22. Juni 2026
Beschreibung
Fortinet hat letzten Freitag, am 19.5.2026, nun auch ein offizielles
Statement zu "FortiBleed" veröffentlicht. Wir hatten zuvor in einem
[103]Blog-Artikel unseren aktuellen Wissensstand beschrieben. Bei
dieser Angriffswelle handelt es sich nicht um die Ausnutzung einer
neuen Schwachstelle. Die Angreifer:innen verwenden stattdessen
Zugangsdaten, die bei früheren Sicherheitsvorfällen (u. a. im
Zusammenhang mit CVE-2025-59718, CVE-2025-59719 und CVE-2026-24858)
erlangt wurden, sowie Brute-Force-Methoden gegen Geräte mit schwacher
Passworthygiene und ohne Multi-Faktor-Authentifizierung (MFA).
Externe Sicherheitsforscher:innen berichten von einer großen Anzahl
betroffener Geräte weltweit. Ursache für die hohe Erfolgsquote der
Angriffe ist unter anderem, dass Administrator:innen-Passwörter auf
FortiGate-Geräten bis zu den FortiOS-Versionen 7.2.11, 7.4.8 und 7.6.1
mit dem schwächeren SHA-256-Verfahren gehasht wurden. Auch nach einem
Update auf eine neuere FortiOS-Version bleiben bestehende Passwörter so
lange im älteren, leichter zu brechenden Format gespeichert, bis sich
die jeweilige Administratorin oder der jeweilige Administrator nach dem
Update erneut anmeldet. Erlangte Konfigurationsexporte ermöglichten es
den Angreifer:innen, die darin enthaltenen Passwort-Hashes offline
mittels Brute-Force-Angriffen zu kompromittieren.
Auswirkungen
Angreifer:innen mit gültigen, kompromittierten Zugangsdaten erhalten
administrativen Zugriff auf betroffene FortiGate-Geräte. Dies
ermöglicht unter anderem das Anlegen zusätzlicher lokaler
Administrator:innen-Konten zur Aufrechterhaltung des Zugriffs, das
Exportieren der Gerätekonfiguration, das Mitlesen von über das Gerät
laufendem VPN- und Authentifizierungsverkehr sowie die Vorbereitung
lateraler Bewegung in das interne Netzwerk, etwa in angebundene
Active-Directory-Umgebungen. Bei Telekommunikationsanbietern und
Managed Service Providern besteht zusätzlich das Risiko, dass über
kompromittierte Geräte auch Kundennetzwerke erreicht werden können.
Betroffene Systeme
* FortiGate-Geräte mit Administrator:innen-Konten, deren Passwörter
nicht seit einem Update auf FortiOS 7.2.11, 7.4.8, 7.6.1 oder neuer
durch eine erneute Anmeldung auf das PBKDF2-Hashverfahren
umgestellt wurden
* FortiGate- und weitere Fortinet-Geräte mit aus dem öffentlichen
Internet erreichbaren Management Interfaces oder SSL-VPN-Zugang
ohne Multi-Faktor-Authentifizierung
* Fortinet-Geräte, die möglicherweise bereits von früheren
Sicherheitsvorfällen betroffen waren (u. a. im Zusammenhang mit
CVE-2025-59718, CVE-2025-59719, CVE-2026-24858)
Abhilfe
Fortinet empfiehlt Betreiber:innen von FortiGate-Geräten folgende
Sofortmaßnahmen:
* Alle aktiven administrativen und VPN-Sitzungen beenden und
sämtliche administrativen und VPN-Passwörter zurücksetzen,
insbesondere auf aus dem Internet erreichbaren Systemen
* Multi-Faktor-Authentifizierung (MFA) für alle Administrator:innen-
und VPN-Benutzer:innen-Konten aktivieren
* Update auf eine aktuelle Version von FortiOS 7.4, 7.6 oder 8.0
durchführen. Diese Versionen unterstützen die PBKDF2-Hashfunktion
für Administrator:innen-Passwörter
* Nach dem Update sicherstellen, dass sich alle Administrator:innen
mindestens einmal neu anmelden, damit ihre Passwörter auf PBKDF2
umgehasht werden. Erfolgt dies nicht, verbleiben die schwächeren
SHA-256-Hashes weiterhin in der Konfiguration. Auf FortiOS 7.2.x
und 7.4.x kann zusätzlich die Option
login-lockout-upon-weaker-encryption in den Passwortrichtlinien
aktiviert werden, um das Verbleiben älterer Hashes zu verhindern
* Konfiguration auf nicht autorisierte Änderungen überprüfen,
idealerweise im Vergleich zu einer bekannt unveränderten
Konfiguration. Besonderes Augenmerk gilt unbekannten
Benutzer:innen-Konten, etwa mit Namen wie „forticloud“,
„fortiuser“, „fortinet-support“ oder „fortinet-tech-support“
* Logs auf unerwartete administrative Zugriffe von unbekannten
IP-Adressen sowie auf ungewöhnliche Aktivitäten in angebundenen
Domain-Controller-Logs überprüfen
* Externe administrative Erreichbarkeit der Geräte einschränken, etwa
durch Trusted Hosts, eine Local-In-Policy oder durch vollständige
Deaktivierung der administrativen Erreichbarkeit aus dem Internet
Bestehen Hinweise auf nicht autorisierte Änderungen an der
Konfiguration oder andere Kompromittierungsindikatoren, sollte das
betroffene Gerät als kompromittiert behandelt werden. In diesem Fall
empfiehlt Fortinet eine vollständige Überprüfung gemäß den eigenen
Empfehlungen zur Wiederherstellung kompromittierter Geräte sowie eine
Überprüfung angebundener Active-Directory-Umgebungen auf Hinweise zu
Authentifizierungsversuchen oder neu angelegten Konten.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
__________________________________________________________________
Informationsquelle(n):
Analysis of Reported Credential Compromise of FortiGate Devices –
Fortinet PSIRT Blog (Englisch)
[104]https://www.fortinet.com/blog/psirt-blogs/analysis-of-reported-cre
dential-compromise-of-fortigate-devices
An update on FortiBleed – what’s happening with victim orgs –
DoublePulsar (Englisch)
[105]https://doublepulsar.com/an-update-on-fortibleed-whats-happening-w
ith-victim-orgs-c0671a50e7f4
Technical Tip: Enforcing PBKDF2 as hash function for administrator
accounts in FortiOS v7.2.11 and later – Fortinet Community (Englisch)
[106]https://community.fortinet.com/fortigate-3/technical-tip-enforcing
-pbkdf2-as-hash-function-for-administrator-accounts-in-fortios-v7-2-11-
and-later-220652
FG-IR-25-647: Multiple Fortinet Products’ FortiCloud SSO Login
Authentication Bypass – Fortinet PSIRT (Englisch)
[107]https://www.fortiguard.com/psirt/FG-IR-25-647
FG-IR-26-060: Administrative FortiCloud SSO authentication bypass –
Fortinet PSIRT (Englisch)
[108]https://www.fortiguard.com/psirt/FG-IR-26-060
CERT.at Blog: Aktueller Stand rund um "FortiBleed"
[109]https://www.cert.at/de/blog/2026/6/aktueller-stand-rund-um-fortibl
eed
Mit freundlichen Grüßen,
Güneş Holler
--
// Güneş Holler <holler(a)cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien
08.06.2026
Beschreibung
Checkpoint warnt vor beobachteten Angriffen gegen die Produkte
Checkpoint Security Gateway und Checkpoint Spark Firewall.
Auswirkungen
Die zugrunde liegende Sicherheitslücke CVE-2026-50751 erlaubt
unbefugten Zugriff auf das VPN.
Betroffene Systeme
Folgende Systeme sind von der Sicherheitslücke betroffen, sofern
IKEv1 aktiviert ist:
* Security Gateways:
+ R82.10 Jumbo Hotfix Take 19 or below
+ R82 Jumbo Hotfix Take 103 or below
+ R81.20 Jumbo Hotfix Take 141 or below
+ R81.10 (EOS)
+ R81 (EOS)
+ R80.40 (EOS)
* Spark Firewalls:
+ R80.20.X (EOS),
+ R81.10.X,
+ R82.00.X
Abhilfe
Checkpoint stellt für die unterschiedlichen Produkte Hotfixes bereit.
Im Advisory finden sich weiters auch Tipps zur Suche nach bereits
erfolten Angriffen sowie mitigierende Maßnahmen.
Sollten sich in ihren Systemen Hinweise auf eine bereits erfolgte
Kompromittierung zeigen bitten wir Sie mit uns Kontakt aufzunehmen.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquelle(n):
Checkpoint Advisory zu CVE-2026-50571
https://support.checkpoint.com/results/sk/sk185033
Blog Artikel von Checkpoint zu den beobachteten Angriffen
https://blog.checkpoint.com/security/check-point-releases-important-hotfix-…
mit freundlichen Grüßen,
--
// Benedikt Olszewski <olszewski(a)cert.at> - T: +43 1 5056416 766
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien
20. Mai 2026
Beschreibung
In Drupal Core existiert eine SQL-Injection-Schwachstelle in der
Datenbank-Abstraktions-API. Speziell gestaltete Anfragen können zu
beliebigen SQL-Injections führen. Die Schwachstelle ist ausschließlich
für Drupal-Installationen relevant, die PostgreSQL als Datenbank
einsetzen, und kann ohne Authentifizierung durch anonyme Benutzer:innen
ausgenutzt werden.
Zusätzlich zur SQL-Injection enthalten die Drupal-Releases für die
unterstützten Versionszweige (11.3, 11.2, 10.6 und 10.5) auch
Sicherheitsaktualisierungen für die Abhängigkeiten Symfony und Twig.
Diese Abhängigkeits-Updates betreffen unabhängig von der eingesetzten
Datenbank alle Drupal-Installationen.
CVE-Nummer(n): CVE-2026-9082
CVSS Base Score: N/A
Auswirkungen
Angreifer:innen können ohne Authentifizierung speziell gestaltete
Anfragen senden und so beliebigen SQL-Code ausführen. Mögliche Folgen
sind die Offenlegung von Informationen sowie in bestimmten
Konstellationen Privilegieneskalation, Remote Code Execution oder
weitere Angriffe.
Auch wenn die SQL-Injection nur PostgreSQL-Installationen betrifft,
sind durch die mitveröffentlichten Updates für Symfony und Twig je nach
Konfiguration und eingesetzten Contrib-Modulen alle Drupal-Sites
potenziell von weiteren Schwachstellen betroffen.
Betroffene Systeme
Drupal Core in folgenden Versionsbereichen:
* Drupal 11.3.x: Versionen vor 11.3.10
* Drupal 11.2.x: Versionen vor 11.2.12
* Drupal 11.1.x und 11.0.x: Versionen vor 11.1.10 (End-of-Life)
* Drupal 10.6.x: Versionen vor 10.6.9
* Drupal 10.5.x: Versionen vor 10.5.10
* Drupal 10.4.x und frühere 10er-Versionen: vor 10.4.10 (End-of-Life)
* Drupal 9.x: alle Versionen (End-of-Life)
* Drupal 8.9.x: alle Versionen (End-of-Life)
Abhilfe
Drupal stellt für die unterstützten Versionszweige folgende
Sicherheitsaktualisierungen bereit:
* Drupal 11.3.x: Update auf 11.3.10
* Drupal 11.2.x: Update auf 11.2.12
* Drupal 10.6.x: Update auf 10.6.9
* Drupal 10.5.x: Update auf 10.5.10
Für nicht mehr unterstützte Minor-Branches wurden ausschließlich zur
Behebung dieser Schwachstelle gezielte Versionen veröffentlicht:
* Drupal 11.1.x und 11.0.x: Update auf 11.1.10
* Drupal 10.4.x und frühere 10er-Versionen: Update auf 10.4.10
Aufgrund der Schwere der Schwachstelle stellt Drupal zusätzlich manuell
anzuwendende Patches für die End-of-Life-Versionen Drupal 9.5 und
Drupal 8.9 bereit. CERT.at empfiehlt für diese Versionen mittelfristig
eine Migration auf einen unterstützten Versionszweig.
Sites, die Drupal Steward einsetzen, sind laut Hersteller bereits vor
bekannten Angriffsvektoren geschützt; die Aktualisierung sollte dennoch
zeitnah erfolgen.
Da die Aktualisierungen auch Symfony und Twig betreffen, wird empfohlen
zu überprüfen, welche Benutzerrollen Twig-Templates aktualisieren
können (etwa über Views oder Contrib-Module).
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
__________________________________________________________________
Informationsquelle(n)
Drupal core - Highly critical - SQL injection - SA-CORE-2026-004
(Englisch)
https://www.drupal.org/sa-core-2026-004
Upcoming highly critical release on May 20, 2026 - PSA-2026-05-18
(Englisch)
https://www.drupal.org/psa-2026-05-18
Vorankündigung: Kritische Sicherheitslücke in Drupal Core -
Patch-Verfügbarkeit am 20. Mai 2026 (Deutsch)
https://www.cert.at/de/aktuelles/2026/5/drupal-critical-preannounce
Mit freundlichen Grüßen,
Güneş Holler
--
// Güneş Holler <holler(a)cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien
Beschreibung
Am 7. Mai 2026 wurden zwei neue Schwachstellen im Linux-Kernel
öffentlich gemacht, die unter den Namen „Dirty Frag“ und „Copy Fail 2:
Electric Boogaloo“ bekannt sind. Beide Schwachstellen ermöglichen
lokalen, nicht privilegierten Benutzer:innen eine Eskalation auf root.
Sie liegen in den In-Place-Entschlüsselungspfaden der Kernel-Module
esp4, esp6 (IPsec/ESP) sowie rxrpc und nutzen Page-Cache-Writeprimitives
aus, indem über splice(2), sendfile(2) bzw. MSG_SPLICE_PAGES angehängte,
nicht kernelseitig privat gehaltene Seiten direkt überschrieben werden.
Funktionsfähige Proof-of-Concept-Exploits (PoCs) sind öffentlich
verfügbar und ermöglichen die Eskalation auf root in einem einzigen
Aufruf.
CVE-Nummer(n): CVE-2026-43284 (Dirty Frag), N/A (Copy Fail 2)
CVSS Base Score: noch nicht vergeben
Auswirkungen
Lokale, nicht privilegierte Angreifer:innen können durch Ausnutzung der
Schwachstellen beliebige Inhalte im Page-Cache des Kernels überschreiben
und sich dadurch root-Rechte auf dem betroffenen System verschaffen. Es
handelt sich um deterministische Logikfehler ohne Race-Condition; bei
einem Fehlschlag tritt keine Kernel-Panik auf, die
Erfolgswahrscheinlichkeit wird als hoch beschrieben.
Der xfrm-ESP-Pfad setzt die Möglichkeit zur Erstellung von
User-Namespaces voraus. Der RxRPC-Pfad benötigt diese Voraussetzung
nicht, ist jedoch nur auf Distributionen ausnutzbar, in denen das Modul
rxrpc.ko verfügbar bzw. geladen ist. Durch Verkettung beider Pfade lässt
sich auf den meisten gängigen Distributionen root erlangen.
Bestehende Gegenmaßnahmen gegen „Copy Fail“ (CVE-2026-31431),
insbesondere das Sperren des Moduls algif_aead, schützen NICHT gegen
„Dirty Frag“ oder „Copy Fail 2“.
Betroffene Systeme
Betroffen sind die meisten aktuellen Linux-Distributionen mit
aktiviertem Page-Cache-Pfad in esp4/esp6 bzw. rxrpc. Die
zugrundeliegenden Code-Stellen existieren laut Hersteller- und
Forscher:innen-Angaben seit Kernel-Commit cac2661c53f3 (xfrm-ESP, Januar
2017) bzw. 2dc334f1a63a (RxRPC, Juni 2023). Die folgende Aufstellung ist
daher nicht abschließend; sie führt nur diejenigen Distributionen auf,
deren Hersteller die Betroffenheit bisher öffentlich bestätigt haben
oder für die der Forscher die Ausnutzung explizit getestet hat:
* Ubuntu 24.04 (vom Forscher getestet auf Kernel 6.17)
* Red Hat Enterprise Linux 10.1 (vom Forscher getestet); Red Hat hat
in RHSB-2026-003 die Betroffenheit zudem für Red Hat OpenShift
Container Platform 4 bestätigt
* CentOS Stream 10
* AlmaLinux 8, 9 und 10 (gepatcht in kernel-4.18.0-553.123.2.el8_10,
kernel-5.14.0-611.54.3.el9_7 bzw. kernel-6.12.0-124.55.2.el10_1 und
neuer)
* Fedora 44
* openSUSE Tumbleweed
* CloudLinux 7h, 8, 9 und 10 (CloudLinux 7 wird vom Hersteller noch
untersucht)
* BlueOnyx 5210R, 5211R, 5212R
Amazon Linux untersucht laut Sicherheitsbulletin 2026-027-AWS aktuell
den genauen Umfang der betroffenen Versionen.
Distributionen, die unprivilegierte User-Namespaces standardmäßig
blockieren (z. B. Ubuntu via AppArmor in bestimmten Konfigurationen),
sind über den xfrm-ESP-Pfad nicht angreifbar, bleiben aber über den
RxRPC-Pfad anfällig, sofern das Modul vorhanden ist.
Abhilfe
Zum Zeitpunkt der Veröffentlichung dieser Warnung liegen für die meisten
Distributionen noch keine vollständig gepatchten Kernel vor. Der
Upstream-Fix für den ESP-Pfad wurde am 7. Mai 2026 in den netdev-Tree
aufgenommen (Commit f4c50a4034e62ab75f1d5cdd191dd5f9c77fdff4); der
RxRPC-Fix ist noch nicht gemergt. Einzelne Distributionen (u. a.
AlmaLinux, CloudLinux) haben gepatchte Kernel bzw.
KernelCare-Livepatches in Vorbereitung oder bereits in Test bzw.
Auslieferung.
CERT.at empfiehlt, die folgenden Maßnahmen umzusetzen:
* Sicherheitsaktualisierungen der jeweiligen Distribution einspielen,
sobald diese verfügbar sind, und das System neu starten.
* Bis zur Verfügbarkeit gepatchter Kernel die betroffenen
Kernel-Module sperren, sofern sie nicht produktiv benötigt werden. Die
Module esp4 und esp6 werden für IPsec-Tunnel (z. B. strongSwan,
Libreswan) verwendet; rxrpc wird nahezu ausschließlich von AFS-Clients
genutzt. Auf Systemen, die diese Funktionen nicht einsetzen, kann das
Sperren der Module ohne Funktionsverlust erfolgen, beispielsweise
durch Eintragen entsprechender Regeln in /etc/modprobe.d/ und Entladen
aktuell geladener Module.
* Auf Hosts, die IPsec-Tunnel terminieren oder weiterleiten, dürfen
die Module esp4/esp6 nicht gesperrt werden. In diesem Fall ist die
Installation eines gepatchten Kernels bzw. eines Livepatches
abzuwarten.
Mehrschichtige Mitigationen (Modul-Blacklist über modprobe.d sowie
zusätzlich modprobe.blacklist=... als Kernel-Parameter) erhöhen die
Wirksamkeit, insbesondere gegen ein automatisches Nachladen über Netlink
aus User-Namespaces heraus.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
___________________________________________________________________
Informationsquelle(n):
Dirty Frag - Disclosure und PoC durch Hyunwoo Kim (Englisch)
https://github.com/V4bel/dirtyfrag
Greg Kroah-Hartman zur CVE-Vergabe auf der oss-security-Mailingliste
(Englisch)
https://seclists.org/oss-sec/2026/q2/441
Copy Fail 2: Electric Boogaloo - Write-up und PoC (Englisch)
https://afflicted.sh/blog/posts/copy-fail-2.html
AlmaLinux: Dirty Frag vulnerability fix is ready for testing (Englisch)
https://almalinux.org/blog/2026-05-07-dirty-frag/
CloudLinux: Dirty Frag - Mitigation and Kernel Update (Englisch)
https://blog.cloudlinux.com/dirty-frag-mitigation-and-kernel-update
Red Hat: How to mitigate the „Dirty Frag“ vulnerability in OpenShift 4
(RHSB-2026-003) (Englisch)
https://access.redhat.com/solutions/7142250
Red Hat Security Bulletin RHSB-2026-003 (Englisch)
https://access.redhat.com/security/vulnerabilities/RHSB-2026-003
Amazon: Dirty Frag and other issues in Amazon Linux kernels (Englisch)
https://aws.amazon.com/security/security-bulletins/rss/2026-027-aws/
BlueOnyx: Security Advisory: Dirty Frag & Copy Fail 2 - Two New Linux
LCE Vulnerabilities (Englisch)
https://www.blueonyx.it/news/sec-adv-dirtyfrag-copyfail2.html
Upstream-Fix für den ESP-Pfad (netdev/net.git) (Englisch)
https://git.kernel.org/pub/scm/linux/kernel/git/netdev/net.git/commit/?i
d=f4c50a4034e62ab75f1d5cdd191dd5f9c77fdff4
Sehr geehrte Damen und Herren,
bitte finden Sie nachstehend unsere Warnung zu Copy Fail: Kritische
Linux-Kernel-Schwachstelle ermöglicht lokale Root-Rechte:
-----------------------8<-------------------------
Beschreibung
Die Schwachstelle steckt im Linux-Kernel und beruht auf einem simplen,
aber schweren Logikfehler. Benutzer:innen können dadurch mit wenig
Daten gezielt in eigentlich geschützte Speicherbereiche schreiben. Das
reicht aus, um interne Strukturen zu verändern und sich höhere Rechte
zu verschaffen. Der Vorgang funktioniert zuverlässig und ohne typische
Hürden wie Race Conditions oder spezielle Systemabhängigkeiten.
CVE-Nummer: CVE-2026-31431
CVSS Base Score: 7.8
Auswirkungen
Die Schwachstelle ermöglicht eine lokale Rechteausweitung bis Root mit
anschließend vollständiger Kontrolle über das System. Ein einfacher
Benutzerzugang reicht aus, um Sicherheitsgrenzen zu umgehen, Prozesse
zu manipulieren und das System komplett zu kompromittieren.
Betroffene Systeme
Kernel, die zwischen 2017 und der Veröffentlichung des Patches erstellt
wurden, und damit praktisch alle gängigen Linux-Distributionen, gelten
als betroffen.
Bisher verifizierte Systeme:
* Ubuntu 24.04 LTS 6.17.0-1007-aws
* Amazon Linux 2023 6.18.8-9.213.amzn2023
* RHEL 10.1 6.12.0-124.45.1.el10_1
* SUSE 16 6.12.0-160000.9-default
Abhilfe
Entscheidend ist, den Linux-Kernel zeitnah auf eine gepatchte Version
zu aktualisieren, da nur so die zugrunde liegende Logiklücke
geschlossen wird (behoben im Commit a664bf3d603d). Bis dahin lässt sich
das Risiko lediglich begrenzen, etwa indem der Zugriff für nicht
vertrauenswürdige lokale Nutzer*innen eingeschränkt und überflüssige
Kernel-Funktionen deaktiviert werden. Ein vollständiger Schutz ist ohne
Update jedoch nicht möglich.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
Informationsquelle(n):
Copy Fail - https://copy.fail/
-----------------------8<------------------------
Mit freundlichen Grüßen
Felician Fuchs
--
// Felician Fuchs <fuchs(a)cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien
31. März 2026
Beschreibung
Die weit verbreitete JavaScript-Bibliothek axios (HTTP-Client mit über
300 Millionen wöchentlichen Downloads auf npm) wurde durch
kompromittierte Paketversionen als Angriffsvektor missbraucht. Über den
gekaperten npm-Account eines Hauptentwicklers wurden zwei schadhafte
Versionen veröffentlicht: axios(a)1.14.1 und axios(a)0.30.4. Beide
Versionen enthalten eine zusätzliche Abhängigkeit
(plain-crypto-js(a)4.2.1), die beim Installieren automatisch einen Remote
Access Trojaner (RAT) für macOS, Windows und Linux nachlädt. Die
schadhaften Versionen wurden mittlerweile von npm entfernt. Dieser
Vorfall reiht sich in eine Serie von Supply-Chain-Angriffen auf
Softwarepakete ein, über die wir bereits in einem CERT.at
„Aktuelles“ zu Supply Chain Security im CI/CD-Umfeld (Angriffe auf
Xygeni, Trivy, Checkmarx) berichtet haben.
Auswirkungen
Beim Installieren der kompromittierten axios-Versionen wird über ein
postinstall-Skript automatisch und ohne Benutzerinteraktion Kontakt zu
einem Command-and-Control-Server (sfrclak.com:8000) hergestellt und ein
plattformspezifischer RAT heruntergeladen und ausgeführt. Die
Schadsoftware löscht sich nach der Ausführung weitgehend selbst und
ersetzt ihre eigene Konfiguration durch eine unauffällige Version, um
forensische Analyse zu erschweren. Systeme, auf denen eine der
betroffenen Versionen installiert wurde, müssen als vollständig
kompromittiert betrachtet werden.
Darüber hinaus hat die Kompromittierung bereits zu Folgeschäden
geführt: Laut Analyse von Socket wurden weitere npm-Pakete
identifiziert, die die Schadsoftware transitiv weiterverbreiten. Das
Paket @shadanai/openclaw (Versionen 2026.3.28-2, 2026.3.28-3,
2026.3.31-1, 2026.3.31-2) beinhaltet den schadhaften
plain-crypto-js-Payload direkt in einem gebundelten Pfad. Das Paket
@qqbrowser/openclaw-qbot@0.0.130 liefert eine manipulierte axios(a)1.14.1
in seinem node_modules/-Verzeichnis mit. Diese Pakete wurden vermutlich
während des Zeitfensters erstellt, in dem axios(a)1.14.1 die aktuelle
Version war, und haben die schadhafte Abhängigkeit transitiv
übernommen. Darüber hinaus hat sich die Kompromittierung über
JSII-Module auch auf andere Ökosysteme ausgebreitet: Version 0.0.194
des Pakets jjrawlins-cdk-iam-policy-builder-helper ist sowohl auf PyPI
als auch auf NuGet betroffen, da es von der kompromittierten
axios-Version abhängt.
Betroffene Systeme
* Systeme, auf denen axios(a)1.14.1 oder axios(a)0.30.4 per npm
installiert wurde
* CI/CD-Pipelines, in denen während des Zeitraums der
Veröffentlichung (ca. 30. März 2026 00:21 UTC bis 31. März 2026
03:15 UTC) ein npm install ausgeführt wurde und eine der
betroffenen Versionen aufgelöst wurde
* Systeme, auf denen die transitiv betroffenen Pakete
@shadanai/openclaw oder @qqbrowser/openclaw-qbot@0.0.130
installiert wurden
* Systeme, auf denen Version 0.0.194 des Pakets
jjrawlins-cdk-iam-policy-builder-helper über PyPI oder
JJRawlins.CdkIamPolicyBuilderHelper über NuGet installiert wurde
Abhilfe
Die kompromittierten Versionen wurden bereits von npm entfernt. Wer
eine der betroffenen Versionen installiert hat, sollte umgehend
folgende Maßnahmen ergreifen:
* Downgrade auf eine sichere Version: axios(a)1.14.0 (für 1.x) bzw.
axios(a)0.30.3 (für 0.x)
* Verzeichnis node_modules/plain-crypto-js entfernen – dessen
Vorhandensein allein ist bereits ein Hinweis auf eine erfolgte
Kompromittierung, auch wenn die darin enthaltene package.json
unauffällig erscheint
* Systeme auf RAT-Artefakte prüfen: macOS:
/Library/Caches/com.apple.act.mond, Windows: %PROGRAMDATA%\wt.exe,
Linux: /tmp/ld.py
* Bei Fund von RAT-Artefakten: System als vollständig kompromittiert
behandeln und von einem sauberen Zustand neu aufsetzen
* Alle Zugangsdaten rotieren, die auf betroffenen Systemen oder in
betroffenen CI/CD-Pipelines verfügbar waren (npm-Tokens,
SSH-Schlüssel, Cloud-Credentials, Inhalte aus .env-Dateien)
* Den C2-Server sfrclak.com (IP: 142.11.206.73) auf
Netzwerk-/DNS-Ebene blockieren
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
__________________________________________________________________
Informationsquelle(n):
axios Compromised on npm - Malicious Versions Drop Remote Access
Trojan (Englisch)
https://www.stepsecurity.io/blog/axios-compromised-on-npm-malicious-version…
GitHub Issue #10604 im axios-Repository (Englisch)
https://github.com/axios/axios/issues/10604
Supply Chain Attack on Axios Pulls Malicious Dependency from npm -
Socket (Englisch)
https://socket.dev/blog/axios-npm-package-compromised
ReversingLabs Spectra Assure Community - axios(a)1.14.1 (Englisch)
https://secure.software/npm/packages/axios/1.14.1
CERT.at Blog: Supply Chain Security im CI/CD-Umfeld
https://www.cert.at/de/aktuelles/2026/3/supply-chain-security-im-cicd-umfeld
Mit freundlichen Grüßen,
CERT.at
--
// Michael Schlagenhaufer <schlagenhaufer(a)cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien
05. März 2026
Beschreibung
Cisco hat am 4. März 2026 mehrere Advisories veröffentlicht, die
insgesamt 17 Schwachstellen in Cisco Secure Firewall Adaptive Security
Appliance (ASA) Software, Cisco Secure Firewall Threat Defense (FTD)
Software und Cisco Secure Firewall Management Center (FMC) Software
adressieren. Darunter befinden sich zwei Schwachstellen mit dem
höchstmöglichen CVSS-Score von 10.0, die das Firewall Management Center
betreffen: Eine ermöglicht die Umgehung der Authentifizierung mit
anschließender Ausführung von Befehlen mit Root-Rechten
(CVE-2026-20079), die andere die Ausführung von beliebigem Code über
das Web-Management-Interface ohne Authentifizierung (CVE-2026-20131).
Die weiteren Schwachstellen betreffen unter anderem
VPN-Funktionalitäten (SSL VPN, IKEv2, IPsec) und ermöglichen
Denial-of-Service-Angriffe, SQL-Injection sowie unbefugten
Dateizugriff.
CVE-Nummer(n): CVE-2026-20079, CVE-2026-20131, CVE-2026-20082,
CVE-2026-20039, CVE-2026-20100, CVE-2026-20101, CVE-2026-20103,
CVE-2026-20105, CVE-2026-20106, CVE-2026-20049, CVE-2026-20013,
CVE-2026-20014, CVE-2026-20015, CVE-2026-20062, CVE-2026-20001,
CVE-2026-20002, CVE-2026-20003
CVSS Base Score: bis zu 10.0
Auswirkungen
Durch Ausnutzen der Schwachstellen können Angreifer:innen unter anderem
ohne Authentifizierung beliebigen Code mit Root-Rechten auf dem
Firewall Management Center ausführen, die Authentifizierung umgehen,
SQL-Injection-Angriffe durchführen sowie Denial-of-Service-Zustände auf
ASA- und FTD-Geräten herbeiführen, die einen manuellen Neustart
erfordern können. Einige Schwachstellen ermöglichen darüber hinaus
unbefugten Zugriff auf Dateien.
Betroffene Systeme
* Cisco Secure Firewall Adaptive Security Appliance (ASA) Software
* Cisco Secure Firewall Threat Defense (FTD) Software
* Cisco Secure Firewall Management Center (FMC) Software
* Cisco Security Cloud Control (SCC) Firewall Management (nur
CVE-2026-20131)
Abhilfe
Cisco stellt aktualisierte Softwareversionen bereit, die die
Schwachstellen beheben. CERT.at empfiehlt die zeitnahe Aktualisierung
auf eine bereinigte Version. Zur Ermittlung der betroffenen und
bereinigten Versionen stellt Cisco den [103]Cisco Software Checker zur
Verfügung. Workarounds stehen für die beschriebenen Schwachstellen
nicht zur Verfügung. Für die ASA-Software-Version 9.20.4.14 ist ein
Update auf Version 9.20.4.19 erforderlich (CVE-2026-20082).
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
__________________________________________________________________
Informationsquelle(n):
Cisco Event Response: March 2026 Semiannual Cisco Secure Firewall ASA,
Secure FMC, and Secure FTD Software Security Advisory Bundled
Publication (Englisch)
https://sec.cloudapps.cisco.com/security/center/viewErp.x?alertId=ERP-76641
Cisco Security Advisory: FMC Authentication Bypass -
cisco-sa-onprem-fmc-authbypass-5JPp45V2 (Englisch)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdviso…
Cisco Security Advisory: FMC Remote Code Execution -
cisco-sa-fmc-rce-NKhnULJh (Englisch)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdviso…
Cisco Security Advisory: ASA TCP Flood DoS - cisco-sa-asa-dos-FCvLD6vR
(Englisch)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdviso…
Cisco Security Advisory: ASA/FTD VPN Web Server DoS -
cisco-sa-asaftd-vpn-dos-SpOFF2Re (Englisch)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdviso…
Cisco Security Advisory: ASA/FTD Remote Access SSL VPN DoS -
cisco-sa-asaftd-vpn-m9sx6MbC (Englisch)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdviso…
Cisco Security Advisory: FMC SQL Injection -
cisco-sa-fmc-sql-injection-2qH6CcJd (Englisch)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdviso…
Cisco Security Advisory: ASA/FTD IPsec DoS -
cisco-sa-asaftd-esp-dos-uv7yD8P5 (Englisch)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdviso…
Cisco Security Advisory: ASA/FTD IKEv2 DoS -
cisco-sa-asaftd-ikev2-dos-eBueGdEG (Englisch)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdviso…
Cisco Security Advisory: ASA Multiple Context Mode SCP File Access -
cisco-sa-asa-scpcxt-filecpy-rgeP73nE (Englisch)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdviso…
Mit freundlichen Grüßen,
Michael Schlagenhaufer
--
// Michael Schlagenhaufer <schlagenhaufer(a)cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien
26. Februar 2026
Beschreibung
In Cisco Catalyst SD-WAN existieren mehrere kritische
Sicherheitslücken. Die schwerwiegendste Schwachstelle (CVE-2026-20127)
ermöglicht es einem nicht authentifizierten Angreifer aus der Ferne,
die Authentifizierung zu umgehen und administrative Berechtigungen auf
einem betroffenen System zu erlangen. Weitere Schwachstellen betreffen
den Cisco Catalyst SD-WAN Manager und ermöglichen unter anderem
Authentication Bypass, Privilege Escalation, Information Disclosure und
das Überschreiben beliebiger Dateien. Die Schwachstelle CVE-2026-20127
wird aktiv ausgenutzt. Laut mehrerer internationaler
Cybersicherheitsbehörden (ASD ACSC, CISA, NCSC-UK, CCCS, NCSC-NZ)
wurden Cisco Catalyst SD-WANs mindestens seit 2023 kompromittiert.
CVE-Nummer(n): CVE-2026-20127, CVE-2026-20129, CVE-2026-20126,
CVE-2026-20133, CVE-2026-20122, CVE-2026-20128
CVSS Base Score: bis zu 10.0
Auswirkungen
Durch Ausnutzen der Schwachstellen können Angreifer aus der Ferne und
ohne Authentifizierung die Peering-Authentifizierung umgehen und sich
als vertrauenswürdiger Peer in die SD-WAN Management- und Control-Plane
einbringen (CVE-2026-20127, CVSS 10.0). Ebenso kann über die API des
SD-WAN Managers ohne Authentifizierung Zugriff mit administrativen
Rechten erlangt werden (CVE-2026-20129, CVSS 9.8). Weitere
Schwachstellen ermöglichen die Ausweitung von Berechtigungen auf
Root-Ebene (CVE-2026-20126, CVSS 7.8), das Auslesen sensibler
Informationen (CVE-2026-20133, CVSS 7.5 und CVE-2026-20128, CVSS 5.5)
sowie das Überschreiben beliebiger Dateien (CVE-2026-20122, CVSS 7.1).
Betroffene Systeme
* Cisco Catalyst SD-WAN Controller (ehemals SD-WAN vSmart) –
betroffen von CVE-2026-20127
* Cisco Catalyst SD-WAN Manager (ehemals SD-WAN vManage) – betroffen
von allen genannten CVEs
* Betroffene Versionen: alle vor den unten genannten aktuellsten
Versionen, im Detail:
+ Älter als 20.9: Migration auf eine unterstützte Version
erforderlich
+ 20.9: behoben in 20.9.8.2
+ 20.11: behoben in 20.12.6.1
+ 20.12.5: behoben in 20.12.5.3
+ 20.12.6: behoben in 20.12.6.1
+ 20.13: behoben in 20.15.4.2
+ 20.14: behoben in 20.15.4.2
+ 20.15: behoben in 20.15.4.2
+ 20.16: behoben in 20.18.2.1
+ 20.18: behoben in 20.18.2.1
* Hinweis: Cisco Catalyst SD-WAN Manager ab Version 20.18 ist von
CVE-2026-20128 und CVE-2026-20129 nicht betroffen.
Abhilfe
Cisco stellt Sicherheitsaktualisierungen bereit. Ein Update auf die
oben genannten Versionen wird dringend empfohlen. Es stehen keine
Workarounds zur Verfügung, die die Schwachstellen vollständig beheben.
Als temporäre Maßnahme empfiehlt Cisco den Zugriff auf Port 22 und Port
830 mittels ACLs oder Firewall-Regeln auf bekannte Controller-IPs
einzuschränken. Management-Interfaces dürfen nicht aus dem Internet
erreichbar sein.
Aufgrund der nachgewiesenen aktiven Ausnutzung seit mindestens 2023
wird empfohlen, bestehende Installationen anhand des veröffentlichten
Threat Hunt Guide auf Anzeichen einer Kompromittierung zu untersuchen.
Im Falle einer festgestellten Kompromittierung sollten betroffene
Instanzen (vManage, vSmart, vBond) aus gepatchten Images neu aufgesetzt
werden.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
__________________________________________________________________
Informationsquelle(n):
Cisco Security Advisory – Cisco Catalyst SD-WAN Controller
Authentication Bypass Vulnerability (Englisch)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdviso…
Cisco Security Advisory – Cisco Catalyst SD-WAN Vulnerabilities
(Englisch)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdviso…
CISA Emergency Directive ED 26-03: Mitigate Vulnerabilities in Cisco
SD-WAN Systems (Englisch)
https://www.cisa.gov/news-events/directives/ed-26-03-mitigate-vulnerabiliti…
NCSC-UK – Exploitation of Cisco Catalyst SD-WAN (Englisch)
https://www.ncsc.gov.uk/news/exploitation-cisco-catalyst-sd-wans
ASD ACSC-led Cisco SD-WAN Threat Hunt Guide (Englisch)
https://www.cyber.gov.au/sites/default/files/2026-02/ACSC-led%20Cisco%20SD-…
Cisco Talos – Active exploitation of Cisco Catalyst SD-WAN by UAT-8616
(Englisch)
https://blog.talosintelligence.com/uat-8616-sd-wan/
Mit freundlichen Grüßen,
Michael Schlagenhaufer
--
// Michael Schlagenhaufer <schlagenhaufer(a)cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien
Sehr geehrte Damen und Herren,
bitte finden Sie nachstehend unsere Warnung zu Ivantis Endpoint Manager
Mobile (EPMM):
-----------------------8<-------------------------
Kritische Schwachstellen in Ivanti Endpoint Manager Mobile - Updates
empfohlen
Beschreibung
Ivanti hat ein Security Advisory [1] bezüglich kritischer
Schwachstellen im Endpoint Manager Mobile veröffentlicht. Diese
Sicherheitslücken werden bereits aktiv ausgenutzt.
CVE-Nummer(n): CVE-2026-1281, CVE-2026-1340
CVSS Base Score: 9.8
Auswirkungen
Die Schwachstellen ermöglichen einem*einer entfernten, nicht
authentifizierten Angreifer:in, beliebigen Code auf dem betroffenen
System auszuführen (Remote Code Execution), was die vollständige
Kompromittierung des Servers erlaubt.
Betroffene Systeme
* Ivanti EPMM 12.5.0.0, 12.6.0.0, 12.7.0.0 sowie 12.5.1.0 und
12.6.1.0 und jeweils ältere Versionen
Abhilfe
Kund:innen wird empfohlen je nach Version entweder auf RPM 12.x.0.x
oder RPM 12.x.1.x zu aktualisieren.
Das RPM-Skript bleibt bei einem Versions-Upgrade laut dem Advisory
allerdings nicht erhalten. Wenn Kund:innen nach der Anwendung des
RPM-Skripts auf Ihrer Appliance auf eine neue Version upgraden,
müssten diese das RPM erneut installieren. Die dauerhafte Behebung
dieser Sicherheitslücke soll in der nächsten Produktversion
(12.8.0.0) enthalten sein.
Ivanti stellt weiters eine Analysis Guidance [2] für die Abklärung
potentiell bereits stattgefundener Kompromittierungen bereit.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
Informationsquelle(n):
[1] Ivanti Security Advisory (englisch)
https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Endpoint-Manag…
[2] Ivanti Analysis Guidance Ivanti Endpoint Manager Mobile (EPMM)
CVE-2026-1281 & CVE-2026-1340
https://forums.ivanti.com/s/article/Analysis-Guidance-Ivanti-Endpoint-Manag…
-----------------------8<-------------------------
Mit freundlichen Grüßen
CERT.at
--
// CERT Austria <team(a)cert.at> - T: +43 1 5056416 78
// CERT.at GmbH - https://www.cert.at/
// Firmenbuchnummer 561772k, HG Wien
19. Dezember 2025
Beschreibung
In mehreren Fortinet-Produkten existieren kritische Sicherheitslücken
im FortiCloud SSO-Login-Mechanismus. Die Schwachstellen ermöglichen es
unauthentifizierten Angreifern, die FortiCloud SSO-Authentifizierung
durch manipulierte SAML-Nachrichten zu umgehen und administrativen
Zugriff zu erlangen. Die Lücken werden bereits aktiv ausgenutzt.
CVE-Nummer(n): CVE-2025-59718, CVE-2025-59719
CVSS Base Score: 9.1
Auswirkungen
Durch Ausnutzen der Schwachstellen können Angreifer aus der Ferne und
ohne Authentifizierung die FortiCloud SSO-Anmeldung umgehen und vollen
administrativen Zugriff auf betroffene Geräte erlangen. Die
Schwachstellen werden bereits aktiv ausgenutzt. Sicherheitsforscher von
Arctic Wolf und Huntress haben beobachtet, dass Angreifer nach
erfolgreicher Kompromittierung Gerätekonfigurationen exportieren. Da
Konfigurationsdateien gehashte Anmeldedaten enthalten können, besteht
die Gefahr, dass diese offline geknackt werden.
Hinweis: Die FortiCloud SSO-Login-Funktion ist in den
Werkseinstellungen standardmäßig deaktiviert. Wenn jedoch ein
Administrator das Gerät über die GUI bei FortiCare registriert, wird
FortiCloud SSO automatisch aktiviert, sofern die Option "Allow
administrative login using FortiCloud SSO" nicht manuell
deaktiviert wird.
Betroffene Systeme
* FortiOS
+ 7.6.0 bis 7.6.3
+ 7.4.0 bis 7.4.8
+ 7.2.0 bis 7.2.11
+ 7.0.0 bis 7.0.17
* FortiProxy
+ 7.6.0 bis 7.6.3
+ 7.4.0 bis 7.4.10
+ 7.2.0 bis 7.2.14
+ 7.0.0 bis 7.0.21
* FortiSwitchManager
+ 7.2.0 bis 7.2.6
+ 7.0.0 bis 7.0.5
* FortiWeb
+ 8.0.0
+ 7.6.0 bis 7.6.4
+ 7.4.0 bis 7.4.9
Nicht betroffen: FortiOS 6.4, FortiWeb 7.0, FortiWeb 7.2
Abhilfe
Als temporärer Workaround kann die FortiCloud SSO-Login-Funktion
deaktiviert werden:
* Über GUI: System -> Settings -> "Allow administrative login using
FortiCloud SSO" auf "Off" setzen
* Über CLI:
```
config system global
set admin-forticloud-sso-login disable
end
```
Falls eine Kompromittierung vermutet wird, sollten alle
Firewall-Anmeldedaten zurückgesetzt werden, da gehashte Credentials
aus exportierten Konfigurationen offline geknackt werden könnten.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
Zusätzlich wird empfohlen, den Zugriff auf Management-Interfaces von
Firewalls und VPN-Appliances auf vertrauenswürdige interne Netzwerke zu
beschränken.
__________________________________________________________________
Informationsquelle(n):
Fortinet PSIRT Advisory FG-IR-25-647 (englisch):
https://www.fortiguard.com/psirt/FG-IR-25-647
Arctic Wolf Security Bulletin (englisch):
[101]https://arcticwolf.com/resources/blog/arctic-wolf-observes-malicious-ss…
following-disclosure-cve-2025-59718-cve-2025-59719/
VulnCheck Blog (englisch):
https://www.vulncheck.com/blog/forticloud-sso-login-bypass
Mit freundlichen Grüßen,
CERT.at
--
// Michael Schlagenhaufer <schlagenhaufer(a)cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien