Der Netzwerkausrüster Cisco hat mehrere Aktualisierungen zum Schließen von Sicherheitslücken veröffentlicht. Die schwerwiegendste erreicht die höchstmögliche Risikoeinstufung und betrifft Ciscos Secure Workload.

In der Sicherheitsmitteilung von Cisco erklären die Entwickler, dass es sich um eine Schwachstelle in internen REST-APIs handelt. Sie ermöglicht Angreifern aus dem Netz ohne vorherige Anmeldung, auf Ressourcen mit den Rechten der „Site Admin“-Rolle zuzugreifen (CVE-2026-20223, CVSS 10.0, Risiko „kritisch“). Aufgrund unzureichender Prüfung und mangelnder Authentifizierungschecks können Angreifer mit manipulierten API-Anfragen an verwundbare Endpunkte die Schwachstelle missbrauchen. Damit sind Lesezugriffe und Konfigurationsänderungen auch über Tenant-Grenzen hinweg möglich. Andere Gegenmaßnahmen als die bereitgestellten Updates nennt Cisco nicht. Die Versionen 3.10.8.3 sowie 4.0.3.17 und neuer von Cisco Secure Workload korrigieren die sicherheitsrelevanten Fehler. Wer noch ältere Fassungen einsetzt, muss auf diese Versionen migrieren.

Weitere Sicherheitslücken in Cisco-Produkten

Cisco hat zudem Mitteilungen zu Schwachstellen in weiteren Produkten herausgegeben. Eine Denial-of-Service-Lücke klafft in den Cisco-Nexus-Switches der 3000er- und 9000er-Baureihen, die nicht authentifizierte Angreifer aus dem Netz durch das Senden manipulierter BGP-Pakete auslösen können (CVE-2026-20171, CVSS 6.8, Risiko „mittel“). Zwar schreibt Cisco, die Lücke sei nicht in freier Wildbahn missbraucht worden, nennt jedoch Indizien für erfolgreiche Angriffe (Indicators of Compromise, IOC). In der BrowserBot-Komponente von Ciscos ThousandEyes Enterprise Agent können angemeldete Angreifer aus dem Netz beliebige Befehle im Namen des BrowserBot-„Synthetics Orchestration Prozesses“ ausführen lassen (CVE-2026-20206, CVSS 6.3, Risiko „mittel“). Cisco hat das Update zur Korrektur des Fehlers offenbar bereits automatisch verteilt, die Entwickler schreiben, dass Kunden nichts weiter machen müssen. In der ThousandEyes Virtual Appliance konnten angemeldete Angreifer zudem aufgrund einer Schwachstelle im Zertifikat-Handling beliebige Befehle als root im zugrundeliegenden Betriebssystem ausführen (CVE-2026-20199, CVSS 4.7, Risiko „mittel“). Das Update auf Version 0.262.0 oder neuer bessert die Schwachstelle aus.

IT-Verantwortliche sollten mit dem Anwenden der Aktualisierungen nicht zu lange warten. In der vergangenen Woche etwa wurden Angriffe auf eine kritische Schwachstelle in Ciscos Catalyst SD-WAN-Controllern bekannt – Sicherheitslücken in den Netzwerkprodukten auch von Cisco stehen bei Cyberkriminellen hoch im Kurs.

(dmk)

Die US-amerikanische IT-Sicherheitsbehörde CISA warnt vor aktuell beobachteten Angriffen auf die Anti-Malware-Lösung Trend Micro Apex One sowie auf das KI-Programmiertool Langflow. Updates zum Schließen der attackierten Sicherheitslücken sind verfügbar. Admins sollten sie rasch anwenden.

In der Sicherheitswarnung nennt die CISA keine weitergehenden Details, etwa zu Art und Umfang der Angriffe. Sie benennt jedoch die Schwachstellen, die Kriminelle missbrauchen. In Langflow handelt es sich um eine verkettete Schwachstelle, die die Übernahme von Konten und das Ausführen von Schadcode aus dem Netz ermöglicht (CVE-2025-34291, CVSS4 9.4, Risiko „kritisch“). Langflow bis einschließlich Version 1.6.9 ist davon betroffen, aktuell ist zum Meldungszeitpunkt Stand 1.9.3, auf das IT-Verantwortliche migrieren sollten.

Die unter Beschuss stehende Schwachstelle in Trend Micros Apex One schließen die Updates aus dem Mai, die der Hersteller am Donnerstag dieser Woche veröffentlicht hat. In den Versionsnotizen erklärt Trend Micro, dass mindestens in einer Instanz ein aktiver Exploit einer der damit geschlossenen Sicherheitslücken in freier Wildbahn beobachtet wurde. Die konkrete Lücke ist eine Directory-Traversal-Schwachstelle in Apex One Server. Angreifer mit lokalem Zugriff können einen Wert auf dem Server verändern und damit bösartigen Code einschleusen, der auf Agents betroffener Installationen verteilt wird (CVE-2026-34926, CVSS 6.7, Risiko „mittel“). Die Updates stopfen dieses und sieben weitere hochriskante Sicherheitslecks.

Updates umgehend installieren

Da die Lücken bereits angegriffen werden, sollten Admins die Aktualisierungen umgehend anwenden. Weder CISA noch die Hersteller der betroffenen Produkte nennen jedoch Hinweise auf erfolgreiche Angriffe (Indicators of Compromise, IOC), anhand derer IT-Verantwortliche ihre Systeme überprüfen könnten.

Am Donnerstag dieser Woche warnte die CISA vor sieben angegriffenen Sicherheitslücken etwa in alten, schon lange nicht mehr unterstützten Microsoft-Produkten.

(dmk)

Der US-Bundesstaat Texas hat wegen der unbelegten Behauptung, dass Angestellte von Meta verschlüsselte Inhalte bei WhatsApp einsehen können, Klage gegen den US-Konzern eingereicht. Das hat Attorney General Ken Paxton öffentlich gemacht und erklärt, dass Zusicherungen, die Kommunikation auf WhatsApp sei vollkommen privat und unzugänglich, „offensichtlich falsch“ seien. In der Klageschrift wird behauptet, WhatsApp habe ganz im Gegenteil Zugriff auf „praktisch alle“ angeblich privaten Inhalte. Gestützt wird die Behauptung auf Schlussfolgerungen eines Ermittlers des US-Handelsministeriums, der genau das herausgefunden haben will. Belege dafür gibt es aber nicht und Experten haben die Vorwürfe längst in Zweifel gezogen. Meta hat ihnen ebenfalls widersprochen.

Grundlage der Klage ist primär die Aussage eines Sonderermittlers, der für das US-Handelsministerium im vergangenen Jahr Hinweisen nachgegangen war, dass Meta verschlüsselte WhatsApp-Inhalte einsehen kann. Dem lagen Aussagen von Ex-Angestellten und Angaben eines Whistleblowers zugrunde, hat Bloomberg berichtet. Ende April waren die Ermittlungen aber abrupt eingestellt worden, angeblich auf Anweisung aus der Führungsebene. Deshalb sei unklar, welche Beweise im Rahmen der Ermittlungen gesammelt wurden. Laut dem Finanznachrichtendienst haben aber zwei befragte Personen behauptet, bei ihrer Arbeit zur Inhaltsmoderation für einen Auftragnehmer breiten Zugang zu WhatsApp-Nachrichten gehabt zu haben.

Hintertür nicht geheimzuhalten

Die Glaubwürdigkeit dieser Aussagen wurde damals aber schon stark angezweifelt. So hat der ehemalige Sicherheitschef von Meta, Alex Stamos, sie als „fast sicher falsch“ bezeichnet, zitierte Bloomberg. Zwar könne er nicht mehr persönlich die Hand für Inhalte des Codes von WhatsApp ins Feuer legen, aber eine dafür nötige Hintertür hätte seit Jahren bestehen müssen und würde auf Android oder iOS heruntergeladen werden. Dort wäre sie von Sicherheitsforscherinnen und Sicherheitsforschern leicht zu finden. Zudem wäre solch eine Hintertür ein enorm lohnendes Einfallstor, das Meta niemals für Auftragnehmer offenlassen würde.

In einem ausführlichen Blogeintrag im Februar hat der renommierte Sicherheitsforscher Matthew Green die Vorwürfe auseinandergenommen und erklärt, dass die Ende-zu-Ende-Verschlüsselung von WhatsApp und anderen Messengern prinzipiell auf dem Endgerät stattfinden muss. Jede Hintertür müsste deshalb genau dort eingebaut sein und WhatsApp würde deshalb erwischt werden. Mit an Sicherheit grenzender Wahrscheinlichkeit wäre sie im Code zu finden und das würde WhatsApp und Meta „neuen, spannenden Formen des Ruins aussetzen“. Er meint, dass die Behauptungen womöglich auf einem Missverständnis beruhen: Wer Meta Inhalte meldet, etwa wegen Belästigung, übermittelt diese im Klartext. Deshalb können Moderatorinnen und Moderatoren die zu sehen bekommen.

Ken Paxton sieht das nun anders und erklärt, mit der Klage solle sichergestellt werden, dass WhatsApp seine Nutzer nicht in die Irre führt. Der Politiker aus der Partei der Republikaner befindet sich mitten im Vorwahlkampf für einen Sitz im US-Senat, in wenigen Tagen gibt es dabei eine Stichwahl. Schon im Februar hat er mit einer Klage gegen TP-Link für Aufsehen gesorgt. Darin hat er dem Routerhersteller neben irreführender Werbung vorgeworfen, der Kommunistischen Partei Chinas Zugriff auf Geräte in US-amerikanischen Wohnungen zu ermöglichen. Ein Sprecher von Meta hat die jetzt erhobenen Vorwürfe kategorisch zurückgewiesen und versichert, dass man sich vor Gericht verteidigen werde. Die Klage mit dem Aktenzeichen 26-0393 wurde in Harrison County in Texas eingereicht.

(mho)