HPEs Netzwerkmanagementlösung HPE Aruba Networking Fabric Composer ist über drei Sicherheitslücken angreifbar. Im schlimmsten Fall kann Schadcode Instanzen kompromittieren.

IT-Sicherheitsprobleme

In einer Warnmeldung schreiben die Entwickler, dass HPE Aruba Networking Fabric Composer bis einschließlich Version 7.2.3 bedroht ist. Die Ausgabe 7.3.0 soll repariert sein. Installieren Netzwerkadmins das Sicherheitsupdate nicht, riskieren sie verschiedene Attacken. Bislang gibt es aber HPE zufolge keine Hinweise, dass Angreifer die Schwachstellen (CVE-2024-4741 „hoch“, CVE-2026-23592 „hoch“, CVE-2026-23593 „mittel“) bereits ausnutzen.

Setzen Angreifer erfolgreich an den Lücken an, können bereits authentifizierte Angreifer Schadcode auf Ebene des Betriebssystems ausführen. Angreifer können aber auch eigentlich abgeschottete Daten einsehen.

(des)

Noch immer haben es Angreifer auf FortiOS, FortiManager und FortiAnalyzer mit aktiviertem FortiCloud-SSO-Log-in abgesehen und erstellen sich Admin-Accounts. So können sie die volle Kontrolle über Geräte erlangen. Ein funktionierender Sicherheitspatch ist bislang nicht verfügbar. Geräte sollen aber durch eine serverseitige Einstellung durch Fortinet vorerst geschützt sein.

Historie

FortiCloud-SSO ist standardmäßig nicht aktiv. Achtung: Registrieren Admins Geräte über FortiCare, wird SSO automatisch aktiviert. Schon seit vergangenem Dezember kämpft Fortinet mit „kritischen“ SSO-Lücken (CVE-2025-59718, CVE-2025-59719) und hat Sicherheitspatches veröffentlicht. Seitdem gibt es auch Attacken.

Im Januar stellte sich dann heraus, dass Angreifer die Sicherheitsupdates umgehen und Geräte weiter attackieren. Nun hat Fortinet einen Beitrag mit Hintergründen zu den laufenden Angriffen veröffentlicht. Darin finden Admins unter anderem Hinweise (Indicators of Compromise, IoC), woran sie attackierte Instanzen erkennen können.

Zusätzlich hat das Unternehmen eine Warnmeldung publiziert und darin im Kontext der SSO-Attacken eine neue Zero-Day-Sicherheitslücke (CVE-2026-24858 „kritisch“) eingetragen.

Geräte laut Fortinet temporär geschützt

Angreifer setzen mit präparierten SAML-Anfragen an der Lücke an und umgehen die Authentifizierung. Fortinet weist darauf hin, dass sie derzeit Attacken im Kontext von FortiCloud-SSO beobachtet haben, das Sicherheitsproblem gelte aber für alle SAML-SSO-Implementierungen.

Sicherheitspatches sind Fortinet zufolge in Entwicklung. Wann sie veröffentlicht werden, ist aber bislang unklar. Um die Gefahr bis zum Erscheinen von Updates einzudämmen, gibt Fortinet an, den FortiCloud-SSO-Zugriff für verwundbare Geräte gesperrt zu haben. Demzufolge müssen Admins, wie zuvor empfohlen, den SSO-Login nicht mehr manuell deaktivieren.

FortiAnalyzer 6.4, FortiManager 6.4 und FortiOS 6.4. sind dem Unternehmen zufolge nach jetzigem Kenntnisstand nicht verwundbar. FortiProxy 7.0 und 7.2 bekommen keine Sicherheitsupdates. An dieser Stelle ist ein Upgrade nötig. Die Anfälligkeit von FortiSwitch Manager und FortiWeb werde derzeit geprüft. Weitere Informationen zu den angekündigten Sicherheitspatches finden sich in der Warnmeldung.

(des)

WhatsApp kann als Einfallstor für Schadsoftware dienen: In den vergangenen Monaten kursierten Berichte, denen zufolge sowohl iPhones als auch Samsung-Galaxy-Geräte über den Meta-Messenger angegriffen wurden. Um Angreifern möglichst wenig Angriffsfläche zu bieten, integriert Meta in seinen Messenger eine neue Funktion, die mit einem Klick erweiterte Datenschutz- und Sicherheitsfunktionen aktiviert. Die Funktion nennt sich „strikte Kontoeinstellungen“.

WhatsApp macht auf Wunsch dicht

Laut Meta wurde die neue Funktion in erster Linie für Benutzerinnen und Benutzer wie Journalistinnen und Journalisten oder Personen des öffentlichen Lebens entwickelt, die auf strenge Sicherheitsvorkehrungen gegen seltene und äußerst raffinierte Cyberangriffe angewiesen sein können. Wenn man die Funktion aktiviert, werden bestimmte Kontoeinstellungen auf die strengsten Sicherheitsstufen festgelegt, erklärt das Unternehmen. Dadurch werden etwa einige WhatsApp-Funktionen eingeschränkt.

Nach Aktivierung der „strikten Kontoeinstellungen“ unter „Einstellungen“ > „Datenschutz“ > „Erweitert“ blockiert das Feature unter anderem sämtliche Medien von unbekannten Absendern. Zudem wird die Linkvorschau ausgestellt und Anrufe von unbekannten Nummern werden stummgeschaltet. Diese werden jedoch in der Anrufübersicht angezeigt. Außerdem schränkt das Feature Gruppeneinladungen ein und erzwingt eine zweistufige Verifizierung. Ferner begrenzen die „strikten Kontoeinstellungen“ die Sichtbarkeit von Profilen. Sie leiten obendrein Anrufe über WhatsApp-Server weiter, um die eigene IP-Adresse zu verschleiern.

Des Weiteren sind der „Zuletzt online“-Zeitstempel und der „Online“-Status, das Profilbild sowie die Nutzerinfo nur für die eigenen Kontakte oder eine zuvor festgelegte, eingeschränktere Liste von Personen sichtbar, erklärt Meta. Auch rät Meta Nutzern mit aktivierten Backups, die Ende-zu-Ende-verschlüsselte Backup-Funktion zu verwenden.

Gut versteckt

Nutzer sollten die Einstellungen nur aktivieren, wenn sie dazu einen Anlass sehen, betont das Unternehmen – etwa wenn man glaubt, Ziel einer „raffinierten Cyberkampagne“ zu sein. „Die meisten Personen sind von solchen Angriffen nicht betroffen“, heißt es weiter. Nutzer, die WhatsApp mit einem möglichst weitreichenden Schutz verwenden wollen, können die Funktion dennoch aktivieren, jedoch ist die Einstellung nicht prominent platziert.

Laut WhatsApp können Nutzerinnen und Nutzer die neuen strikten Kontoeinstellungen nur über das Hauptgerät ein- und ausschalten. Weiter heißt es, dass Nutzer alle gegen Änderungen gesperrte Einstellungen unter dem Punkt „Einstellungen“ > „Datenschutz“ > „Erweitert“ > „Strikte Kontoeinstellungen“ > „Gesperrte Einstellungen“ ansehen können.

(afl)