Das IPFire-Projekt hat mit DBL eine umfassende, gemeinschaftlich kuratierte Domain-Blockliste vorgestellt. Anders als konkurrierende Projekte kategorisiert DBL Millionen von Domains nach Bedrohungstypen, statt sie in einer riesigen, monolithischen Liste zusammenzufassen. Die Entwickler wollen damit Probleme bestehender Blocklisten lösen, die ressourcenintensiv seien und Nutzern die Kontrolle nähmen.

IPFire DBL umfasst derzeit mehrere Kategorien: Malware-Domains werden vor dem Abrufen schädlicher Payloads oder Command-and-Control-Verbindungen geblockt, Phishing-Sites zum Abfangen von Zugangsdaten gefiltert. Weitere Kategorien decken Werbung, Pornografie, Glücksspiel, Gaming-Plattformen und DNS-over-HTTPS-Server ab. Letztere Kategorie zielt darauf, die Netzwerksichtbarkeit zu erhalten und das Umgehen von DNS-Sperren zu verhindern.

Die Blockliste nutzt offene Standards wie DNS Response Policy Zones (RPZ) mit AXFR- und IXFR-Unterstützung für sofortige Updates, Squidguard für Proxy-basierte Filterung sowie das Adblock-Plus-Format. Dadurch lässt sich DBL in gängige Tools wie Pi-hole, BIND, Unbound, PowerDNS oder pfSense integrieren. Die Listen werden stündlich aktualisiert, um zeitnah auf neue Bedrohungen zu reagieren.

Über ein Online-Reporting-System können Nutzer zu Unrecht blockierte Domains (False Positives) melden und neue bösartige Domains einreichen. Die Community-Intelligence soll dafür sorgen, dass Korrekturen schnell eingepflegt werden. Die IPFire-Entwickler betonen, dass sie im Gegensatz zu vielen aggregierten Drittanbieterlisten die volle rechtliche Kontrolle über ihre Daten haben. Der Code steht unter der GPLv3+, die Listen selbst unter Creative Commons Attribution-ShareAlike 4.0 (CC BY-SA 4.0). Das bedeutet: Die Listen können frei genutzt und weitergegeben werden, abgeleitete Werke müssen jedoch unter derselben Lizenz stehen.

DBL entstand auch als Reaktion auf das Auslaufen der Shalla-List, die Anfang 2022 eingestellt wurde, was viele Nutzer von pfSense, pfBlockerNG und anderen Systemen betraf.

Integration in Core Update 200

IPFire DBL wird auch in Core Update 200 integriert, das seit dem 30. Januar 2026 als Testversion verfügbar ist. Die neue Version bringt neben Linux Kernel 6.18 LTS eine Vorschau von DBL im URL-Filter und in Suricata. Letztere Integration ermöglicht eine Deep Packet Inspection auf DNS-, TLS-, HTTP- und QUIC-Ebene, um umfassende Blockierungen durchzusetzen. IPFire wird damit selbst zum Provider von Suricata-Regeln. Die Entwickler sprechen von einer „beispiellosen Sichtbarkeit in Netzwerkaktivitäten“. Ein finaler Veröffentlichungstermin für das Core Update 200 steht noch nicht fest, die Community ist zur Evaluation der Beta-Version aufgerufen. Das Projekt hat zudem einen Fundraiser gestartet, um die Entwicklungszeit für Features wie die RPZ-Integration zu finanzieren.

Wer DBL in anderen Netzwerkumgebungen einsetzen möchte, findet Anleitungen zur Integration in DNS-Resolver, Browser-Erweiterungen und weitere Netzwerk-Tools. Alternativen im Open-Source-Bereich wie die StevenBlack-Hosts-Liste, OISD oder Hagezi bieten zwar ähnliche Funktionen, setzen aber weniger auf Community-Reporting und Kategorisierung.

Weitere Details hat das IPFire-Team in seinem Blog veröffentlicht.

(fo)

Fünf Schwachstellen gefährden Netzwerkspeicher (NAS) von Qnap. Die Lücken stecken in den Betriebssystemen QTS und QuTS hero. Nach erfolgreichen Attacken kommt es etwa zu DoS-Zuständen und somit zu Abstürzen.

Mehrere Schwachstellen geschlossen

Am gefährlichsten gilt einer Warnmeldung zufolge eine „kritische“ Sicherheitslücke (CVE-2025-66277), über die Angreifer im Zuge einer Path-Traversal-Attacke auf eigentlich geschützte Bereiche des Dateisystems zugreifen können. Was dann konkret geschieht, ist derzeit nicht bekannt. Aufgrund der kritischen Einstufung ist aber davon auszugehen, dass Systeme danach als kompromittiert gelten.

Aus einer weiteren Warnmeldung geht hervor, dass die DoS-Lücken mit „mittel“ und „niedrig“ (CVE-2025-47205, CVE-2025-58466, CVE-2025-66274, CVE-2025-59386, CVE-2025-48725) eingestuft sind. Bislang gibt es keine Berichte, dass Angreifer die Schwachstellen bereits ausnutzen. Die Entwickler versichern, die Sicherheitsprobleme in QTS 5.2.8.3350 build 20251216, QuTS hero h5.2.8.3350 build 20251216 und QuTS hero h5.3.2.3354 build 20251225 gelöst zu haben.

(des)

Admins, die PCs in Firmen mit BeyondTrust Remote Support oder Privileged Remote Access verwalten, sollten die Fernwartungssoftware umgehend auf den aktuellen Stand bringen. Derzeit nutzen Angreifer eine Schwachstelle aus, über die Schadcode auf Systeme gelangt.

Hintergründe

Vor den Attacken warnt ein Sicherheitsforscher von watchTowr auf X. Er weist darauf hin, dass, wenn Systeme nicht gepatcht sind, sie mit hoher Wahrscheinlichkeit kompromittiert sind. Entdeckt haben die „kritische“ Lücke (CVE-2026-1731) Sicherheitsforscher von Hacktron.

Die gegen die derzeit laufenden Attacken abgesicherten Versionen Remote Support 25.3.2 und Privileged Remote Access 25.1.1 sind seit wenigen Tagen verfügbar, aber offensichtlich noch nicht flächendeckend installiert. Weil der Support für Versionen vor 21.3 und 22.1 eingestellt wurde, gibt es keine Sicherheitspatches mehr. Erst nach einem Upgrade auf eine aktuelle Version stehen die Updates zum Download bereit.

Bei SaaS-Kunden wurden die Patches seitens des Softwareherstellers installiert. Admins von On-Prem-Instanzen müssen jetzt handeln. Die Sicherheitsforscher von Hacktron geben an, dass rund 8500 potenziell verwundbare On-Prem-Instanzen öffentlich erreichbar sind.

Attacken sollen aus der Ferne und ohne Authentifizierung möglich sein. Im Anschluss können Angreifer die volle Kontrolle über Computer erlangen. Dabei sollen Angreifer get_portal_info auslesen, um Zugriff auf X-Ns-Company-Identifier zu bekommen. Im Anschluss richten sie einen WebSocket ein. Danach können sie Schadcode ausführen. In welchem Umfang die Attacken ablaufen, ist derzeit nicht bekannt. Unklar ist auch, an welchen konkreten Parametern Admins bereits attackierte Instanzen erkennen können.

(des)