Bei der Apache Software Foundation soll es im Kontext von OpenOffice zu einer Cyberattacke gekommen sein, bei der Kriminelle interne Daten kopiert haben. Das gibt zumindest die Ransomwarebande Akira auf ihrer Website an. Nun schaltet sich Apache ein und dementiert eine Attacke.

Kriminelle behaupten

Das geht aus einem offiziellen Statement hervor, das unter anderem der IT-Nachrichtenwebsite BleepingComputer vorliegt. Akira behauptet, beim IT-Einbruch 23 Gigabyte an Daten kopiert zu haben. In dem Archiv sollen sich unter anderem persönliche Daten von Mitarbeitern, wie Adressen und Kreditkartendaten befinden. Weiterhin sollen darin geschäftliche Daten über Finanzen und Supportdokumente gespeichert sein.

Akira gibt an, dass sie die Daten zeitnah in ihrem Leakportal hochladen wollen. Das ist aber bislang nicht geschehen. Die Vorgehensweise einer Veröffentlichung dient in der Regel als Druckmittel, damit Opfer ein Lösegeld zahlen. Oft werden solche Daten aber auch zum Kauf angeboten. In diesem Fall gibt es derzeit von der Erpresserseite keine weiterführenden Informationen zum weiteren Verlauf.

Potenzielles Opfer nimmt Stellung

In der Stellungnahme führt Apache OpenOffice aus, dass es bislang keine Lösegeldforderung gegeben hat. Weil OpenOffice ein Open-Source-Projekt ist und Mitarbeiter dementsprechend nicht bezahlt werden, gebe es die von Akira aufgeführten Daten gar nicht. Weil die Entwicklung des Office-Pakets öffentlich einsehbar ist, seien ohnehin alle relevanten Daten bekannt und für alle verfügbar.

Zum jetzigen Zeitpunkt bestreiten sie eine Cyberattacke und haben dementsprechend auch keine Strafermittler eingeschaltet.

(des)

In dem WordPress-Plug-in AI Engine klafft eine Sicherheitslücke, die Angreifern das Ausweiten der Rechte bis zur Kompromittierung der WordPress-Instanz erlauben kann. Ein Update für das Plug-in, das auf mehr als 100.000 Webseiten zum Einsatz kommt, steht zur Verfügung.

Laut Plug-in-Beschreibung von AI Engine dient es dazu, Chatbots zu programmieren sowie Inhalte und KI-Formulare zu erstellen und um Aufgaben mit KI-Modellen zu automatisieren. Die IT-Sicherheitsforscher von Wordfence warnen nun vor einer Sicherheitslücke darin, die es Angreifern ohne vorherige Authentifizierung ermöglicht, den sogenannten „Bearer Token“ auszulesen und vollen Zugriff auf das für die KI-Anbindung genutzte MCP (Model Context Protocol) zu erlangen. Das gelingt etwa durch Zugriff auf den REST-API-Endpunkt „/mcp/v1/“.

Potenzielle Angriffe

Dem können sie dann Befehle übergeben, die es ausführt – etwa „wp_update_user“, womit bösartige Akteure ihre Rechte beispielsweise zum Administrator ausweiten können. Damit lässt sich die WordPress-Instanz dann übernehmen. Eine kleine Einschränkung nennt Wordfence jedoch – die Lücke besteht nur dann, wenn in den MCP-Einstellungen die Option „No-Auth URL“ aktiviert ist, was standardmäßig jedoch nicht der Fall ist (CVE-2025-11749, CVSS 9.8, Risiko „kritisch„).

In der Analyse von Wordfence gehen die IT-Forscher für Interessierte noch genauer ins Detail. Für Admins wichtig zu wissen: Betroffen sind AI-Engine-Versionen bis einschließlich 3.1.3, die Version 3.1.4 und neuere schließen die Sicherheitslücke.

Am Dienstag dieser Woche wurden Angriffe auf eine Sicherheitslücke im populären WordPress-Plug-in Post SMTP bekannt. Es kommt auf mehr als 400.000 WordPress-Instanzen zum Einsatz. Bösartige Akteure können die Lücke missbrauchen, um die Instanzen schlussendlich zu übernehmen. Auch hier steht eine aktualisierte Plug-in-Version bereit, die das Sicherheitsleck abdichtet.

(dmk)

Es näselt leicht im Passwort-Podcast: Co-Host Christopher hat die herbstliche Erkältungswelle erwischt. Doch das hindert die Sicherheits-Spezis nicht daran, sich durch verschiedene Themen rund um ihr Steckenpferd zu wühlen. Und derer gibt es – wie üblich – reichlich, begonnen bei einem verräterischen Exploitverkäufer.

Gewitter in der AWS- und Azure-Cloud

Mit einem auf den ersten Blick eher untypischen Thema geht es weiter, nämlich dem folgenschweren Ausfall bei Amazons Clouddienst AWS sowie dem erst vor wenigen Tagen ausgefallenen Cloud-Loadbalancer beim Konkurrenten Microsoft. Doch wie Sylvester erläutert, gehört die Verfügbarkeit als gleichberechtigter Bestandteil ebenso zur „CIA-Triade“ wie die Vertraulichkeit und Integrität von Informationen. Doch nicht nur dieser Formalismus macht die Ausfälle zum Podcast-Thema, sondern auch, dass sie lehrbuchartig für das Schmetterlingsprinzip stehen: Ein kleiner Ablauffehler in einem automatischen Vorgang führte zu tagelangen weltweiten Verfügbarkeitsproblemen.

Mit einer aktuellen kritischen Sicherheitslücke beim weltgrößten Softwareentwickler Microsoft gehts weiter: Im WSUS-Server klafft ein Leck, das Fremden die Ausführung beliebigen Codes und womöglich die Verteilung schädlicher Updates gestattet. Exploits kursieren bereits – und die Ursache ist mal wieder schlechte Programmierpraxis. Christopher konstatiert, dass etwas RTFM den Windows-Entwicklern dieses Ungemach erspart hätte.

Mit einem gemeinen Trick macht sich ein Schädling teilweise unsichtbar, dem Sylvester nachgespürt hat. Die Malware „Glassworm“ ist Teil einer neuen Supply-Chain-Attacke auf das Javascript-Ökosystem und bedient sich der weitgehend unbekannten „Unicode Variation Selectors“, um seine Schadroutine zu verschleiern. Vim-Nutzer müssen stark sein: Ihr gottgleich verehrter Editor fällt auf den Trick herein, andere warnen hingegen unterschiedlich deutlich. Glassworm hat noch weitere schlaue Tricks auf Lager, ist jedoch nicht zu Ende gedacht, stellt Sylvester fest.

Und dann war da noch die WebPKI. Christopher hat in den vergangenen Wochen das Versagen einer kroatischen CA beobachtet (dabei an der einen oder anderen Stelle selbst etwas Öl ins Zertifikatsfeuer gegossen) und zieht ein Zwischenfazit. Wie es dazu kam, dass CDN-Riese Cloudflare einen „unakzeptablen Sicherheits-Lapsus“ konstatierte, erzählt er seinem Co-Host und dem Publikum am Ende der Folge.

Die neueste Folge von „Passwort – der heise security Podcast“ steht seit Mittwochmorgen auf allen Podcast-Plattformen zum Anhören bereit.

(cku)