Heckmeck um Sicherheitslücken mit Höchstwertung des Risikos in Ivantis Sentry: Die CISA und einige IT-Sicherheitsunternehmen warnen vor laufenden Angriffen. Ivanti wiegelt ab, es handele sich nur um Honeypots.

Während die CISA die fragliche Lücke in den „Known-Exploited-Vulnerabilities“-Katalog (KEV) aufgenommen hat, hat Ivanti mit einer Aktualisierung der eigenen Sicherheitsmitteilung reagiert. Konkret geht es um eine Schwachstelle in Sentry, durch die Angreifer aus dem Netz ohne vorherige Anmeldung Befehle ins Betriebssystem schmuggeln und damit beliebigen Code mit root-Rechten ausführen können (CVE-2026-10520, CVSS 10.0, Risiko „kritisch“). Eine zweite Sicherheitslücke ermöglicht die Umgehung der Authentifizierung – bösartige Akteure aus dem Netz können ohne vorherige Anmeldung beliebige Administratorkonten erstellen und damit vollen Admin-Zugang erlangen (CVE-2026-10523, CVSS 9.9, Risiko „kritisch“).

Betroffen ist die VPN-ähnliche Sicherheits-Gateway-Lösung in den Versionen 10.5.1, 10.6.1, 10.7.0 und älteren. Die bereitstehenden Aktualisierungen auf die Versionen 10.5.2, 10.6.2 und 10.7.1 bessern die Schwachstellen aus.

Exploit-Code öffentlich verfügbar

Die IT-Sicherheitsforscher der watchTowr Labs haben einen Proof-of-Concept-Exploit veröffentlicht, der den Missbrauch der beiden Lücken demonstriert. Auch Rapid7 schließt in einer eigenen Analyse, dass sie wüssten, dass Angreifer das Produkt wahrscheinlich angreifen werden, da in der Vergangenheit mehrere Sentry-Lücken im CISA-Katalog der missbrauchten Schwachstellen gelandet sind.

Ivanti hat auf die Angriffsmeldungen reagiert. In der Sicherheitsmitteilung steht noch immer, dass Ivanti von keinen Missbrauchsfällen vor der Veröffentlichung der Meldung wüsste. Es gebe keinen öffentlichen Missbrauch der Schwachstelle, weshalb das Unternehmen auch keine Hinweise auf erfolgreiche Angriffe (Indicators of Compromise, IOC) geben könne. Die CISA habe die Lücke in den KEV aufgenommen, da es Berichte über Angriffsversuche auf Honeypots gebe. Zur Einschätzung sei wichtig zu wissen, dass der Missbrauch der Lücke CVE-2026-10520 Zugriff auf den Managementport 8443 benötige. Und Management-Interfaces sollten ohnehin niemals im Internet zugänglich sein, auch wenn Honeypots derartige Fehlkonfigurationen simulieren, um bösartiges Verhalten zu erkennen.

Die Einschätzung dürfte aber bereits überholt sein. Die Shadowserver Foundation teilt auf X mit, dass ihre Scans 19 verwundbare Instanzen entdeckt habe, von denen mindestens zwei bereits mit Backdoors kompromittiert seien. Die IT-Forscher gehen davon aus, dass die anderen Instanzen inzwischen ebenfalls Angreifern zum Opfer gefallen sind.

Admins sollten sich von der Beschwichtigung nicht abhalten lassen, die verfügbaren Updates schnellstmöglich zu installieren.

Am Donnerstag wurden weitere Sicherheitslücken in Ivantis Endpoint Manager Mobile bekannt. Sie gelten als hohes Risiko, Admins sollten auch hier rasch die Aktualisierungen anwenden.

(dmk)

Das Arch User Repository (AUR) sieht sich einer umfangreichen Angriffswelle ausgesetzt. Die Angreifer haben Hunderte verwaiste Paketdefinitionen übernommen, um Malware ergänzt und in neuen Versionen veröffentlicht. Die Arch-Maintainer steuern mit einem Meldeaufruf und einer groß angelegten Lösch-Aktion gegen, um bösartige Updates zu entfernen und von den Angreifern genutzte Accounts zu sperren.

Das AUR von Arch Linux enthält keine Pakete im engeren Sinne, sondern Beschreibungen, sogenannte PKGBUILDs, mit denen Nutzer die Pakete selbst bauen können. Wenn eine Beschreibung offenbar nicht mehr gewartet wird, können Nutzer dies melden und sie wird nach einer Weile als verwaist markiert. Dann können beliebige Nutzer die Paketbeschreibung „adoptieren“ und ihre Wartung übernehmen.

Diesen Mechanismus nutzten die Angreifer aus: Sie übernahmen solche verwaisten Beschreibungen, ergänzten sie um eine Abhängigkeit für den JavaScript-Paketmanager npm und fügten einen Schritt nach der eigentlichen Software-Installation hinzu, der das npm-Paket „atomic-lockfile“ auf das System brachte. Atomic-Lockfile enthielt wiederum einen Prä-Installationsschritt, den npm befolgte und dabei die im npm-Paket mitgelieferte Datei „deps“ ausführte. Bei deps handelt es sich einer ersten (KI-gestützten) Analyse zufolge um einen Credential-Stealer, eine Malware, die diverse Arten von Zugangsdaten ausliest und an den Angreifer ausleitet. „deps“ kann sich außerdem im System festsetzen, bei ausreichenden Rechten die eigene Präsenz verschleiern und weitere Software nachladen.

AUR-Software wird nicht geprüft

Die Angriffswelle ist ein guter Anlass, darauf hinzuweisen, dass das Arch User Repository keine offizielle Softwarequelle für Arch Linux ist. PKGBUILDs werden vom Arch-Team nicht geprüft. AUR-Nutzer handeln auf eigenes Risiko, wenn sie Software aus dem AUR installieren, und sollten jedes Update selbst prüfen.

Allerdings wird Software aus dem AUR oft mit darauf spezialisierten Programmen installiert, sogenannten AUR-Helpern. Diese Hilfsprogramme automatisieren die mitunter komplizierten Bauschritte (AUR-Software wird oft beim Nutzer aus dem Quellcode kompiliert), sodass Nutzer weder Zeit noch spezielle Kenntnisse zur Installation benötigen. Das ist praktisch, verleitet aber dazu, Updates unbesehen durchzuwinken, weil der AUR-Helper ohnehin alle nötige Arbeit übernimmt oder man die vom Update vorgenommenen Änderungen schlicht nicht versteht.

In der aktuellen Angriffswelle kam hinzu, dass die Änderungen in den PKGBUILDs selbst nur die Inklusion von npm und atomic-lockfile auswiesen. Je nach betroffener Software muss eine Abhängigkeit von npm nicht verdächtig erscheinen. Nutzer benötigen zumindest rudimentäre Kenntnisse der Softwareentwicklung, um npm als deplatziert zu erkennen oder atomic-lockfile nachzuspüren und dort die eigentliche Malware zu entdecken.

Arch-Nutzer, die sich dergleichen nicht zutrauen, sollten idealerweise keine Software aus dem AUR installieren. Grundsätzlich sollten AUR-Nutzer die zugehörige Mailingliste abonnieren, um Malware-Warnungen mitzubekommen, worauf auch das Arch-Wiki hinweist.

(syt)

In Ubiquitis UniFi OS und im UID Enterprise Agent klaffen fünf Sicherheitslücken, die Angreifern etwa das Einschmuggeln von Code, das Umgehen von Sicherheitsmaßnahmen oder unbefugten Zugriff auf Informationen ermöglichen. Der Hersteller hat aktualisierte Software veröffentlicht, die die Schwachstellen behebt.

In einer Sicherheitsmitteilung listet Ubiquiti die einzelnen Lücken auf. Drei Sicherheitslücken gelten demnach als kritisch. Angreifer mit Zugang zum Netzwerk und niedrigen Berechtigungen können eine unzureichende Eingabeprüfung in UID Enterprise Agent missbrauchen, um Befehle auf anfälligen Hosts auszuführen (CVE-2026-47367, CVSS 9.9, Risiko „kritisch“). Dieselbe Beschreibung und Auswirkung betrifft UniFi OS auf UniFi-OS-Geräten und -Instanzen (CVE-2026-47370, CVSS 9.9, Risiko „kritisch“). Noch unkonkreter ist eine Schwachstelle vom gleichen Typ in UniFi-OS-Geräten und Instanzen, die Angreifer zur Rechteausweitung nutzen können (CVE-2026-47369, CVSS 9.9, Risiko „kritisch“).

Eine Path-Traversal-Schwachstelle können bösartige Akteure mit Netzwerkzugang ausnutzen, um sich auf diversen UniFi-OS-Geräten und -Instanzen unbefugt Zugang zu Daten zu verschaffen (CVE-2026-47368, CVSS 8.6, Risiko „hoch“). Zudem können Angreifer mit Zugriff auf das Netzwerk in bestimmten, nicht genannten Konfigurationen eine unzureichende Rechteprüfung missbrauchen, um unbefugt Änderungen an anfälligen UniFi-OS-Geräten vorzunehmen (CVE-2026-48610, CVSS 8.1, Risiko „hoch“).

Fehlerbereinigte Softwareversionen

Die Sicherheitslücken behebt Ubiquiti im UID Enterprise Agent 1.61.4 aus. Außerdem korrigieren UniFi OS Server, UDM, UDM-Beast, UDM-Pro, UDM-SE, UDM-Pro-Max, EFG, UDW, UDR, UDR7, UDR-5G, Express 7, UCK, UCKP, UCK-Enterprise, UNVR, UNVR-Pro, UNVR-Instant, ENVR, ENVR-Core, UNVR-G2, UNVR-G2-Pro, UCG-Ultra, UCG-Max, UCG-Industrial und UCG-Fiber 5.1.15 sowie UNAS-2, UNAS-4, UNAS-Pro, UNAS-Pro-4 und UNAS-Pro-8 5.1.16 sowie Express 4.0.15 die sicherheitsrelevanten Fehler.

Erst vor rund zwei Wochen hatte Ubiquiti Sicherheitslücken in UniFi OS zu schließen. Dort kamen drei sogar auf die höchstmögliche Risikoeinstufung CVSS 10.0, mithin „kritisch“.

(dmk)