Derzeit attackieren Kriminelle im Internet Sicherheitslücken in Ivantis Endpoint Manager, SolarWinds Web Help Desk und Omnissa (ex-VMware) Workspace ONE. Davor warnt aktuell die US-amerikanische IT-Sicherheitsbehörde CISA.

In ihrer Mitteilung nennt die CISA lediglich die angegriffenen Schwachstellen und Produktnamen. Informationen zu Art und Umfang der Attacken liefert die US-Behörde wie üblich nicht.

Angegriffene Sicherheitslecks

Die jüngste Schwachstelle betrifft Ivantis Endpoint Manager (EPM) 2024. Angreifer können ohne vorherige Anmeldung die Authentifizierung umgehen und dabei spezielle gespeicherte Zugangsdaten erlangen – die konkreten Auswirkungen, etwa ob sich damit die Instanzen vollständig übernehmen lassen, nennt Ivanti jedoch nicht. Der Schweregrad deutet jedoch in diese Richtung (CVE-2026-1603, CVSS 8.6, Risiko „hoch“). Mit den Sicherheitsupdates aus dem Februar, die Ivantis EPM auf den Stand 2024 SU5 hieven, schließt der Hersteller die Sicherheitslücke.

Eine kritische Sicherheitslücke in SolarWinds Web Help Desk wurde bereits im September vergangenen Jahres bekannt, sie betrifft die Ajax-Komponente. Diese deserialisiert Eingaben ohne vorherige Authentifizierung und erlaubt so Codeschmuggel aus dem Netz (CVE-2025-26399, CVSS 9.8, Risiko „kritisch“). Bereits im Februar wurden erste Angriffe auf die Lücke bekannt. Nun warnt die CISA vor aktuellen Missbrauchsfällen – noch immer haben IT-Verantwortliche die verfügbare Aktualisierung (zum Meldungszeitpunkt auf Stand SolarWinds WHD 2026.1) offenbar nicht angewendet.

Die letzte Schwachstelle, auf die die CISA aktuell Angriffe beobachtet hat, betrifft Omnissa (ehemals VMware) Workspace ONE. Bösartige Akteure können darin eine Server-Side-Request-Forgery-Schwachstelle (SSRF) missbrauchen und so unbefugten Zugriff auf sensible Informationen erlangen (CVE-2021-22054, CVSS 7.5, Risiko „hoch“). Updates stehen seit Ende 2021 zur Verfügung, um die Sicherheitslücke abzudichten.

IT-Verantwortliche sollten prüfen, ob in ihren Organisationen die verwundbare Software läuft, und die verfügbaren Updates zügig anwenden. Da keine Details zu den Angriffen vorliegen, fehlen jedoch auch Hinweise auf erfolgreiche Angriffe (Indicators of Compromise, IOC), mit denen Admins ihre Systeme prüfen könnten.

(dmk)

Admins von SAP-Installationen bekommen am Dienstag dieser Woche Arbeit: SAP hat Mitteilungen zu 15 Schwachstellen in Produkten des Unternehmens herausgegeben. Es handelt sich teils um kritische Schwachstellen, die das Einschleusen von Schadcode ermöglichen. Das zügige Anwenden der bereitstehenden Aktualisierungen ist daher ratsam.

Auf der Patchday-Übersichtsseite für den März listet SAP die 15 Sicherheitsmitteilungen auf. Insgesamt stufen die Entwickler zwei der Schwachstellen als Risikostufe kritisch ein, eine als hochriskant, elf als mittleren Bedrohungsgrad und eine erhält die Einordnung als niedriges Risiko.

SAP: Kritische Sicherheitslücken

Eine Codeschmuggel-Lücke in der SAP Quotation Management Insurance Application (FS-QUO) basiert auf einer Schwachstelle in einer SocketServer-Klasse in Log4j. Die deserialisiert nicht vertrauenswürdige Daten und kann zum Einschmuggeln und Ausführen von Schadcode aus dem Netz missbraucht werden. Es handelt sich nicht um die Log4Shell genannte Schwachstelle, die das Internet seit Ende 2021 beschäftigt. Sie ist sogar noch älter und wurde 2019 öffentlich bekannt (CVE-2019-17571, CVSS 9.8, Risiko „kritisch“).

In NetWeaver Enterprise Portal Administration klafft eine Sicherheitslücke, die Nutzer mit Rechten im System durch das Hochladen nicht vertrauenswürdiger oder bösartiger Inhalte missbrauchen können. Die gelangen bei der Deserialisierung zur Ausführung und haben „starken Einfluss auf Vertrauenswürdigkeit, Integrität und Verfügbarkeit des Host-Systems“, erklärt SAP in der Schwachstellenbeschreibung (CVE-2026-27685, CVSS 9.1, Risiko „kritisch“).

Eine Schwachstelle in SAPs Supply Chain Management können Angreifer für einen Denial-of-Service-Angriff (DoS) missbrauchen. Durch wiederholtes Aufrufen einer nicht genauer genannten Funktion mit einem ausufernd großen Loop-Kontrollparameter können sie durch verlängerte Loop-Ausführungen massiv Systemressourcen belegen, bis das System nicht mehr verfügbar ist (CVE-2026-27689, CVSS 7.7, Risiko „hoch“).

Die weiteren Sicherheitslecks mit niedrigerem Bedrohungsgrad betreffen SAP NetWeaver Application Server for ABAP, SAP NetWeaver (Feedback Notification), SAP Business One (Job Service), SAP Business Warehouse (Service API), SAP S/4HANA HCM Portugal und SAP ERP HCM Portugal, SAP Customer Checkout 2.0, SAP GUI for Windows, SAP Solution Tools Plug-In (ST-PI) sowie SAP NetWeaver AS Java (Adobe Document Services).

Im Februar dieses Jahres hatte SAP zum Patchday sogar 26 Sicherheitsmitteilungen veröffentlicht. Davon galten zwei als kritisches Sicherheitsrisiko.

(dmk)

Die deutsche Medien- und Werbewirtschaft möchte Apple die App-Tracking-Abfrage auf iPhones in Deutschland durch das Bundeskartellamt untersagen lassen. Die Vorschläge von Apple im Rahmen des Missbrauchsverfahrens des Bundeskartellamtes seien nicht geeignet, die von den Kartellbehörden festgestellten Wettbewerbsprobleme im mobilen Werbemarkt auszuräumen, erklärten die fünf Dachverbände der Branche.

Das App-Tracking-Transparency-Framework (ATT) ist Apples System zum Schutz der Privatsphäre, das mit iOS 14.5 eingeführt wurde. Es zwingt App-Entwickler dazu, Nutzer explizit um Erlaubnis zu bitten, bevor sie deren Daten über Apps und Webseiten anderer Unternehmen hinweg verfolgen (tracken) dürfen. Beim ersten Start einer App werden die Nutzer gefragt, ob sie ihr erlauben wollen, zu Werbezwecken ihre Aktivitäten in Apps und auf Websites anderer Anbieter zu erfassen. Viele Anwender lehnen das ab. Seit der Ankündigung im Juni 2020 gibt es Kritik aus der Werbebranche und unter anderem besonders stark vom Facebook-Konzern Meta.

Apple betonte in einer Reaktion, ATT sei eingeführt worden, um Nutzern die Möglichkeit zu geben, auf einfache Weise zu kontrollieren, ob Unternehmen ihre Aktivitäten über andere Apps und Webseiten hinweg verfolgen könnten. „Die Tracking-Industrie kämpft kontinuierlich gegen unsere Bemühungen, Nutzern die Kontrolle über ihre Daten zu geben. Dies ist nur ihr jüngster Versuch, sich uneingeschränkten Zugriff zu persönlichen Daten zu verschaffen“, hieß es vom iPhone-Konzern weiter. Man werde das „wichtige Datenschutz-Tool“ weiterhin für die Nutzer verteidigen.

Bedenken beim Bundeskartellamt

Das Bundeskartellamt leitete im Juni 2022 wegen ATT ein Verfahren gegen Apple an, obwohl das Amt den Datenschutz begrüßte. Die Behörde warf Apple vor, für Drittanbieter sehr strenge Regeln aufzustellen. Eigene Apple-Dienste dagegen – wie der App Store oder Apple News – seien von diesen Regeln weniger stark betroffen und könnten eigene Daten einfacher nutzen.

Problematisch empfanden die Kartellwächter auch die Gestaltung der Abfragen. Während Drittanbieter standardisierte, eher abschreckende Abfragefenster nutzen müssten, soll Apple seine eigenen Hinweise so gestaltet haben, dass Nutzer eher zur Zustimmung neigen. Außerdem bemängelte das Bundeskartellamt einen Eingriff in die Geschäftsmodelle der betroffenen Unternehmen. Viele kostenlose Apps finanzierten sich durch personalisierte Werbung. Durch das ATT würden deren Werbeeinnahmen drastisch sinken, während Apples eigenes Werbegeschäft im App Store potenziell gestärkt werde, da Apple dort die Datenhoheit behalte.

Wirtschaft lehnt Kompromissvorschläge ab

Ende 2025 reichte Apple verschiedene Lösungsvorschläge ein und versprach etwa, die Abfragen neutraler zu gestalten. Die neuen Regeln werden seit vergangenem Dezember in einem Markttest von der Behörde geprüft. Die Verbände der Medien- und Werbewirtschaft kommen nun zu dem Ergebnis, dass auch nach den Zusagen von Apple die zentralen Wettbewerbsverstöße bestehen bleiben.

Die Verbände forderten das Bundeskartellamt auf, die Zusagen abzulehnen und „den Kartellrechtsverstoß durch eine wirksame Untersagungsentscheidung zu beenden.“ Zudem müsse „ein hinreichend disziplinierendes Bußgeld“ verhängt werden, um sicherzustellen, dass Apple das beanstandete Verfahren nicht wiederhole.

(afl)