剣 KENSAI
← Back to archive

Tägliches Bedrohungsbriefing

Mittwoch, 18.–19. März 2026 · 14 Meldungen aus 4 Quellen

⚡ TL;DR — Die 5 wichtigsten Erkenntnisse

  • „DarkSword" iOS-Exploit-Kit — Staatlich unterstützte Akteure nutzen eine 6-Schwachstellen-Kette zur vollständigen iPhone-Überwachung
  • Cisco FMC Zero-Day (CVE-2026-20131, CVSS 10.0) — Interlock-Ransomware nutzt die Schwachstelle seit Januar aktiv aus
  • GNU telnetd RCE (CVE-2026-32746, CVSS 9.8) — Ungepatchte, nicht authentifizierte Root-Code-Ausführung
  • Ubuntu Root-Eskalation (CVE-2026-3888) — Standardinstallationen von 24.04+ über systemd-Timing-Bug angreifbar
  • EU-Sanktionen gegen chinesische und iranische Firmen wegen staatlicher Hacking-Operationen gegen Mitgliedstaaten

🔓 Datenschutzverletzungen & Datenlecks

Aura bestätigt Datenleck — 900.000 Marketing-Kontakte betroffen

Datenleck 18. Mär.

Das Identitätsschutz-Unternehmen Aura bestätigte unbefugten Zugriff auf fast 900.000 Kundendatensätze mit Namen und E-Mail-Adressen. Die Ironie, dass ein Identitätsschutz-Unternehmen selbst betroffen ist, unterstreicht, dass kein Unternehmen immun ist.

Marquis: Ransomware-Gruppe erbeutete Daten von 672.000 Personen

Datenleck Ransomware 18. Mär.

Der texanische Finanzdienstleister Marquis gab bekannt, dass eine Ransomware-Gruppe bei einem Angriff im August 2025 Daten von über 670.000 Personen gestohlen und den Betrieb von 74 Banken in den USA gestört hat.

UK Companies House legte Details von Millionen Unternehmen offen

Datenleck 18. Mär.

Die britische Regierungsbehörde bestätigte eine Schwachstelle, die hätte ausgenutzt werden können, um Unternehmensdaten einzusehen und Einträge von Millionen registrierter Firmen zu ändern.

Quelle: SecurityWeek

Iranische Hacker nutzten gestohlene Zugangsdaten bei Stryker-Angriff

Datenleck Staatliche Akteure 18. Mär.

Der Medizintechnik-Konzern Stryker stellt seine Systeme wieder her, nachdem die mit dem Iran verbundene Hacking-Gruppe Handala mittels durch Malware gestohlener Zugangsdaten in das Netzwerk eingedrungen war.

Quelle: SecurityWeek

🛡️ Kritische Schwachstellen

Cisco FMC Zero-Day — CVE-2026-20131 (CVSS 10.0)

KRITISCH Aktive Ausnutzung 18. Mär.

Unsichere Deserialisierung von Java-Byte-Streams im Cisco Secure Firewall Management Center ermöglicht nicht authentifizierten Angreifern Root-Zugriff aus der Ferne. Die Interlock-Ransomware-Gruppe nutzt dies seit Ende Januar 2026 als Zero-Day aus.

KENSAI Auswirkung: Jede Organisation, die Cisco FMC betreibt, sollte sofort patchen. Dies ist die höchstmögliche Schweregradwertung und wird aktiv als Waffe eingesetzt.

GNU Telnetd RCE — CVE-2026-32746 (CVSS 9.8)

KRITISCH Ungepatcht 18. Mär.

Out-of-Bounds-Schreibzugriff in der LINEMODE-Set-Verarbeitung des GNU InetUtils Telnet-Daemons ermöglicht nicht authentifizierte Remote-Code-Ausführung mit erhöhten Rechten. Derzeit ungepatcht — telnetd deaktivieren, falls aktiv.

KENSAI Auswirkung: Ältere Infrastrukturen, die noch telnetd betreiben, sind vollständig exponiert. Sofortige Maßnahme: Dienst deaktivieren oder Port 23 per Firewall sperren.

Ubuntu Root-Eskalation — CVE-2026-3888 (CVSS 7.8)

HOCH Standardinstallationen betroffen 18. Mär.

Ein Timing-Exploit zwischen snap-confine und systemd-tmpfiles ermöglicht lokalen Angreifern ohne besondere Rechte die Eskalation zu vollem Root-Zugriff auf Ubuntu Desktop 24.04+. Erfordert ein 10–30-tägiges Timing-Fenster, führt aber zur vollständigen Kompromittierung des Hosts.

Apple WebKit Same-Origin-Bypass — CVE-2026-20643

HOCH Gepatcht 18. Mär.

Ein Cross-Origin-Problem in WebKits Navigation API umgeht die Same-Origin-Policy auf iOS, iPadOS und macOS. Apple hat es über den neuen Mechanismus „Background Security Improvements" behoben — das erste Mal, dass diese leichtgewichtige Patch-Auslieferung eingesetzt wurde.

Zimbra XSS-Schwachstelle — Aktiv ausgenutzt, CISA ordnet Patching an

HOCH Aktive Ausnutzung 18. Mär.

CISA hat US-Bundesbehörden angewiesen, eine aktiv ausgenutzte XSS-Schwachstelle in der Zimbra Collaboration Suite zu patchen. Regierungs-E-Mail-Server mit ZCS sind gefährdet.

ConnectWise ScreenConnect — Schwachstelle bei Signaturverifizierung

HOCH Gepatcht 18. Mär.

ConnectWise warnte vor einer Schwachstelle bei der kryptographischen Signaturverifizierung in ScreenConnect, die zu unbefugtem Zugriff und Rechteeskalation führen könnte. Patch ist jetzt verfügbar.

9 kritische IP-KVM-Schwachstellen — Nicht authentifizierter Root-Zugriff

KRITISCH 4 Hersteller betroffen 18. Mär.

Neun Schwachstellen bei GL-iNet, Angeet/Yeeso, Sipeed NanoKVM und JetKVM-Geräten. Fehlende Firmware-Validierung, kein Brute-Force-Schutz, fehlerhafte Zugriffskontrollen und offene Debug-Schnittstellen ermöglichen vollständige Übernahme auf BIOS-Ebene.

WhatsApp View-Once-Bypass #4 — Meta wird nicht patchen

Datenschutz Kein Fix geplant 18. Mär.

Ein Forscher veröffentlichte die vierte Methode, um WhatsApps „Einmal ansehen"-Funktion zu umgehen. Meta bestätigte, dass kein Fix erfolgen wird, da ein modifizierter Client erforderlich ist.

Quelle: SecurityWeek

💀 Ransomware & aktive Angriffe

„DarkSword" iOS-Exploit-Kit — Staatlich unterstützte Überwachung

KRITISCH Staatliche Akteure 18. Mär.

Ein neues Exploit-Kit, das sechs iOS-Schwachstellen ausnutzt, ermöglicht vollständige Gerätekompromittierung zu Überwachungszwecken. Eingesetzt von staatlich unterstützten Hackern und kommerziellen Spyware-Anbietern. Stiehlt Daten aus Kryptowährungs-Wallets und anderen Apps. Dies ist eine vollständige Exploit-Kette — nicht ein einzelner Bug.

KENSAI Auswirkung: Organisationen mit hochrangigen Zielpersonen (Führungskräfte, Regierungsbeamte) sollten sicherstellen, dass alle iOS-Geräte sofort auf die neueste Version aktualisiert werden.

DPRK-IT-Arbeiter-Netzwerk von OFAC sanktioniert

Staatliche Akteure Sanktionen 18. Mär.

Das US-Finanzministerium hat sechs Personen und zwei Unternehmen sanktioniert, die an Nordkoreas Schema mit gefälschten Remote-Arbeitern beteiligt sind. DPRK-Agenten infiltrieren Unternehmen unter falschen Identitäten, um Einnahmen für Waffenprogramme zu generieren.

EU sanktioniert chinesische und iranische Firmen für Hacking-Operationen

Geopolitik NIS2-relevant 18. Mär.

Die EU hat zwei chinesische Personen, zwei chinesische Unternehmen und ein iranisches Unternehmen für die Unterstützung von Hacking-Operationen gegen EU-Mitgliedstaaten sanktioniert. Bedeutsam für den NIS2-Compliance-Kontext.

KENSAI Auswirkung: EU-Organisationen unter NIS2 sollten ihre Bedrohungsintelligenz-Feeds aktualisieren. Diese Sanktionen bestätigen das Bedrohungsmodell staatlicher Akteure, für das NIS2 konzipiert wurde.

Quelle: SecurityWeek

Nordstrom-E-Mail-System für Krypto-Betrug missbraucht

E-Mail-Missbrauch 18. Mär.

Angreifer missbrauchten Nordstroms legitime E-Mail-Infrastruktur, um Krypto-Betrugsnachrichten an Kunden zu senden, getarnt als St.-Patrick's-Day-Aktion. Die E-Mail-Authentifizierung wurde umgangen, da die Nachrichten von echten Nordstrom-Adressen stammten.

🔧 Branche & Tools

XBOW sammelt 120 Mio. $ bei Bewertung von über 1 Mrd. $ — Autonome offensive Sicherheit

Finanzierung Wettbewerber-Beobachtung 18. Mär.

Das autonome offensive Sicherheitsunternehmen XBOW erreichte Einhorn-Status mit einer 120-Mio.-$-Runde. Ihre KI-Plattform entdeckt und validiert autonom Software-Schwachstellen — direktes Konkurrenzgebiet für KENSAIs automatisierte Penetrationstests.

KENSAI Auswirkung: Bestätigt den Markt für KI-gestützte Sicherheitstests. XBOWs Bewertung von über 1 Mrd. $ beweist das Investoreninteresse. Wichtiges Unterscheidungsmerkmal für KENSAI: Mehrsprachiger NIS2-Compliance-Fokus vs. XBOWs reiner Schwachstellen-Erkennungsansatz.

Quelle: SecurityWeek

Cloud-Sicherheits-Startup „Native" verlässt den Stealth-Modus — 42 Mio. $ Finanzierung

Finanzierung 18. Mär.

Cloud-Sicherheits-Startup Native sammelte 42 Mio. $, mit dem ehemaligen Google Cloud CISO Phil Venables im Board. Fokus auf Cloud-native Sicherheit.

Quelle: SecurityWeek

Manifold sammelt 8 Mio. $ für KI-Erkennung und -Reaktion

Finanzierung 18. Mär.

Mit Fokus auf die Absicherung autonomer KI auf Endgeräten sammelte Manifold 8 Mio. $ für die Produktentwicklung im Bereich KI-spezifischer Bedrohungserkennung.

Quelle: SecurityWeek

Tech-Giganten investieren 12,5 Mio. $ in Open-Source-Sicherheit

Open Source 18. Mär.

Anthropic, AWS, Google, Microsoft und OpenAI finanzieren die langfristigen Sicherheitsinitiativen der Linux Foundation mit Fokus auf Open-Source-Softwaresicherheit.

Quelle: SecurityWeek

📡 Aufkommende Bedrohungsmuster

KI-Infrastruktur unter Beschuss — Amazon Bedrock, LangSmith, SGLang

KI-Sicherheit Aufkommend 17.–18. Mär.

Neue Forschung zeigt, dass KI-Code-Ausführungsumgebungen über DNS-Abfragen zur Datenexfiltration missbraucht werden können. Die Sandbox von Amazon Bedrock AgentCore erlaubt ausgehende DNS-Anfragen, die Angreifer für interaktive Shells ausnutzen. LangSmith und SGLang sind ebenfalls betroffen. Der KI-Stack wird zur erstklassigen Angriffsfläche.

KENSAI Auswirkung: KI-Sicherheit ist nicht mehr theoretisch — es ist eine aktive Angriffsfläche. Dies bestätigt KENSAIs Positionierung im Bereich KI-Sicherheitstests. Unternehmen, die KI-Agenten einsetzen, brauchen Sicherheitsscanning.

67 % der CISOs haben eingeschränkte Sichtbarkeit bei KI-Nutzung

KI-Sicherheit Forschung 17. Mär.

Penteras Benchmark-Bericht 2026 ergab, dass 67 % der CISOs eingeschränkte Sichtbarkeit darüber haben, wie KI in ihrem Unternehmen eingesetzt wird. Kein Befragter berichtete von vollständiger Sichtbarkeit. Die KI-Einführung überholt die Sicherheitskontrollen — die Tools und Fähigkeiten zum Schutz von KI-Systemen stammen aus einer vergangenen Ära.

Schatten-KI in SaaS-Apps ermöglicht massive Datenverletzungen

Schatten-KI SaaS-Risiko 18. Mär.

In SaaS-Anwendungen verborgene Schatten-KI schafft unkontrollierte Datenpfade. Agentische KI-Funktionen, die automatisch in bereits genutzten Tools aktiviert werden, bedeuten, dass Sicherheitsteams keinerlei Sichtbarkeit darüber haben, welche Daten verarbeitet werden und wohin.

Quelle: SecurityWeek

Browserbasierte Angriffe umgehen Sicherheitskontrollen

Browser-Sicherheit 18. Mär.

Der Bericht von Push Security hebt AITM-Phishing, ClickFix, bösartige OAuth-Apps und Session-Hijacking als die Angriffsvektoren hervor, die die größten Datenverletzungen von heute verursachen — alle operieren innerhalb des Browsers, wo traditionelle Sicherheitstools eingeschränkte Sichtbarkeit haben.

Magecart entwickelt sich weiter: Payloads in EXIF-Daten dynamischer Favicons versteckt

Lieferkette Umgehung 18. Mär.

Eine neue Magecart-Technik versteckt bösartige Payloads in den EXIF-Daten dynamisch geladener Favicons von Drittanbietern. Da der bösartige Code nie das Repository berührt, kann kein statischer Code-Scanner — auch kein KI-gestützter — ihn erkennen. Nur clientseitige Laufzeitüberwachung erfasst dies.