Ivanti warnt vor Sicherheitslücken im Endpoint Manager, einer Verwaltungssoftware für Benutzer und Geräte im Netzwerk. Insgesamt geht es um drei Sicherheitslecks – eines verpasst die Einstufung als „kritisch“ nur haarscharf.

In einer Sicherheitsmitteilung erörtert Ivanti die Sicherheitslecks. Eine SQL-Injection-Schwachstelle betrifft die Web-Konsole des Ivanti Endpoint Managers. Authentifizierte Angreifer können dadurch aus dem Netz Schadcode einschleusen und ausführen (CVE-2026-8111, CVSS 8.8, Risiko „hoch“). Falsche Rechtezuweisung im Agenten des Endpoint Managers ermöglicht zudem das Ausweiten der Rechte im System von lokal angemeldeten bösartigen Akteuren (CVE-2026-8110, CVSS 7.8, Risiko „hoch“).

Im Core-Server des Endpoint Managers können angemeldete Angreifer aus dem Netz Zugangsdaten abgreifen, da er eine „exponierte gefährliche Methode“ (exposed dangerous method, CWE-749) aufweist – Zugriffe darauf sind laut Definition nicht zureichend beschränkt (CVE-2026-8109, CVSS 6.5, Risiko „mittel“). Die zugehörige ZDI-Mitteilung weist einen niedrigeren CVSS-Wert aus und zugleich darauf hin, dass der bestehende Authentifizierungsmechanismus umgehbar ist.

Korrigierte Softwareversion

Ivanti gibt an, dass die Software-Version Ivanti EPM 2024 SU6 die Probleme beseitigt. Das Unternehmen erklärt außerdem, dass es keine Kenntnis davon hat, dass die Sicherheitslecks bereits attackiert würden. Daher könne es auch keine Hinweise auf (erfolgreiche) Angriffe (Indicators of Compromise, IOC) liefern. Die Schwachstellen hat demnach die Zero Day Initiative (ZDI) von Trend Micro (inzwischen unter der Marke TrendAI unterwegs) gemeldet. Trotz der Namensähnlichkeit seien die Lücken nicht im Endpoint Manager Mobile (EPMM) zu finden, führt Ivanti weiter aus.

IT-Verantwortliche sollten die Aktualisierung zügig installieren. Schwachstellen in Ivanti-Netzwerk-Verwaltungssoftware sind ein gefundenes Fressen für Cyberkriminelle. Vergangene Woche wurde etwa bekannt, dass Ivanti mit einem Update für EPMM Sicherheitslücken geschlossen hat, die bereits im Internet angegriffen wurden.

(dmk)

In Episode 159 des c’t-Datenschutz-Podcasts vertreten Sylvester Tremmel aus der c’t-Redaktion und der freie Journalist Falk Steiner Joerg Heidrich an der Seite von Holger Bleich. Zum Auftakt berichtet Steiner aus Berlin von der Vorstellung des Tätigkeitsberichts der Bundesdatenschutzbeauftragten – und davon, wie wenige Journalistinnen und Journalisten zu diesem Termin erschienen sind; für ihn ein bedenkliches Signal in Zeiten, in denen Vorhaben wie Vorratsdatenspeicherung oder Gesichtserkennung beim BKA auf der politischen Agenda stünden, der Datenschutz aber kaum noch Beachtung finde.

Beim Bußgeld der Woche geht es um eine spanische Fondsgesellschaft, die einen mit Microsoft Teams aufgezeichneten internen Call später als offizielles Protokoll an externe Investoren weitergegeben hatte. Die spanische Datenschutzbehörde AEPD wertete die pauschale Einwilligung zur Aufzeichnung der Teilnehmenden als unzureichend und verhängte 3000 Euro Bußgeld (Begründung in spanischer Sprache). Die Diskutanten loben die Praxis der spanischen Behörde, auch kleinere Fälle konsequent zu verfolgen und damit Klarheit über die Auslegung der DSGVO zu schaffen.

Ungelöstes Grundproblem

Breiten Raum nimmt der sogenannte Signal-„Hack“ ein, bei dem hochrangige Politikerinnen und Politiker, darunter Bundestagspräsidentin Julia Klöckner, Ziel einer Phishing-Kampagne wurden. Tremmel stellt klar, dass es sich nicht um einen technischen Angriff auf den Messenger handelte: Die mutmaßlich aus Russland gesteuerten Angreifer gaben sich als Signal-Support aus und brachten ihre Opfer dazu, ihre PIN preiszugeben oder ein fremdes Gerät zu verknüpfen.

Steiner schildert anschaulich, wie schwierig sichere Kommunikation in der politischen Realität ist, wo eine einzelne Person wie die Bundestagspräsidentin in zahlreichen Rollen unterwegs ist und über verschiedenste IT-Umgebungen hinweg kommunizieren muss. Die nun empfohlene Nutzung der Messenger-Plattform Wire löse das Grundproblem nicht, solange offene Messenger nötig blieben.

Zuguterletzt stellt Tremmel eine Recherche von Correctiv, Computer Weekly und Solomon zum sogenannten „Pressure Cooker“ bei Europol vor. In diesem Datensystem soll die EU-Polizeibehörde über Jahre hinweg mehr als zwei Petabyte an Daten angehäuft haben – ohne saubere Rechtsgrundlage, ohne funktionierendes Rechtemanagement und am europäischen Datenschutzbeauftragten vorbei. Steiner ordnet ein, warum gerade jetzt, da die EU-Kommission Europol mit mehr Personal und Befugnissen ausstatten will, ein genauer Blick auf diese Praxis besonders wichtig ist.

Episode 159:

Hier geht es zu allen bisherigen Folgen:

(hob)

Der taiwanische Elektronikfertiger Foxconn hat am Dienstag einen Cyberangriff auf seine nordamerikanischen Werke bestätigt. Zuvor hatte die Ransomware-Bande Nitrogen den Konzern auf ihrer Leak-Seite gelistet und behauptet, umfangreiche Datenmengen erbeutet zu haben. Foxconn zählt zu den wichtigsten Zulieferern großer Hardwarehersteller wie Apple und Nvidia.

„Einige Werke von Foxconn in Nordamerika wurden Ziel eines Cyberangriffs“, teilte ein Sprecher des Unternehmens dem Magazin The Register mit. Das Cybersecurity-Team habe sofort die Notfallmechanismen aktiviert und mehrere Maßnahmen ergriffen, um Produktion und Lieferung aufrechtzuerhalten. Inzwischen nähmen die betroffenen Fabriken den Normalbetrieb wieder auf.

Angeblich 8 TByte Daten erbeutet

Die kriminellen Mitglieder von Nitrogen behaupten, sie hätten 8 TByte an Daten mit mehr als 11 Millionen Dateien aus dem Unternehmen abgezogen. Darunter befänden sich vertrauliche Anweisungen, interne Projektdokumente und technische Zeichnungen zu Vorhaben von Intel, Apple, Google, Dell und Nvidia. Foxconn wollte nicht bestätigen, ob tatsächlich Kundendaten in die Hände der Angreifer gelangten.

Nicht der erste Vorfall bei Foxconn

Für Foxconn ist es nicht die erste Begegnung mit Ransomware-Banden. 2024 meldete LockBit einen erfolgreichen Angriff auf Foxsemicon Integrated Technology, einen Hersteller von Halbleiteranlagen innerhalb der Foxconn Technology Group. Dieselbe Gruppe traf 2022 bereits eine Foxconn-Tochter in Mexiko.

Nitrogen treibt seit 2023 sein Unwesen. 2024 gelang es der Bande, Administratoren über täuschend echte Fake‑Webseiten zur Installation ihrer Malware zu verleiten. The Register vermutet, dass das Zahlen von Lösegeld wenig bringen könnte, denn Coveware-Forscher warnten bereits im Februar, dass ein Programmierfehler im Decryptor der Gruppe die Wiederherstellung verschlüsselter Dateien verhindert.

(ims)