Um Netzwerke vor möglichen Attacken zu schützen, müssen Admins die IT-Sicherheitslösungen Spark Firewall und Security Gateways von Check Point auf den aktuellen Stand bringen.

Verschiedene Gefahren

Insgesamt haben die Entwickler vier Softwareschwachstellen geschlossen. Drei davon (CVE-2026-48131, CVE-2026-48132, CVE-2026-48133) sind mit dem Bedrohungsgrad „hoch“ eingestuft. In zwei Fällen können Angreifer durch das Versenden von präparierten Datenpaketen VPN-Verbindungen terminieren. Weitere Informationen finden Admins in den unterhalb dieser Meldung verlinkten Warnmeldungen.

Wenn im Kontext der Browser-basierten Authentifizierung die Funktion Identity Awareness aktiv ist, können Angreifer ohne Authentifizierung interne Dateien von Security Gateway einsehen. Von den Sicherheitslücken sind konkret diese Check-Point-Produkte betroffen:

• Spark Firewall (EOS), R81.10 (EOS), R81.10.X, R81.20, R82, R82.00.X, R82.10
• Security Gateway R77.20 (EOS), R77.30 (EOS), R80.10 (EOS), R80.20 (EOS), R80.20.X (EOS), R80.30 (EOS), R80.40 (EOS), R81

Sicherheitsupdates

Bislang gibt es keine Hinweise auf Attacken. Admins sollten sicherstellen, dass mindestens eine der folgenden Versionen installiert ist:

• Spark Firewalls R81.10.17 – sk183153, R82.00.10 – sk184357
• Security Gateways Jumbo Hotfix Accumulator for R82.10 starting from Take 19, Jumbo Hotfix Accumulator for R82 starting from Take 103, Jumbo Hotfix Accumulator for R81.20 starting from Take 141

Warnmeldungen:

Derartige Lücken stellen eine reale Gefahr für das Netzwerk dar. Cyberkriminelle nutzen sie auch bei Checkpoint-Geräten öfter aus, um sich unbefugt Zugang zu den eigentlich geschützten Netzwerken verschaffen.

(des)

Eine Sicherheitslücke betrifft das PAN-OS-Betriebssystem von Palo Alto Networks. Sie ermöglicht Angreifern die Umgehung von Sicherheitsmaßnahmen – und wird inzwischen in freier Wildbahn angegriffen.

Davor warnt die US-amerikanische Cybersicherheitsbehörde CISA aktuell. Dort finden sich keine weiteren Hinweise außer der Schwachstellennummer CVE-2026-0257. Die Sicherheitslücke hat Palo Alto Mitte Mai gemeldet und den Eintrag zum Wochenende aktualisiert. Demnach können Angreifer im GlobalProtect-Portal und -Gateway von PAN-OS die Authentifizierung umgehen, somit Sicherheitsmaßnahmen umgehen und unbefugt VPN-Verbindungen aufbauen (CVE-2026-0257, CVSS4 7.8, Risiko „hoch“). Palo Alto ordnet die Dringlichkeit jedoch als „höchste“ ein.

Nicht alle Konfigurationen sind verwundbar. Im GlobalProtect-Portal oder -Gateway muss dafür die Option „Authentication override Cookies“ aktiviert sein. Palo Alto erwähnt nicht, ob diese Option standardmäßig aktiv ist, sondern empfiehlt IT-Verantwortlichen, die Einstellung zu prüfen. Die Aktualisierung des Eintrags umfasst nun den Hinweis, dass Palo Alto Networks von begrenzten Angriffsversuchen auf ungepatchte PAN-OS-Geräte mitbekommen habe. Betroffen sind die Versionszweige PAN-OS 10.2, 11.1, 11.2 und 12.1 sowie Prisma Access 10.2 und 11.2; für diverse Unterversionen stellt Palo Alto Aktualisierungen bereit.

Details zu Angriffsversuchen

In einem Blogbeitrag liefert Rapid7 jedoch eine Analyse von beobachteten Angriffen. Demnach haben die IT-Forscher des IT-Sicherheitsunternehmens bereits ab dem 17. Mai erste Angriffsversuche auf die Schwachstelle beobachtet. Sie haben eine Alarmmeldung „Suspicious VPN Authentication – Local Account Logon via Generic Non-Human Identity“ erhalten und untersucht. Bei mehreren betroffenen Kunden war als Gemeinsamkeit feststellbar, dass der Cloud Authentication Service (CAS) deaktiviert sowie die Authentication override Cookies aktiviert waren. Eine zweite Angriffswelle fand am 21. Mai statt, die Rapid7 denselben Angreifern zuordnet wie die erste Welle, basierend auf beobachteten Host-IDs. Die zweite Angriffswelle führte zu VPN-Zugriffen mit IP-Adressvergabe und in der Folge Zugriffen auf interne Netzwerke. Interessierte finden im Blogbeitrag tiefergehende Informationen sowie Hinweise auf erfolgreiche Angriffe (Indicators of Compromise, IOC).

IT-Verantwortliche sollten zügig die verfügbaren Updates installieren und gegebenenfalls ihre Systeme auf die IOCs abprüfen. Lücken in den Geräten des Netzwerkausrüsters Palo Alto sind oft interessant für Cyberkriminelle, da sie in der Regel Zugang zu Netzwerken ermöglichen. Etwa Anfang Mai haben Angreifer eine andere PAN-OS-Lücke attackiert. Die Updates zum Schließen des Sicherheitslecks standen noch aus.

(dmk)

Wenn von staatlicher Überwachungssoftware die Rede ist, fallen meist Namen wie Pegasus, Predator oder Paragon (Graphite)). Diese hochentwickelten Werkzeuge kosten Millionen und nutzen unbekannte Sicherheitslücken in Form von Zero-Day-Exploits, um Smartphones völlig ohne Zutun der Betroffenen zu infizieren. Doch diese High-End-Produkte bilden nur die Spitze des Eisbergs. Abseits des Rampenlichts hat sich in Europa ein paralleler, weitaus billigerer Markt etabliert.

Eine Untersuchung der NGO Osservatorio Nessuno und der Dachvereinigung European Digital Rights (EDRi) beleuchtet die Schattenwelt der Low-Cost-Spyware in Italien. Hier existieren Dutzende kleinerer Überwachungsfirmen, die maßgeschneiderte Trojaner für Ermittlungsbehörden entwickeln. Recherchen des Mediennetzwerks IrpiMedia zeigen, dass italienische Staatsanwaltschaften teils nur ein paar Dutzend Euro pro Überwachungstag zahlen. In diesem Niedrigpreissegment sind teure Sicherheitslücken gar nicht notwendig. Stattdessen setzen die Anbieter auf psychologische Tricks und Social Engineering, um Zielgeräte zu kapern.

Ein reales Szenario verdeutlicht das Vorgehen dieser günstigen Spione. Plötzlich verliert die Zielperson den Mobilfunkempfang. Unmittelbar danach trifft eine SMS ein, die scheinbar vom Mobilfunkanbieter stammt. Sie fordert den Nutzer dazu auf, ein angeblich dringendes Update zu installieren, um den Dienst wiederherzustellen. Der beigefügte Link führt auf eine echt wirkende Phishing-Seite im Namen des Providers. Dort wird das Opfer dazu verleitet, eine manipulierte Android-Anwendungsdatei (APK) herunterzuladen, bei der es sich um eine präparierte Kopie der regulären App handelt.

Sobald die Installation abgeschlossen ist, beginnt das Programm mit der Datenspionage. Damit die Täuschung funktioniert, greifen die Überwacher auf die Schützenhilfe der Internetanbieter zurück. Auf Anfrage von Justiz oder Strafverfolgern drosseln die Provider gezielt die Verbindung des Betroffenen, um den Vorwand der SMS glaubwürdig erscheinen zu lassen. Einmal auf dem Telefon aktiv, missbrauchen diese Anwendungen die Android-Barrierefreiheitsdienste, verknüpfen unbemerkt WhatsApp-Sitzungen mit externen Geräten, deaktivieren lokale Antivirenprogramme und unterdrücken standardmäßige Warnhinweise, die den Zugriff auf Mikrofon oder Kamera anzeigen.

Günstige Schadprogramme im Dauereinsatz

Osservatorio Nessuno hat zwei bisher kaum bekannte Produkte beleuchtet. Das Schadprogramm Morpheus, das mit der Firma IPS Intelligence in Verbindung gebracht wird, überlistet Opfer gezielt bei der Nutzung von WhatsApp. Es blendet eine gefälschte biometrische Abfrage ein. Diese legt sich exakt über die originale Aufforderung zur Geräteverknüpfung, wodurch die Angreifer Zugriff auf das Chat-Konto erlangen.

Ähnlich agiert der Staatstrojaner Spyrtacus, den das Unternehmen SIO entwickelt und vertreibt. Durch den Missbrauch von Bedienungshilfen fertigt dieser Screenshots an, schneidet Sprachanrufe mit und exportiert Chatverläufe. Das Werkzeug befindet sich laut dem Bericht bereits seit Jahren im Dauereinsatz und wird regelmäßig durch Updates aktualisiert. Um die Infrastruktur aufrechtzuerhalten und die Spionagesoftware unentdeckt verteilen zu können, nutzen Anbieter systematisch Schein- und Briefkastenfirmen. Manche dieser Konstrukte dienen dazu, die Schad-Apps als legitime Anwendungen in den offiziellen Google Play Store einzuschleusen.

Angetrieben wird diese florierende Industrie durch die hohe staatliche Nachfrage in Italien. Statistiken des Justizministeriums belegen, dass Staatsanwälte allein 2024 rund 5200 Trojaner-Infektionen autorisierten. Dieses Volumen übersteigt die Zahlen anderer EU-Länder bei Weitem und hat die Kompromittierung digitaler Endgeräte zu einer Routine-Ermittlungsmethode werden lassen.

Nach einer Entdeckung ist es für Betroffene, Rechtsanwälte oder unabhängige IT-Forensiker unmöglich herauszufinden, welches Unternehmen die Software bereitstellte, welche Behörde sie einsetzte und ob überhaupt ein gültiger Beschluss vorlag.

Grundrechte untergraben, EU in der Pflicht

Dieses System verlangt nach immer mehr Daten. Strafverfolger fordern massenhafte Infektionen zum kleinsten Preis, was zu einer Normalisierung des unbegrenzten Zugriffs auf die Privatsphäre führt. Ob der Einbruch über hochentwickelte Zero-Click-Lücken, manipulative Täuschung oder physische Installation erfolgt, wie es bei Stalkerware geschieht, macht für das Opfer keinen Unterschied. Jede Spyware bricht die Vertraulichkeit digitaler Geräte und extrahiert Fotos, Passwörter, Standorte sowie private Nachrichten.

EDRi gibt zu bedenken, dass solche Instrumente unvereinbar mit den EU-Grundrechten sowie den Prinzipien der Verhältnismäßigkeit und Notwendigkeit seien. Die Verantwortung für die unkontrollierte Verbreitung liege auch bei der EU-Kommission, deren Untätigkeit den Markt begünstige. Die Entwicklung und der Handel in Europa seien kaum reguliert, Binnenmarktregeln erlaubten den grenzüberschreitenden Vertrieb. Die EU fungiere so als globaler Knotenpunkt für Überwachungstechnologie, die weltweit zu Menschenrechtsverletzungen beitrage.

Eine wachsende Koalition aus Zivilgesellschaft und Journalistenverbänden ruft daher nach einem vollständigen EU-weiten Verbot kommerzieller Spyware. Nötig seien auch strikte Transparenzpflichten für die Mitgliedstaaten.

(nen)