Admins, die für ihre Webserver auf nginx-Basis die Weboberfläche Nginx UI nutzen, sollten die Software zeitnah auf den aktuellen Stand bringen. Geschieht das nicht, können Angreifer an mehreren Sicherheitslücken ansetzen und im schlimmsten Fall Systeme vollständig kompromittieren.

Admin-Attacken möglich

Eine Schwachstelle (CVE-2026-42238) gilt als „kritisch“. Weil bei jeder Neuinstallation und jedem Neustart die Backup-Restore-Points für zehn Minuten ohne Authentifizierung ansprechbar sind, können entfernte Angreifer manipulierte Backups hochladen. Dabei können sie die Konfigurationsdatei app.ini mit eigenen Befehlen überschreiben und die volle Kontrolle über Instanzen erlangen.

Durch das erfolgreiche Ausnutzen einer weiteren Lücke (CVE-2026-42221 „hoch“) können Angreifer im Zuge der Ersteinrichtung Admin-Accounts kapern. Das soll ohne Authentifizierung möglich sein.

Über die verbleibenden Schwachstellen können unter anderem eigentlich geheime Daten leaken (CVE-2026-42223 „mittel“). Die Entwickler versichern, die Sicherheitsprobleme in Nginx UI 2.3.8 gelöst zu haben. Bislang gibt es keine Hinweise des Softwareherstellers, dass Angreifer die Schwachstellen bereits ausnutzen. Admins sollten mit dem Patchen aber nicht zu lange zögern. Weiterführende Informationen zu den Sicherheitslücken und wie Angriffe ablaufen könnten, finden Admins in den unterhalb dieser Meldung verlinkten Warnmeldungen.

Erst kürzlich haben die Entwickler kritische Lücken in dem Web-Managementtool geschlossen.

Die Liste der Schwachstellen, nach Bedrohungsgrad absteigend sortiert:

(des)

Angreifer haben es auf Schwachstellen in ConnectWise ScreenConnect und der Windows Shell abgesehen. Vor Angriffen darauf warnt jetzt die US-amerikanische IT-Sicherheitsbehörde CISA.

In der Mitteilung der CISA, dass sie zwei attackierte Schwachstellen in den Known-Exploited-Vulnerabilities-Katalog aufgenommen hat, nennt die Behörde jedoch keine weiteren Details. Umfang, Art und Folgen der Angriffe sind dadurch unklar. Allerdings lassen sich aufgrund der CVE-Schwachstelleneinträge manchmal anderweitig Rückschlüsse ziehen. So wurden Angriffe auf die Windows Shell am gestrigen Dienstag bekannt (CVE-2026-32202, CVSS 4.3, Risiko „mittel“). Etwa Akamai hat tiefergehende Hintergründe veröffentlicht, das Leck als Zero-Click-Lücke eingeordnet und erörtert, dass Angreifer dadurch Net-NTLM-v2-Hashes abgreifen und diese in NTLM-Relay-Angriffe missbrauchen können – und das auch inzwischen in der Praxis machen.

Die Sicherheitslücke in ConnectWise ScreenConnect, die bösartige Akteure im Netz angreifen, ist hingegen bereits seit Februar 2024 bekannt (CVE-2024-1708, CVSS 8.4, Risiko „hoch“). Seitdem gibt es auch Aktualisierungen der Remote-Monitoring-and-Management-Software (RMM). Hier liefern die IT-Sicherheitsforscher von Huntress hilfreiche Hinweise – die bereits aus Mitte Februar stammen, sind aber offenbar noch immer relevant.

Missbrauchte ScreenConnect-Lücke

Die Schwachstelle CVE-2024-1708 ist eine sogenannte Path-Traversal-Sicherheitslücke, durch die Angreifer Schadcode auf verwundbare Systeme verfrachten können. Laut Huntress nutzen das bösartige Akteure zusammen mit der Sicherheitslücke CVE-2024-1709 (CVSS 10.0, Risiko „kritisch“), die das Umgehen der Authentifizierung ermöglicht. Der Angriff mit kombinierten Schwachstellen hat den Namen „SlashAndGrab“ erhalten. Betroffen ist ConnectWise ScreenConnect 23.9.7 und vorherige Versionen, der Fix kam mit ScreenConnect 23.9.8 und neueren.

IT-Verantwortliche sollten die Sicherheitslücken schließen, indem sie die verfügbaren Patches anwenden. Wer ConnectWise ScreenConnect einsetzt, findet in der Huntress-Analyse zudem einige Hinweise auf erfolgreiche Angriffe (Indicators of Compromise, IOC), auf die die Systeme untersucht werden können.

(dmk)

Hunderttausende Zertifikate widerrufen zu müssen, ist immer bitter. Aber ganz besonders schmerzt es, wenn die Zertifikate an sich technisch und formal fehlerfrei sind – und dennoch nicht valide. Im Podcast erklärt Christopher, warum die Schweizer Zertifizierungsstelle SwissSign fast eine halbe Million S/MIME-Zertifikate widerrufen musste und, wo er gerade schon dabei ist, mit welchen Zertifikatsproblemen D-Trust sich weiter herumschlägt. Sylvester hingegen greift Googles per Zero-Knowledge-Proof belegten Fortschritt beim Knacken von Verschlüsselungen mittels Quantencomputern abermals auf. Denn der Fortschritt dürfte zwar real sein, doch der Beweis war fehlerhaft. Schlaue Leute bei Trail of Bits nutzten das, um einen eigenen, noch größeren – aber eben fingierten – Fortschritt zu „beweisen“. Ein schönes Lehrstück über die Stärken und Schwächen von Zero-Knowledge-Proofs.

Im weiteren Verlauf der Folge geht es um das „Vulnrichtment“ des NIST, also das Anreichern von Schwachstellen-IDs, den CVE-Nummern, mit weiterführenden Informationen. Das NIST sieht sich der CVE-Flut nicht mehr gewachsen und filtert nun mit einer – für die Hosts nur teilweise nachvollziehbaren – Liste an Kriterien, welche CVEs sie mit nützlichen Informationen ergänzt und welche nicht. „Not scheduled“ ist das eher euphemistische Label für diesen Status.

Daneben räumt die Folge mit erfreulich viel Hörer-Feedback zu verschiedensten Themen auf: Ein vim-Maintainer berichtete den Hosts, wie KI-generierte Bug-Reports ihm den Urlaub ruinierten; ein weiterer erklärte den beiden, was ein PLM-System (Product Lifecycle Management) eigentlich tut und warum es oft nicht isoliert und gut geschützt betrieben wird. Außerdem geht es um Tücken beim Betrieb von Mailservern, Tücken beim Lesen von (HTML-)Mails, Tücken beim Fluchen in Podcasts und einige weitere Themen.

Die aktuelle Folge von „Passwort – der Podcast von heise security“ steht seit Mittwochmorgen auf allen Plattformen zum Anhören bereit.

(syt)