剣 KENSAI
← Back to archive
2026 — 03 — 15  •  SONNTAG

KENSAI Sicherheitsforschung

Tägliches Bedrohungslagebild — letzte 24 Stunden
4
Kritische CVEs
3
Datenlecks
3
Strafverfolgung
4
Bedrohungskampagnen
2
Neue Sicherheitstools

🔴 Kritische Schwachstellen

Chrome 146 behebt zwei ausgenutzte Zero-Days (CVE-2026-3909 & CVE-2026-3910)

Google hat Notfall-Patches für zwei schwerwiegende Zero-Days veröffentlicht, die aktiv ausgenutzt werden. CVE-2026-3909 (CVSS 8.8) ist ein Out-of-Bounds-Schreibfehler in der Skia-2D-Grafikbibliothek; CVE-2026-3910 betrifft die V8 JavaScript-Engine. Beide ermöglichen Remote Code Execution über manipulierte HTML-Seiten. Chrome umgehend aktualisieren.

CVSS 8.8 Zero-Day Chrome

Kritische HPE AOS-CX Schwachstelle ermöglicht Admin-Passwortzurücksetzung

Eine kritische Schwachstelle in HPE Aruba AOS-CX Netzwerk-Switches ermöglicht nicht authentifizierten Angreifern, Authentifizierungskontrollen zu umgehen und Administratorpasswörter zurückzusetzen. Organisationen mit HPE AOS-CX sollten dringend patchen — keine Benutzerinteraktion zur Ausnutzung erforderlich.

Kritisch Unauth RCE HPE / Aruba

9 „CrackArmor"-Schwachstellen in Linux AppArmor — Root-Eskalation & Container-Ausbruch

Qualys TRU hat neun Confused-Deputy-Schwachstellen im AppArmor-Modul des Linux-Kernels offengelegt. Nicht privilegierte Benutzer können zu Root eskalieren und Container-Isolation durchbrechen. Diese Schwachstellen untergraben grundlegende Linux-Sicherheitsgarantien. Alle großen Distributionen werden voraussichtlich diese Woche Kernel-Patches veröffentlichen.

Kritisch Root-Eskalation Linux Kernel

WordPress „Ally"-Plugin SQLi gefährdet über 200.000 Websites

Eine SQL-Injection-Schwachstelle im beliebten Ally WordPress-Plugin (über 200.000 Installationen) ermöglicht Angreifern, Abfragen einzuschleusen und sensible Datenbankinhalte zu extrahieren. Zum Zeitpunkt der Offenlegung ist kein Patch verfügbar. Webadministratoren sollten das Plugin deaktivieren, bis eine Korrektur verfügbar ist.

SQLi 200K Websites WordPress

💀 Datenlecks & Angriffe

Starbucks-Mitarbeiterdaten durch Phishing-Kampagne kompromittiert

Starbucks hat ein Datenleck bestätigt, das Mitarbeiterdaten betrifft, nachdem Phishing-Angriffe auf ein internes Mitarbeiterportal abzielten. Hunderte Mitarbeiter sind betroffen, persönliche Informationen wurden offengelegt. Zugangsdatendiebstahl war der primäre Angriffsvektor.

Datenleck Phishing

Iran-verknüpfter Angriff auf Stryker stört Produktion

Iranische Bedrohungsakteure haben den Medizingerätehersteller Stryker angegriffen und dabei Produktion und Versand gestört. Die Angreifer nutzten vorhandene Endpunkt-Management-Tools (Living off the Land) anstelle traditioneller Malware, um Geräte zu löschen. Erhebliche Auswirkungen auf die Lieferkette im Gesundheitssektor.

Destruktiv Iran APT Gesundheitswesen

Polens Kernforschungszentrum Ziel eines Cyberangriffs

Polens Nationales Zentrum für Kernforschung (NCBJ) meldete einen Cyberangriff auf seine IT-Infrastruktur. Der Angriff wurde erkannt und blockiert, bevor Schaden entstand, aber die Angriffe auf Kernforschungseinrichtungen signalisieren eskalierende geopolitische Cyberoperationen in Europa.

Staatliche Akteure Kritische Infrastruktur

🕷️ Bedrohungskampagnen & Malware

Chinesische APT CL-STA-1087 greift südostasiatische Streitkräfte an

Palo Alto Unit 42 hat eine China-verknüpfte APT-Kampagne aufgedeckt, die seit 2020 südostasiatische Militärorganisationen angreift. Mit maßgeschneiderter Malware (AppleChris, MemFun) sammelte die Gruppe gezielt Dateien über militärische Fähigkeiten und westliche Militärkooperationen. Demonstriert „strategische operative Geduld" — hochgradig zielgerichtete Aufklärung, kein massenhafter Datendiebstahl.

APT / China Spionage Militär

Storm-2561: Trojanisierte Enterprise-VPN-Clients durch SEO-Poisoning

Microsoft hat die Kampagne von Storm-2561 offengelegt, die gefälschte VPN-Clients von Ivanti, Cisco und Fortinet über SEO-Poisoning verbreitet. Nutzer, die nach legitimer Enterprise-VPN-Software suchen, werden auf angreifergesteuerte Websites umgeleitet, die digital signierte Trojaner zum Diebstahl von VPN-Zugangsdaten ausliefern. Alle Enterprise-VPN-Administratoren sollten Hinweise zu Download-Quellen herausgeben.

Zugangsdatendiebstahl Supply Chain VPN

GlassWorm eskaliert: 72 bösartige Open VSX-Erweiterungen

Eine massive Eskalation der GlassWorm-Supply-Chain-Kampagne missbraucht jetzt extensionPack und extensionDependencies in der Open VSX-Registry, um transitive Infektionsketten über 72 Erweiterungen zu erstellen. Entwickler, die VS Code-Alternativen mit Open VSX nutzen, sollten ihre installierten Erweiterungen umgehend überprüfen.

Supply Chain Entwickler-Tools VSCode

AppsFlyer SDK für Krypto-Diebstahl-Supply-Chain-Angriff gekapert

Das AppsFlyer Web SDK wurde vorübergehend mit bösartigem JavaScript-Code kompromittiert, der zum Diebstahl von Kryptowährung konzipiert war. Dieser Supply-Chain-Angriff betraf Websites, die das beliebte Marketing-Analytics-SDK integrierten. Der bösartige Code wurde entfernt, aber Websites, die das SDK zwischengespeichert haben, könnten es noch ausliefern.

Supply Chain Krypto-Diebstahl JavaScript

⚖️ Strafverfolgungsoperationen

INTERPOL Operation Synergia III: 45.000 IPs stillgelegt, 94 Festnahmen

INTERPOLs bisher größte Cybercrime-Razzia umfasste 72 Länder, die Stilllegung von 45.000 bösartigen IPs und die Beschlagnahme von 212 Servern. 94 Festnahmen erfolgten, 110 weitere werden untersucht. Ziele waren Phishing-, Malware-Verbreitungs- und Ransomware-Infrastrukturen. Allein in Bangladesch gab es 40 Festnahmen und 134 beschlagnahmte Geräte.

Strafverfolgung 72 Länder

SocksEscort Proxy-Botnetz zerschlagen — 369.000 Geräte in 163 Ländern

Eine gerichtlich genehmigte internationale Operation hat SocksEscort abgeschaltet, ein kriminelles Proxy-Botnetz, das seit 2020 369.000 Heimrouter mit AVrecon-Malware infiziert hat. Der Dienst verkaufte Zugang zu kompromittierten Heimroutern für Betrugsoperationen, mit 2.500 US-basierten Geräten unter ca. 8.000 aktiven Knoten.

Takedown Botnetz

FBI ermittelt zu Malware-Verbreitung über Steam-Spiele

Das FBI sucht Opfer, die acht bösartige Spiele auf Steam installiert haben, die Malware enthielten. Die Ermittlungen richten sich gegen eine Kampagne, die die Gaming-Plattform als Malware-Verteilungsvektor nutzte. Gamer, die in den letzten Wochen unbekannte Titel installiert haben, sollten ihre Systeme scannen.

FBI-Ermittlung Gaming / Steam

🛡️ Sicherheitstools & Branche

Bold Security tritt aus dem Stealth-Modus — 40 Mio. $ Finanzierung

Bold Security ist mit 40 Mio. $ Finanzierung gestartet und nutzt KI, um Endpunkte in aktive Sicherheitsagenten zu verwandeln, die Nutzerverhalten verstehen und Echtzeitschutz bieten. Repräsentiert den anhaltenden Branchentrend hin zu autonomer, KI-gesteuerter Endpunktsicherheit.

Startup KI-Sicherheit

Onyx Security gestartet — 40 Mio. $ für KI-Agenten-Überwachung

Onyx Security ist mit 40 Mio. $ gestartet, um eine Steuerungsebene zur Überwachung autonomer KI-Agenten aufzubauen. Direkt relevant für den aufkommenden KI-Governance-Markt — hilft Organisationen, KI-Agenten sicher einzuführen und gleichzeitig Sicherheitskontrollen aufrechtzuerhalten.

Startup KI-Governance

Google zahlte 2025 17 Mio. $ an Bug-Bounty-Prämien

Googles Bug-Bounty-Programm 2025 zahlte insgesamt 17 Mio. $ aus — 3,7 Mio. $ für Chrome-Schwachstellen und 3,5 Mio. $ für Cloud-Sicherheitsmängel. Signalisiert den wachsenden Wert (und das Volumen) der Schwachstellenforschung auf dem Markt.

Bug Bounty 17 Mio. $ ausgezahlt

📌 Weitere Meldungen

Meta beendet Instagram Ende-zu-Ende-verschlüsselte Chats (Mai 2026)

Meta wird die Ende-zu-Ende-Verschlüsselung für Instagram-Direktnachrichten nach dem 8. Mai 2026 einstellen. Ein erheblicher Rückschritt beim Datenschutz, der Millionen von Nutzern betrifft. Medien und Nachrichten sollten vor dem Stichtag heruntergeladen werden.

Datenschutz Meta / Instagram

Iran-verknüpfte Hacker weiten US-Angriffe aus

Pro-iranische Hacker erweitern ihre Ziele über den Nahen Osten hinaus auf US-Rüstungsunternehmen, Kraftwerke und Wasserwerke. Die Eskalation unter Kriegsbedingungen erhöht das Risikoprofil für Betreiber kritischer US-Infrastruktur.

Iran APT Kritische Infrastruktur

Microsoft OOB-Hotpatch für Windows 11 RRAS RCE

Microsoft hat ein außerplanmäßiges Update veröffentlicht, das eine Sicherheitslücke im Routing and Remote Access Service (RRAS) von Windows 11 Enterprise behebt. Betrifft nur Hotpatch-fähige Enterprise-Bereitstellungen.

Patch Windows 11

Apple patcht ältere iOS-Versionen gegen Coruna-Exploits

Apple hat iOS 16.7.15 und 15.8.7 veröffentlicht, um Coruna-Exploits auf älteren Geräten zu beheben. Ein US-Rüstungsunternehmen soll hinter der Coruna-Exploit-Kette stehen. Ältere iPhones und iPads, die noch in Gebrauch sind, sollten umgehend aktualisiert werden.

Exploit-Kette Apple iOS

🎯 KENSAI Relevanz & Handlungsempfehlungen

  • Supply-Chain-Angriffe dominieren: GlassWorm (VSX), AppsFlyer SDK und Steam-Malware — KENSAIs SBOM-Scanning und Abhängigkeitsanalyse sind direkt relevante Content-Ansätze
  • CrackArmor Linux-Schwachstellen: Container-Escape-Schwachstellen betreffen Cloud-gehostete Apps — starker Ansatz für KENSAI-Infrastruktur-Scanning-Content für DevOps-Teams
  • Zwei neue KI-Sicherheits-Startups (80 Mio. $ gesamt): Bold Security und Onyx Security validieren den KI-Sicherheitsmarkt. KENSAI sollte sich in der Content-Strategie dagegen/daneben positionieren
  • Iran-APT-Eskalation: US-Angriffe auf kritische Infrastruktur + NIS2-Compliance-Ansätze für DACH-Markt-Content (Energie, Wasser, Rüstungsunternehmen)
  • WordPress SQLi (200K Websites): Guter Kandidat für KENSAI-Gratis-Scan-Promotion — „Ist Ihre WordPress-Seite verwundbar?"
  • VPN-Zugangsdatendiebstahl (Storm-2561): Enterprise-Sicherheitshygiene-Content-Möglichkeit — Zugangsdatenüberwachung, Download-Verifizierung