KENSAI Sicherheitsforschung
🔴 Kritische Schwachstellen
Chrome 146 behebt zwei ausgenutzte Zero-Days (CVE-2026-3909 & CVE-2026-3910)
Google hat Notfall-Patches für zwei schwerwiegende Zero-Days veröffentlicht, die aktiv ausgenutzt werden. CVE-2026-3909 (CVSS 8.8) ist ein Out-of-Bounds-Schreibfehler in der Skia-2D-Grafikbibliothek; CVE-2026-3910 betrifft die V8 JavaScript-Engine. Beide ermöglichen Remote Code Execution über manipulierte HTML-Seiten. Chrome umgehend aktualisieren.
Kritische HPE AOS-CX Schwachstelle ermöglicht Admin-Passwortzurücksetzung
Eine kritische Schwachstelle in HPE Aruba AOS-CX Netzwerk-Switches ermöglicht nicht authentifizierten Angreifern, Authentifizierungskontrollen zu umgehen und Administratorpasswörter zurückzusetzen. Organisationen mit HPE AOS-CX sollten dringend patchen — keine Benutzerinteraktion zur Ausnutzung erforderlich.
9 „CrackArmor"-Schwachstellen in Linux AppArmor — Root-Eskalation & Container-Ausbruch
Qualys TRU hat neun Confused-Deputy-Schwachstellen im AppArmor-Modul des Linux-Kernels offengelegt. Nicht privilegierte Benutzer können zu Root eskalieren und Container-Isolation durchbrechen. Diese Schwachstellen untergraben grundlegende Linux-Sicherheitsgarantien. Alle großen Distributionen werden voraussichtlich diese Woche Kernel-Patches veröffentlichen.
WordPress „Ally"-Plugin SQLi gefährdet über 200.000 Websites
Eine SQL-Injection-Schwachstelle im beliebten Ally WordPress-Plugin (über 200.000 Installationen) ermöglicht Angreifern, Abfragen einzuschleusen und sensible Datenbankinhalte zu extrahieren. Zum Zeitpunkt der Offenlegung ist kein Patch verfügbar. Webadministratoren sollten das Plugin deaktivieren, bis eine Korrektur verfügbar ist.
💀 Datenlecks & Angriffe
Starbucks-Mitarbeiterdaten durch Phishing-Kampagne kompromittiert
Starbucks hat ein Datenleck bestätigt, das Mitarbeiterdaten betrifft, nachdem Phishing-Angriffe auf ein internes Mitarbeiterportal abzielten. Hunderte Mitarbeiter sind betroffen, persönliche Informationen wurden offengelegt. Zugangsdatendiebstahl war der primäre Angriffsvektor.
Iran-verknüpfter Angriff auf Stryker stört Produktion
Iranische Bedrohungsakteure haben den Medizingerätehersteller Stryker angegriffen und dabei Produktion und Versand gestört. Die Angreifer nutzten vorhandene Endpunkt-Management-Tools (Living off the Land) anstelle traditioneller Malware, um Geräte zu löschen. Erhebliche Auswirkungen auf die Lieferkette im Gesundheitssektor.
Polens Kernforschungszentrum Ziel eines Cyberangriffs
Polens Nationales Zentrum für Kernforschung (NCBJ) meldete einen Cyberangriff auf seine IT-Infrastruktur. Der Angriff wurde erkannt und blockiert, bevor Schaden entstand, aber die Angriffe auf Kernforschungseinrichtungen signalisieren eskalierende geopolitische Cyberoperationen in Europa.
🕷️ Bedrohungskampagnen & Malware
Chinesische APT CL-STA-1087 greift südostasiatische Streitkräfte an
Palo Alto Unit 42 hat eine China-verknüpfte APT-Kampagne aufgedeckt, die seit 2020 südostasiatische Militärorganisationen angreift. Mit maßgeschneiderter Malware (AppleChris, MemFun) sammelte die Gruppe gezielt Dateien über militärische Fähigkeiten und westliche Militärkooperationen. Demonstriert „strategische operative Geduld" — hochgradig zielgerichtete Aufklärung, kein massenhafter Datendiebstahl.
Storm-2561: Trojanisierte Enterprise-VPN-Clients durch SEO-Poisoning
Microsoft hat die Kampagne von Storm-2561 offengelegt, die gefälschte VPN-Clients von Ivanti, Cisco und Fortinet über SEO-Poisoning verbreitet. Nutzer, die nach legitimer Enterprise-VPN-Software suchen, werden auf angreifergesteuerte Websites umgeleitet, die digital signierte Trojaner zum Diebstahl von VPN-Zugangsdaten ausliefern. Alle Enterprise-VPN-Administratoren sollten Hinweise zu Download-Quellen herausgeben.
GlassWorm eskaliert: 72 bösartige Open VSX-Erweiterungen
Eine massive Eskalation der GlassWorm-Supply-Chain-Kampagne missbraucht jetzt extensionPack und extensionDependencies in der Open VSX-Registry, um transitive Infektionsketten über 72 Erweiterungen zu erstellen. Entwickler, die VS Code-Alternativen mit Open VSX nutzen, sollten ihre installierten Erweiterungen umgehend überprüfen.
AppsFlyer SDK für Krypto-Diebstahl-Supply-Chain-Angriff gekapert
Das AppsFlyer Web SDK wurde vorübergehend mit bösartigem JavaScript-Code kompromittiert, der zum Diebstahl von Kryptowährung konzipiert war. Dieser Supply-Chain-Angriff betraf Websites, die das beliebte Marketing-Analytics-SDK integrierten. Der bösartige Code wurde entfernt, aber Websites, die das SDK zwischengespeichert haben, könnten es noch ausliefern.
⚖️ Strafverfolgungsoperationen
INTERPOL Operation Synergia III: 45.000 IPs stillgelegt, 94 Festnahmen
INTERPOLs bisher größte Cybercrime-Razzia umfasste 72 Länder, die Stilllegung von 45.000 bösartigen IPs und die Beschlagnahme von 212 Servern. 94 Festnahmen erfolgten, 110 weitere werden untersucht. Ziele waren Phishing-, Malware-Verbreitungs- und Ransomware-Infrastrukturen. Allein in Bangladesch gab es 40 Festnahmen und 134 beschlagnahmte Geräte.
SocksEscort Proxy-Botnetz zerschlagen — 369.000 Geräte in 163 Ländern
Eine gerichtlich genehmigte internationale Operation hat SocksEscort abgeschaltet, ein kriminelles Proxy-Botnetz, das seit 2020 369.000 Heimrouter mit AVrecon-Malware infiziert hat. Der Dienst verkaufte Zugang zu kompromittierten Heimroutern für Betrugsoperationen, mit 2.500 US-basierten Geräten unter ca. 8.000 aktiven Knoten.
FBI ermittelt zu Malware-Verbreitung über Steam-Spiele
Das FBI sucht Opfer, die acht bösartige Spiele auf Steam installiert haben, die Malware enthielten. Die Ermittlungen richten sich gegen eine Kampagne, die die Gaming-Plattform als Malware-Verteilungsvektor nutzte. Gamer, die in den letzten Wochen unbekannte Titel installiert haben, sollten ihre Systeme scannen.
🛡️ Sicherheitstools & Branche
Bold Security tritt aus dem Stealth-Modus — 40 Mio. $ Finanzierung
Bold Security ist mit 40 Mio. $ Finanzierung gestartet und nutzt KI, um Endpunkte in aktive Sicherheitsagenten zu verwandeln, die Nutzerverhalten verstehen und Echtzeitschutz bieten. Repräsentiert den anhaltenden Branchentrend hin zu autonomer, KI-gesteuerter Endpunktsicherheit.
Onyx Security gestartet — 40 Mio. $ für KI-Agenten-Überwachung
Onyx Security ist mit 40 Mio. $ gestartet, um eine Steuerungsebene zur Überwachung autonomer KI-Agenten aufzubauen. Direkt relevant für den aufkommenden KI-Governance-Markt — hilft Organisationen, KI-Agenten sicher einzuführen und gleichzeitig Sicherheitskontrollen aufrechtzuerhalten.
Google zahlte 2025 17 Mio. $ an Bug-Bounty-Prämien
Googles Bug-Bounty-Programm 2025 zahlte insgesamt 17 Mio. $ aus — 3,7 Mio. $ für Chrome-Schwachstellen und 3,5 Mio. $ für Cloud-Sicherheitsmängel. Signalisiert den wachsenden Wert (und das Volumen) der Schwachstellenforschung auf dem Markt.
📌 Weitere Meldungen
Meta beendet Instagram Ende-zu-Ende-verschlüsselte Chats (Mai 2026)
Meta wird die Ende-zu-Ende-Verschlüsselung für Instagram-Direktnachrichten nach dem 8. Mai 2026 einstellen. Ein erheblicher Rückschritt beim Datenschutz, der Millionen von Nutzern betrifft. Medien und Nachrichten sollten vor dem Stichtag heruntergeladen werden.
Iran-verknüpfte Hacker weiten US-Angriffe aus
Pro-iranische Hacker erweitern ihre Ziele über den Nahen Osten hinaus auf US-Rüstungsunternehmen, Kraftwerke und Wasserwerke. Die Eskalation unter Kriegsbedingungen erhöht das Risikoprofil für Betreiber kritischer US-Infrastruktur.
Microsoft OOB-Hotpatch für Windows 11 RRAS RCE
Microsoft hat ein außerplanmäßiges Update veröffentlicht, das eine Sicherheitslücke im Routing and Remote Access Service (RRAS) von Windows 11 Enterprise behebt. Betrifft nur Hotpatch-fähige Enterprise-Bereitstellungen.
Apple patcht ältere iOS-Versionen gegen Coruna-Exploits
Apple hat iOS 16.7.15 und 15.8.7 veröffentlicht, um Coruna-Exploits auf älteren Geräten zu beheben. Ein US-Rüstungsunternehmen soll hinter der Coruna-Exploit-Kette stehen. Ältere iPhones und iPads, die noch in Gebrauch sind, sollten umgehend aktualisiert werden.
🎯 KENSAI Relevanz & Handlungsempfehlungen
- Supply-Chain-Angriffe dominieren: GlassWorm (VSX), AppsFlyer SDK und Steam-Malware — KENSAIs SBOM-Scanning und Abhängigkeitsanalyse sind direkt relevante Content-Ansätze
- CrackArmor Linux-Schwachstellen: Container-Escape-Schwachstellen betreffen Cloud-gehostete Apps — starker Ansatz für KENSAI-Infrastruktur-Scanning-Content für DevOps-Teams
- Zwei neue KI-Sicherheits-Startups (80 Mio. $ gesamt): Bold Security und Onyx Security validieren den KI-Sicherheitsmarkt. KENSAI sollte sich in der Content-Strategie dagegen/daneben positionieren
- Iran-APT-Eskalation: US-Angriffe auf kritische Infrastruktur + NIS2-Compliance-Ansätze für DACH-Markt-Content (Energie, Wasser, Rüstungsunternehmen)
- WordPress SQLi (200K Websites): Guter Kandidat für KENSAI-Gratis-Scan-Promotion — „Ist Ihre WordPress-Seite verwundbar?"
- VPN-Zugangsdatendiebstahl (Storm-2561): Enterprise-Sicherheitshygiene-Content-Möglichkeit — Zugangsdatenüberwachung, Download-Verifizierung