Sicherheitsforschung
⚡ Kurzüberblick — Das Wichtigste heute
- Trivy-Supply-Chain-Angriff eskaliert: Selbstpropagierender CanisterWorm-Schadcode infiziert mittlerweile 47+ npm-Pakete über kompromittierte GitHub Actions
- Oracle-Notfall-Patch: CVE-2026-21992 (CVSS 9.8) — nicht authentifizierte RCE in Identity Manager, sofort patchen
- DoJ zerschlägt rekordverdächtige DDoS-Botnetze: 3 Mio.+ Geräte aus 4 IoT-Botnetzen neutralisiert (Spitzenangriffe mit 31,4 Tbps)
- FBI warnt vor russischem Signal/WhatsApp-Phishing: Tausende Konten bereits kompromittiert, Zielgruppe: Regierung/Militär
- Langflow CVE-2026-33017 innerhalb von 20 Stunden ausgenutzt: CVSS 9.3 — nicht authentifizierte RCE im KI-Pipeline-Tool
- Navia-Datenleck betrifft 2,7 Mio. Datensätze: Personen- und Gesundheitsplandaten zwischen Dez. 2025 und Jan. 2026 entwendet
Trivy-Scanner-Kompromittierung erzeugt CanisterWorm — 47 npm-Pakete infiziert
KritischDer Supply-Chain-Angriff auf den Trivy-Schwachstellenscanner durch die Bedrohungsgruppe TeamPCP hat sich dramatisch verschärft. Die Angreifer kompromittierten die GitHub Actions aquasecurity/trivy-action und aquasecurity/setup-trivy und kaperten 75 Tags, um CI/CD-Geheimnisse zu stehlen. Ein Folgeangriff setzte CanisterWorm ein — einen selbstpropagierenden Wurm auf Basis von ICP-Canisters (manipulationssichere Smart Contracts), der sich inzwischen auf 47 npm-Pakete ausgebreitet hat und äußerst schwer einzudämmen ist.
VoidStealer umgeht Chromes Application-Bound Encryption per Debugger-Trick
HochEin neuer Infostealer namens VoidStealer nutzt eine neuartige Technik, um Chromes Application-Bound Encryption (ABE) zu umgehen und den Master-Key des Browsers zu extrahieren. Dies ermöglicht die Entschlüsselung aller gespeicherten Passwörter, Cookies und sensiblen Daten. Der Debugger-basierte Ansatz stellt eine Weiterentwicklung bei Techniken zum Diebstahl von Anmeldedaten dar und umgeht Chromes neueste Schutzmaßnahmen.
CVE-2026-21992 — Oracle Identity Manager: Nicht authentifizierte RCE (CVSS 9.8)
KritischOracle hat einen außerplanmäßigen Notfall-Patch für eine kritische Schwachstelle zur nicht authentifizierten Remote-Codeausführung in Identity Manager und Web Services Manager veröffentlicht. Die Schwachstelle erfordert keine Authentifizierung und ist remote ausnutzbar. Organisationen, die Oracle Identity Manager betreiben, sollten umgehend patchen — es handelt sich um eine Notfallveröffentlichung außerhalb des regulären vierteljährlichen Zyklus.
CVE-2026-33017 — Langflow: Nicht authentifizierte RCE innerhalb von 20 Stunden ausgenutzt
KritischEine kritische Schwachstelle in Langflow (CVSS 9.3), dem beliebten KI-Pipeline-Tool, wurde innerhalb von nur 20 Stunden nach Veröffentlichung aktiv ausgenutzt. Die Schwachstelle kombiniert fehlende Authentifizierung mit Code-Injection und ermöglicht Remote-Codeausführung über den POST /api/v1-Endpunkt. Aktive Ausnutzung bestätigt — sofort patchen oder offline nehmen.
CVE-2026-20131 — Cisco Secure Firewall Management Center (maximaler Schweregrad)
KritischCISA hat Bundesbehörden angewiesen, eine Schwachstelle mit maximalem Schweregrad im Cisco Secure Firewall Management Center (FMC) bis zum 22. März zu patchen. Die Schwachstelle wurde in den KEV-Katalog aufgenommen, was eine bestätigte Ausnutzung anzeigt. Organisationen, die Cisco FMC betreiben, sollten den Patch-Status umgehend prüfen.
CISA nimmt Schwachstellen in Apple, Craft CMS und Laravel Livewire in KEV auf
HochCISA hat fünf aktiv ausgenutzte Schwachstellen in den Katalog bekannter ausgenutzter Schwachstellen aufgenommen: CVE-2025-31277 (Apple, CVSS 8.8) sowie Schwachstellen in Craft CMS und Laravel Livewire. Bundesbehörden müssen bis zum 3. April 2026 patchen. Aktive Ausnutzung ist bestätigt.
Magento PolyShell — Nicht authentifizierte RCE über REST-API-Bild-Upload
KritischSansec hat „PolyShell" offengelegt, eine kritische Schwachstelle in Magentos REST-API, die es nicht authentifizierten Angreifern erlaubt, beliebige ausführbare Dateien als Bilder getarnt hochzuladen und so Codeausführung und Kontoübernahme zu erreichen. Tausende Magento-Shops werden bereits angegriffen — eine laufende Defacement-Kampagne zielt seit dem 27. Februar auf E-Commerce-Plattformen und globale Marken ab.
Quest KACE-Schwachstelle gegen Bildungssektor ausgenutzt
HochEine kritische Schwachstelle in Quest KACE (CVE-2025-32975) wird möglicherweise bei Angriffen auf den Bildungssektor ausgenutzt. Quest KACE wird in Schulen und Universitäten häufig für Systemmanagement und Endpunktsicherheit eingesetzt.
Navia-Datenleck — 2,7 Millionen Datensätze gestohlen
HochDas Sozialleistungsverwaltungsunternehmen Navia hat einen Sicherheitsvorfall mit 2,7 Millionen Betroffenen gemeldet. Zwischen Ende Dezember 2025 und Mitte Januar 2026 haben Hacker personenbezogene Daten und Gesundheitsplandaten exfiltriert. Dies ist eine der größten Datenschutzverletzungen im Gesundheitsumfeld im ersten Quartal 2026.
FBI: Russischer Geheimdienst greift Signal & WhatsApp in Massen-Phishing-Kampagne an
HochFBI und CISA haben eine gemeinsame Warnung herausgegeben, dass mit dem russischen Geheimdienst verbundene Bedrohungsakteure Phishing-Kampagnen gegen Signal- und WhatsApp-Nutzer durchführen. Zielgruppen sind aktuelle und ehemalige US-Regierungsbeamte, Militärpersonal, politische Persönlichkeiten und Journalisten. Tausende Konten wurden bereits kompromittiert. Die Angreifer erhalten vollen Zugriff auf Nachrichten und Kontakte und nutzen kompromittierte Konten für weiteres Phishing über vertrauenswürdige Identitäten.
Azure-Monitor-Warnungen für Callback-Phishing missbraucht
MittelMicrosoft Azure Monitor-Warnungen werden als Waffe eingesetzt, um legitim wirkende Callback-Phishing-E-Mails zu versenden, die sich als Microsoft Security Team ausgeben. Die E-Mails warnen vor „nicht autorisierten Belastungen" und nutzen das Vertrauen in die Azure-Infrastruktur, um E-Mail-Sicherheitsfilter zu umgehen.
USA bestätigen Handala-Verbindung zur iranischen Regierung und beschlagnahmen Domains
MittelDie USA haben offiziell bestätigt, dass die Hackergruppe Handala im Auftrag der iranischen Regierung agiert, und mehrere Domains beschlagnahmt, die für deren cybergestützte psychologische Operationen genutzt wurden.
3 Männer wegen Schmuggels von KI-Hardware nach China angeklagt
InfoDrei Personen wurden angeklagt, gegen US-Exportkontrollgesetze verstoßen zu haben, indem sie planten, große Mengen hochleistungsfähiger KI-Server aus den USA nach China umzuleiten. Dies unterstreicht die anhaltenden Spannungen rund um den Transfer von KI-Technologie.
DoJ zerschlägt 4 IoT-Botnetze — 3 Millionen Geräte, DDoS-Rekord von 31,4 Tbps
InfoDas US-Justizministerium hat gemeinsam mit Kanada und Deutschland die C2-Infrastruktur der Botnetze AISURU, Kimwolf, JackSkid und Mossad zerschlagen. Diese Botnetze hatten über 3 Mio. IoT-Geräte (DVRs, Kameras, Router, Smart-TVs) gekapert und rekordverdächtige DDoS-Angriffe mit bis zu 31,4 Tbps durchgeführt. Partner aus der Privatwirtschaft waren u. a. Akamai, AWS, Cloudflare und Google. Der Kimwolf-Betreiber wird einem 23-Jährigen in Ottawa zugeordnet; ein 15-Jähriger in Deutschland steht ebenfalls unter Verdacht. Festnahmen wurden bislang nicht bekannt gegeben.
Operation Alice — 373.000 Darknet-Seiten abgeschaltet
InfoDie internationale Strafverfolgungsoperation „Operation Alice" hat über 373.000 Darknet-Seiten abgeschaltet. Dies stellt eine der größten koordinierten Abschaltungen illegaler Darknet-Infrastruktur dar.
Sicherheits-Startups sammeln diese Woche über 282 Mio. USD ein
InfoBedeutende Finanzierungsrunden im Sicherheitsbereich diese Woche:
- Oasis Security — 120 Mio. USD für agentenbasiertes Zugriffsmanagement
- Cape — 100 Mio. USD für Mobilfunksicherheit / datenschutzorientierter MVNO
- Eclypsium — 25 Mio. USD für Geräte-Supply-Chain-Sicherheit
- 1stProtect — 20 Mio. USD (Stealth) für Endpunkt-Verhaltensüberwachung
- Allure Security — 17 Mio. USD für Online-Markenschutz
Zentrale Trends dieser Woche
Analyse1. Supply-Chain-Angriffe beschleunigen sich: Die Trivy-Kompromittierung + CanisterWorm stellt ein neues Paradigma dar — selbstpropagierende Würmer in Paket-Ökosystemen mit Blockchain-basierter C2-Infrastruktur. CI/CD-Pipelines sind jetzt eine primäre Angriffsfläche.
2. Time-to-Exploit sinkt dramatisch: Langflow CVE-2026-33017 wurde innerhalb von 20 Stunden nach Veröffentlichung weaponisiert. Verteidigern bleibt weniger als ein Tag, um auf kritische Offenlegungen zu reagieren — automatisiertes Patching ist nicht mehr optional.
3. KI-Tool-Angriffsfläche wächst: Sowohl Langflow (KI-Pipeline-Tool) als auch die Anklage wegen KI-Hardware-Schmuggels zeigen, dass KI-Infrastruktur jetzt ein primäres Ziel ist — sowohl die Werkzeuge als auch die Hardware.
4. Nationalstaatliche Angriffe auf Messenger-Apps: Das massenhafte Angreifen von Signal/WhatsApp durch den russischen Geheimdienst signalisiert einen Wandel von E-Mail-Angriffen hin zu verschlüsselten Messenger-Apps und untergräbt den Sicherheitsratschlag „Nutze einfach Signal".
5. Agentenbasierte Sicherheit im Aufstieg: Die 120-Mio.-USD-Runde von Oasis Security für „agentenbasiertes Zugriffsmanagement" und der breitere Trend zu KI-gestützten Sicherheitstools zeigen, dass die Branche massiv auf autonome Verteidigungsfähigkeiten setzt.
Chancen für KENSAI diese Woche
- Magento PolyShell: Tausende E-Commerce-Seiten betroffen → KENSAI kann dies per DAST-Scanning erkennen. Content-Möglichkeit für den DACH-E-Commerce-Markt.
- Supply-Chain-Angriffe: Trivy/CanisterWorm bestätigt KENSAIs SBOM-/Dependency-Scanning-Wertversprechen. NIS2 verlangt Supply-Chain-Risikomanagement.
- 20-Stunden-Exploit-Fenster: Perfektes Argument für KENSAIs Pitch zum kontinuierlichen Scanning — „Kann Ihr Sicherheitsteam in 20 Stunden patchen?"
- Oasis-120-Mio.-USD-Runde: Bestätigt den Marktappetit für autonome Sicherheitstools — KENSAIs Positionierung als autonomer Pentest-Anbieter liegt im Trend.
- Kritische Oracle-/Cisco-Patches: In NIS2-Compliance-Inhalten hervorheben — verpflichtende Patching-Anforderungen gemäß der Richtlinie.