Das Admin-Tool für Unix-Server Webmin ist verwundbar. Angreifer können unter anderem die Zwei-Faktor-Authentifizierung (2FA) umgehen. Es sind aber auch root-Attacken denkbar. Reparierte Versionen stehen zum Download bereit.

Unbefugte Zugriffe

Für die 2FA-Lücke (CVE-2026-42210) steht eine Einstufung des Bedrohungsgrads offensichtlich noch aus. Das Notfallteam CERT Bund vom BSI stuft die Gefahr in einem Beitrag insgesamt als „kritisch“ ein.

Im Sicherheitsbereich der Webmin-Website führen die Entwickler aus, dass Angreifer über die Basic-HTTP-Authentifizierung 2FA umgehen können. Für eine erfolgreiche Attacke müssen Angreifer aber Nutzernamen und Passwort kennen. In diesem Fall fällt nur der Einmalcode der 2FA weg.

Die root-Lücke steckt den Entwicklern zufolge in den integrierten Hilfeseiten des Tools. Wie ein derartiger Angriff im Detail ablaufen könnte, ist bislang unklar. Klappt eine Attacke, sollen Angreifer als root-Nutzer auf Instanzen zugreifen können. In so einer Position ist davon auszugehen, dass Angreifer die volle Kontrolle über Systeme erlangen. Weil mit dem Tool Server aus der Ferne verwaltet werden, kann eine solche Attacke weitreichende Folgen haben.

Die dritte nun geschlossene Schwachstelle betrifft das Squid-Modul. An dieser Stelle sind im Kontext des installierten Squid-Cachemanagers ebenfalls root-Attacken vorstellbar. Auch hier ist derzeit nicht bekannt, wie ein Angriff ablaufen könnte. Bislang gibt es seitens der Entwickler keine Berichte, dass Angreifer die Sicherheitslücken bereits ausnutzen

Update installieren

Admins sollten sicherstellen, dass sie mindestens die mit Sicherheitspatches ausgestattete Webmin-Ausgabe 2.640 installiert haben. Derzeit ist die Version 2.641 aktuell.

Die Version Webmin 2.600 aus dem vergangenen November hatte eine komplett überarbeitete Bedienoberfläche mitgebracht.

(des)

In seinem wöchentlichen Update zur Kernel-Entwicklung von Linux hat Linus Torvalds diesmal auch die Flut an per KI-Tools gefundenen Sicherheitslücken kommentiert. Der sich nach eigener Beschreibung oft „unverblümt“ äußernde Erfinder von Linux bemängelt nicht, dass aktuell so viele Lücken gefunden werden. Er hält aber den Umgang mit den Funden, und wie sie veröffentlicht werden, für problematisch.

Zum einen gäbe es zahlreiche Dubletten, was in der Natur der Sache liegt: Wenn mit einem KI-Tool jemand eine Lücke findet, kann das auch jemand anderes tun. Solche Funde seien „per definitionem kein Geheimnis“, schreibt Torvalds. Deshalb solle man sie nicht sofort an die zuständigen Personen in der Community weiterleiten, sondern erst nachsehen, ob die Lücke vielleicht nicht schon geschlossen sei. Die Security-Mailingliste sei durch die vielen Doppelungen und Diskussionen darüber „fast völlig unbewältigbar“.

„Macht mehr als die KI!“

Noch schlimmer sei die Behandlung der Lücken auf privaten Listen. Das ergebe nur ein „sinnloses Hin und Her“ – eben weil das frühere Geheimnis durch die Existenz eines KI-Tools, das es finden kann, keines mehr ist. Man solle nicht mehr sinnlose Reports einreichen, sondern lieber gleich einen Patch für die gefundene Lücke, meint Torvalds. „KI-Tools sind toll“, schreibt der Entwickler. Aber wenn man sie verwende, müsse man mehr tun, als nur das alleine. Man müsse „einen echten Mehrwert beitragen, zusätzlich zu dem, was die KI gemacht hat“, fordert Torvalds.

(nie)

Bei einem Cyberangriff auf die Arbeitsgemeinschaft Wirtschaftlichkeitsprüfung Niedersachsen (Arwini e. V.) sind nach Angaben der Polizeidirektion Hannover Daten aus dem System der Prüfstelle abgeflossen. Arwini verarbeitet Gesundheits- und Abrechnungsdaten gesetzlich Versicherter in Niedersachsen und prüft im Auftrag der gesetzlichen Krankenkassen und der Kassenärztlichen Vereinigung Niedersachsen (KVN) die Wirtschaftlichkeit ärztlicher Verordnungen. Hinter der Attacke steckt die Ransomware-Gruppe „Kairos“, wie die Polizei heise online bestätigte.

Zuerst hatte die „Hannoversche Allgemeine Zeitung“ (HAZ) über den Vorfall berichtet.

Bis zu 75.000 Datensätze betroffen

Arwini hatte erklärt, dass im schlimmsten Fall bis zu 75.000 Datensätze betroffen sein könnten. Auf Anfrage von heise online antwortete der externe Datenschutzbeauftragte des Unternehmens, Jürgen Recha, dass noch unklar sei, ob und welche Daten überhaupt abgeflossen seien. Die Authentizität der Beispielposts auf der Leaksite der Ransomware-Gruppe „Kairos“ könne Recha nicht beurteilen. Zur konkreten Datenhaltung und technischen Verarbeitung machte Arwini ebenfalls keine Aussagen. Die AOK teilte der HAZ mit, dass ihre eigenen Systeme nicht betroffen seien.

Nach Angaben eines Sprechers der Kassenärztlichen Vereinigung Niedersachsen (KVN) übermittelt die KVN quartalsweise pseudonymisierte Datensätze an die zuständige Prüfstelle. Patientendaten seien dabei anonymisiert. Enthalten seien jedoch arztbezogene Daten wie Arztnummern und Betriebsstättennummern, damit die Prüfstelle wirtschaftliche Auffälligkeiten einzelnen Praxen zuordnen könne. Die Identität von Ärzten und Praxen sei daher nachvollziehbar. Aus einer Prüfvereinbarung von 2022 geht hervor, dass im Zweifel auch weitere Informationen, etwa die Versichertennummer, angefordert werden können.

Stand der Ermittlungen

„Kairos“ droht mit dem Verkauf eines 2,87 Terabyte großen Datensatzes, der seit dem 11. Mai auf der Leaksite der Gruppe gelistet ist. Die Größenordnung steht in auffälligem Kontrast zu den von Arwini genannten 75.000 möglicherweise betroffenen Datensätzen – ob die Angreifer tatsächlich Daten in diesem Umfang erbeutet haben, ist bislang nicht verifiziert. Auf der Leaksite sind auch Beispieldateien zu sehen, überwiegend Briefe zwischen Krankenkassen und Ärzten. Nach Angaben der Polizei stehen die Behörden wegen Kairos im internationalen Austausch – unter anderem mit spanischen Ermittlern.

Inzwischen ist auch eine Meldung über eine Datenschutzverletzung beim Landesbeauftragten für den Datenschutz in Niedersachsen eingegangen. Ob die Meldung fristgerecht erfolgt sei, werde derzeit geprüft. Die Behörde verweist auf Nachfrage zudem auf die Informationspflichten gegenüber Betroffenen. Menschen, deren Daten möglicherweise betroffen sind, müssten „unverzüglich“ informiert werden, wenn ein voraussichtlich hohes Risiko für ihre Rechte und Freiheiten bestehe – sofern keine Ausnahmen nach Artikel 34 der Datenschutz-Grundverordnung (DSGVO) greifen.

(mack)