Beim Online-Buchungsportal Ferienwohnungen.de konnten Kriminelle offenbar im größeren Stil Daten entwenden, die sie inzwischen im Darknet veröffentlicht haben. Ein kurzer Countdown lief bis Donnerstagmittag, inzwischen steht auf dem Darknet-Auftritt „Published“ auf der Kachel. Dort lassen sich die veröffentlichen Daten direkt aufrufen.

Die Verzeichnisstruktur der veröffentlichten Daten deutet darauf hin, dass die Angreifer ein Backup vom 10. Juli 2025 aus einer Nextcloud-Instanz gezogen haben. Es finden sich Nutzerverzeichnisse, die ihrerseits eine Menge Daten enthalten. Es fallen den Dateinamen zufolge etwa Verträge mit Großkunden ins Auge, Rechnungsstellung, Informationen aus der Buchhaltung sowie offenbar auch Informationen zu den Angestellten des Portals. Aus der umfangreichen Dateiliste ließ sich nicht erkennen, ob auch Daten von Privatkunden des Portals dort lagern; offensichtliche SQL-Dumps oder Ähnliches scheinen nicht enthalten zu sein.

Keine Reaktion

Auf Anfrage von heise online hat Ferienwohnungen.de nicht reagiert, auch die dahinterstehende Holidu GmbH antwortete nicht darauf. Eine Anfrage beim Bayerischen Landesamt für Datenschutzaufsicht blieb bislang ebenfalls unbeantwortet.

Somit lässt sich derzeit nicht verifizieren, ob die Daten echt sind und wie weitreichend der Datenabfluss ist. Wer seinen letzten Urlaub dort gebucht hat, sollte zumindest besonders achtsam bei eingehenden Nachrichten sein – die auf der Nextcloud-Instanz lagernden Informationen reichen teils viele Jahre zurück und könnten Phishern helfen, eine authentischere Ansprache in die Nachrichten zu bringen. Da die Dateien Hinweise auf Schulungen durch Datenschutzbeauftragte nahelegen, sollten theoretisch zumindest keine Daten von Privatkunden dort liegen, die mehrere Jahre zurückreichen.

Vor etwa einer Woche wurde bekannt, dass Cyberkriminelle bei dem HR-Softwareanbieter Infoniqa eingedrungen sind und sensible Daten erbeuten konnten.

(dmk)

Angreifer attackieren derzeit das freie GUI FreePBX für Telefonie- und VoIP-Umgebungen auf Asterisk-Basis. Ein Sicherheitspatch ist angekündigt, aber bisher nicht verfügbar. Bis dahin sollten Admins ihre Systeme mit einer Übergangslösung schützen.

Noch vieles unbekannt

Aus einem Beitrag eines Teammitglieds im FreePBX-Forum geht hervor, dass der Sicherheitspatch zeitnah erscheinen soll. Instanzen seien aber nur verwundbar, wenn das Admin-Panel über das Internet erreichbar ist. Außerdem klingt es so, als müsse das Endpoint-Modul installiert sein.

In so einem Fall setzen Angreifer am Interface an. Wie das konkret abläuft, ist bislang unklar. Derzeit gibt es auch keine weiterführenden Informationen zur Sicherheitslücke und welche Auswirkungen erfolgreiche Attacken haben. Auch eine CVE-Nummer und eine Einstufung des Schweregrads der Schwachstelle stehen noch aus.

Jetzt handeln!

Um den Ansatzpunkt für Angreifer zu beseitigen, beschreiben die FreePBX-Entwickler einen Workaround, den Admins ihnen zufolge umgehend ausführen sollten. Bis zum Erscheinen des Sicherheitsupdates müssen Admins prüfen, ob das Interface öffentlich erreichbar ist. Ist das gegeben, müssen sie über das FreePBX-Firewall-Modul den Zugriff auf alleinig ihre IP-Adresse reglementieren. Überdies muss sichergestellt sein, dass das aktuelle Endpoint-Modul installiert ist.

Weiterführende Informationen, wie Admins bereits attackierte Instanzen erkennen und wiederherstellen können, listen die Entwickler im Forumsbeitrag auf. Im Zuge dessen müssen Admins unter anderem Passwörter für ihre Systeme ändern und Backups einspielen.

Im Forum melden sich auch Betroffene. Ein Nutzer berichtet von kompromittierten Servern und rund 3000 attackierten SIP-Telefonen.

(des)

Am Mittwoch wurde bekannt, dass Schwachstellen in den Netscalern (ADC und Gateways) von Citrix angegriffen werden, die bereits als „Citrix Bleed 3“ tituliert werden. Die Shadowserver Foundation hat am Mittwoch Zahlen veröffentlicht, denen zufolge weltweit am Dienstag noch mehr als 28.000 Systeme für die Lücke „Citrix Bleed 3“ verwundbar sind. Angreifer können darauf vermutlich die Schwachstellen missbrauchen.

Die IT-Forscher der Shadowserver Foundation haben ihr Ergebnis für den Dienstag, den 26.08.2025, auf X veröffentlicht. Mehr als 28.200 verwundbare Instanzen für Citrix Bleed 3 (CVE-2025-7775) zählten sie da, auf Platz 1 die USA mit mehr als 10.000 Systemen, an zweiter Stelle Deutschland mit mehr als 4.300 anfälligen Netscalern.

Die Citrix-Netscaler-Systeme sind mit hoher Wahrscheinlichkeit für die am Mittwoch gemeldeten Schwachstellen CVE-2025-7775 (CVSS4 9.2, Risiko „kritisch„), CVE-2025-7776 mit CVSS 8.8 und Risiko „hoch“ sowie CVE-2025-8424 (CVSS4 8.7, Risiko „hoch„) anfällig. Für die stehen erst seit Dienstag dieser Woche Aktualisierungen bereit, die die sicherheitsrelevanten Fehler beseitigen. Als Einschränkungen für die Verwundbarkeit nennt Citrix:

• NetScaler muss als Gateway konfiguriert sein – das trifft wohl für die Mehrzahl der Geräte zu,
• oder die NDcPP-/FIPS-zertifizierte Version muss Loadbalancing-Dienste für HTTP/QUIC in IPv6 anbieten,
• oder NetScaler ist als virtueller CR-Server (Cache Redirection) vom Typ HDX konfiguriert.

Angriffe laufen, Updates installieren

IT-Verantwortliche sollten aufgrund der laufenden Attacken ihre Netscaler-Systeme rasch auf den aktuellen Stand bringen. Die Fehler korrigieren die Fassungen:

• NetScaler ADC and NetScaler Gateway 14.1 14.1-47.48
• NetScaler ADC and NetScaler Gateway 13.1 13.1-59.22
• NetScaler ADC 13.1-FIPS and NDcPP 13.1-37.241-FIPS and NDcPP
• NetScaler ADC 12.1-FIPS and NDcPP 12.1-55.330-FIPS and NDcPP

sowie neuere Versionen der Software.

Admins können gegebenenfalls prüfen, ob sie verwundbar sind, indem sie die „ns.conf“-Datei auf ihren Netscalern auf das Vorhandensein der Bedingungen für eine Verwundbarkeit prüfen. Citrix erklärt im zugehörigen Support-Artikel, wie IT-Verantwortliche das anstellen können.

(dmk)