Threat Advisories

Forscher haben kürzlich eine groß angelegte Kampagne namens „FortiBleed“ aufgedeckt, bei der Anmeldedaten für Fortinet FortiGate-Firewalls und SSL-VPN-Geräte in Umgebungen weltweit kompromittiert und offengelegt wurden.

Ein kürzlich aufgetretener Sicherheitsvorfall bei ServiceNow verdeutlicht ein erhebliches Risiko für Unternehmen, die auf Cloud-Workflow- und IT-Service-Management-Plattformen setzen. ServiceNow gab bekannt, dass eine Software-Sicherheitslücke, von der bestimmte Kundeninstanzen betroffen waren, den nicht authentifizierten Zugriff auf Daten über einen anfälligen API-Endpunkt ermöglichte. Durch diesen Umstand wurden die Authentifizierungskontrollen effektiv umgangen, sodass externe Parteien ohne gültige Anmeldedaten auf gespeicherte Daten zugreifen konnten.

Unternehmen, die Check Point Remote Access VPN-, Mobile Access- oder Spark Firewall-Lösungen einsetzen, wird empfohlen, sofortige Maßnahmen zu ergreifen, nachdem bestätigt wurde, dass CVE-2026-50751, eine kritische Authentifizierungsumgehungsschwachstelle, aktiv ausgenutzt wird. Diese Schwachstelle, die mit einem hohen Schweregrad von 9.3 bewertet wurde, betrifft Umgebungen, die für die Verwendung des veralteten IKEv1-Schlüsselaustauschprotokolls konfiguriert sind, und ermöglicht nicht authentifizierten Angreifern den VPN-Zugang ohne gültige Benutzeranmeldedaten.

Die CISA hat am 27. Mai 2026 drei Schwachstellen in ihren KEV-Katalog (Known Exploited Vulnerabilities) aufgenommen und damit bestätigt, dass sie in realenAngriffen aktiv ausgenutztwerden.

Obwohl diese Schwachstellen unterschiedliche Technologien betreffen, haben sie ein gemeinsames Thema: die Kompromittierung vertrauenswürdiger Softwareverteilungs- und Entwicklungspipelines. Im Gegensatz zu herkömmlichen Schwachstellen, die auf exponierte Dienste abzielen, ermöglichen diese Probleme Angreifern, bösartigen Code über legitime Kanäle wie Software-Installationsprogramme, npm-Pakete und Entwicklungswerkzeuge zu verbreiten.

GitHub hat den unbefugten Zugriff auf etwa 3.800 seiner internen Entwicklungs-Repositories und deren Exfiltration bestätigt. Der Einbruch wurde von der finanziell motivierten Cybercrime-GruppeTeamPCPinszeniert, die eine trojanisierte Microsoft Visual Studio Code (VS Code)-Erweiterung ausnutzte, die auf dem Gerät eines privilegierten Mitarbeiters installiert war.

Microsofts Patch Tuesday-Update für Windows 10 vom Mai 2026, KB5087544, spiegelt die aktuelle Realität der Plattform wider. Windows 10 befindet sich jetzt in der Phase der erweiterten Sicherheitsupdates und wird nicht mehr durch neue Funktionen weiterentwickelt, aber es wird immer noch aktiv gesichert und gewartet. Dieses Update kombiniert eine große Anzahl von Schwachstellenbehebungen mit gezielten Änderungen an Remotedesktop und Secure Boot, die zeigen, wie Microsoft die Kontrolle über das Vertrauen und die Stabilität von Endpunkten verschärft.

Fortinet hat zwei kritische Schwachstellen in FortiSandbox und FortiAuthenticator bekannt gegeben, die eine unauthentifizierte Remotecodeausführung (RCE) auf ungeschützten Systemen ermöglichen könnten.

Trellix hat bekannt gegeben, dass auf internen Quellcode für Teile seines Produktportfolios unbefugt zugegriffen wurde. Das betroffene Material bezieht sich nur auf den Code für die Produktentwicklung und umfasst keine Kundenumgebungen oder Kundendaten. Es gibt keine Hinweise auf eine böswillige Veränderung der veröffentlichten Software-Artefakte.

CVE 2026 31431, allgemein bekannt als "Copy Fail", ist eine schwerwiegende lokale Schwachstelle für die Ausweitung von Berechtigungen, die den Linux-Kernel betrifft. Das Problem betrifft Kernel, die von allen größeren Linux-Distributionen seit 2017 ausgeliefert werden, und ermöglicht es einem lokalen, nicht privilegierten Benutzer, die Root-Ebene auf dem Host-System auszuführen.

Ende März 2026 behauptete ein unter dem Pseudonym "The_Auditors" operierender Angreifer, in das System von BlackLine Systems eingedrungen zu sein, einem in den USA ansässigen Anbieter von Software für Finanzautomatisierung und Buchhaltung. Der Angreifer behauptet, dass etwa 354 GB an sensiblen Finanz- und Betriebsdokumenten exfiltriert wurden, insgesamt über 1,5 Millionen Datensätze, die nicht nur BlackLine, sondern auch dessen Unternehmenskunden gehören. Zum Zeitpunkt der Erstellung dieses Artikels hat BlackLine den Verstoß nicht öffentlich bestätigt, und die Behauptungen bleiben unbestätigt. Mehrere Cybersecurity-Intelligence-Firmen haben die Anschuldigungen jedoch aufgrund mehrerer Indikatoren als glaubwürdig eingestuft.