Die Entwickler der In-Memory-Datenbank Redis haben eine Sicherheitslücke darin geschlossen. Sie ermöglicht Angreifern, beliebigen Schadcode auszuführen.

Im Github-Repository von Redis findet sich ein Schwachstelleneintrag, der die Sicherheitslücke erörtert. Demnach können Nutzerinnen und Nutzer den Befehl XACKDEL mit mehreren IDs aufrufen und dadurch einen Stack-basierten Pufferüberlauf auslösen. Das wiederum kann zur Ausführung von zuvor eingeschleustem Code führen (CVE-2025-62507, CVSS zwischen 7.7 und 9.8, Risiko „hoch“ bis „kritisch„). Das Problem liegt darin, dass der Redis-Code den Fall nicht abfängt, wenn die Anzahl an IDs über die STREAMID_STATIC_VECTOR_LEN hinausgeht. Dadurch überspringt er eine Reallokation, die schließlich in den Stack-basierten Pufferüberlauf mündet.

Redis-Lücke: Unklare Risikoeinstufung

Die Redis-Entwickler rechnen einen CVSS4-Wert von 7.7 aus, was einem hohen Risiko entspricht. Die SUSE-Maintainer kommen hingegen auf CVSS4 9.3 respektive CVSS3.1 9.8, beides der Risikostufe „kritisch“ entsprechend.

Das Problem tritt ab Redis 8.2 auf. Die Version 8.2.3 und neuere enthalten den Fehler hingegen nicht mehr. Admins, die Redis einsetzen, sollten auf diese oder neuere Fassungen der Datenbank aktualisieren. Wer das Update noch nicht durchführen kann, sollte temporäre Gegenmaßnahmen einleiten. Die Redis-Programmierer erklären, dass Nutzerinnen und Nutzer von der Ausführung des anfälligen Befehls XACKDEL ausgeschlossen werden können. Dazu lässt sich der Zugriff auf den Befehl mittels ACL (Access Control List) beschränken.

Vor rund vier Wochen haben die Programmierer bereits eine als kritisches Risiko eingestufte Sicherheitslücke in Redis geschlossen. Mit sorgsam präparierten LUA-Skripten war es möglich, eine Use-after-free-Situation zu provozieren und dabei eingeschleusten Programmcode auszuführen. Das hat die Vorversion 8.2.2 von Redis korrigiert.

(dmk)

Cyberkriminelle unterwandern die IT von Logistikunternehmen und stehlen deren Fracht. Darauf sind nun IT-Sicherheitsforscher gestoßen. Es handelt sich um ein Multi-Millionen-Geschäft für die Täter. Die zunehmende Vernetzung im Internet der Logistiker führt demnach zu einer Zunahme von Netz-basiertem physischem Diebstahl.

Das erklären IT-Sicherheitsforscher von Proofpoint in einem Blog-Beitrag. Angreifer kompromittieren die Logistiker und nutzen den IT-Zugang, um auf Frachttransporte zu bieten, die Ladung dann zu stehlen und sie zu verkaufen. Eine Auffälligkeit ist demnach, dass die Akteure „Remote Monitoring and Management (RMM)“-Werkzeuge installieren, was allgemein ein Trend in der Bedrohungslandschaft ist, dem Cyberkriminelle als ersten Schritt nach Einbruch in die IT von Unternehmen derzeit folgen.

Vom IT-Einbruch zum physischen Diebstahl

Proofpoints Analysten haben ihre eigenen Beobachtungen mit öffentlich zugänglichen Informationen angereichert und kommen dadurch zu der Erkenntnis, dass die Bedrohungsakteure mit Gruppen des organisierten Verbrechens zusammenarbeiten, um Einrichtungen des Transportwesens zu kompromittieren. Im Speziellen haben sie Fracht-Fernverkehr und Fracht-Makler im Visier, um Frachtladungen zu entführen und damit physische Güter zu stehlen. „Die gestohlene Fracht wird höchstwahrscheinlich online verkauft oder nach Übersee verschifft“, erklären die IT-Analysten. Diese Straftaten können massive Einschränkungen in Lieferketten verursachen und Unternehmen Millionen kosten. Die Täter stehlen dabei alles vom Energy-Drink bis zu Elektronik.

Bei den beobachteten Angriffskampagnen haben die Täter versucht, Unternehmen zu infiltrieren und die betrügerischen Zugänge zum Bieten auf das Verfrachten von echten Gütern zu nutzen, um diese am Ende zu stehlen. Laut der Analyse beträgt der jährliche Schaden 34 Milliarden US-Dollar. Allerdings sind nicht nur die USA betroffen. Proofpoint nennt Zahlen von Munich Re, wonach globale Diebstahl-Schwerpunkte Brasilien, Chile, Deutschland, Indien, Südafrika und die USA umfassen. Zumeist sind Transporte von Nahrungsmitteln und Getränken im Visier der Kriminellen. IT-gestützter Diebstahl ist demnach eine der häufigsten Formen des Frachtdiebstahls und basiert auf Social Engineering und Kenntnissen über die Funktionsweise der Lkw- und Transportbranche.

Aktuelle Kampagne

Die nun beobachteten Fälle fingen mindestens im Juni dieses Jahres an, wobei es Hinweise darauf gibt, dass die Kampagnen der Gruppierung bereits im Januar anfingen. Die Angreifer haben eine Reihe von RMM-Tools einschließlich ScreenConnect, SimpleHelp, PDQ Connect, Fleetdeck, N-able und LogMeIn Resolve installiert, wobei diese oftmals zu zweit eingesetzt wurden: So sei PDQ Connect dabei beobachtet worden, ScreenConnect und SimpleHelp herunterzuladen und zu installieren. Es ist den Kriminellen also wichtig, sich nachhaltig in die kompromittierten Netzwerke einzunisten.

Nach diesem initialen Zugriff forschen die Angreifer die Netzwerke aus und verteilen etwa Werkzeuge zum Mitschneiden von Zugangsdaten wie WebBrowserPassView. Die Täter scheinen über Kenntnisse zu Software, Dienstleistungen und Richtlinien rund um die Funktionsweise der Frachtlieferkette zu verfügen. Die Aktivitäten zielen offenbar darauf ab, Zugriff auf die Einrichtungen zu erlangen und Informationen zu stehlen. Die RMM-Tools helfen dabei, unter dem Radar zu fliegen und unbemerkt zu bleiben.

Die Proofpoint-Analyse zeigt noch Details zu Angriffen mittels Social-Engineering in E-Mails und nennt am Ende einige Indizien für Infektionen (Indicators of Compromise, IOCs). Insbesondere Frachtunternehmen sollten um diese Angriffe wissen und die Vorgehensweise der Täter kennen. Außerdem empfiehlt Proofpoint, IT-Sicherheitsmaßnahmen einzurichten, um erfolgreiche Angriffe zu verhindern.

Das Problem ist bislang weniger im Rampenlicht. Häufiger finden sich hingegen Meldungen etwa von Cyberattacken auf die Logistik-Branche, die zu Einschränkungen im Güterverkehr führen. Etwa Ende 2023 führte ein Cyberangriff auf Häfen in Australien dazu, dass keine Container verladen werden konnten. 30.000 Waren zwischenzeitlich dort gestrandet.

(dmk)

Im Juli dieses Jahres hat das Pentagon einen 10-Millarden-Dollar-Vertrag mit dem Unternehmen Palantir abgeschlossen. Für die Wirtschafts- und Sozialwissenschaftlerin Francesca Bria haben die USA damit zentrale militärische Funktionen an ein privates Unternehmen übergeben, dessen Gründer Peter Thiel erklärt hat, dass „Freiheit und Demokratie nicht mehr miteinander vereinbar sind“.

Ausgehend von diesem Deal zeichnet Bria, die sich zuletzt eingehend mit der Frage nach digitaler Souveränität in Europa beschäftigt hat, ein düsteres Bild auch für die politische Zukunft Europas. In den USA habe sich ein „Authoritarian Stack“ gebildet, der eine Infrastruktur der Kontrolle aufbaue – und zwar in den Bereichen Cloud, KI, Finanzen, Drohnen und Satelliten, schreibt sie. Es entstünde ein Bereich, in dem nicht die allgemeinen Gesetze gelten, sondern Unternehmensvorstände die Regeln festlegen würden.

Auf der englischsprachigen Webseite authoritarian-stack.info zeigen Wissenschaftler:innen jetzt die personellen und finanziellen Verbindungen hinter dem „Authoritarian Stack“ auf – und warnen davor, das Modell nach Europa zu exportieren. Das Projekt kartiert mit interaktiven Grafiken ein Netzwerk aus Unternehmen, Fonds und politischen Akteuren, die zentrale staatliche Funktionen in private Plattformen umwandeln. Es basiert auf einem Open-Source-Datensatz mit über 250 Akteuren, Tausenden von verifizierten Verbindungen und dokumentierten Finanzströmen in Höhe von 45 Milliarden US-Dollar.

„Systematische Auslagerung der europäischen Souveränität“

Dieses Netzwerk teilen die Wissenschaftler:innen auf in die Bereiche Unternehmen, Staat, Risikokapital und Ideologie und zeigen die Querverbindungen zwischen diesen Bereichen. Dabei nimmt das Projekt auch europäische Verstrickungen zum Authoritarian Stack ins Visier, zum Beispiel die Verbindung von Springer-Chef Mathias Döpfner zu Peter Thiel, die Verbindungen von deutschen Landespolizeien zu Palantir oder die von Rheinmetall zum Rüstungskonzern Anduril. In der interaktiven Grafik lässt sich per Schieberegler die europäische Perspektive anzeigen.

Francesca Bria warnt angesichts der Erkenntnisse deutlich, dass Europa vor einer existenziellen Entscheidung stehe: „Entweder jetzt echte technologische Souveränität aufbauen oder die Herrschaft von Plattformen akzeptieren, deren Architekten Demokratie als veraltetes Betriebssystem betrachten“, heißt es auf der Seite. Derzeit verfolge Europa eine „systematische Auslagerung der europäischen Souveränität an amerikanische Oligarchen“, die sich mit jedem Vertrag vertiefe und irgendwann unumkehrbar werde.