Heute noch ein kleiner Sammelbeitrag rund um Sicherheitsthemen. Beim Anbieter ServiceNow hat es einen Sicherheitsvorfall gegeben, bei dem Dritte über einen ungesicherten API-Zugang auf Kunden-Instanzen zugreifen konnten. Bei FortiBleed gibt es neue Erkenntnisse zu den Angriffen auf die FortiNet-Instanzen. Und bei Google verlangt der Captcha-Zugang nun Winkbewegungen des Nutzers. Derweil fordert die Free Software Foundation die EU-Kommission auf, Google zu zwingen, dass die KI-Modelle unter Android deinstallierbar sein müssen.
Sicherheitsvorfall bei ServiceNow
ServiceNow Inc. ist ein US-amerikanisches Technologieunternehmen mit Sitz in Santa Clara, Kalifornien. Es bietet mit dem gleichnamigen Produkt eine cloud-basierte Lösung für das IT-Service-Management an.
Auf die volle KI-Experience gesetzt
In der Eigenwerbung heißt es "Optimieren Sie Ihre Unternehmensworkflows mit der ServiceNow AI-Platform in allen Bereichen Ihres Unternehmens – sowohl für Kunden als auch für Mitarbeiter. […] Von HR und Finanzwesen über Kundenservice bis Sicherheit – egal welche Branche und welche Unternehmensgröße: ServiceNow optimiert Arbeitsabläufe, steigert die Produktivität und bietet optimierte Experiences in jeder Abteilung, damit alle Mitarbeiter besser und effizienter arbeiten können." KI-Experience wird ganz groß geschrieben und die Top 500 Unternehmen hängen natürlich bei ServiceNow am Tropf.
Verdacht auf eine Schieflage
Mir ist bereits vor einigen Tagen oberer Tweet vom 9. Juni 2026 untergekommen, der auf einen möglichen Sicherheitsvorfall anspielt. Die Kernaussage: Der Anbieter hat zum 5. Juni 2026 einen Sicherheitsvorfall erlitten, bei dem Angreifer eine Schwachstelle in der nicht authentifizierten REST-API ausnutzten, um auf Kundeninstanzen zuzugreifen und Kundendaten abzufragen.
Benachrichtigungen, die ServiceNow-Kunden erhielten, besagte, dass über eine verdächtige IP-Adresse, die auf mehrere Kunden-Tenants zugegriffen worden sei.
Die Ursache scheint ein skriptgesteuerter REST-API-Endpunkt zu sein, der keine Authentifizierung erforderte, da er Aktivitäten unter dem Benutzer „Guest" protokollierte, der über kein tatsächliches Konto verfügte, hieß es. Die Ressource befand sich seit mindestens 2018 in diesem Zustand und wurde erst am "vergangenen Freitag" (war der 5. Juni 2026) behoben, als ServiceNow das Flag "requires_authentication" auf "true" setzte. Auf reddit.com wurde das in diesem Thead heftig diskutiert.
Offenlegung eines Sicherheitsvorfalls
Ich hatte es am Rand bei den Kollegen von Bleeping Computer mitbekommen, die am 10. Juni 2026 das Thema aufgegriffen haben. Dort heißt es, dass es auf einem abgeschotteten ServiceNow-Kundenportal eine Sicherheitsinformation über einen Cybervorfall gab. Am 5. Juni 2026 sind denen wohl Zugriffe auf Kundensysteme aufgefallen (diese gab es laut reddit.com Diskussion am 2., 3. Juni 2026).
Inzwischen ist die ServiceNow Verlautbarung hier öffentlich abrufbar. Aus dieser geht hervor, dass das Unternehmen bereits im April 2026 von extern Hinweise auf obiges Problem bekam, und dann im Juni 2026 wiederholte Hinweise von Sicherheitsforschern eingingen. Derzeit zieht sich das Unternehmen, so wie ich deren Verlautbarung interpretiere, auf den Punkt zurück, dass die Zugriffe von einer IP durch Sicherheitsforscher, die die Schwachstelle erforschten, erfolgte. Also nix wirklich wichtiges passiert. Golem hatte das in diesem Beitrag ebenfalls aufgegriffen
FortiBleed-Nachlese zum Hack der FortiNet-Instanzen
Zum 18. Juni 2026 hatte ich im Beitrag FortiBleed: Administrator-Passwörter bei 75.000 Fortinet-Firewalls geknackt berichtet, dass Fortinet Firewalls und Gateways im Risiko stehen, weil Zugangsdaten für Administrator-Zugänge zirkulieren. Laut The Hacker News warnte die US-Cybersicherheitsbehörde CISA ihre Klientel vor entsprechenden Angriffen.
Analyse von FortiNet
Zum 19. Juni 2026 hat FortiNet dann die Analyse Analysis of Reported Credential Compromise of FortiGate Devices mit eigenen Erkenntnissen veröffentlicht. Der Anbieter negiert eine neue Schwachstelle und geht davon aus, dass die Angreifer alte Anmeldedaten aus früheren Vorfällen wiederverwenden und Brute-Force-Techniken gegen Geräte einsetzen, die über eine unzureichende Passwort-Sicherheit verfügen sowie keine Multi-Faktor-Authentifizierung (MFA) nutzen.
Weitere Analysen von SpyCloud und Beaumond
Inzwischen bin ich auf die Analyse von SpyCloud gestoßen, die im Grunde die FortiNet-Analyse stützen. Es scheint wohl eine groß angelegte Brute-Force-Kampagne gewesen zu sein, die vorhandene Passwortlisten zum Angriff auf Administratorzugänge verschiedener Systeme verwendete. In einer Multi-Server-Operation zum Erlangen des Erstzugangs wurden nicht nur Fortinet-VPN-Anmeldungen per Brute-Force-Angriff geknackt. Sondern es gab auch Zugriffe auf andere Konten von Synology-NAS-Geräten, Sophos-Firewalls und MSSQL-Servern. Eine weitere Analyse von Sicherheitsforschern gibt es hier.
Obigem Tweet zufolge haben die Angreifer hinter der FortiBleed-Kampagne 36 GPUs bei einem KI-Cloud-Anbieter angemietet, um gestohlene FortiGate-Konfigurations-Hashes im industriellen Maßstab zu knacken. Sicherheitsforscher Kevin Beaumont beleuchtet die Kampagne. Kevin Beaumont widerspricht der öffentlichen Darstellung von Fortinet, wonach es sich bei den Daten lediglich um alte Sicherheitslücken und Brute-Force-Angriffe handele.
Der Sicherheitsforscher wird in obigem Tweet so zitiert, dass die Angreifer frisch geknackte Passwörter genutzt hätten. Bei jedem Unternehmen, dem Beaumont im Rahmen eines Vorfalls geholfen hat, wurden die Konfiguration im Mai 2026 exportiert. In den von Beaumont analysierten Fällen seien der Angreifer weit über das Sammeln von Zugangsdaten hinausgegangen: Der Angreifer fügte Admin-Konten hinzu, öffnete SSH- und RDP-Firewall-Regeln und loggte sich in IPsec-Tunnel ein, hieß es.
oAuth-Hacks bei Klue und lange Opferliste
Klue ist eine KI-gestützte Plattform für Competitive Enablement und Win-Loss-Analysen. Sie hilft Unternehmen dabei, Markt- und Wettbewerbsdaten zu sammeln, zu analysieren und für Vertriebs- und Marketingteams aufzubereiten. Die Plattform verknüpft interne Unternehmensdaten mit öffentlich zugänglichen Informationen aus dem Internet.
Das in Vancouver angesiedelte Unternehmen hat zum 19. Juni 2026 einen Cybervorfall eingestanden. Seit dem 12. Juni 2026 haben Unbefugte auf die Integrationsinfrastruktur von Klue zugegriffen. Das war über einen "veralteten Zugang" möglich. Die Angreifer konnten an OAuth-Token gelangen, die zur Verbindung von Klue mit bestimmten Plattformen wie Salesforce verwendet werden. In Folge konnten die Angreifer dann auf die über Klue verbundenen (Salesforce) Kundenumgebungen zugreifen.
Die Opferliste wird nun immer länger, Gong, Jamf, HackerOne, Insurity, OneTrust, Recorded Future, Snyk, Sprout Social und Tanium sind dabei, wie Techcrunch hier auflistet. Ich habe Listen gesehen, wo auch deutsche Unternehmen aufgeführt wurden. Salesforce hat die Integration mit Klue inzwischen unterbrochen, aber das "das Kind ist in den Brunnen gefallen". Die Cybergang Icarus hat sich zum Angriff bekannt und will die erbeuteten Daten auf ihrer Leak-Seite veröffentlichen.
Bleeping Computer hat in diesem Artikel einige Details veröffentlicht. Ich weiß nicht, wie oft ich hier im Blog bereits über solche Vorfälle berichtet habe, wo Integrationen mit Dritt-App in Sicherheitsvorfälle involviert waren. Und mehrfach war Salesforce beteiligt. Irgendwie "lustig", wie das oben Beschriebene mal wieder passt – ob da irgend jemand mal schlauer wird?
Google Splitter: Android AI bannen; Captcha per "Winke-Winke"
Abschließend noch zwei Informationssplitter aus dem Google-Universum, die ich der Leserschaft nicht vorenthalten möchte. Es geht beide Male um Google KI, die ihre Schatten vorauswirft.
Free Software Foundation fordert AI-Bann bei Android von EU-Kommission
Google rollt seit einiger Zeit seine AI-Funktionen auf alle Android-Geräte aus und als Nutzer hat man alle Hände voll zu tun, die Prozesse zu unterbinden. Die Free Software Foundation Europe hat sich nun an die EU-Kommission gewandt. Die Forderung lautet, dass die EU-Kommission Google zu zwingen soll, dass die in Android ausgerollten AI-Funktionen deinstallierbar werden. Dies hat neowin.net in diesem Artikel aufgegriffen.
Google fordert Winken bei Captchas
Google hat das Problem, dass seine KI die üblichen Captcha-Erkennungsversuche von KI-Lösungen nicht mehr abwehren kann. Daher führt man bei der reCaptcha-Erkennung "Handgesten" ein. heise hat das Thema hier aufgegriffen.





MVP: 2013 – 2016





Bester Kommentar zu G***-Abfragen ->
https://www.heise.de/forum/heise-online/Kommentare/Googles-reCaptcha-bekommt-Handgestenerkennung/Meine-Handgeste-dafuer-duerft-ihr-gerne-speichern/posting-46365257/show/
Das habe ich schon vor 2 Jahren festgestellt, das Googles reCaptcha keinerlei Wirkung mehr hat.
Hmm… wie wohl solche ReCaptchas ohne Bildaufnahme-Peripherie erfüllt werden sollen?
Aber wahrscheinlich interessiert G* das halt auch gar nicht und durch's Netz fallende Teilnehmer sind nach dem Collateral Damage"-Prinzip eingepreist – kann man eben als Monopolist so bestimmen! 🤷♂️
Um mal den damaligen Geschäftsführer von Blizzard zu zitieren: "Don't you guys have phones?". Man hat mitunter das Gefühl, das viele Firmen nur noch an Smartphone User denken und der PC ausstirbt. Sieht man ja auch immer wieder daran, dass keine Webservices mehr angeboten werden, sondern nur noch Apps.
Der Grund ist, dass die Smartphone-Nutzer wesentlich mehr Daten zum Abgrabbeln bieten. Deshalb wird für 2-Faktor-Authentifizierung auch meist ein Smartphone statt eines Festnetzes verlangt obwohl letzteres aufgrund der erschwerten Nummernmitnahme bei Diebstahl eigentlich sicherer ist.
Die genannte Zahl von 75000 betroffenen Installationen bei der FortiBleed-Nummer passt aus meiner Sicht sehr gut zu der hier umschriebenen Situation, warum bei der Stadtverwaltung von Oranienburg (in Brandenburg) Ende der vergangenen Woche praktisch nichts mehr ging:
https://www.tagesschau.de/inland/regional/brandenburg/rbb-oranienburger-stadtverwaltung-nach-cyberangriff-nicht-erreichbar-102.html
Ich habe irgendwie ein ungutes Gefühl bei der Fortibleed-Sache, klar, Zugang aus dem WAN auf die Managementseite, das geht garnicht, schon garnicht ohne 2FA. Aber unter den geknackten Instanzen sind richtig große Firmen, unter anderem wohl auch Fortinet selbst. Das passt nicht zusammen. Auch dass so ein Authentifizierungsportal nach ein solches Anmeldeportal paar kurz hintereninander erfolgten Bruteforce-Login-Versuchen von den selben IPs nicht dicht macht nicht. Für mich stinkt das zum Himmel, da ist IMHO was im Busch.
Sophos ist übrigens auf den Zug aufgesprungen und schreibt seine Kunden an und bietet einfache Migration von Forti auf deren Firewall an.
Beaumont hat aus seiner Praxiserfahrung die Sachlage anders dargestellt: die Hashes ausgespähter Credentials sind zurückgerechnet worden. Mit allen anderen Punkten hast du selbsverständlich recht. Doch gab es in der Vergangenheit bereits Forti-CVE, die auch die MFA umgangen haben. Das ist ein Saftladen ohne ItSec-Kultur – ebenso wie VMware, Ivanti und Microsoft.
Ich bezweifele stark, dass Beaumont gesagt hat, dass die Hashes zurückgerechnet wurden. So blöd ist er nicht.
Aus seiner Stellungnahme geht hervor, dass die Täter gezielt Rechenzeit auf GPU-Basis gemietet haben, um die erbeutetes Hashes zu cracken, Trial and Error mit evtl. Wörtbuchangriffen oder sogar komplett brute force.
Zu einfache Passwörter bis zu 12 Zeichen, die z.B. nur aus Kleinbuchstaben bestehen, kann man mit einem Cluster aus 45 RTX 5090 — mit Glück — in ein paar Sekunden ermitteln, ansonsten innerhalb von etwa 3 Tagen.
Zitat von einer Seite, die Tools zum entschlüsseln von u.a. SHA256 anbieten:
| SHA256 is a one-way hashing algorithm. There is no
| direct method for SHA256 decryption. SHA256 is
| decrypted by using Trial & Error methodology.
| It may take some time if either the text that will be
| decrypted or the character set that will be used for
| decryption is long.
(Das sagt übrigens auch jede KI)
Die ermittelten Passwörter waren demnach definitiv zu kurz *und* zu einfach. Vielleicht waren es zu einfache Passwörter der Standard-Admin-Konten, die nie geändert wurden.
In ein paar Jahren wird es einen neuen Trend geben: Weitgehend AI-freie Umgebungen, privat, beruflich, in der Produktion und überall sonst. Das werden die meisten hier vielleicht noch gar nicht verstehen. Mein Eindruck, momentan schreien 70% der Bürger wie gepiekste Ferkelchen nach mehr KI, nicht nur für komplexe Aufgaben, wo sich ein gewisser Programmieraufwand lohnen würde, sondern auch für Dinge, die man früher mit Taschenrechner, Excel und/oder google schneller erledigt hat. Am liebsten würden sie ihre ganze Lebensführung an die KI abgeben. Das muss erst mal richtig schiefgehen, bevor ein gesellschaftliches Bewusstsein für vernünftigen Umgang mit der KI aufkommen kann. Da muss erst mal ein KI-Agent in einer Firma z.B. 70 Mio. Tonnen Kupferkabel bestellen und bezahlen, vorher wird einfach nichts kapiert werden.
Warum soll nur Google gezwungen werden, das AI deinstallierbar sein muss?
Viele Smartphonehersteller klatschen ihr eigenes AI-Zeugs auf die Geräte, beispielsweise Samsung.
Die Smartphonehersteller müssten ebenso gezwungen werden, den AI-Kram deinstallierbar zu machen.