden.
📊 Aufkommende Bedrohungsmuster
Wichtige Trends dieser Woche
1. Supply-Chain-Angriffe beschleunigen sich: Bösartige npm-Pakete, Chrome-Erweiterungs-Eigentümerwechsel und Dienstleister-Kompromittierungen (Ericsson) — drei verschiedene Supply-Chain-Vektoren in 24 Stunden. Vertrauensketten sind die neue Angriffsfläche.
2. Cloud-Ausnutzungsfenster schrumpft: Googles Bericht bestätigt, dass Angreifer neu veröffentlichte Schwachstellen innerhalb von Tagen statt Wochen ausnutzen. Patching-SLAs für cloud-exponierte Dienste müssen in Stunden gemessen werden.
3. Messaging-Apps im Visier von Nationalstaaten: Russische APTs zielen gezielt auf Signal und WhatsApp zur Kontoübernahme ab. Verschlüsselte Messenger sind hochwertige Spionageziele — keine sicheren Häfen.
4. KI-Sicherheitstools werden Mainstream: Der Launch von OpenAIs Codex Security (1,2 Mio. gescannte Commits) signalisiert, dass KI-gestützte Schwachstellenerkennung von der Nische zum Standard-DevSecOps-Werkzeug wird. Direkte Konkurrenz für KENSAIs Markt.
5. Cisco-Infrastruktur unter Beschuss: SD-WAN-0-Day, Firewall-Management-RCE und Authentifizierungsumgehung — Cisco-Produkte erleben eine Häufung kritischer Schwachstellen. Organisationen mit Cisco-Infrastruktur benötigen Notfall-Patch-Zyklen.