Cyberkriminelle haben Zugriff auf Quellcode-Repositorys des aus der Fusion von FireEye und McAfee hervorgegangenen IT-Sicherheitsunternehmens Trellix erlangt. Das Unternehmen untersucht den Vorfall aktuell.

Das teilt Trellix auf seiner Webseite mit. Demnach hat Trellix unbefugten Zugriff auf einen Teil der Quellcode-Repositorys bemerkt. Nachdem das Unternehmen davon erfahren hatte, zog es den Angaben nach führende Forensikexperten zur Klärung hinzu. Auch die Strafverfolgungsbehörden hat Trellix demnach informiert.

Den bisherigen Untersuchungen zufolge hat das Unternehmen keine Belege dafür entdeckt, dass Quellcode-Releases oder der Verteilungsprozess betroffen sind oder dass der Quellcode missbraucht wurde. Trellix plant, weitere Details zu veröffentlichen, sobald die Untersuchungen abgeschlossen sind.

Keine Hinweise auf Urheber

Das Unternehmen nennt keinerlei Details zu dem IT-Vorfall. Es ist unklar, wer hinter diesem Angriff steckt. Auf den Darknet-Seiten der bekannteren Cybergangs findet sich noch kein Bekenntnis. Die Formulierungen von Trellix sind äußerst bedacht gewählt – es lässt sich etwa nicht eindeutig ableiten, ob Angreifer potenziell eigenen Code in die Repositorys verfrachtet haben.

Derzeit bleibt unklar, wie die Angreifer bei Trellix Zugang zu den geschützten Unternehmensquellcodes erlangen konnten. Cyberangriffe sind an der Tagesordnung. So haben Cyberkriminelle der Gang ShinyHunters etwa Daten von Vimeo erst kürzlich bei einem Einbruch beim Dienstleister Anodot abgezogen und die inzwischen im Darknet kostenlos zum Download bereitgestellt. Außerdem können die Täter derzeit eine Schwachstelle in cPanel/WHM angreifen und die Authentifizierung übernehmen – bei mehr als 4000 Instanzen in Deutschland haben sie das wohl inzwischen auch getan.

(dmk)

Derzeit hat die Sorry-Ransomwaregruppe cPanel- und WebHost-Manager-Instanzen (WHM) im Visier. Sicherheitsforschern zufolge gab es weltweit schon mehr als 44.000 erfolgreiche Attacken. Admins müssen die Sicherheitspatches umgehend installieren.

Hintergründe

Vor den laufenden Angriffen warnt die Shadowserver Foundation auf X. Ihrer Statistik zufolge hat es hierzulande schon mehr als 4000 Instanzen der Server- und Websitemanagementsoftware getroffen. Die „kritische“ Schwachstelle (CVE-2026-41940) ist seit Ende vergangener Woche bekannt. Auch die US-Sicherheitsbehörde Cybersecurity & Infrastructure Security Agency (CISA) warnt vor Attacken und ordnet für US-Behörden die zügige Installation der Sicherheitsupdates an.

Setzen Angreifer erfolgreich an der Lücke an, können sie die Authentifizierung umgehen und auf Systeme zugreifen. Wie die Attacken im Detail ablaufen, ist derzeit unklar. Haben sich Angreifer Zugang zu Computern verschafft, laden sie die Sorry-Ransomware ab, die Daten verschlüsselt und Lösegeld einfordert.

Im Forum der IT-Nachrichten-Website Bleepingcomputer.com tauschen sich Opfer des Verschlüsselungstrojaners aus. Zurzeit gibt es keine Möglichkeit, die Daten zu entschlüsseln.

Jetzt updaten!

In einer Warnmeldung bieten die cPanel-Entwickler neben den gepatchten Versionen zudem ein Skript an, mit dem Admins bereits attackierte Instanzen erkennen können. Dort gibt es auch weitere Sicherheitstipps, wie Admins nun am effektivsten gegen die Attacken vorgehen können. Diese cPanel-Ausgaben sind gegen die derzeit laufenden Attacken gerüstet:

• 11.86.0.41
• 11.110.0.97
• 11.118.0.63
• 11.126.0.54
• 11.130.0.19
• 11.132.0.29
• 11.136.0.5
• 11.134.0.20
• WP Squared-Version 136.1.7

(des)

Die Maintainer der zum anonymen Surfen im Netz gedachten Linux-Distribution Tails haben Version 7.7.1 veröffentlicht. Es handelt sich um ein Notfallupdate, das Sicherheitslücken schließt.

In der Versionsankündigung zu Tails 7.7.1 erklären die Programmierer, dass sie den zentralen Tor-Browser auf Version 15.0.11 aktualisiert haben. Der schließt mehrere Schwachstellen, die der zugrundeliegende Firefox 140.10.1 beseitigt. Es handelt sich dabei unter anderem um als kritisches Sicherheitsrisiko eingestufte Schwachstellen, die die Speichersicherheit betreffen. Die Mozilla-Entwickler halten sich mit Details zurück, schätzen das Risiko jedoch als „kritisch“ ein, während die US-amerikanische IT-Sicherheitsbehörde CISA auf einen CVSS-Wert von 7.3, mithin Risikostufe „hoch“, kommt (CVE-2026-7322). Die Tails-Entwickler betonen, dass ihnen noch kein Missbrauch der Schwachstellen aus der Praxis bekannt ist.

Der Mail-Client Thunderbird ist in Version 140.10.0 dabei – allerdings ist die Software noch verwundbar für die Speichersicherheitslücken. Die Mozilla-Stiftung hat inzwischen Thunderbird 140.10.1 veröffentlicht und die CVE-Schwachstellenbeschreibung ergänzt.

ISO-Image auf USB-Stick

Tails stellt eigene Images zum Verfrachten auf USB-Sticks bereit, so auch für die aktuelle Fassung. Das ist die am weitesten verbreitete Art und Weise, Tails zu nutzen. Das Projekt verteilt auch weiterhin ISO-Images, mit denen Tails von DVD oder in einer virtuellen Maschine gestartet werden kann. Bislang funktionierten die ISO-Abbilder auch auf USB-Sticks hervorragend, wenn auch mit Einschränkungen etwa bezüglich automatischer Upgrades oder des persistenten Speichers. Damit diejenigen, die USB-Sticks nutzen, sich nicht verwirren lassen, haben die Tails-Programmierer die ISO-Images einige MByte verkleinert und den Support dafür entfernt, die Images starten nicht mehr von USB.

Tails 7.7 erschien vor etwa zwei Wochen und brachte eine neue Warnung vor ablaufenden respektive abgelaufenen Secure-Boot-Zertifikaten mit.

(dmk)