Threat Advisories

Ein kritischer Angriff auf die Lieferkette hat die weit verbreitete JavaScript-Bibliothek Axios betroffen, nachdem das npm-Konto des Hauptverantwortlichen kompromittiert wurde. Die Angreifer nutzten das gekaperte Konto, um zwei bösartige Versionen zu veröffentlichen, axios@1.14.1 und axios@0.30.4, die eine bösartige Abhängigkeit einführten (plain-crypto-js@4.2.1). Diese Abhängigkeit war nicht Teil der legitimen Axios-Codebasis und diente nur dazu, ein Nachinstallationsskript auszuführen, das einen plattformübergreifenden Remote Access Trojaner (RAT) installierte.

LiteLLM ist eine beliebte Open-Source-Python-Bibliothek und ein Proxy-Server, der eine einheitliche Schnittstelle für den Aufruf von mehr als 100 Large Language Model (LLM)-APIs wie OpenAI, Anthropic, Bedrock und VertexAI bietet, wobei das standardmäßige OpenAI-Eingabe-/Ausgabeformat verwendet wird. Es vereinfacht die Integration mehrerer LLMs und bietet Funktionen wie automatische Fallbacks, Wiederholungsversuche und Kostenverfolgung. Da es als API-Gateway fungiert, fungiert es von vornherein als Credential Aggregator, der API-Schlüssel für verschiedene LLM-Anbieter sicher verwahrt.

CVE202620963 wurde ursprünglich im Januar 2026 veröffentlicht, hat aber in letzter Zeit aufgrund der bestätigten aktiven Ausnutzung erneut an Aufmerksamkeit gewonnen.

Anfang dieser Woche haben wir einen Blogbeitrag über die Cyber-Affären inmitten des amerikanisch-israelischen Krieges gegen den Iran mit dem Titel Operation Epic Fury geschrieben. Darin stellten wir fest, dass es als Vergeltung für diese Angriffe eine verstärkte Reaktion von staatlich geförderten Bedrohungsakteuren gegen westliche Organisationen mit einer Präsenz im Nahen Osten geben würde.

Cisco hat Notfall-Patches für zweiSicherheitslückenhöchstenSchweregrades(CVSS 10.0)veröffentlicht, die das Cisco Secure Firewall Management Center (FMC) betreffen. Diese Schwachstellen, die unter den BezeichnungenCVE-2026-20079undCVE-2026-20131geführt werden, ermöglichen es nicht authentifizierten Angreifern, dieKontrolle über FMC-AppliancesaufRoot-Ebenezu erlangen, was ein ernstes Risiko für die Firewall-Infrastruktur von Unternehmen darstellt. Bisher wurde noch keine Ausnutzung in freier Wildbahn beobachtet, aber die kritische Natur und die einfache Ausnutzung machen diese Schwachstellen zu einer sofortigen Priorität für die Behebung.

Cybersecurity-Forscher haben eine neue Welle von Supply-Chain-Angriffen aufgedeckt, die nordkoreanischen, staatlich orientierten Bedrohungsakteuren zugeschrieben werden. Dabei wurden 26 bösartige npm-Pakete veröffentlicht, die sich als legitime Entwickler-Tools ausgeben. Die als "StegaBin" bezeichnete Kampagne nutzt Pastebin-basierte Steganografie, um Command-and-Control (C2)-Endpunkte zu verbergen und schließlich Credential Stealer und einen plattformübergreifenden Remote Access Trojan (RAT) einzusetzen. Die Infrastruktur, die diese Operationen unterstützt, erstreckt sich über 31 Vercel-Installationen, was eine ausgeklügelte und sich weiterentwickelnde Bedrohung für die globale Software-Lieferkette aufzeigt.

Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat eine neu entdeckte Sicherheitslücke in VMware Aria Operations (CVE-2026-22719) in ihren KEV-Katalog (Known Exploited Vulnerabilities) aufgenommen, nachdem eine aktive Ausnutzung in freier Wildbahn bestätigt wurde. Bei der Schwachstelle handelt es sich um eine Befehlsinjektionsschwachstelle, die unter bestimmten Bedingungen eine unautorisierte Remotecodeausführung (RCE) ermöglicht. VMware (Broadcom) hat am 24. Februar 2026 Patches veröffentlicht, doch Berichten zufolge nutzen Angreifer die Schwachstelle nun gegen ungepatchte Systeme aus. Zivile Bundesbehörden wurden angewiesen, die Sicherheitslücke bis zum 24. März 2026 zu beheben.

Die globale geopolitische und Cybersicherheitslandschaft hat sich nach dem Start der Operation "Epic Fury" am 28. Februar 2026 durch die Vereinigten Staaten und der parallelen israelischen Kampagne Operation "Roaring Lion" gegen den Iran dramatisch verändert. Durch die koordinierten Militärschläge wurden wichtige iranische Führungspersönlichkeiten, darunter der Oberste Führer Ayatollah Ali Khamenei, erfolgreich ausgeschaltet und die konventionelle militärische und nukleare Infrastruktur des Irans stark geschwächt.

Cisco Catalyst SD-WAN-Plattformen sind in Unternehmen, Behörden und Service Providern weit verbreitet und dienen oft als Kerninfrastruktur, die Außenstellen, Rechenzentren und Cloud-Umgebungen miteinander verbindet. Da diese Controller häufig von externen Netzwerken aus erreichbar sind, um verteilte Operationen zu unterstützen, stellen sie ein sehr sichtbares und attraktives Ziel für Bedrohungsakteure dar.

CVE-2026-2329 ist eine kritische stapelbasierte Pufferüberlaufschwachstelle, die die VoIP-Tischtelefone der Grandstream GXP1600-Serie betrifft. Die Schwachstelle befindet sich im webbasierten API-Endpunkt des Geräts und kann aus der Ferne ohne jegliche Authentifizierung ausgenutzt werden. Bei erfolgreicher Ausnutzung kann ein Angreifer eine vollständige Remote-Codeausführung mit Root-Rechten auf dem Telefon erlangen.