Am Mittwoch wurde bekannt, dass Schwachstellen in den Netscalern (ADC und Gateways) von Citrix angegriffen werden, die bereits als „Citrix Bleed 3“ tituliert werden. Die Shadowserver Foundation hat am Mittwoch Zahlen veröffentlicht, denen zufolge weltweit am Dienstag noch mehr als 28.000 Systeme für die Lücke „Citrix Bleed 3“ verwundbar sind. Angreifer können darauf vermutlich die Schwachstellen missbrauchen.

Die IT-Forscher der Shadowserver Foundation haben ihr Ergebnis für den Dienstag, den 26.08.2025, auf X veröffentlicht. Mehr als 28.200 verwundbare Instanzen für Citrix Bleed 3 (CVE-2025-7775) zählten sie da, auf Platz 1 die USA mit mehr als 10.000 Systemen, an zweiter Stelle Deutschland mit mehr als 4.300 anfälligen Netscalern.

Die Citrix-Netscaler-Systeme sind mit hoher Wahrscheinlichkeit für die am Mittwoch gemeldeten Schwachstellen CVE-2025-7775 (CVSS4 9.2, Risiko „kritisch„), CVE-2025-7776 mit CVSS 8.8 und Risiko „hoch“ sowie CVE-2025-8424 (CVSS4 8.7, Risiko „hoch„) anfällig. Für die stehen erst seit Dienstag dieser Woche Aktualisierungen bereit, die die sicherheitsrelevanten Fehler beseitigen. Als Einschränkungen für die Verwundbarkeit nennt Citrix:

• NetScaler muss als Gateway konfiguriert sein – das trifft wohl für die Mehrzahl der Geräte zu,
• oder die NDcPP-/FIPS-zertifizierte Version muss Loadbalancing-Dienste für HTTP/QUIC in IPv6 anbieten,
• oder NetScaler ist als virtueller CR-Server (Cache Redirection) vom Typ HDX konfiguriert.

Angriffe laufen, Updates installieren

IT-Verantwortliche sollten aufgrund der laufenden Attacken ihre Netscaler-Systeme rasch auf den aktuellen Stand bringen. Die Fehler korrigieren die Fassungen:

• NetScaler ADC and NetScaler Gateway 14.1 14.1-47.48
• NetScaler ADC and NetScaler Gateway 13.1 13.1-59.22
• NetScaler ADC 13.1-FIPS and NDcPP 13.1-37.241-FIPS and NDcPP
• NetScaler ADC 12.1-FIPS and NDcPP 12.1-55.330-FIPS and NDcPP

sowie neuere Versionen der Software.

Admins können gegebenenfalls prüfen, ob sie verwundbar sind, indem sie die „ns.conf“-Datei auf ihren Netscalern auf das Vorhandensein der Bedingungen für eine Verwundbarkeit prüfen. Citrix erklärt im zugehörigen Support-Artikel, wie IT-Verantwortliche das anstellen können.

(dmk)

WhatsApp hat eine KI-gestützte Schreibhilfe namens „Writing Help“ veröffentlicht. Um dem Ruf als „Datenkrake“ entgegenzuwirken, will der Mutterkonzern Meta die Verarbeitung privater Nachrichten mit einem außergewöhnlich hohen technischen Aufwand absichern. Zwei parallel veröffentlichte Sicherheitsaudits zeigen jedoch, dass die dafür entwickelte Architektur „Private Processing“ anfangs erhebliche und teils gravierende Schwachstellen aufwies.

Mit „Writing Help“ will WhatsApp seinen Nutzern künftig beim Formulieren von Nachrichten helfen. Eine solche Funktion wirft unweigerlich die Frage auf, wie die Inhalte privater Ende-zu-Ende-verschlüsselter Chats verarbeitet werden, ohne die Vertraulichkeit zu gefährden.

Metas Antwort darauf ist die seit Längerem entwickelte Architektur „Private Processing“. Laut dem Konzern soll diese technisch sicherstellen, dass niemand – nicht einmal Meta-Mitarbeiter – auf die verarbeiteten Nachrichten zugreifen kann. Das System basiert laut Meta auf mehreren Säulen:

• Anonymisierte Anfragen: Bevor eine Anfrage die Server von Meta erreicht, wird die Identität des Nutzers durch das Oblivious-HTTP-Protokoll (OHTTP) über einen externen Relay-Dienst verschleiert.
• Isolierte Verarbeitung: Die eigentliche KI-Analyse findet in einer abgeschirmten Trusted Execution Environment (TEE) statt.
• Stateless Processing: Die Nachrichten werden nur für die Dauer der Verarbeitung im flüchtigen Speicher gehalten und danach umgehend wieder gelöscht.

Audits zeigten Schwachstellen auf

Um die Sicherheit dieses komplexen Systems zu belegen, beauftragte Meta die Firmen NCC Group (PDF) und Trail of Bits (PDF) mit unabhängigen Prüfungen. Die Berichte, die insgesamt 49 Schwachstellen (21 von NCC, 28 von Trail of Bits) auflisten, wurden veröffentlicht und zeichnen ein klares Bild: Der Ansatz ist ambitioniert, war aber zum Zeitpunkt der Audits alles andere als sicher.

Beide Sicherheitsteams identifizierten unabhängig voneinander mehrere kritische Designfehler, die laut Meta inzwischen behoben wurden:

• Gefahr der Deanonymisierung: Sowohl NCC als auch Trail of Bits fanden heraus, dass die für die Anonymisierung (OHTTP) nötigen Schlüsselkonfigurationen anfangs direkt von Meta-Servern an die Clients ausgeliefert wurden. Dies hätte es Meta ermöglicht, die Anonymität gezielt aufzuheben und Anfragen einzelnen Nutzern zuzuordnen.
• Fehlende „Frische-Garantie“: Beide Audits bemängelten, dass keine Mechanismen zur Überprüfung der Aktualität der TEE-Software – für die Trusted Execution Environment – existierten. Ein Angreifer hätte eine einmal als sicher zertifizierte, aber später als verwundbar erkannte Software-Version unbegrenzt weiter nutzen können, um Nutzer anzugreifen.
• Mangelnde Hardware-Bindung: Trail of Bits stellte zudem fest, dass die Attestierung nicht an spezifische, von Meta kontrollierte CPUs gebunden war. Ein Angreifer hätte eine beliebige, anderswo kompromittierte SEV-SNP-CPU nutzen können, um das System zu täuschen.

Die NCC Group fand auch unnötige Netzwerkschnittstellen in den geschützten VMs, die ein kompromittierter Host-Server zur Daten-Exfiltration hätte nutzen können. Trail of Bits entdeckte zudem die Möglichkeit der Code-Injection durch Umgebungsvariablen und eine anfänglich komplett fehlende Sicherheitsüberprüfung der NVIDIA-GPUs, die für die KI-Berechnungen eingesetzt werden.

Vertrauen weiterhin Grundvoraussetzung

Laut den Berichten hat Meta die meisten der kritischen Schwachstellen vor dem Start der Funktion behoben. Beide Audits kommen zu einem ähnlichen Schluss: Trotz der ausgeklügelten Technik hängt die Sicherheit von „Private Processing“ letztlich von Vertrauensannahmen ab. Nutzer müssen darauf vertrauen, dass Meta nicht mit seinen Infrastruktur-Partnern (wie Fastly und Cloudflare) konspiriert oder die nicht quelloffenen Teile des Systems und die als Binärdateien ausgelieferten Images keine versteckten Hintertüren enthalten.

Beide Berichte empfahlen Meta dringend, auf vollständige Reproduzierbarkeit der Builds aus Open-Source-Code hinzuarbeiten, um eine echte, unabhängige Überprüfung durch die Öffentlichkeit zu ermöglichen. Sein Bug-Bounty-Programm betreibt Meta bereits seit 2011.

(mack)

Online-Kriminelle haben mit Künstlicher Intelligenz eine mächtige neue Waffe bekommen. So wurde der KI-Chatbot Claude der Entwicklerfirma Anthropic bereits verwendet, um in Netzwerke einzudringen, Daten zu erbeuten und sie auszuwerten. Zudem hätten die Angreifer die Software benutzt, um „psychologisch zielgerichtete“ Erpressungsnachrichten an die Opfer zu schreiben, berichtete Anthropic. Der Angreifer habe damit gedroht, gestohlene Informationen zu veröffentlichen, und zum Teil mehr als 500.000 Dollar von den Betroffenen verlangt.

Cyberangriff im Alleingang dank KI

Ziel der automatisierten Attacke seien allein im vergangenen Monat 17 Unternehmen und Organisationen aus Bereichen wie Gesundheitswesen, Regierung und Religion geworden, hieß es. Claude habe dabei zum Beispiel nach Schwachstellen gesucht sowie bei der Entscheidung geholfen, wie ein Netzwerk am besten angegriffen werden kann und welche Daten entwendet werden sollten.

Üblicherweise hätte man für eine solche Aktion ein Team aus Experten gebraucht, sagte der zuständige Anthropic-Manager Jacob Klein dem Tech-Blog „The Verge“. Nun könne das eine Person mit Hilfe Künstlicher Intelligenz bewerkstelligen. Neuere KI-Systeme können auch als „Agenten“ im Auftrag von Nutzern agieren und weitgehend eigenständig Aufgaben für die erledigen.

Nordkoreaner machten Homeoffice für US-Firmen

Anthropic listete in einem ausführlichen Papier auch weitere Fälle auf, in denen Claude für Online-Kriminalität missbraucht wurde. So sei der Chatbot zum Einsatz gekommen, als sich Nordkoreaner Homeoffice-Jobs als Programmierer in US-Unternehmen erschlichen, um Geld für die Regierung reinzuholen. Sie hätten sich dabei auf die KI-Software verlassen, um mit ihren Arbeitgebern zu kommunizieren – und auch um ihre Aufgaben zu erledigen. Dabei hätten sie augenscheinlich nicht genug Ahnung von Software-Entwicklung gehabt, um den Job ohne Hilfe von Claude auszuüben, stellte Anthropic fest. Früher habe Nordkorea dafür jahrelang Experten ausgebildet. „Aber durch KI fiel diese Einschränkung weg.“

Betrug aus dem Chatbot

Außerdem entwickelten Cyberkriminelle mit Hilfe von Claude Betrugsmaschen, die sie im Netz zum Kauf anboten. Dazu gehörte laut Anthropic ein Bot für die Plattform Telegram zum Beziehungsbetrug – wobei den Opfern etwa eine romantische Verbindung vorgegaukelt wird, um Geld von ihnen zu erbeuten. Damit könne man Chats „mit hoher emotionaler Intelligenz“ in verschiedenen Sprachen führen, hieß es.

Man habe zwar ausgeklügelte Maßnahmen gegen einen Missbrauch der KI-Software im Einsatz, betonte Anthropic. Online-Angreifer versuchten aber immer wieder, sie zu umgehen. Mit der Erfahrung aus den ausgewerteten Fällen solle der Schutz verbessert werden.

(dmk)