Bei der Apache Software Foundation soll es im Kontext von OpenOffice zu einer Cyberattacke gekommen sein, bei der Kriminelle interne Daten kopiert haben. Das gibt zumindest die Ransomwarebande Akira auf ihrer Website an. Nun schaltet sich Apache ein und dementiert eine Attacke.

Kriminelle behaupten

Das geht aus einem offiziellen Statement hervor, das unter anderem der IT-Nachrichtenwebsite BleepingComputer vorliegt. Akira behauptet, beim IT-Einbruch 23 Gigabyte an Daten kopiert zu haben. In dem Archiv sollen sich unter anderem persönliche Daten von Mitarbeitern, wie Adressen und Kreditkartendaten befinden. Weiterhin sollen darin geschäftliche Daten über Finanzen und Supportdokumente gespeichert sein.

Akira gibt an, dass sie die Daten zeitnah in ihrem Leakportal hochladen wollen. Das ist aber bislang nicht geschehen. Die Vorgehensweise einer Veröffentlichung dient in der Regel als Druckmittel, damit Opfer ein Lösegeld zahlen. Oft werden solche Daten aber auch zum Kauf angeboten. In diesem Fall gibt es derzeit von der Erpresserseite keine weiterführenden Informationen zum weiteren Verlauf.

Potenzielles Opfer nimmt Stellung

In der Stellungnahme führt Apache OpenOffice aus, dass es bislang keine Lösegeldforderung gegeben hat. Weil OpenOffice ein Open-Source-Projekt ist und Mitarbeiter dementsprechend nicht bezahlt werden, gebe es die von Akira aufgeführten Daten gar nicht. Weil die Entwicklung des Office-Pakets öffentlich einsehbar ist, seien ohnehin alle relevanten Daten bekannt und für alle verfügbar.

Zum jetzigen Zeitpunkt bestreiten sie eine Cyberattacke und haben dementsprechend auch keine Strafermittler eingeschaltet.

(des)

In dem WordPress-Plug-in AI Engine klafft eine Sicherheitslücke, die Angreifern das Ausweiten der Rechte bis zur Kompromittierung der WordPress-Instanz erlauben kann. Ein Update für das Plug-in, das auf mehr als 100.000 Webseiten zum Einsatz kommt, steht zur Verfügung.

Laut Plug-in-Beschreibung von AI Engine dient es dazu, Chatbots zu programmieren sowie Inhalte und KI-Formulare zu erstellen und um Aufgaben mit KI-Modellen zu automatisieren. Die IT-Sicherheitsforscher von Wordfence warnen nun vor einer Sicherheitslücke darin, die es Angreifern ohne vorherige Authentifizierung ermöglicht, den sogenannten „Bearer Token“ auszulesen und vollen Zugriff auf das für die KI-Anbindung genutzte MCP (Model Context Protocol) zu erlangen. Das gelingt etwa durch Zugriff auf den REST-API-Endpunkt „/mcp/v1/“.

Potenzielle Angriffe

Dem können sie dann Befehle übergeben, die es ausführt – etwa „wp_update_user“, womit bösartige Akteure ihre Rechte beispielsweise zum Administrator ausweiten können. Damit lässt sich die WordPress-Instanz dann übernehmen. Eine kleine Einschränkung nennt Wordfence jedoch – die Lücke besteht nur dann, wenn in den MCP-Einstellungen die Option „No-Auth URL“ aktiviert ist, was standardmäßig jedoch nicht der Fall ist (CVE-2025-11749, CVSS 9.8, Risiko „kritisch„).

In der Analyse von Wordfence gehen die IT-Forscher für Interessierte noch genauer ins Detail. Für Admins wichtig zu wissen: Betroffen sind AI-Engine-Versionen bis einschließlich 3.1.3, die Version 3.1.4 und neuere schließen die Sicherheitslücke.

Am Dienstag dieser Woche wurden Angriffe auf eine Sicherheitslücke im populären WordPress-Plug-in Post SMTP bekannt. Es kommt auf mehr als 400.000 WordPress-Instanzen zum Einsatz. Bösartige Akteure können die Lücke missbrauchen, um die Instanzen schlussendlich zu übernehmen. Auch hier steht eine aktualisierte Plug-in-Version bereit, die das Sicherheitsleck abdichtet.

(dmk)

Der australische Geheimdienst Australian Signals Directorate (ASD) warnt vor der Malware „Badcandy“, die staatlich unterstützte Akteure durch eine alte Sicherheitslücke in Cisco IOS XE installieren. Die Sicherheitslücke ist seit 2023 bekannt. Cisco hat auch Softwareupdates zum Schließen davon veröffentlicht.

Die australischen Beamten erörtern, dass derzeit immer noch Angriffe auf die Sicherheitslücke (CVE-2023-20198, CVSS 10.0, Risiko „kritisch„) zu beobachten sind. Die Malware Badcandy wurde bereits seit Oktober 2023 durch die Schwachstelle auf verwundbare Cisco-Geräte verfrachtet. Erneute Aktivitäten damit waren sowohl im Jahr 2024 als auch 2025 zu beobachten.

Badcandy-Malware

Bei der Schadsoftware handelt es sich um eine Lua-basierte Web-Shell. Bösartige Akteure haben typischerweise nach solch einer Kompromittierung der Geräte durch die Schwachstelle eine nicht-persistente Version einen Patch installiert, um die Anfälligkeit der Geräte für die Sicherheitslücke zu vertuschen. Auch die Badcandy-Malware überlebt einen Geräte-Neustart nicht. Angreifer können jedoch über Zugangsdaten oder andere Formen von Persistenz verfügen und so dennoch weiterhin Zugriff auf das Netzwerk oder Geräte behalten.

Um einen erneuten Missbrauch der Schwachstelle und die Re-Infektion des Geräts zu verhindern, müssen IT-Verantwortliche den verfügbaren Softwareflicken anwenden. Allein in Australien hat der ASD in diesem Jahr mehr als 400 potenziell mit Badcandy kompromittierte Geräte gefunden, Ende Oktober waren es noch immer mehr als 150 Cisco-Geräte – der ASD hat Opfern Benachrichtigungen mit Anleitungen zum Patchen, Rebooten und Härten der Geräte geschickt.

Die Shadowserver Foundation hat nun auf Mastodon ebenfalls aktualisierte Zahlen veröffentlicht. Demnach sind weltweit noch rund 15.000 Cisco-IOS-XE-Geräte mit einer bösartigen Hintertür versehen. Ebenso seien häufige Re-Infektions-Kampagnen zu beobachten. In der Aufschlüsselung nach Ländern von der Shadowserver Foundation sind in Deutschland derzeit 90 Cisco-Geräte mit Badcandy unterwandert – damit liegt die Bundesrepublik auf Platz 33 der Liste. Dennoch ist das ein Hinweis, dass hier IT-Verantwortliche ebenfalls noch aktiv werden müssen. Möglicherweise wurde aufgrund des non-persistenten Patches das eine oder andere Gerät auch nicht als verwundbar erkannt.

Die Cisco-Schwachstelle steht bei Cyberkriminellen offenbar hoch im Kurs. Bereits Ende Juni warnten das FBI und das „Canadian Centre for Cyber Security“ davor, dass staatlich gestützte chinesische Cyberbanden die alte Sicherheitslücke noch aktiv ausnutzen. Damals sind sie konkret in ein Netzwerk eines kanadischen Telekommunikationsanbieters eingestiegen.

(dmk)