Angreifer missbrauchen eine noch junge Sicherheitslücke in Splunk Enterprise. Die Sicherheitslücke erlaubt, Schadcode aus dem Netz einzuschleusen und auszuführen. Nicht alle Konfigurationen sind betroffen, Updates stehen bereit.

Eine Sicherheitsmitteilung von Splunk hat das Unternehmen am Donnerstag aktualisiert und ergänzt darin, dass Angriffe auf die Schwachstelle im Netz beobachtet wurden. Die in der vergangenen Woche gemeldete Schwachstelle betrifft Splunk Enterprise vor Version 10.2.4 und 10.0.7. Nicht authentifizierte Nutzer können über einen sogenannten PostgreSQL-Sidecar-Dienst-Endpunkt beliebige Dateien anlegen oder beschneiden. Der betroffene Endpunkt hat keine Authentifizierungsmaßnahmen, sodass alle mit Netzwerkzugriff Dateioperationen ohne Angaben von Zugangsdaten ausführen können (CVE-2026-20253, CVSS 9.8, Risiko „kritisch“).

Die Aktualisierung der Mitteilung vom Donnerstag besagt nun, dass das Splunk Product Security Incident Response Team (PSIRT) von „begrenztem Missbrauch dieser Schwachstelle“ Wind bekommen hat. Das Unternehmen empfiehlt daher dringend, dass Kunden auf einen korrigierten Software-Stand aktualisieren, um den sicherheitsrelevanten Fehler auszubessern. Nicht betroffen sind Splunk Enterprise 10.4, 9.4 und 9.3.

Temporäre Gegenmaßnahmen

Wo ein Upgrade nicht unmittelbar möglich ist, können Admins das Problem eindämmen, indem sie den PostgreSQL-Sidecar-Dienst deaktivieren. Es handelt sich dabei um einen containerisierten Hilfsdienst für die Datenbank. Das sollten IT-Verantwortliche jedoch nicht auf Edge-Processor-, OpAmp- oder SPL2-Data-Pipelines einer Instanz tun, da das Deaktivieren von PostgreSQL die Funktionen aushebelt und sich das auf davon abhängige Sidecar-Prozesse auswirken kann. Obwohl Angriffe beobachtet worden sind, nennt Splunk jedoch keine Hinweise auf erfolgreiche Angriffe (Indicators of Compromise, IOC).

Die watchTowr​-Labs haben sich die Schwachstelle auch genauer angeschaut und eine eigene Analyse vorgelegt. Die liefert Admins hilfreiche Handreichungen, etwa um herauszufinden, ob die eigenen Instanzen anfällig sind. Sie führen zudem auf gewohnt unterhaltsame Art den Missbrauch der Schwachstelle vor.

Splunk-Admins hatten etwa im vergangenen Dezember mit gravierenden Schwachstellen in Splunk Enterprise, Universal Forwarder oder Secure Gateway App zu tun. Die ermöglichten Angreifern etwa Zugriff auf eigentlich nicht zugängliche Systembereiche.

(dmk)

Deutsche Behörden haben aktuell über eine Million Menschen zur Fahndung ausgeschrieben. Dabei geht es nicht nur um Fest- oder Ingewahrsamnahmen, sondern auch um Aufenthaltsermittlung oder heimliche Beobachtung. Die Einträge erfolgen im INPOL-System, das vom Bundeskriminalamt (BKA) in Wiesbaden geführt und aus den Bundesländern befüllt wird. Auch Überwachungen zur Führungsaufsicht nach einer Haftentlassung oder im Zuständigkeitsbereich des Zolls können zu einer Speicherung führen.

Die Zahlen stammen aus der Antwort auf eine Kleine Anfrage der Linksfraktion im Bundestag. Darin gibt das Innenministerium auch Auskunft zu weiteren Polizeidatenbanken. So sind etwa im Vorgangsbearbeitungssystem des BKA fast 34 Millionen Fälle aktenkundig. Diese müssen nicht unbedingt aktuell sein: Alle Einträge unterliegen Löschfristen, die von den Behörden aber nach einer Prüfung verlängert werden können.

Zehntausende Fälle zu politischen „Phänomenbereichen“

In einer Datei „Innere Sicherheit“ sind außerdem Zehntausende Personen zu unterschiedlichen politischen „Phänomenbereichen“ erfasst. Die größte Gruppe entfällt auf den Bereich „Rechts“ mit 39.513 Personen. Dem Bereich „Links“ werden 11.988 Personen zugeordnet, „Religiöse Ideologie“ enthält weitere 5.746 Personen. 5.393 Personen sind mit „Ausländische Ideologie“ gespeichert. Weitere 15.476 Personen sind keinem der genannten „Phänomenbereiche“ eindeutig zugeordnet; dazu gehören etwa militante Coronaleugner*innen oder selbsternannte „Reichsbürger*innen“.

Derzeit sind außerdem rund 5,7 Millionen Menschen mit 7,6 Millionen Fotos in INPOL gespeichert, darunter über die Hälfte Asylsuchende. Diese können damit von Landeskriminalämtern, Zollbehörden oder den Verfassungsschutzämtern über ein Gesichtserkennungssystem beim BKA abgefragt werden. Die Behörden nutzen das System zur Identifizierung unbekannter Personen.

In einer Finger- und Handflächenabdruckdatei liegen 2,9 Millionen Personendatensätze. 2,8 Millionen Datensätze sind von „Asylsuchenden und sonstigen Ausländern, die erkennungsdienstlich behandelt wurden“, digital gespeichert. Weitere 1,16 Millionen Personen sind in einer „DNA-Analyse-Datei“ erfasst.

Heimliche Kontrollen im Schengen-Raum

Polizeien des Bundes und der Länder sowie der deutsche Inlandsgeheimdienst können Personen auch zur Fahndung im Schengener Informationssystem (SIS) eintragen. Diese können dann in allen Mitgliedstaaten vollstreckt werden. Insgesamt wird im SIS derzeit nach über zwei Millionen Personen und 93 Millionen Dokumenten oder anderen Gegenständen wie Fahrzeugen oder Kennzeichen gefahndet.

Auffällig sind dort besonders die – wie jedes Jahr gestiegenen – Ausschreibungen zur gezielten und verdeckten Kontrolle nach Artikel 36 der SIS-Verordnung. Bei der verdeckten Kontrolle sollen die Betroffenen davon möglichst nichts erfahren, die interessierte Behörde erhält aber einen Hinweis, wann und warum die Person im SIS abgefragt wurde – etwa bei einer Grenzkontrolle oder der Beantragung eines Reisepasses. Derzeit sind von allen Schengen-Staaten rund 108.000 Personen zu einer solchen heimlichen Fahndung ausgeschrieben. Weitere 92.000 Personen sollen beim Antreffen auch durchsucht werden. Aus Deutschland stammten im Jahr 2025 zusammen 4.200 dieser Artikel-36-Fahndungen.

„Auskunftsgenerator“ der Roten Hilfe

Personen können bei den Behörden anfragen, welche Daten über sie gespeichert sind – allerdings gibt es nicht immer Auskünfte, etwa wenn diese auf Polizeispitzel oder Informant*innen zurückgehen oder gegen die Person aktuell ermittelt wird. Beispielsweise über einen „Auskunftsgenerator“ der Roten Hilfe können diese Abfragen selbst vorgenommen werden.

In der Antwort an die Linksfraktion nennt das BKA Zahlen für Auskunftsersuchen für das Jahr 2023: Damals wurden 5.916 Ersuchen zu polizeilichen Systemen gestellt. Möglich ist auch die Auskunft zum Schengener Informationssystem und dem EU-Passagierdatensystem. In 159 Fällen hat das BKA die Auskunft „eingeschränkt“, in 25 Fällen „in Gänze verweigert“, hieß es in einer früheren Antwort. Bei der Bundespolizei wurden im Jahr 2023 insgesamt 1.297 Ersuchen auf Erteilung von Auskunft über gespeicherte personenbezogene Daten gestellt.

Viele Prozessoren von AMD – aber nicht alle – können den Arbeitsspeicher transparent ver- und entschlüsseln. Diese Funktion namens Transparent Secure Memory Encryption (TSME) schützt vor sehr wenigen und sehr speziellen physischen Angriffen auf Computer. Dabei geht es vor allem um sogenannte „Cold Boot“-Attacken, für die physischer Zugriff auf den Rechner nötig ist, um im RAM gespeicherte Informationen zu ergattern.

TSME ließ sich bis vor kurzem auf manchen Mainboards auch bei einigen Ryzen-Prozessoren für Desktop-PCs aktivieren, für die AMD die Funktion nicht zugesichert oder beworben hat. Mit einer neuen Version der AMD-Firmware-Komponente AGESA entfällt diese Möglichkeit nun. Das verärgert einige Besitzer solcher Prozessoren. Einer davon hat deshalb im GitHub-Repository für AMD Secure Encryted Virtualization (AMD SEV) eine Fehlermeldung eingestellt.

Funktion nur für PROfis

Vermutlich wird sich AMD allerdings nicht erweichen lassen, TSME für sämtliche Ryzen-Prozessoren wieder freizuschalten. Denn die 2016 angekündigte Funktion ist vor allem für Server, manche Embedded Systems, Business-PCs und -Notebooks gedacht. AMD aktiviert sie daher nur bei den CPU-Baureihen Epyc, manchen Embedded-CPUs sowie den „PRO“-Versionen der Ryzens für Desktop-PCs und Notebooks.

Einst bewarb AMD TSME als Bestandteil von „Memory Guard“, das wiederum Teil von „Guard MI“ war und das wiederum Teil der Vorteile von PRO-Ryzens im Vergleich zu normalen. Diese Marketing-Idee ist auf dem AMD-Server jetzt nicht mehr zu finden.

Mittlerweile erwähnt AMD TSME im Zusammenhang mit dem „Infinity Guard“-Funktionspaket der Epyc-Prozessoren für Server.

TSME lässt sich ohnehin nur aktivieren, wenn das (UEFI-)BIOS des jeweiligen Computers mitspielt. Dazu muss nicht unbedingt eine Option im BIOS-Setup vorhanden sein, falls das UEFI-BIOS TSME einfach einschaltet.

In diesem Sinne ist TSME eine typische Funktion für Business-Geräte, deren jeweiliger Hersteller bei der Implementierung eng mit AMD zusammenarbeitet und das Feature auch ausdrücklich im Datenblatt des jeweiligen Geräts erwähnt.

Seltener Cold-Boot-Angriff

Beim Cold-Boot-Angriff startet ein Angreifer den laufenden Rechner durch einen Reset neu und bootet darauf sofort ein speziell präpariertes Betriebssystem, das den RAM-Inhalt ausliest. 2008 wiesen Sicherheitsforscher nach, dass das tatsächlich funktioniert.

TSME erschwert diesen Angriff deutlich, der allerdings in der Praxis extrem selten vorkommen dürfte. Zudem gibt es auch andere Schutzmethoden, etwa das Löschen des RAM vor jedem Bootvorgang (TCG Platform Reset Attack Mitigation Specification).

(ciw)