Nach der Warnung der niederländischen Geheimdienste MIVD und AIVD vor einer großangelegten weltweiten Spionagekampagne durch russisch-staatliche Akteure am Montag dieser Woche, die sich auf die Messenger Signal und WhatsApp stützt, hat Signal dazu nun Stellung bezogen. Auf sozialen Netzwerken erklärt der Dienst seine Sicht der Dinge und gibt Hinweise, wie Nutzer und Nutzerinnen sich schützen können.

Etwa auf Mastodon schreiben die Signal-Entwickler, dass sie von den Berichten über gezielte Phishing-Angriffe gegen Signal-User wie Regierungsbeamte und Journalisten Kenntnis haben, wodurch die Konten der Opfer übernommen wurden. Das nehmen sie sehr ernst, betonen sie. „Um es klar zu sagen: Signals Verschlüsselung und Infrastruktur wurden nicht kompromittiert und bleiben robust“, führen sie zudem aus. Die Angriffe seien durch raffinierte Phishing-Kampagnen erfolgt, die Nutzer dazu bringen sollen, Informationen wie SMS-Codes oder Signal-PIN zu teilen. Damit erlangen die Spione Zugang zu deren Konten. Sie können heimlich eigene Geräte verknüpfen und so sämtliche Nachrichten in Echtzeit mitlesen, ohne dass Opfer diesen Fernzugriff sofort bemerken würden.

Angriffe basieren auf Social Engineering

Diese Angriffe basieren wie alle Phishing-Attacken auf Social Engineering, ordnet Signal ein. „Die Angreifer imitieren vertraute Kontakte oder Dienste, wie den nicht existierenden ‚Signal Support Bot’, um Opfer dazu zu bringen, ihre Login-Daten oder andere Informationen preiszugeben“, erklären die Entwickler. Um das zu verhindern, sollen sich Nutzer daran erinnern, dass der Signal-SMS-Verifikationscode ausschließlich beim ersten Login in der Signal-App nötig ist.

Der Signal-Support nehme auch niemals Kontakt innerhalb der Signal-App, über SMS, Telefonanruf oder soziale Netzwerke mit Nutzern auf, um nach dem Verifikationscode oder der PIN zu fragen. Wer nach solchen Daten fragt, sei ein Betrüger, versichert Signal. Zwar habe Signal robuste technische Sicherheitsvorkehrungen getroffen, aber die Aufmerksamkeit der Nutzer bleibt die beste Verteidigung gegen Phishing. Die Entwickler wollen daran arbeiten, diese Risiken durch das Design der Bedienoberfläche und Hinweise zu reduzieren. Bis dahin sollen Nutzerinnen und Nutzer von Signal wachsam bleiben und niemals ihren SMS-Verifikationscode oder ihre Signal-PIN mit anderen teilen.

Die Entwickler haben auf der Signal-FAQ zu Phishing außerdem hilfreiche Hinweise zur Erkennung von Phishing und ähnlichen Betrugsversuchen gesammelt.

(dmk)

Derzeit attackieren Kriminelle im Internet Sicherheitslücken in Ivantis Endpoint Manager, SolarWinds Web Help Desk und Omnissa (ex-VMware) Workspace ONE. Davor warnt aktuell die US-amerikanische IT-Sicherheitsbehörde CISA.

In ihrer Mitteilung nennt die CISA lediglich die angegriffenen Schwachstellen und Produktnamen. Informationen zu Art und Umfang der Attacken liefert die US-Behörde wie üblich nicht.

Angegriffene Sicherheitslecks

Die jüngste Schwachstelle betrifft Ivantis Endpoint Manager (EPM) 2024. Angreifer können ohne vorherige Anmeldung die Authentifizierung umgehen und dabei spezielle gespeicherte Zugangsdaten erlangen – die konkreten Auswirkungen, etwa ob sich damit die Instanzen vollständig übernehmen lassen, nennt Ivanti jedoch nicht. Der Schweregrad deutet jedoch in diese Richtung (CVE-2026-1603, CVSS 8.6, Risiko „hoch“). Mit den Sicherheitsupdates aus dem Februar, die Ivantis EPM auf den Stand 2024 SU5 hieven, schließt der Hersteller die Sicherheitslücke.

Eine kritische Sicherheitslücke in SolarWinds Web Help Desk wurde bereits im September vergangenen Jahres bekannt, sie betrifft die Ajax-Komponente. Diese deserialisiert Eingaben ohne vorherige Authentifizierung und erlaubt so Codeschmuggel aus dem Netz (CVE-2025-26399, CVSS 9.8, Risiko „kritisch“). Bereits im Februar wurden erste Angriffe auf die Lücke bekannt. Nun warnt die CISA vor aktuellen Missbrauchsfällen – noch immer haben IT-Verantwortliche die verfügbare Aktualisierung (zum Meldungszeitpunkt auf Stand SolarWinds WHD 2026.1) offenbar nicht angewendet.

Die letzte Schwachstelle, auf die die CISA aktuell Angriffe beobachtet hat, betrifft Omnissa (ehemals VMware) Workspace ONE. Bösartige Akteure können darin eine Server-Side-Request-Forgery-Schwachstelle (SSRF) missbrauchen und so unbefugten Zugriff auf sensible Informationen erlangen (CVE-2021-22054, CVSS 7.5, Risiko „hoch“). Updates stehen seit Ende 2021 zur Verfügung, um die Sicherheitslücke abzudichten.

IT-Verantwortliche sollten prüfen, ob in ihren Organisationen die verwundbare Software läuft, und die verfügbaren Updates zügig anwenden. Da keine Details zu den Angriffen vorliegen, fehlen jedoch auch Hinweise auf erfolgreiche Angriffe (Indicators of Compromise, IOC), mit denen Admins ihre Systeme prüfen könnten.

(dmk)

Admins von SAP-Installationen bekommen am Dienstag dieser Woche Arbeit: SAP hat Mitteilungen zu 15 Schwachstellen in Produkten des Unternehmens herausgegeben. Es handelt sich teils um kritische Schwachstellen, die das Einschleusen von Schadcode ermöglichen. Das zügige Anwenden der bereitstehenden Aktualisierungen ist daher ratsam.

Auf der Patchday-Übersichtsseite für den März listet SAP die 15 Sicherheitsmitteilungen auf. Insgesamt stufen die Entwickler zwei der Schwachstellen als Risikostufe kritisch ein, eine als hochriskant, elf als mittleren Bedrohungsgrad und eine erhält die Einordnung als niedriges Risiko.

SAP: Kritische Sicherheitslücken

Eine Codeschmuggel-Lücke in der SAP Quotation Management Insurance Application (FS-QUO) basiert auf einer Schwachstelle in einer SocketServer-Klasse in Log4j. Die deserialisiert nicht vertrauenswürdige Daten und kann zum Einschmuggeln und Ausführen von Schadcode aus dem Netz missbraucht werden. Es handelt sich nicht um die Log4Shell genannte Schwachstelle, die das Internet seit Ende 2021 beschäftigt. Sie ist sogar noch älter und wurde 2019 öffentlich bekannt (CVE-2019-17571, CVSS 9.8, Risiko „kritisch“).

In NetWeaver Enterprise Portal Administration klafft eine Sicherheitslücke, die Nutzer mit Rechten im System durch das Hochladen nicht vertrauenswürdiger oder bösartiger Inhalte missbrauchen können. Die gelangen bei der Deserialisierung zur Ausführung und haben „starken Einfluss auf Vertrauenswürdigkeit, Integrität und Verfügbarkeit des Host-Systems“, erklärt SAP in der Schwachstellenbeschreibung (CVE-2026-27685, CVSS 9.1, Risiko „kritisch“).

Eine Schwachstelle in SAPs Supply Chain Management können Angreifer für einen Denial-of-Service-Angriff (DoS) missbrauchen. Durch wiederholtes Aufrufen einer nicht genauer genannten Funktion mit einem ausufernd großen Loop-Kontrollparameter können sie durch verlängerte Loop-Ausführungen massiv Systemressourcen belegen, bis das System nicht mehr verfügbar ist (CVE-2026-27689, CVSS 7.7, Risiko „hoch“).

Die weiteren Sicherheitslecks mit niedrigerem Bedrohungsgrad betreffen SAP NetWeaver Application Server for ABAP, SAP NetWeaver (Feedback Notification), SAP Business One (Job Service), SAP Business Warehouse (Service API), SAP S/4HANA HCM Portugal und SAP ERP HCM Portugal, SAP Customer Checkout 2.0, SAP GUI for Windows, SAP Solution Tools Plug-In (ST-PI) sowie SAP NetWeaver AS Java (Adobe Document Services).

Im Februar dieses Jahres hatte SAP zum Patchday sogar 26 Sicherheitsmitteilungen veröffentlicht. Davon galten zwei als kritisches Sicherheitsrisiko.

(dmk)