Um Netzwerke vor möglichen Attacken zu schützen, müssen Admins die IT-Sicherheitslösungen Spark Firewall und Security Gateways von Check Point auf den aktuellen Stand bringen.

Verschiedene Gefahren

Insgesamt haben die Entwickler vier Softwareschwachstellen geschlossen. Drei davon (CVE-2026-48131, CVE-2026-48132, CVE-2026-48133) sind mit dem Bedrohungsgrad „hoch“ eingestuft. In zwei Fällen können Angreifer durch das Versenden von präparierten Datenpaketen VPN-Verbindungen terminieren. Weitere Informationen finden Admins in den unterhalb dieser Meldung verlinkten Warnmeldungen.

Wenn im Kontext der Browser-basierten Authentifizierung die Funktion Identity Awareness aktiv ist, können Angreifer ohne Authentifizierung interne Dateien von Security Gateway einsehen. Von den Sicherheitslücken sind konkret diese Check-Point-Produkte betroffen:

• Spark Firewall (EOS), R81.10 (EOS), R81.10.X, R81.20, R82, R82.00.X, R82.10
• Security Gateway R77.20 (EOS), R77.30 (EOS), R80.10 (EOS), R80.20 (EOS), R80.20.X (EOS), R80.30 (EOS), R80.40 (EOS), R81

Sicherheitsupdates

Bislang gibt es keine Hinweise auf Attacken. Admins sollten sicherstellen, dass mindestens eine der folgenden Versionen installiert ist:

• Spark Firewalls R81.10.17 – sk183153, R82.00.10 – sk184357
• Security Gateways Jumbo Hotfix Accumulator for R82.10 starting from Take 19, Jumbo Hotfix Accumulator for R82 starting from Take 103, Jumbo Hotfix Accumulator for R81.20 starting from Take 141

Warnmeldungen:

Derartige Lücken stellen eine reale Gefahr für das Netzwerk dar. Cyberkriminelle nutzen sie auch bei Checkpoint-Geräten öfter aus, um sich unbefugt Zugang zu den eigentlich geschützten Netzwerken verschaffen.

(des)

Ende vergangener Woche ist der niederländischen Polizei zusammen mit dem Nationalen Zentrum für Cybersicherheit (NCSC) des Landes ein Schlag gegen ein großes Botnet gelungen. 200 Server und 17 Millionen infizierte Geräte umfasste das für kriminelle Zwecke genutzte Botnet.

Das teilt das NCSC auf seiner Webseite mit. Demnach hat ein IT-Sicherheitsforscher entscheidende Hinweise gegeben, die Untersuchungen durch die Polizei-Einheit Den Haag und das NCSC ausgelöst haben. Diese ergaben, dass das Botnet mindestens aus 17 Millionen infizierten Geräten bestand, die mit einer Infrastruktur aus 200 Servern kontrolliert wurden, die in den Niederlanden standen. Zu den Drohnen gehören Geräte wie Computer, Tablets und Smartphones, aber etwa auch Smart-Home-Geräte und Router.

Drohnen bezeichnen infizierte Geräte, die auf Geheiß der Verwaltungsserver (Command-and-Control-Server) agieren und etwa DDoS-Angriffe starten oder im Falle von „Residential Proxy Services“ den Traffic der Kriminellen umleiten und so anonymisieren.

Mehrere Server hat die Polizei bei einem Hosting-Anbieter beschlagnahmt und weiter untersucht. Das Botnet wurde daraufhin von dem Hosting-Anbieter offline genommen, nachdem klar war, dass es für kriminelle Zwecke genutzt wurde.

Botnet als „Residential Proxy Service“

Das NCSC geht nicht weiter in die Details, die NLTimes berichtet jedoch davon, dass es sich um das Botnet „Asocks“ handelte. Das dient vorrangig als Verschleierungsdienst, als „Residential Proxy Service“. Unzureichend geschützte Endgeräte von Verbrauchern infizieren die kriminellen Drahtzieher hinter dem Botnet mit dem Schadcode, der die Geräte dann innerhalb dieses „Asocks“-Proxy-Netzes zu Knotenpunkten macht. Damit können Nutzer des Dienstes ihre tatsächliche Herkunft verschleiern.

Das „Asocks“-Botnet sei genutzt worden, um darüber Internet-Traffic zu routen und groß angelegte Cyberangriffe zu starten. Die Besitzer der infizierten Geräte wissen von alldem für gewöhnlich nichts. Das NCSC gibt daher noch Tipps für Endverbraucher: Betriebssysteme, Router und Apps sollten stets auf dem aktuellen Stand gehalten werden. Außerdem sollten sie einen Überblick über ihre Geräte im Netzwerk behalten. Passwörter sollten nicht wieder benutzt, sondern individuell sein; die Standard-Passwörter der Geräte sollten Nutzer zudem ändern. Software und Apps sollten zudem aus vertrauenswürdigen Quellen stammen.

Den Strafverfolgungsbehörden gelingen immer wieder Schläge gegen derartige kriminelle Botnetze. Mitte März wurde etwa das Proxy-Botnet „SocksEscort“ mit mehr als 369.000 Drohnen von internationalen Strafverfolgern abgeschaltet.

(dmk)

Eine Sicherheitslücke betrifft das PAN-OS-Betriebssystem von Palo Alto Networks. Sie ermöglicht Angreifern die Umgehung von Sicherheitsmaßnahmen – und wird inzwischen in freier Wildbahn angegriffen.

Davor warnt die US-amerikanische Cybersicherheitsbehörde CISA aktuell. Dort finden sich keine weiteren Hinweise außer der Schwachstellennummer CVE-2026-0257. Die Sicherheitslücke hat Palo Alto Mitte Mai gemeldet und den Eintrag zum Wochenende aktualisiert. Demnach können Angreifer im GlobalProtect-Portal und -Gateway von PAN-OS die Authentifizierung umgehen, somit Sicherheitsmaßnahmen umgehen und unbefugt VPN-Verbindungen aufbauen (CVE-2026-0257, CVSS4 7.8, Risiko „hoch“). Palo Alto ordnet die Dringlichkeit jedoch als „höchste“ ein.

Nicht alle Konfigurationen sind verwundbar. Im GlobalProtect-Portal oder -Gateway muss dafür die Option „Authentication override Cookies“ aktiviert sein. Palo Alto erwähnt nicht, ob diese Option standardmäßig aktiv ist, sondern empfiehlt IT-Verantwortlichen, die Einstellung zu prüfen. Die Aktualisierung des Eintrags umfasst nun den Hinweis, dass Palo Alto Networks von begrenzten Angriffsversuchen auf ungepatchte PAN-OS-Geräte mitbekommen habe. Betroffen sind die Versionszweige PAN-OS 10.2, 11.1, 11.2 und 12.1 sowie Prisma Access 10.2 und 11.2; für diverse Unterversionen stellt Palo Alto Aktualisierungen bereit.

Details zu Angriffsversuchen

In einem Blogbeitrag liefert Rapid7 jedoch eine Analyse von beobachteten Angriffen. Demnach haben die IT-Forscher des IT-Sicherheitsunternehmens bereits ab dem 17. Mai erste Angriffsversuche auf die Schwachstelle beobachtet. Sie haben eine Alarmmeldung „Suspicious VPN Authentication – Local Account Logon via Generic Non-Human Identity“ erhalten und untersucht. Bei mehreren betroffenen Kunden war als Gemeinsamkeit feststellbar, dass der Cloud Authentication Service (CAS) deaktiviert sowie die Authentication override Cookies aktiviert waren. Eine zweite Angriffswelle fand am 21. Mai statt, die Rapid7 denselben Angreifern zuordnet wie die erste Welle, basierend auf beobachteten Host-IDs. Die zweite Angriffswelle führte zu VPN-Zugriffen mit IP-Adressvergabe und in der Folge Zugriffen auf interne Netzwerke. Interessierte finden im Blogbeitrag tiefergehende Informationen sowie Hinweise auf erfolgreiche Angriffe (Indicators of Compromise, IOC).

IT-Verantwortliche sollten zügig die verfügbaren Updates installieren und gegebenenfalls ihre Systeme auf die IOCs abprüfen. Lücken in den Geräten des Netzwerkausrüsters Palo Alto sind oft interessant für Cyberkriminelle, da sie in der Regel Zugang zu Netzwerken ermöglichen. Etwa Anfang Mai haben Angreifer eine andere PAN-OS-Lücke attackiert. Die Updates zum Schließen des Sicherheitslecks standen noch aus.

(dmk)