Im HPE AutoPass License Server (APLS) haben IT-Sicherheitsforscher von Trend Micros Zero-Day-Initiative (ZDI) eine schwerwiegende Sicherheitslücke aufgespürt, die Angreifern Zugriff unter Umgehung der Authentifizierung erlaubt. Aktualisierte Software soll das richten.

Hewlett Packard Enterprise warnt in einem Support-Beitrag vor der Schwachstelle. Details finden sich dort nicht, HPE schreibt lediglich: „Eine potenzielle Schwachstelle wurde in HPE AutoPass License Server (APLS) entdeckt. Sie könnte aus der Ferne missbraucht werden und erlaubt die Umgehung der Authentifizierung“ (CVE-2026-23600, CVSS [v3.1] 7.3, Risiko „hoch“). Laut CVE-Eintrag landet die Einstufung nach CVSS4 jedoch bei 10.0 und somit der Risiko-Einstufung als „kritisch“.

HPE APLS-Lücke: Betroffene Systeme

Unter den betroffenen Systemen nennen die Autoren insbesondere die HPE StoreOnce Virtual Storage Appliance (VSA). HPE StoreOnce ist ein Cloud-Backup-System. Die virtuelle Appliance läuft dabei in einer virtuellen Maschine. Der HPE AutoPass License Server dient der Verwaltung und Verteilung von Softwarelizenzen. HPE hält sich bedeckt mit Informationen darüber, was Angreifer mit dem unbefugten Zugang anstellen können – aufgrund des Schweregrads der Lücke ist jedoch wahrscheinlich, dass sie das System kompromittieren und nicht lediglich die Lizenzverteilung selbst manipulieren können.

Die Sicherheitslücke soll laut der Autoren des Support-Beitrags in Version HPE AutoPass License Server (APLS) 9.19 oder neuer geschlossen sein. Diese steht auf einer eigenen Download-Seite zur Verfügung. IT-Verantwortliche sollten die aktuelle Fassung zügig installieren.

Vor etwa einem Monat wurden Schwachstellen in der Netzwerk-Verwaltungssoftware HPE Aruba Fabric Composer bekannt. Angreifer haben dadurch Schadcode auf verwundbare Instanzen geschoben und diese so kompromittieren können.

(dmk)

Microsoft warnt vor einer Kampagne, die im Browser und auf Chat-Plattformen Spiele-Tools verspricht, jedoch Malware liefert. Führen Opfer die Schadsoftware aus, installiert das einen Remote Access Trojan (RAT), der Angreifern vollen Zugriff auf den Rechner gewährt.

Das berichtet Microsofts Threat-Intelligence-Team etwa auf Bluesky. Es handelt sich demnach um „trojanisierte“ Gaming-Werkzeuge. Konkret benennt Microsoft die ausführbaren Dateien „RobloxPlayerBeta.exe“ und „xeno.exe“. Die erstere Datei trägt den Namen einer legitimen Roblox-Executable, die zweitere soll ein „Executer“ sein, mit dem sich Roblox-Spiele optimieren und „verbessern“ lassen sollen.

Downloader und Malware statt Gaming-Tools

Microsoft benennt es nicht eindeutig, ob die angeblichen Gaming-Tools zur Verschleierung ihrer bösen Absicht auch die erwarteten Funktionen mitbringen oder ausschließlich den Infektionsprozess starten. Nach Start der Datei lädt die Schadsoftware eine portable Java-Laufzeitumgebung nach und startet damit ein bösartiges Java-Archiv (.jar) namens „jd-gui.jar“. Der Downloader setzt dabei auf PowerShell-Anweisungen und Living-off-the-Land-Binärdateien (LOLBins), also Befehlen, die Windows bereits standardmäßig mitbringt. Er setzt etwa „cmstp.exe“ ein, mit dem sich Profile im Verbindungsmanager-Dienst installieren lassen. Dem Befehl können sie .inf-Dateien übergeben, die ihrerseits böswillige Befehle enthalten und DLLs von entfernten Servern laden und ausführen. Damit umgehen sie gegebenenfalls Schutzmaßnahmen, da cmstp.exe eine legitime Microsoft-Datei ist.

Der Erkennung versucht die Malware außerdem durch Löschen des initialen Downloaders und der Einrichtung von Ausnahmen in den Windows-Defender-Einstellungen für die RAT-Komponenten zu entgehen. Persistente Einnistung gehört ebenfalls zum Malware-Repertoire. Sie ergänzt eine geplante Aufgabe und ein Start-Skript namens „world.vbs“. Am Ende hat es eine Mehrzweck-Malware verankert, die als Loader, Starter, Downloader und RAT fungiert. Microsoft nennt als IP-Adresse des Command-and-Control-Servers die 79.110.49[.]15, die sich jedoch ändern kann. Von dort aus können die Angreifer diverse Aktionen auslösen, wie Datendiebstahl oder die Installation weiterer Malware.

Microsoft empfiehlt, ausgehende Verbindungen zu der IP-Adresse zu überwachen und Alarme für Downloads von java.zip oder jd-gui.jar von nicht-Unternehmens-Ressourcen einzurichten. Admins sollten zudem nach zugehörigen Prozessen und Komponenten Ausschau halten. Die Ausnahmen im Windows Defender und die geplanten Aufgaben sollen IT-Verantwortliche ebenfalls etwa auf zufällige Namen überprüfen und bösartige Aufgaben und Start-Skripte entfernen. Betroffene Geräte sollen Admins zudem isolieren und die Zugangsdaten von Nutzern der kompromittierten Maschine zurücksetzen. Microsoft nennt noch Hashwerte von verdächtigen Dateien und Verbindungen auf powercat[.]dog/Port 443 als Indizien für eine Infektion (Indicators of Compromise, IOC).

Cyberkriminelle haben Spielerinnen und Spieler dauerhaft im Visier. Bereits im vergangenen Jahr versuchten Täter etwa, auf Discord-Servern Opfer mit vermeintlichen Beta-Tests für Spiele zu ködern. Die ausführbaren Dateien installierten jedoch lediglich Infostealer.

(dmk)

Die Entwickler der freien Firewall-Distribution IPFire haben Core Update 200 für Version 2.29 veröffentlicht. Das Update bringt Linux 6.18.7 LTS sowie eine Vorabversion des eigenen Domain-Blocklist-Systems DBL. Außerdem enthält es wichtige Sicherheitskorrekturen für OpenSSL und Performance-Optimierungen für den DNS-Proxy Unbound.

Der neue Kernel 6.18.7 LTS verbessert laut IPFire die Netzwerk-Performance durch den optimierten Durchsatz und geringere Latenzen. Zudem erweitert er die Packet-Filtering-Fähigkeiten und integriert aktuelle Hardware-Sicherheitsmechanismen. Für Nutzer bedeutet dies stabilere Verbindungen bei hoher Last und schnellere Paketverarbeitung.

Eine kritische Änderung betrifft ReiserFS-Nutzer: Der Kernel hat das Dateisystem als veraltet markiert. Betroffene IPFire-Installationen können das Update nicht einspielen. Nutzer müssen ihre Daten sichern, das System neu mit einem modernen Dateisystem wie ext4 oder Btrfs aufsetzen und die Daten anschließend wiederherstellen. IPFire hatte bereits über die Web-Oberfläche gewarnt, eine Migration erfordert jedoch Planung.

DBL als Shalla-List-Nachfolger

Mit DBL (Domain Blocklist) stellt IPFire ein eigenes kategorisiertes Blocklist-System vor, das als Reaktion auf das Auslaufen der Shalla-List im Januar 2022 entwickelt wurde. Die Beta-Version ermöglicht das Blockieren von Malware, Phishing, Werbung, Pornografie, Glücksspiel, Gaming-Seiten und DoH-Servern. Die Community kuratiert die Liste und aktualisiert sie stündlich.

DBL lässt sich über den URL-Filter für Proxy-Blocking oder via Suricata für Deep Packet Inspection nutzen. Letzteres ermöglicht eine umfassendere Kontrolle über DNS, TLS, HTTP und QUIC mit detaillierten Alert-Informationen. Die Community kann über ein Online-Reporting falsche Einträge melden oder neue Bedrohungen ergänzen.

DBL steht unter offenen Lizenzen: Der Code ist unter GPLv3+ verfügbar, die Daten unter CC BY-SA 4.0. Das System ist kompatibel mit Pi-hole, BIND, Unbound, pfSense, SquidGuard und Adblock-Plus. IPFire hat DBL bereits Anfang des Jahres vorgestellt.

Performance-Verbesserungen und Sicherheitsfixes

Der DNS-Proxy Unbound nutzt nun Multi-Threading mit einem Thread pro CPU-Kern statt Single-Threading. Dies parallelisiert DNS-Abfragen und führt zu schnelleren Response-Zeiten, besonders bei Multi-Core-Systemen mit vielen Clients. PPP sendet LCP-Keepalives nur noch bei Inaktivität, um Overhead auf DSL-, 4G- und 5G-Verbindungen zu sparen.

OpenSSL 3.6.1 behebt mehrere Sicherheitslücken. Die schwerwiegendste ist CVE-2025-15467: ein Stack-Overflow in CMS/AEAD mit potenziellem Remote Code Execution (hoher Schweregrad). Weitere Fixes: CVE-2025-11187 (PKCS#12 Buffer-Overflow, CVSS 6.1, mittel) und CVE-2025-66199 (TLS-1.3-DoS durch große Memory-Allokationen pro Verbindung). Auch glibc erhielt Korrekturen für mehrere CVEs (CVE-2026-0861, CVE-2026-0915, CVE-2025-15281).

Bei OpenVPN wurden Änderungen an der Konfiguration vorgenommen: MTU-, OTP- und CA-Parameter werden nicht mehr in Client-Configs gespeichert, sondern zentral vom Server gepusht. Dies erhöht die Flexibilität und Kompatibilität, etwa beim Import in NetworkManager. Ältere Clients könnten dadurch allerdings Probleme bekommen. Die zentrale Kontrolle soll Config-Fehler und Fragmentierungsprobleme minimieren.

DBL bildet die Grundlage für eine geplante DNS-Firewall in IPFire, die natives Content-Filtering auf DNS-Ebene gegen Werbung und Malware ermöglichen soll, unabhängig von Proxys. Die IPFire-Entwickler dankten der Community für die Unterstützung via Feedback und Spenden. Details zu Core Update 200 finden sich in den Release Notes.

Siehe auch:

• IPFire: Download schnell und sicher von heise.de

(fo)