IT-Verantwortliche, die zum Übertragen von Daten auf Wing FTP setzen, sollten sicherstellen, einen aktuellen Stand der Software einzusetzen. Auf eine Sicherheitslücke in veralteten Versionen laufen derzeit Angriffe im Internet.

Davor warnt die US-amerikanische IT-Sicherheitsbehörde CISA. Sie hat die Schwachstelle in den „Known Exploited Vulnerabilities“-Katalog aufgenommen. Es handelt sich um eine Sicherheitslücke, die den lokalen Installationspfad der App offenbart, wenn Angreifer einen sehr langen Wert im UID-Cookie verwenden (CVE-2025-47813, CVSS4 5.3, Risiko „mittel“). Es ist unklar, wie Angreifer das konkret missbrauchen und in welchem Umfang. Derartige Informationen verrät die CISA nicht. Die Lücke liefert bösartigen Akteuren jedoch Informationen, mit denen sich der Missbrauch weiterer Schwachstellen bewerkstelligen lässt.

Die Sicherheitslücke wurde bereits Mitte vergangenen Jahres bekannt, zusammen mit einer Schwachstelle, die das Einschleusen von Schadcode aus dem Netz ermöglichte. Dazu war nicht einmal eine Anmeldung nötig (CVE-2025-47812, CVSS 10, Risiko „kritisch“). Im Juli vergangenen Jahres berichteten die IT-Forscher von Huntress, dass sie Angriffe auf diese Sicherheitslücke beobachtet haben.

Aktualisierte Software-Version

Die Schwachstellen betreffen Wing FTP vor der korrigierten Fassung 7.4.4, die seit vergangenem Mai verfügbar ist. Inzwischen ist sogar Version 8.1.2 von Wing FTP aktuell und steht auf der Download-Seite für Linux, macOS und Windows zum Herunterladen bereit. IT-Verantwortliche sollten auf diese Version migrieren, um gegebenenfalls weitere Sicherheitslücken zu stopfen und die Angriffsfläche zu reduzieren.

Datentransfer-Software steht derzeit bei Cyberkriminellen hoch im Kurs als Angriffsziel. Sie versuchen, über Schwachstellen in die IT von Unternehmen einzubrechen und Daten abzugreifen. In der Folge erpressen sie die Unternehmen dann: Bei Zahlung eines Lösegelds würden sie die Daten löschen; ohne Zahlung drohen sie, die Daten zu veröffentlichen. Die Cybergang Cl0p wurde etwa dadurch bekannt, dass sie eine Sicherheitslücke in der Datentransfer-Software MOVEit missbraucht hat, um in die IT hunderter Unternehmen einzubrechen und dort Daten zu kopieren.

(dmk)

Angreifer können Systeme mit IBM SPSS Collaboration and Deployment Services attackieren und unter anderem DoS-Zustände auslösen. Ansatzpunkte sind mehrere Sicherheitslücken in diversen Komponenten, die die Analyse- und Automationssoftware nutzt.

Sicherheitsupdate installieren

Wie aus einer Warnmeldung hervorgeht, können Angreifer insgesamt neun Schwachstellen in js-yaml, minimatch und React Router ausnutzen. Davon sind fünf Lücken mit dem Bedrohungsgrad „hoch“ eingestuft. Daran können Angreifer etwa für DoS- (CVE-2026-26996) und XSS-Attacken (CVE-2026-21884) ansetzen. Bislang gibt es keine Berichte, dass die Lücken bereits ausgenutzt werden.

Admins sollten sicherstellen, dass die gegen die geschilderten Attacken gerüstete Version 9.0.0.0-IM-ScaDS-REPOSITORYSERVER-PSIRT-IF002 installiert ist.

(des)

Bei der Betrugsmasche mit dem Namen „Sextortion“ versuchen Kriminelle, Opfer mit angeblichen Aufnahmen von der Rechner- oder Smartphone-Kamera zu Geldzahlung zu bewegen. Bei diesen Erpressungs-E-Mails handelt es sich in aller Regel um Betrug, die Täter haben sich an keiner Stelle unbefugten Zugang zu den IT-Systemen der Opfer verschafft. Um jedoch den Eindruck davon zu erwecken, packen die kriminellen Drahtzieher nun echte Passwörter in die Betrugsmails.

Das berichten IT-Forscher von Malwarebytes in einem aktuellen Blog-Beitrag. Die aktuellen betrügerischen E-Mails landen mit Betreffzeilen wie „You pervert, I recorded you!“ in den Posteingängen potenzieller Opfer. Im Mailtext behaupten die Täter, das Gerät der Opfer mit einem „Drive-by-Exploit“ infiziert zu haben, wodurch sie vollen Zugriff darauf erlangt und die Mailempfänger beim Videomaterial beim „Mastrubieren“ durch die Kamera aufgenommen hätten. Um die Glaubwürdigkeit zu erhöhen, nennen die Angreifer ein Passwort in der E-Mail, das es tatsächlich gibt. Im folgenden Text der Mail versuchen die Angreifer, weiter Druck aufzubauen und Opfer dazu zu bringen, ihnen Kryptogeld zu überweisen. Nachdem das geschehen sei, würden sie alle Spuren ihrer Malware entfernen – die vermeintlich inkriminierenden Materialien finden keine weitere Erwähnung.

Die IT-Forscher haben die Adresse eines betrügerischen Absenders in mehreren Mails gefunden, die an Menschen gerichtet waren, die einen Anbieter von Wegwerf-E-Mail-Adressen nutzen, im konkreten Fall FakeMailGenerator. Diese kostenlosen Angebote erlauben das Anlegen einer temporären E-Mail-Adresse und anschließend das Einsehen von Mails dorthin. Das ermöglicht das Anmelden bei Diensten, ohne die echte E-Mail-Adresse zu verwenden – etwa als Spam-Schutzmaßnahme. Von diesen Konten aus lassen sich üblicherweise keine E-Mails versenden, sondern nur empfangen. Der Posteingang gehört keiner einzelnen Person, sondern jeder kann nach Angabe der E-Mail-Adresse jedes beliebige temporäre Mail-Konto einsehen.

Passwörter aus Wegwerf-Mailkonten

Malwarebytes nimmt an, dass die Betrüger diese öffentlichen Posteingänge nach Passwörtern durchsuchen und diese in ihren Sextortion-Mails einsetzen. Für Nutzer solcher Wegwerf-Mail-Adress-Angebote sollte das als Warnung dienen. Der Posteingang könnte öffentlich zugreifbar sein, in Suchergebnissen auftauchen. Solche Angebote sollte niemand für etwas Vertrauliches einsetzen.

Die Täter hinter solchen Sextortion-Betrugsmails waren Mitte vergangenen Jahres stark von der Inflation betroffen. Die Zahlungsforderungen sind dort deutlich angestiegen. Im April 2025 betrugen sie noch 1200 US-Dollar, im Mai dann 1450 US-Dollar, um dann im Juni auf 1650 US-Dollar zu klettern. In der jetzt beobachteten Spam-Welle betrug die Forderung lediglich 800 US-Dollar.

(dmk)