Unter bestimmten Voraussetzungen können Angreifer WatchGuard Firebox attackieren. Dabei kann Schadcode auf Systeme gelangen. WatchGuard Dimension und WebBlockerServer sind über eine Linux-Kernel-Lücke angreifbar. Sicherheitsupdates stehen zum Download bereit. Bislang gibt es keine Berichte, dass Angreifer die Schwachstellen bereits ausnutzen.

Schadcode-Attacken möglich

Wie aus einer Warnmeldung hervorgeht, können entfernte Angreifer eine Sicherheitslücke (CVE-2026-3987 „hoch“) im Fireware OS Web UI von Firebox-Firewalls ausnutzen, um Schadcode im Kontext eines Systemprozesses mit erhöhten Rechten auszuführen. Das klappt aber nur, wenn Angreifer bereits authentifiziert sind.

Davon sind den Entwicklern zufolge Fireware OS 12.6.1 bis einschließlich 12.11.8 und 2025.1 bis einschließlich 2026.1.2 betroffen. Die konkret betroffenen Modelle listet WatchGuard in der Warnmeldung auf. Abhilfe schaffen die Versionen 12.12 und 2026.2.

Root-Lücke

Dimension v2.3 und WebBlockerServer v2.1 laufen auf einer Ubuntu-Version, die von zwei Linux-Kernel-Lücken (CVE-2026-23268 „hoch“, CVE-2026-23269 „hoch“) im Linux Mandatory Access Control (MAC) Framework AppArmor betroffen ist. Der Beschreibung der Schwachstellen zufolge benötigt ein Angreifer Zugriff auf das lokale Dateisystem. Ist das gegeben, kann er sich zum Root-Nutzer hochstufen und so etwa eine DoS-Attacke ausführen. In der Regel erlangen Angreifer als Root auch die volle Kontrolle über erfolgreich attackierte Systeme. Wie eine solche Attacke im Detail ablaufen könnte, ist bislang unklar.

Um den Linux-Kernel für beide WatchGuard-Produkte zu aktualisieren, müssen Admins der Anleitung in einem Supportbeitrag folgen.

(des)

Der HTTP-Client axios war kurzzeitig mit einer Hintertür versehen und stand damit ausgerüstet für rund drei Stunden zum Download. Wie oft der Client in diesem Zeitraum heruntergeladen und installiert wurde, ist bislang unklar. Nun erklärt der Maintainer, wie das passieren konnte.

Am 30. März haben die Angreifer die mit Schadcode verseuchten Versionen 1.14.1 und 0.30.4 veröffentlicht. Mittlerweile hat der Entwickler wieder die Kontrolle und die Ausgaben sind offline. In einem Beitrag von Google Threat Intelligence finden sich Hinweise, an denen man bereits erfolgreich attackierte Systeme erkennen kann.

Klassischer Social-Engineering-Angriff

In seinem Post-Mortem-Bericht führt der axios-Maintainer aus, dass ihn die wahrscheinlich der nordkoreanischen Gruppe UNC1069 angehörigen Angreifer im Zuge einer Social-Engineering-Attacke ausgetrickst haben. Das Ganze sei extrem professionell und überzeugend abgelaufen.

Er gibt an, dass die Angreifer sich als Unternehmensgründer ausgegeben und ihn in einen Slack-Workspace eingeladen haben. Dort sah ihm zufolge alles äußerst überzeugend aus und es gab verschiedene Kanäle mit passenden Inhalten und glaubhaften Profilen.

Dann wurde er zu einem Teamsmeeting eingeladen. Währenddessen tauchte eine Fehlermeldung auf und er sollte ein Update installieren. Das war aber kein Teams-Update, sondern ein Trojaner zum Einsacken von Zugangsdaten. So konnten sie die npm-Zugangsdaten des Entwicklers kopieren und die Trojaner-Version von axios in Umlauf bringen.

Nicht die einzige Attacke

Der axios-Entwickler ist aber nicht das einzige Opfer im Open-Source-Maintainer-Umfeld. Offensichtlich haben es die Cyberkriminellen auf weitere Pakte wie das Mocha-Framework abgesehen. Das berichtet der Maintainer auf Github.

Sicherheitsforschern von Socket zufolge handelt es sich dabei um größer angelegte Supply-Chain-Angriffe, die unter anderem auch Lodash, Fastify und Pino betreffen. Die betroffenen Tools werden wöchentlich milliardenfach heruntergeladen und bilden somit die perfekte Basis für eine weitreichende Supply-Chain-Attacken.

(des)

Wer in seinem Netzwerk Pi-hole zum Blockieren von Internetwerbung nutzt, sollte den Werbeblocker aus Sicherheitsgründen zeitnah auf den aktuellen Stand bringen. Andernfalls können Angreifer an mehreren Lücken ansetzen, um Computer zu attackieren.

Pi-hole fungiert als DNS-Sinkhole und blockiert durch Filterlisten das Laden von Werbeanzeigen auf Internetseiten. Optional dient Pi-hole auch als DNS-Server. Die Basis ist ein Linux-System. Oft läuft der Werbeblocker auf einem Raspberry Pi. Ein Alleinstellungsmerkmal von Pi-hole ist das zentrale Blockieren von Werbung für alle Geräte im Heimnetzwerk.

Bislang gibt es keine Berichte, dass Angreifer die Lücken bereits ausnutzen. Pi-hole-Nutzer sollten mit der Installation der Updates aber nicht zu lange warten. Der Prozess gelingt kurz und schmerzlos über den Befehl pihole up. In unserem Fall liefen die Updates auf einem Raspberry Pi Zero 2 W mit DietPi problemlos durch und der Werbeblocker schnurrt seitdem problemlos weiter.

Wichtige Sicherheitspatches

Wie aus einem aktuellen Beitrag der Entwickler hervorgeht, sind für alle drei Komponenten von Pi-hole (Core v6.4.1, FTL v6.6, Web v6.5) Updates erschienen, die neben der Beseitigung verschiedener Bugs auch mehrere Sicherheitslücken schließen.

Insgesamt haben sich die Entwickler um elf Schwachstellen gekümmert. Darunter sind etwa Stored-XSS-Lücken (wie CVE-2026-33403 „mittel“). Angreifer mit niedrigen Nutzerrechten können sich aber auch über einen nicht näher ausgeführten Weg Root-Rechte verschaffen (CVE-2026-33727 „mittel“). In so einer Position erlangen Angreifer in der Regel die volle Kontrolle über Systeme.

Am gefährlichsten gelten mehrere Schadcode-Lücken (wie CVE-2026-35521 „hoch“). Diese Schwachstellen betreffen die dhcp.hosts-Komponente von FTL. Attacken sind aus der Ferne möglich, Angreifer müssen dafür aber bereits authentifiziert sein.

(des)