Postman, Hersteller des gleichnamigen API-Entwicklungs-Tools, führt mit Passport ein sicheres Zugangssystem für APIs ein. Es basiert nicht mehr auf Zugangsschlüsseln (API-Keys, Credentials), die jeder verwenden kann, der sie besitzt – also auch Einbrecher. Sondern es führt eine Zugangskontrolle mit individuellen Zertifikaten ein.

API-Nutzer sind dabei kryptografisch eindeutig identifiziert und bekommen Zugänge von Postman granular und kontrolliert freigeschaltet. Der private Schlüssel verbleibt jeweils beim Nutzer, sodass niemand anderes die zugehörigen Zugangsschlüssel verwenden kann. Die Zugangsprüfung findet in einem speziellen Postman-Proxy innerhalb des Kundennetzwerks statt.

Postman prüft das Zertifikat des Kunden und erteilt dauerhaften oder temporären Zugang zu API-Endpunkten. Agenten können Zugänge an Unteragenten weitergeben, aber nur kurzzeitig im zertifizierten Bereich. Unternehmensweite Access Points lassen sich ebenfalls in das System integrieren.

Ein Zugriff am Proxy vorbei ist nicht möglich. Über die Zertifikate lassen sich auch feingranulare Zugriffsmodelle auf Endpunkte umsetzen.

Immer mehr API-Aufrufe durch Agenten

Postman reagiert damit auf die zunehmende und unkontrollierte Verbreitung von API-Credentials, die oft nur in Profilen, Textdateien oder YAML-Konfigurationen vorliegen und von Entwicklern im Alltag oft schnell hin- und herkopiert werden, gerne auch über Git, MS Teams oder Slack. Während eines Einsatzes findet sich ein Schlüssel laut Postman an acht Plätzen in einem Rechner und wird so zur leichten Beute für Angreifer.

Der zunehmende Einsatz von KI-Agenten im Entwicklungszyklus von Software erhöht diese Risiken noch, da Agenten selbsttätig mit den Schlüsseln umgehen und diese eventuell in der Infrastruktur oder an Unteragenten weitergeben.

Das neue System von Postman erhöht durch den Proxy zwar den Aufwand im Unternehmen, löst aber eine Reihe von Sicherheitsproblemen.

(who)

Seit Ende Mai 2026 sind kritische Sicherheitslücken in Ubiquiti UniFi OS bekannt. Der Hersteller hat dort aktualisierte Software bereitgestellt, um die Lecks abzudichten. Das nehmen einige Admins offenbar nicht ernst, denn nun wurden Angriffe in freier Wildbahn auf die Schwachstellen beobachtet.

Davor warnt die US-amerikanische Cybersicherheitsbehörde CISA nun. Sie hat die drei kritischen Sicherheitslücken im Ubiquiti-Betriebssystem in den „Known Exploited Vulnerabilities“-Katalog aufgenommen, was heißt, dass die Behörde Kenntnis von darüber attackierten Installationen hat. Es handelt sich gleich um drei kritische Sicherheitslücken in Ubiquiti UniFi OS, die nun angegriffen werden.

Drei kritische Sicherheitslücken

Angreifer mit Zugriff auf das Netzwerk können etwa an einer unzureichenden Zugriffskontrolle von UniFi-OS-Geräten ansetzen und unbefugt Änderungen daran vornehmen (CVE-2026-34908, CVSS 10.0, Risiko „kritisch“). Eine Path-Traversal-Schwachstelle ermöglicht bösartigen Akteuren zudem, auf Dateien aus dem zugrundeliegenden Betriebssystem zuzugreifen und diese zu manipulieren, um so Zugriff auf das Konto im System zu erlangen (CVE-2026-34909, CVSS 10.0, Risiko „kritisch“). Angreifer können zudem eine unzureichende Eingabevalidierung ausnutzen, um Befehle einzuschleusen (CVE-2026-34910, CVSS 10.0, Risiko „kritisch“).

Die Sicherheitsmitteilung von Ubiquiti weist noch keine Informationen zu den beobachteten Angriffen aus. IT-Verantwortliche sollten prüfen, ob ihre Ubiquiti-UniFi-OS-Instanzen bereits auf Version 5.1.12 oder neuer respektive Version 5.0.8 für UniFi OS Server aktualisiert wurden oder ob das Update noch fällig ist – und dieses gegebenenfalls umgehend installieren. Die CISA nennt keine Details zu den Angriffen, sodass Art und Umfang unbekannt bleiben. Es gibt daher auch keine Hinweise für erfolgreiche Angriffe (Indicators of Compromise, IOC), mit denen Admins die Systeme auf Einbruchsspuren untersuchen könnten.

Die CISA warnt noch vor einer weiteren angegriffenen Schwachstelle in Lantronix EDS5000. Das HTTP-RPC-Modul protokolliert mittels Shell-Befehlen mit, wenn Login-Anfragen fehlschlagen. Durch den Nutzernamen-Parameter können Angreifer Befehle einschleusen, die mit root-Rechten ausgeführt werden (CVE-2025-67038, CVSS 9.8, Risiko „kritisch“). Betroffen ist die Version EDS5000 2.1.0.0R3, wer die Server einsetzt, sollte nach Aktualisierungen Ausschau halten und diese installieren.

(dmk)

Mehrere Produkte von Zoho Corp. ManageEngine sind anfällig für eine Schwachstelle, die die Single-Sign-on-Integration (SSO) mitbringt. Angreifer könnten dadurch Konten übernehmen.

Das schreibt Zoho Corp. ManageEngine in einer Sicherheitsmitteilung. Sofern User sich mittels SSO in ManageEngine ADSelfService Plus, RecoveryManager Plus, M365 Manager Plus oder ADAudit Plus einloggen und diese Produkte als integrierte Komponenten innerhalb ManageEngine AD360 eingebunden sind, kann das Problem auftreten. Die erstellten SSO-Tickets, mit denen die Sitzungen authentifiziert werden, können von Angreifern vorhergesagt werden, wodurch diese Konten übernehmen können (CVE-2026-11374, CVSS 9.0, Risiko „kritisch“).

Betroffen sind den Angaben zufolge ADSelfService Plus bis einschließlich Build 6528, RecoveryManager Plus bis inklusive 6320, M365 Manager Plus bis einschließlich 4816 und ADAudit Plus bis inklusive 8702. Die Versionen ADSelfService Plus 6529, RecoveryManager Plus 6321, M365 Manager Plus 4817 und ADAudit Plus 8703 sowie neuere Pakete schließen diese Sicherheitslücke.

Servicepacks installieren

Zohocorp stellt die Updates als Servicepack zum Herunterladen bereit. Die sind jeweils für die einzelnen betroffenen Produkte verfügbar:

Die Sicherheitslücke scheint noch nicht in freier Wildbahn angegriffen zu werden, darüber schreiben die Autoren der Mitteilung nichts. Die Schwachstelle hat ein IT-Forscher mit dem Handle 0xmanhnv über das Zoho-Bug-Bounty-Programm an den Hersteller gemeldet.

Zuletzt wurden im vergangenen November mehrere teils kritische Sicherheitslücken in unterschiedlichen Produkten von Zohocorp ManageEngine bekannt. Angreifer konnten etwa dadurch SQL-Befehle aufgrund einer SQL-Injection-Schwachstelle oder generell Befehle einschleusen.

(dmk)