In der Backup-Software Veeam Backup & Replication haben die Programmierer mehrere, teils sogar kritische Sicherheitslücken entdeckt. Sie erlauben Angreifern unter anderem, beliebigen Code einzuschleusen und auszuführen. Updates bessern die Schwachstellen aus.

Veeam hat zwei Sicherheitsmeldungen veröffentlicht. In der ersten Mitteilung listet das Unternehmen die Sicherheitslecks auf, die das Update auf Veeam Backup & Replication 12.3.2.4465 schließt. Details nennt Veeam jedoch nicht, sondern lediglich die Auswirkungen. Zwei Lücken ermöglichen etwa authentifizierten Domain-Usern, Schadcode aus dem Netz auf dem Backup-Server auszuführen (CVE-2026-21666, CVE-2026-21667, beide CVSS 9.9, Risiko „kritisch“). Angemeldete Domain-Nutzer können zudem Zugriffsbeschränkungen umgehen und beliebige Dateien in Backup-Repositories manipulieren (CVE-2026-21668, CVSS 8.8, Risiko „hoch“). Auf Windows-basierten Backup & Replication-Servern ist zudem die Ausweitung der Rechte möglich (CVE-2026-21672, CVSS 8.8, Risiko „hoch“). IT-Verantwortliche mit Veeam Backup & Replication 12, 12.1, 12.2, 12.3, 12.3.1 und 12.3.2 sollen auf die neue Version aktualisieren.

Eine zweite Sicherheitsmitteilung fasst die Schwachstellen zusammen, die die Version Veeam Backup & Replication 13.0.1.2067 ausbessert. Auch hier können angemeldete Domain-User Schadcode aus dem Netz auf dem Backup-Server ausführen (CVE-2026-21669, CVSS 9.9, Risiko „kritisch“). In Hochverfügbarkeitsumgebungen (High Availability, HA) von Veeam Backup & Replication können User mit Backup-Admin-Rolle beliebigen Code ausführen (CVE-2026-21671, CVSS 9.1, Risiko „kritisch“). Die Rechteausweitungslücke CVE-2026-21672 betrifft auch den 13er-Entwicklungszweig. Außerdem können Nutzer mit niedrigen Rechten gespeicherte SSH-Zugangsdaten auslesen (CVE-2026-21670, CVSS 7.7, Risiko „hoch“).

Veeam: Schwachstellen in allen Versionen

In den 12er- und 13er-Fassungen von Veeam finden sich zudem gemeinsame Sicherheitslücken. Nutzer, die in der Backup-Viewer-Rolle aktiv sind, können zudem Code aus dem Netz als User „postgres“ ausführen (CVE-2026-21708, CVSS 9.9, Risiko „kritisch“). Die Version passt zudem noch den Port-Range des Veeam Agent für Linux an den von anderen Veeam-Produkten an, er liegt nun zwischen 2500 und 3000. Veeam gibt an, dass die Lücken in internen Tests und über Einreichungen über die Bug-Bounty-Plattform HackerOne gefunden wurden. Eine öffentliche Ausnutzung berichtet der Hersteller nicht.

IT-Verantwortliche sollten sich zügig um die Aktualisierung ihrer Veeam-Systeme kümmern. Die kritischen Sicherheitslücken bieten Angreifern andernfalls eine Angriffsfläche. Zuletzt hatte Veeam mehrere Schwachstellen in der Backup-Software im Januar korrigiert.

(dmk)

Der US-Medizingerätehersteller Stryker, mit einem Jahresumsatz von 25,1 Milliarden US-Dollar und 56.000 Mitarbeitern im Jahr 2025 ein recht großes und auch in Deutschland an mehreren Standorten aktives Unternehmen, wurde Opfer eines Cyberangriffs. Am Donnerstag dieser Woche bestätigt Stryker den von der im Iran verorteten Cyberbande Handala behaupteten Cyberangriff auf die IT-Systeme.

Demnach hat ein Cyberangriff auf die Computersysteme von Stryker am Mittwoch dieser Woche zur weitreichenden Unterbrechung der Geschäftsprozesse geführt, einschließlich der Bestellbearbeitung, Produktion und dem Versand, berichtet Reuters. Die iranische Cybergang Handala behauptet, für den Angriff verantwortlich zu sein. Er erfolgte demnach als Vergeltung für einen Angriff auf eine Mädchenschule in Minab im Süden des Iran Ende Februar.

„Globale Störung der Microsoft-Umgebung“

Stryker hat gegenüber US-Medien am Mittwoch erklärt, eine „globale Störung in der Microsoft-Umgebung“ zu haben. Der IT-Journalist Brian Krebs konkretisiert, dass es sich um einen Wiper-Angriff handelt, bei dem mehr als 200.000 Systeme, Server und Mobilgeräte des Unternehmens gelöscht worden sein sollen. Ein Mitarbeiter des Unternehmens habe demnach dem Irish Examiner berichtet, dass alle zum Unternehmensnetz verbundenen Geräte „Down“ seien und jedes Gerät mit Microsoft Outlook darauf gelöscht wurde.

Die Login-Webseiten seien mit dem Logo der Gruppe Handala verunstaltet. Gegenüber Krebs habe eine anonyme, aber vertrauenswürdige Quelle angegeben, dass die Cyberkriminellen Microsofts Intune-Dienst für die Fernlöschung sämtlicher verbundener Geräte genutzt haben. Dabei handelt es sich um eine bekannte und weitverbreitete, cloudbasierte Netzwerk-, Software- und Geräteverwaltungssoftware von Microsoft.

Der Vorfall habe jedoch keine patientenbezogenen Dienste und damit verbundene Medizinprodukte getroffen, erklärte Stryker. Der volle Umfang und die finanziellen Folgen seien derzeit noch nicht absehbar. Die Untersuchungen laufen noch.

Auf Anfrage von heise online hat Stryker bislang noch nicht reagiert. Möglicherweise sind auch die deutschen Dependancen davon betroffen.

(dmk)

Auf die KI-gestützte Automatisierungssoftware n8n laufen derzeit Angriffe. Bösartige Akteure missbrauchen dabei eine seit Januar bekannte Sicherheitslücke in dem Prozessautomatisierungstool.

Davor warnt die US-amerikanische IT-Sicherheitsbehörde CISA aktuell. Sie hat die Schwachstelle CVE-2025-68613 in den „Known Exploited Vulnerabilities“-Katalog aufgenommen. Die wurde Anfang des Jahres bekannt, sie lässt sich insbesondere mit weiteren Schwachstellen verknüpfen und ermöglicht dann das Ausführen von beliebigen Systemkommandos. Der CVSS-Wert 8.8 weist das Risiko zwar lediglich als „hoch“ aus, jedoch zeigte bereits dort ein Proof-of-Concept-Exploit (PoC) die Verknüpfung mit der „Ni8mare“ getauften Sicherheitslücke CVE-2026-21858 (CVSS 10, Risiko „kritisch“).

Wie üblich nennt die CISA keine weiteren Details zu den beobachteten Angriffen. Der Umfang bleibt unklar, ebenso, wie die konkreten Attacken aussehen. Es fehlen daher auch Hinweise, an denen sich erfolgreiche Angriffe erkennen ließen (Indicators of Compromise, IOC).

n8n: Zahlreiche verwundbare Systeme im Netz

Allerdings finden sich offenbar zahlreiche, nicht ausreichend abgesicherte n8n-Systeme im Internet. Die Shadowserver Foundation hat zwischen Ende Dezember 2025 und Anfang Februar 2026 etwa vermessen, wie viele Systeme für „Ni8mare“ anfällig sind. Anfang Februar waren das global noch 24.607 Systeme, von denen 7878 in Europa standen. Ende Februar wurden weitere Schwachstellen in n8n entdeckt, darunter drei als kritisches Risiko eingestufte. Zu einer davon, CVE-2026-27493 (CVSS4 9.5, Risiko „kritisch“), hat Pillar Security eine detaillierte Analyse vorgelegt. Demnach haben sie mehr als 50.000 potenziell verwundbare Endpunkte im Netz gefunden – für eine Zero-Click-Schwachstelle, die Codeschmuggel erlaubt. Laut der Analyse nutzen mehr als 230.000 Organisationen n8n, die Docker-Container wurden mehr als 100 Millionen Mal gezogen.

IT-Verantwortliche, die n8n-Instanzen in ihrer Organisation einsetzen, sollten daher sicherstellen, dass sie die fehlerkorrigierten Versionen (2.10.1, 2.9.3 und 1.123.22 respektive die aktuellen, noch neueren Fassungen) einsetzen. Außerdem sollte das Tool nicht aus dem Internet zugreifbar sein. Eine weitere Zugriffsbeschränkung im lokalen Netz auf die Rechner der damit arbeitenden Mitarbeiter und Systeme scheint ebenfalls eine sinnvolle Maßnahme zu sein.

(dmk)