剣 KENSAI
← Back to archive
KENSAI Intelligence

Sicherheitsbriefing

2026-03-20 · Donnerstag → Freitag · 04:00 MEZ
3
Datenlecks
6
Kritische CVEs
3
Zero-Days
4
Finanzierungsrunden

⚡ TL;DR — Was heute zählt

  • DarkSword iOS-Exploit-Kit — zweites Full-Chain iOS-Kit innerhalb eines Monats, 3 Zero-Days, russische Spionagegruppe UNC6353 greift Ukraine an. iOS 18.4–18.7 betroffen.
  • Handala-Hacktivisten löschten 80.000 Stryker-Geräte über Microsoft Intune — FBI beschlagnahmte deren Leak-Seite. CISA veröffentlichte Intune-Härtungsrichtlinien.
  • PolyShell RCE in allen Magento/Adobe Commerce v2 — unauthentifizierte Codeausführung über Polyglot-Datei-Uploads. Noch kein Produktions-Patch verfügbar.
  • Cisco FMC Zero-Day seit Januar von Interlock Ransomware ausgenutzt — Amazon fand Verbindungen nach Russland.
  • Navia-Datenleck betrifft 2,7 Mio. Personen — sensible Leistungsdaten offengelegt.
  • APT28 (Russland) nutzt Zimbra CSS-Sanitisierungslücke gegen ukrainische Regierung aus.
  • 9 kritische IP-KVM-Schwachstellen bei 4 Herstellern — unauthentifizierter Root-Zugriff auf BIOS-Ebene.
🔓

Datenlecks

Navia Benefit Solutions — 2,7 Millionen Datensätze offengelegt

Der Leistungsverwalter Navia meldete ein Datenleck, das fast 2,7 Millionen Personen betrifft. Angreifer erlangten Zugriff auf sensible personenbezogene Daten, darunter Leistungsdaten, Sozialversicherungsnummern und Finanzdaten. Das Unternehmen stellt betroffenen Personen Kreditüberwachungsdienste zur Verfügung.

KRITISCH 2,7 MIO. BETROFFEN Quelle →

Aura Security — 900.000 Datensätze durch Phishing

Ironische Wendung: Das Identitätsschutzunternehmen Aura meldete ein Datenleck mit 900.000 betroffenen Datensätzen. Ein Mitarbeiter fiel einem gezielten Telefonphishing-Angriff (Vishing) zum Opfer, wodurch Angreifer Zugang zu einem Marketing-Tool mit Kundendaten erhielten.

HOCH 900K DATENSÄTZE Quelle →

Marquis-Datenleck — 672.000 bestätigt

Nach unten korrigiert von einer ursprünglichen Schätzung von 1,6 Millionen bestätigt das Marquis-Datenleck nun 672.000 betroffene Personen. Datentypen und Angriffsvektor werden weiterhin untersucht.

HOCH 672K BETROFFEN Quelle →
⚠️

Kritische Schwachstellen

DarkSword iOS-Exploit-Kit — 6 Schwachstellen, 3 Zero-Days

Google Threat Intelligence, iVerify und Lookout haben gemeinsam „DarkSword" offengelegt — ein Full-Chain iOS-Exploit-Kit für iOS 18.4–18.7. Es nutzt 6 Schwachstellen aus, darunter 3 Zero-Days (CVE-2026-20700, CVE-2025-43529, CVE-2025-14174). Eingesetzt von der russischen Gruppe UNC6353, kommerziellen Überwachungsanbietern und staatlich gesponsorten Akteuren gegen die Ukraine, Saudi-Arabien, die Türkei und Malaysia. Der „Hit-and-Run"-Ansatz exfiltriert Daten innerhalb von Sekunden. Zweites iOS-Exploit-Kit nach Coruna innerhalb eines Monats.

3 ZERO-DAYS UNC6353 / RUSSLAND iOS 18.4–18.7 Quelle →

PolyShell — Unauthentifizierte RCE auf allen Magento/Adobe Commerce v2

Sansec entdeckte „PolyShell", eine Schwachstelle in Magentos REST-API-Dateiupload-Verarbeitung. Angreifer laden Polyglot-Dateien hoch (gültig als Bild und Skript), um unauthentifizierte Remote-Codeausführung oder gespeichertes XSS-Account-Takeover zu erreichen. Betrifft alle produktiven Magento Open Source und Adobe Commerce v2 Installationen. Patch nur in Alpha 2.4.9 verfügbar — noch kein Produktions-Fix. Exploit-Methode kursiert bereits.

KRITISCH — KEIN PATCH ALLE MAGENTO V2 Quelle →

Ubiquiti UniFi — Maximale Schwere bei Account-Übernahme

Ubiquiti hat zwei Schwachstellen in der UniFi Network Application gepatcht, darunter eine Schwachstelle mit maximaler Schwere, die Account-Übernahmen ermöglicht. Administratoren sollten umgehend aktualisieren.

CVSS 10.0 GEPATCHT Quelle →

ScreenConnect — Kritische Machine-Key-Offenlegung

ConnectWise hat eine kritische ScreenConnect-Schwachstelle gepatcht, die Machine Keys offenlegte und unbefugten Fernzugriff ermöglichen konnte. Die neueste Version bietet verschlüsselte Speicherung und Verwaltung zum Schutz der Schlüssel.

KRITISCH GEPATCHT Quelle →

SharePoint RCE (CVE-2026-20963) — Aktive Ausnutzung

CISA hat Microsoft SharePoint CVE-2026-20963 in den Katalog bekannter ausgenutzter Schwachstellen aufgenommen. Die RCE-Schwachstelle, im Januar-Patch-Tuesday gepatcht, wird nachweislich aktiv ausgenutzt.

AKTIV AUSGENUTZT PATCH VERFÜGBAR Quelle →

9 kritische IP-KVM-Schwachstellen — Unauthentifizierter Root-Zugriff

Eclypsium entdeckte 9 Schwachstellen in 4 IP-KVM-Produkten (GL-iNet Comet RM-1, Angeet/Yeeso ES3, Sipeed NanoKVM, JetKVM). Fehlende Firmware-Signaturvalidierung, kein Brute-Force-Schutz, fehlerhafte Zugriffskontrollen, exponierte Debug-Schnittstellen. Angreifer können Root-Zugriff auf BIOS/UEFI-Ebene erlangen — unter Umgehung aller OS-Level-Sicherheitsmaßnahmen.

KRITISCH 4 HERSTELLER Quelle →
💀

Ransomware & Großangriffe

Handala-Hacktivisten löschen 80.000 Stryker-Geräte über Microsoft Intune

Die Handala-Hacktivistengruppe führte einen verheerenden destruktiven Angriff auf den Medizintechnik-Konzern Stryker durch und löschte etwa 80.000 Geräte durch Missbrauch von Microsoft Intune Endpoint Management. Das FBI hat zwei von Handala betriebene Datenleck-Websites beschlagnahmt. CISA veröffentlichte anschließend dringende Richtlinien für alle US-Organisationen zur Härtung ihrer Microsoft Intune-Umgebungen.

DESTRUKTIV 80K GERÄTE GELÖSCHT FBI-BESCHLAGNAHMUNG Quelle →

Cisco FMC Zero-Day von Interlock Ransomware ausgenutzt

Amazon entdeckte, dass eine Cisco Firewall Management Center (FMC) Schwachstelle seit Ende Januar als Zero-Day von der Interlock Ransomware-Gruppe ausgenutzt wird. Hinweise deuten auf Verbindungen nach Russland hin. Ciscos jüngste Schwachstellenserie zeigt ein beunruhigendes Muster aktiv ausgenutzter Firewall- und SD-WAN-Schwachstellen.

ZERO-DAY INTERLOCK RUSSLAND-VERBINDUNG Quelle →

Bitrefill schreibt Angriff nordkoreanischer Lazarus/Bluenoroff zu

Die Krypto-Geschenkkarten-Plattform Bitrefill gab bekannt, dass ihr Cyberangriff Anfang März wahrscheinlich von Nordkoreas Bluenoroff-Gruppe (Lazarus-Untergruppe) durchgeführt wurde. Das Muster nordkoreanischer Angriffe auf Krypto- und Fintech-Plattformen zur Umsatzgenerierung setzt sich fort.

LAZARUS / BLUENOROFF KRYPTO Quelle →

North Carolina Insider-Angriff — 2,5 Mio. USD Lösegeld

Ein IT-Mitarbeiter aus North Carolina wurde des Insider-Angriffs auf ein Technologieunternehmen in Washington für schuldig befunden, der eine Lösegeldzahlung von 2,5 Millionen US-Dollar einbrachte. Dies unterstreicht das anhaltende Risiko durch Insider-Bedrohungen.

INSIDER-BEDROHUNG 2,5 MIO. USD LÖSEGELD Quelle →
🎯

Staatlich gesponserte Aktivitäten & APT

APT28 (Russland/GRU) nutzt Zimbra gegen Ukraine aus

Die mit dem russischen Militärgeheimdienst verbundene Gruppe APT28 nutzt aktiv eine Schwachstelle in der Zimbra Collaboration Suite bei Angriffen auf ukrainische Regierungsstellen aus. Die Schwachstelle betrifft eine unzureichende CSS-Sanitisierung in HTML-E-Mails, die Inline-Skriptausführung ermöglicht, wenn Nachrichten im Browser geöffnet werden.

APT28 / FANCY BEAR UKRAINE Quelle →

Aufbau iranischer Cyber-Infrastruktur aufgedeckt

Analysen zeigen einen sechsmonatigen Aufbau iranisch-verknüpfter Cyber-Infrastruktur, einschließlich US-basierter Briefkastenfirmen, die die Resilienz globaler Hacking-Operationen sicherstellen und potenzielle kinetische Angriffe überstehen sollen. Die US-Behörden sind nach dem Stryker-Vorfall in erhöhter Alarmbereitschaft wegen iranischer Cyberangriffe.

IRAN INFRASTRUKTUR Quelle →

The Gentlemen RaaS — FortiGate-fokussierte Operation

Group-IB hat „The Gentlemen" detailliert beschrieben, eine aufkommende Ransomware-as-a-Service-Operation mit etwa 20 Mitgliedern, die gezielt FortiGate-Firewall-Schwachstellen ausnutzt. Teil des anhaltenden Trends der Ausnutzung von Edge-Geräten für den Erstzugang.

RAAS FORTIGATE Quelle →
🛠️

Sicherheitstools & Branche

Oasis Security — 120 Mio. USD für agentisches Zugriffsmanagement

Oasis Security hat 120 Mio. USD eingeworben, um seine Plattform für agentisches Zugriffsmanagement auszubauen. Fokus auf F&E, KI-Framework-Produkterweiterung und Go-to-Market-Skalierung. Signalisiert wachsendes Investoreninteresse an Sicherheitskontrollen für KI-Agenten.

120 MIO. USD EINGEWORBEN Quelle →

Cloaked Datenschutzplattform — 375 Mio. USD Finanzierung

Die Datenschutzplattform Cloaked hat 375 Mio. USD eingeworben, um in den Enterprise-Markt zu expandieren. Geplant sind KI-Agenten, die Datenschutzpräferenzen und Sicherheitsstatus im Auftrag der Nutzer überwachen, verwalten und durchsetzen.

375 MIO. USD EINGEWORBEN Quelle →

1stProtect — 20 Mio. USD Stealth-Launch

Das Endpoint-Security-Startup 1stProtect ist mit 20 Mio. USD aus dem Stealth-Modus getreten. Die Plattform überwacht Verhalten und verifiziert Benutzerabsichten, um Angriffe in Echtzeit zu stoppen — ein neuartiger Ansatz für Endpoint-Schutz.

20 MIO. USD EINGEWORBEN Quelle →

Raven — 20 Mio. USD für Laufzeit-Anomalieerkennung

Raven ist mit 20 Mio. USD aus dem Stealth-Modus getreten. Die Plattform beobachtet Anwendungen zur Laufzeit, um anomales Verhalten zu erkennen und Cyberangriffe zu verhindern — sie schließt die Lücke zwischen statischer Analyse und realer Ausnutzung.

20 MIO. USD EINGEWORBEN Quelle →

Ceros — KI-Vertrauensschicht für Claude Code

Beyond Identity hat Ceros gestartet, eine „KI-Vertrauensschicht" mit Echtzeit-Sichtbarkeit, Laufzeit-Richtliniendurchsetzung und kryptografischen Audit-Trails für Claude Code Agenten-Operationen. Adressiert das aufkommende Risiko von KI-Coding-Agenten, die mit vollen Entwicklerrechten außerhalb bestehender Sicherheitskontrollen agieren.

KI-AGENTEN-SICHERHEIT Quelle →
📊

Aufkommende Bedrohungsmuster

Verbreitung von iOS-Exploits

Zwei Full-Chain iOS-Exploit-Kits (Coruna und DarkSword) innerhalb eines Monats entdeckt, eingesetzt von einer Mischung aus staatlichen Akteuren und kommerziellen Überwachungsanbietern. Zeigt einen florierenden Sekundärmarkt, auf dem selbst finanziell motivierte Gruppen mobile Exploits auf Nationalstaats-Niveau erwerben können. Der „Hit-and-Run"-Exfiltrationsansatz — Sekunden statt Stunden — macht forensische Erkennung extrem schwierig.

TREND: MOBILE EXPLOITS

Ausnutzung von Edge-Geräten setzt sich fort

FortiGate (The Gentlemen RaaS), Cisco FMC (Interlock Ransomware), Ubiquiti UniFi, Zimbra, IP-KVM-Geräte — das Muster ist eindeutig. Angreifer greifen systematisch Netzwerk-Edge-Infrastruktur an. Die neue IP-KVM-Forschung zeigt, dass selbst BIOS-Level-Zugriff durch günstige, schlecht gesicherte Hardware gefährdet ist. Organisationen müssen jedes Edge-Gerät als kritische Angriffsfläche behandeln.

TREND: EDGE-GERÄTE

Microsoft Intune als Angriffsvektor

Handalas Missbrauch von Microsoft Intune zur Löschung von 80.000 Stryker-Geräten ist ein Weckruf. Endpoint-Management-Tools, die zum Schutz von Geräten konzipiert sind, können bei Kompromittierung zu Waffen der Massenvernichtung werden. CISAs Reaktionsrichtlinien signalisieren, dass dies nun ein anerkanntes Angriffsmuster ist, gegen das sich Unternehmen verteidigen müssen.

TREND: MDM-WAFFENFÄHIGKEIT

KI-Agenten-Sicherheit entsteht als Kategorie

Mehrere Startups (über 535 Mio. USD Finanzierung allein diese Woche) entwickeln Produkte speziell für KI-Agenten-Sicherheit — Zugriffsmanagement, Laufzeitüberwachung, Datenschutzdurchsetzung. Ceros (für Claude Code), Oasis (agentischer Zugriff) und Cloaked (KI-Datenschutz-Agenten) signalisieren alle, dass die Absicherung von KI-Agenten zu einer eigenständigen Sicherheitsdisziplin wird. Relevant für KENSAIs Roadmap.

TREND: KI-AGENTEN-SICHERHEIT