Threat Advisories

Trellix hat bekannt gegeben, dass auf internen Quellcode für Teile seines Produktportfolios unbefugt zugegriffen wurde. Das betroffene Material bezieht sich nur auf den Code für die Produktentwicklung und umfasst keine Kundenumgebungen oder Kundendaten. Es gibt keine Hinweise auf eine böswillige Veränderung der veröffentlichten Software-Artefakte.

CVE 2026 31431, allgemein bekannt als "Copy Fail", ist eine schwerwiegende lokale Schwachstelle für die Ausweitung von Berechtigungen, die den Linux-Kernel betrifft. Das Problem betrifft Kernel, die von allen größeren Linux-Distributionen seit 2017 ausgeliefert werden, und ermöglicht es einem lokalen, nicht privilegierten Benutzer, die Root-Ebene auf dem Host-System auszuführen.

Ende März 2026 behauptete ein unter dem Pseudonym "The_Auditors" operierender Angreifer, in das System von BlackLine Systems eingedrungen zu sein, einem in den USA ansässigen Anbieter von Software für Finanzautomatisierung und Buchhaltung. Der Angreifer behauptet, dass etwa 354 GB an sensiblen Finanz- und Betriebsdokumenten exfiltriert wurden, insgesamt über 1,5 Millionen Datensätze, die nicht nur BlackLine, sondern auch dessen Unternehmenskunden gehören. Zum Zeitpunkt der Erstellung dieses Artikels hat BlackLine den Verstoß nicht öffentlich bestätigt, und die Behauptungen bleiben unbestätigt. Mehrere Cybersecurity-Intelligence-Firmen haben die Anschuldigungen jedoch aufgrund mehrerer Indikatoren als glaubwürdig eingestuft.

Ein neuer und aktiver Angriff auf die npm-Versorgungskette wurde beobachtet, der kompromittierte Betreuer-Anmeldeinformationen missbraucht, um bösartigen Code über Pakete im Node.js-Ökosystem selbst zu verbreiten. Die Malware stiehlt Authentifizierungsmaterial (npm-Tokens, Cloud-Zugangsdaten, CI/CD-Geheimnisse, SSH-Schlüssel und Wallet-Daten) und nutzt alle entdeckten Publishing-Tokens, um sich in weitere Pakete desselben Maintainers einzuschleusen und so eine wurmartige seitliche Verbreitung zu erzeugen.

Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat die aktive Ausnutzung einer hochgradig gefährlichen Schwachstelle für Remotecodeausführung (RCE) in Apache ActiveMQ Classic bestätigt, die als CVE-2026-34197 erfasst ist. Die Schwachstelle wurde in den KEV-Katalog (Known Exploited Vulnerabilities) der CISA aufgenommen, was verifizierte böswillige Aktivitäten in freier Wildbahn signalisiert und die Priorität für Abhilfemaßnahmen für alle Organisationen erhöht, die betroffene Versionen von ActiveMQ verwenden.

Microsoft Exchange Server ist nach wie vor einwertvollesZiel für Bedrohungsakteure, da es eng mit den Identitätssystemen des Unternehmens, der E-Mail-Infrastruktur und privilegierten Dienstkonten verbunden ist. Schwachstellen bei der Remote-Code-Ausführung (RCE) in Exchange wurden in der Vergangenheit fürgroßangelegteSpionagekampagnen, die Bereitstellung von Ransomware und dauerhafte Zugriffsoperationengenutzt.

Ein kritischer Angriff auf die Lieferkette hat die weit verbreitete JavaScript-Bibliothek Axios betroffen, nachdem das npm-Konto des Hauptverantwortlichen kompromittiert wurde. Die Angreifer nutzten das gekaperte Konto, um zwei bösartige Versionen zu veröffentlichen, axios@1.14.1 und axios@0.30.4, die eine bösartige Abhängigkeit einführten (plain-crypto-js@4.2.1). Diese Abhängigkeit war nicht Teil der legitimen Axios-Codebasis und diente nur dazu, ein Nachinstallationsskript auszuführen, das einen plattformübergreifenden Remote Access Trojaner (RAT) installierte.

LiteLLM ist eine beliebte Open-Source-Python-Bibliothek und ein Proxy-Server, der eine einheitliche Schnittstelle für den Aufruf von mehr als 100 Large Language Model (LLM)-APIs wie OpenAI, Anthropic, Bedrock und VertexAI bietet, wobei das standardmäßige OpenAI-Eingabe-/Ausgabeformat verwendet wird. Es vereinfacht die Integration mehrerer LLMs und bietet Funktionen wie automatische Fallbacks, Wiederholungsversuche und Kostenverfolgung. Da es als API-Gateway fungiert, fungiert es von vornherein als Credential Aggregator, der API-Schlüssel für verschiedene LLM-Anbieter sicher verwahrt.

CVE202620963 wurde ursprünglich im Januar 2026 veröffentlicht, hat aber in letzter Zeit aufgrund der bestätigten aktiven Ausnutzung erneut an Aufmerksamkeit gewonnen.

Anfang dieser Woche haben wir einen Blogbeitrag über die Cyber-Affären inmitten des amerikanisch-israelischen Krieges gegen den Iran mit dem Titel Operation Epic Fury geschrieben. Darin stellten wir fest, dass es als Vergeltung für diese Angriffe eine verstärkte Reaktion von staatlich geförderten Bedrohungsakteuren gegen westliche Organisationen mit einer Präsenz im Nahen Osten geben würde.