Noch ein kurzer Informationssplitter rund um Cybersicherheit. Mir ist die Information zugegangen, dass die Landeshauptstadt Stuttgart Opfer der Rhysida-Ransomware-Gruppe geworden ist. Zudem gibt es neue Informationen zum Cyberangriff auf den Rezeptprüfdienst ARWINI, über den ich kürzlich berichtete. Zudem gibt es wieder eine schwerwiegende Schwachstellen in n8n. Grafana hat sich Code klauen lassen und es gibt einen neuen Lieferkettenangriff. Mächtig Sturm im Cyber-Space.
Cyberangriff durch Rhysida auf Stadt Stuttgart?
Öffentliche Berichte, dass es die Tage einen Cyberangriff auf die Landeshauptstatt Stuttgart gegeben hat, habe ich nicht gefunden. Der letzte Cyberangriff war im Mai 2025, wie man diesem SWR-Beitrag entnehmen kann.
Aus der Leserschaft ist mir obiger Tweet von HackManac zugespielt worden. Die Ransomware-Gruppe Rhysida reklamiert einen Angriff auf die Landeshauptstadt von Baden-Württemberg, Stuttgart. Gelistet wird der Vorfall seit dem 19. Mai 2026. Die Gruppe fordert ein Lösegeld in Höhe von 5 BTC, und will andernfalls Daten in sechs Tagen veröffentlichen. Die Daten sollen Finanzdokumente, Steuerunterlagen und technische Zeichnungen umfassen.
Grob gerechnet 331.000 Euro Lösegeld erscheinen mir nicht so sonderlich hoch, könnte also Fake sein, um Interesse zu wecken (oder es sind irgendwo einige Dokumente abgegriffen worden). Derzeit ist der Vorfall aber offiziell unbestätigt und nur in Ransomware-Seiten wie ransomware.live zu finden.
Ich habe die Presseabteilung der Stadt Stuttgart bezüglich einer Stellungnahme angefragt. Pressesprecher Harald Knitter antwortete kurzfristig und gibt an: "Im Moment liegen mir in der Pressestelle keine eigenen Erkenntnisse zu einem solchen Vorfall vor."
ARWINI durch Kairos-Ransomware gehackt
Zum 16. Mai 2026 hatte ich im Blog-Beitrag Cyberangriff auf die ARWINI (Rezeptprüfung in Niedersachsen) mit potentiellem Datenabfluss über einen erfolgreichen Cyberangriff auf die Rezeptprüfungsstelle ARWINI in Niedersachsen berichtet. Es hieß nebulös, dass 80.000 (anonymisierte) Datensätze abgeflossen sein könnten. Und es wurde vor "Angriffen" auf die in den anonymisierten Datensätzen enthaltenen Personen per E-Mail etc. gewarnt. Passte alles nicht so richtig zusammen. Nun ist klar, dass definitiv Daten abgeflossen sind und die Ransomware-Gruppe Kairos diesen Angriff für sich reklamiert. Details habe ich in obigem Beitrag nachgetragen.
OverDoS Schwachstelle (CVE-2026-42236) in n8n
Das Checkmarx Zero Research Team hat eine, OverDoS getaufte, schwerwiegende DoS-Schwachstelle (CVE-2026-42236) in der Automatisierungsplattform n8n entdeckt. Die Sicherheitslücke ermöglicht es Angreifern, öffentlich erreichbare n8n-Instanzen – ohne Authentifizierung – durch speziell präparierte Requests lahmzulegen. Laut Checkmarx sind potenziell mehr als 70.000 Instanzen exponiert. Details lassen sich in diesem Blog-Beitrag nachlesen.
n8n wird zunehmend für KI-Workflows, MCP-Integrationen und automatisierte Geschäftsprozesse eingesetzt. Besonders relevant ist daher der technische Hintergrund der Schwachstelle: Sie hängt mit OAuth Dynamic Client Registration (DCR) sowie modernen MCP- und OAuth-basierten Integrationen zusammen, wie sie häufig in modernen Automatisierungsumgebungen eingesetzt werden.
Grafana GitHub-Repository wurde gehackt
Grafana ist eine plattformübergreifende Open-Source-Anwendung zur grafischen Darstellung von Daten aus verschiedenen Datenquellen wie z. B. InfluxDB, MySQL, PostgreSQL, Prometheus und Graphite. Die erfassten Rohdaten lassen sich anschließend in verschiedenen Anzeigeformen ausgeben.
Sonntag hatte ich auf X bereits obigen Tweet gesehen, dass es bei Grafana einen Cybervorfall gegeben habe. Ein Angreifer erhielt Zugriff auf einen GitHub-Token und konnte den Quellcode aus der Grafana Labs-Umgebung herunterladen. Es gab eine Erpressung mit Lösegeldforderung, aber Grafana hat die Zahlung verweigert.
Grafana hat in einer Serie Tweets den Vorfall eingestanden und schreibt, dass keine Kundendaten betroffen seien. Man hat eine forensische Analyse eingeleitet und glaubt, die Quelle des Leaks von Anmeldedaten identifiziert zu haben. Die kompromittierten Anmeldedaten wurden inzwischen ungültig gemacht. Es wurden zusätzliche Sicherheitsmaßnahmen implementiert, um die GitHub-Umgebung weiter vor unbefugtem Zugriff zu schützen. Ich habe inzwischen gesehen, dass Bleeping Computer hier einige Informationen zusammen getragen hat.
Neuer Mini Shai-Hulud antv npm-Lieferkettenangriff
Der npm-Wurm "Mini Shai-Hulud" hat diesem Tweet zufolge vor wenigen Stunden erneut zugeschlagen. Nachdem das npm-Konto atool (i@hust.cc) kompromittiert wurde, veröffentlichte der Angreifer in einem 22-minütigen Zeitfenster zwischen 01:39 und 02:06 UTC 631 schädliche Versionen in 314 Paketen, die alle dieselbe Payload enthielten.
Hunderte von antv-Paketen (Alibabas Datenvisualisierungssuite) sowie echarts-for-react, timeago.js, size-sensor und canvas-nest.js wurden kompromittiert. Die Schadfunktion sammelt über 20 Arten von Geheimnissen: GitHub-PATs, npm-Token, AWS-Schlüssel, GCP-Dienstkonten, Azure-Anmeldedaten, DB-Verbindungszeichenfolgen, Stripe-Schlüssel, Slack-Token, SSH-Schlüssel, Docker-Authentifizierung, Kubernetes-Konfigurationen, Vault-Token, und versucht, aus dem Docker-Container zu entkommen, wenn der Host-Socket erreichbar ist.
Es sind Pakete mit Millionen Downloads betroffen. Ein Bericht findet sich beispielsweise auf dieser Webseite. Microsoft hat in diesem Tweet ebenfalls eine Analyse vorgelegt.
NGINX-Schwachstelle (CVE-2026-42945) mit ASLR ausnutzbar
Im Beitrag NGINX-Schwachstelle (CVE-2026-42945) wird ausgenutzt hatte ich über eine Schwachstelle im NGINX-Webserver berichtet. Die sollte nur mit deaktiviertem ASLR ausnutzbar sein. Nun hat jemand ein Proof of Concept (PoC) veröffentlicht, dass ASLR umgeht – patchen ist also dringend geworden.
MVP: 2013 – 2016
