剣 KENSAI
← Back to archive
KENSAI Sicherheitsintelligenz

Tägliches Bedrohungsbriefing

Automatisierte Sicherheitsforschung — letzte 24 Stunden

2026-03-21 · Freitag 20. März → Samstag 21. März

4
Kritische CVEs
3
Aktive Exploits
3
Strafverfolgungsaktionen
5
Finanzierungsrunden
🔴
Kritische Schwachstellen & aktive Exploits
Kritische Schwachstelle mit fehlender Authentifizierung und Code-Injection in Langflow (CVSS 9.3) wird aktiv ausgenutzt. Nicht authentifizierte Angreifer können über POST /api/v1-Endpunkte Remotecodeausführung erreichen. Die Ausnutzung begann innerhalb von 20 Stunden nach der öffentlichen Bekanntgabe — sofort patchen.
CVSS 9.3 AKTIV AUSGENUTZT KI/ML-Tool The Hacker News · SecurityWeek
Oracle hat ein außerplanmäßiges Sicherheitsupdate für eine kritische unauthentifizierte RCE-Schwachstelle im Identity Manager und Web Services Manager veröffentlicht. Dies liegt außerhalb des regulären vierteljährlichen Patch-Zyklus von Oracle — was auf Schweregrad und potenzielles Ausnutzungsrisiko hinweist.
KRITISCH AUSSERPLANMÄSSIGER PATCH Identitätsmanagement BleepingComputer
CISA hat alle Bundesbehörden angewiesen, eine Schwachstelle mit maximaler Schwere im Cisco Secure Firewall Management Center bis Sonntag, den 22. März, zu patchen. Die Dringlichkeit der Wochenendfrist signalisiert aktive oder unmittelbar bevorstehende Ausnutzung.
CVSS 10.0 CISA-ANWEISUNG Netzwerksicherheit BleepingComputer
ConnectWise ScreenConnect hat eine kritische Schwachstelle gepatcht, die Maschinenschlüssel offenlegte und potenziell unbefugten Zugriff auf Fernverwaltungssitzungen ermöglichte. Die neueste Version fügt verschlüsselte Speicherung und Schlüsselverwaltung hinzu.
KRITISCH FERNZUGRIFF SecurityWeek
Sansec entdeckte eine kritische Schwachstelle in Magentos REST API, die nicht authentifizierten Angreifern ermöglicht, getarnte ausführbare Dateien (Bilder, die bösartigen Code verbergen) für RCE und Kontoübernahme hochzuladen. Tausende Magento-Seiten wurden bereits seit dem 27. Februar in einer laufenden Defacement-Kampagne getroffen.
KRITISCH MASSENAUSNUTZUNG E-Commerce The Hacker News · SecurityWeek
⛓️
Lieferketten- & Software-Lieferketten-Angriffe
Der Trivy-Scanner von Aqua Security wurde zum zweiten Mal innerhalb eines Monats kompromittiert. Angreifer kaperten 75 Tags in den GitHub Actions „aquasecurity/trivy-action" und „aquasecurity/setup-trivy", um CI/CD-Geheimnisse zu stehlen. Jede Pipeline, die diese Actions nutzt, könnte Zugangsdaten preisgegeben haben.
LIEFERKETTE CI/CD-GEHEIMNISSE GitHub Actions The Hacker News
Neue Malware „Speagle" kapert legitime Cobra DocGuard-Software und nutzt kompromittierte Server zur Datenexfiltration, während der Datenverkehr als legitime Anwendungskommunikation getarnt wird. Ein ausgeklügelter lieferkettennaher Angriff.
DATENEXFILTRATION Software-Kaperung The Hacker News
Eine Analyse zeigt, dass 54 EDR-Killer-Programme 35 legitim signierte, aber verwundbare Treiber missbrauchen, um Endpunktsicherheit zu deaktivieren, bevor Ransomware eingesetzt wird. BYOVD (Bring Your Own Vulnerable Driver) ist mittlerweile eine Standard-Technik im Ransomware-Playbook.
RANSOMWARE-WEGBEREITER BYOVD EDR-Umgehung The Hacker News
💾
Datenschutzverletzungen & Insider-Bedrohungen
Hacker stahlen persönliche und Krankenversicherungsdaten aus der Navia-Umgebung zwischen Ende Dezember 2025 und Mitte Januar 2026. 2,7 Millionen Personen betroffen. Datenschutzverletzungen im Gesundheitswesen bleiben die volumenstärksten.
2,7 MIO. DATENSÄTZE Gesundheitswesen SecurityWeek
Ein Mann aus North Carolina wurde schuldig gesprochen, Firmendaten gestohlen und ein Technologieunternehmen in Washington D.C. (Brightly Software) um 2,5 Mio. Dollar erpresst zu haben — während er noch als Auftragnehmer beschäftigt war. Insider-Bedrohung bleibt ein erstklassiges Risiko.
INSIDER-BEDROHUNG VERURTEILT BleepingComputer
Michael Smith bekannte sich schuldig, KI-Bots eingesetzt zu haben, um über 10 Mio. Dollar an betrügerischen Streaming-Tantiemen auf Spotify, Apple Music, Amazon Music und YouTube Music zu generieren. KI-gestützter Betrug im großen Maßstab.
KI-BETRUG SCHULDBEKENNTNIS BleepingComputer
⚖️
Strafverfolgung & Geopolitik
Die USA, Deutschland und Kanada haben die C2-Infrastruktur der Botnetze AISURU, KimWolf, JackSkid und Mossad (3 Millionen IoT-Geräte) abgeschaltet. Diese Botnetze ermöglichten rekordverdächtige DDoS-Angriffe mit 31,4 Tbps. Große Zusammenarbeit mit dem Privatsektor (Akamai, AWS, Cloudflare, Google, Oracle und weitere).
GEMEINSAME OPERATION 31,4 Tbps DDoS DoJ · The Hacker News · BleepingComputer
Internationale Strafverfolgungsbehörden haben 373.000 Darknet-Seiten in „Operation Alice" abgeschaltet. Eine der größten koordinierten Abschaltungen illegaler Infrastruktur aller Zeiten.
OPERATION ALICE 373.000 Seiten BleepingComputer · SecurityWeek
Das FBI hat eine Warnung herausgegeben, dass Akteure mit Verbindungen zum russischen Geheimdienst aktiv Phishing-Kampagnen gegen Signal- und WhatsApp-Nutzer durchführen. Tausende verschlüsselte Messaging-Konten wurden bereits kompromittiert. Ziele sind Journalisten, Aktivisten und Regierungsbeamte.
STAATLICH GESPONSERT PHISHING Verschlüsselte Kommunikation BleepingComputer
Die USA bestätigten, dass die Hackergruppe Handala mit der iranischen Regierung verbunden ist, und beschlagnahmten mehrere Domains, die für cybergestützte psychologische Operationen genutzt wurden.
STAATLICH GESPONSERT DOMAINBESCHLAGNAHME SecurityWeek
Drei Personen wurden angeklagt, gegen US-Exportkontrollgesetze verstoßen zu haben, indem sie konspirierten, in den USA montierte Hochleistungs-KI-Server nach China umzuleiten. Teil des eskalierenden Technologie-Kalten-Krieges.
EXPORTKONTROLLEN KI-Hardware SecurityWeek
📡
Aufkommende Bedrohungen & Trends
Cyberkriminelle nutzen KI, um personalisiertes Phishing, Deepfakes und Malware zu generieren, die traditionelle Erkennung umgehen, indem sie normale Benutzeraktivität imitieren. Verhaltensanalyse entwickelt sich zum notwendigen Gegenmaßnahme — signaturbasierte Erkennung wird zunehmend unzureichend.
KI-BEDROHUNGEN Erkennungslücke The Hacker News
Apple drängt auf iOS-Updates gegen webbasierte Exploit-Kits (Coruna, DarkSword), die veraltete Geräte angreifen. Diese Kits lösen Infektionsketten durch bösartige Webinhalte aus, die zu Datendiebstahl führen.
EXPLOIT-KIT Mobil The Hacker News
Google hat eine obligatorische 24-Stunden-Abkühlphase für das Sideloading von Apps nicht verifizierter Entwickler auf Android eingeführt. Teil des im letzten Jahr angekündigten Entwicklerverifizierungsmandats. Balanciert Offenheit mit Betrugs-/Malware-Reduzierung.
ANDROID PLATTFORMSICHERHEIT The Hacker News
The Gentlemen — Neue RaaS-Operation taucht auf
Group-IB beschrieb „The Gentlemen", eine neue Ransomware-as-a-Service-Operation mit ca. 20 Mitgliedern, die FortiGate-Schwachstellen ausnutzen. Aufkommende RaaS-Gruppen senken weiterhin die Einstiegshürde für Ransomware-Angriffe.
RANSOMWARE FORTIGATE The Hacker News · SecurityWeek
💰
Sicherheitsbranche & Finanzierung
Massive Finanzierungsrunde mit Fokus auf Identitäts- und Zugriffsmanagement für KI-Agenten. Investitionen in F&E, KI-Framework-Erweiterung und Markteinführung. Signal: Der Markt sieht KI-Agenten-Sicherheit als kritische aufkommende Kategorie.
120 MIO. $ RUNDESecurityWeek
Datenschutzorientierter MVNO für Verbraucher, Unternehmen und Regierungen. Adressiert Bedrohungen durch Mobilfunk-Überwachung und -Abhörung.
100 MIO. $ RUNDESecurityWeek
Erweiterung der Plattformfähigkeiten für Firmware- und Hardware-Lieferkettenintegrität.
25 MIO. $ RUNDESecurityWeek
Überwacht Verhalten und verifiziert Benutzerabsichten, um Angriffe in Echtzeit zu stoppen. Aus dem Stealth-Modus gestartet.
20 MIO. $ STEALTHSecurityWeek
Skalierung des digitalen Markenschutzes gegen Phishing, Identitätsdiebstahl und Markenmissbrauch.
17 MIO. $ RUNDESecurityWeek
🎯
KENSAI-Relevanz & Erkenntnisse

Für KENSAIs Positionierung:

  • Langflow CVE-2026-33017 — in 20 Stunden ausgenutzt. Das ist KENSAIs Kernwertversprechen: Kontinuierliches Scannen entdeckt diese Schwachstellen, bevor Angreifer es tun. Content-Gelegenheit für einen „20-Stunden-Fenster"-Blogbeitrag.
  • Magento PolyShell — Tausende E-Commerce-Seiten betroffen. NIS2-regulierte EU-Unternehmen, die Magento betreiben, sind perfekte KENSAI-Zielkunden für DAST-Scanning.
  • 54 EDR-Killer mit BYOVD — Endpunktsicherheit allein reicht nicht aus. KENSAIs mehrschichtiger Ansatz (DAST + SAST + Secrets + Infrastruktur) ist die Antwort.
  • 282 Mio. Dollar an Sicherheitsfinanzierung diese Woche — der Markt boomt. Oasis' 120-Mio.-Dollar-Runde für „Agentic Access Management" validiert die KI-Sicherheitskategorie, die KENSAI besetzt.
  • Trivy-Lieferkettenkompromittierung — CI/CD-Pipeline-Sicherheit ist ein unterversorgter Bereich. Potenzielles zukünftiges KENSAI-Modul.
  • Russisches staatliches Phishing auf Signal — NIS2-Compliance erfordert sichere Kommunikation. Content-Winkel für den DACH-Markt.