Cybervorfälle, Hacks und Sicherheitslücken (18.6.2026)

Ich packe mal einige Meldungen zu Sicherheitsthemen der letzten Stunden und Tage in einen Sammelbeitrag. In Joomla gibt es eine schwere Sicherheitslücke, Novo Nordisk wurde gehackt, genau so wie mutmaßlich der Europarat. LiteLLM könnte bei der AI-Nutzung Credentials an die Anbieter leaken, und so weiter. Sammlung der täglichen Sicherheitsbaustellen.

Novo Nordisk mit Datenabfluss

Der Pharmakonzern Novo Nordisk (Anbieter von Abnehmspritzen) wurde vor zwei Monaten gehackt. Bei diesem Vorfall wurden sensible Daten von medizinischen Studien abgezogen. heise hatte das gerade in diesem Artikel beleuchtet, die Meldung kreist aber bereits seit Tagen, nachdem das Unternehmen das öffentlich gemacht hatte (siehe).

Obiger Tweet legt noch einige Informationen offen. Die Hacker drangen bei Novo Nordisk über ein in einem Repository zurückgelassenes GitHub-Token ein und blieben zwei Monate lang im System. Dabei entwendeten sie 1,3 Terabyte  an Daten, darunter unveröffentlichte Arzneimittelformeln und interne KI-Modelle. Die Hackergruppe forderte anschließend 25 Millionen Dollar Lösegeld, was Novo Nordisk ablehnte. Nun verkaufen die Hacker die Daten von Ozempic im dem Dark Web.

China-Hacker in US-Systemen

Die Google Threat Intelligence Group (GTIG) hat eine ausgeklügelte Hacking-Kampagne der China zugeschriebenen Gruppe UNC6508 aufgedeckt. Die Angriffe richteten sich gegen Einrichtungen im nordamerikanischen akademischen, medizinischen und militärischen Forschungsbereich. Der Akteur blieb laut dieser Mitteilung über ein Jahr lang unentdeckt.

Die Angreifer kompromittierten öffentlich zugängliche Webanwendungen, setzten maßgeschneiderte Malware ein, verschaffte sich Zugang zu sensiblen internen Systemen und missbrauchte administrative Tools der Unternehmens zur verdeckten Datenexfiltration. Der Akteur verfolgte weitreichende Ziele bei der Datenerfassung, darunter sensible Verteidigungsinformationen in Bezug auf nationale Sicherheit, Operationen des Indo-Pazifik-Kommandos, künstliche Intelligenz, unbemannte Fahrzeugsysteme, offensive Cyberprogramme und medizinische Forschung. Details sind im GTIG-Report nachlesbar.

Joomla-Schwachstelle (CVSS 10.0)

Blog-Leser Christoph hatte mich gestern bereits auf ein Problem mit Joomla informiert und schrieb: "Ich bin die letzten Tage durch mehrere gehackte Joomla-Seiten von Bekannten darauf gestoßen, dass es in dem (vermutlich schon verbreiteten) Editor JCE eine 10.0 Lücke gibt." Er ist dann auf die Schwachstelle CVE-2026-48907 gestoßen.

Die Joomla-Erweiterung – joomlacontenteditor.net – weist eine RCE-Schwachstelle (Remote-Codeausführung) auf. Betroffen ist die JCE-Erweiterung für Joomla < 2.9.99.5, und der CVSS-Base Score wurde mit 10.0 angegeben. Die Sicherheitslücke in der JCE-Editor-Erweiterung für Joomla ermöglicht die Erstellung neuer Editorprofile für nicht authentifizierte Benutzer. Das kann letztendlich zum Hochladen und zur Ausführung von PHP-Code führen.

Der Leser schrieb: "Mich hat es sehr gewundert, dass ich da in meinen üblichen Bubbles nichts darüber gesehen hab. Ist auf jeden Fall aktiv ausgenutzt.". In der Leserschaft des Blogs scheint Joomla nicht sehr verbreitet, die Abrufzahlen entsprechender Artikel sind grottig. Ich habe es aber mal in den Beitrag hier aufgenommen, und laut folgendem Tweet warnen auch CERTs vor der Schwachstelle.

Mysites.guru hat in diesem Artikel was dazu geschrieben.

Europarat gehackt?

Bleeping Computer berichtet im Artikel Council of Europe investigates ShinyHunters data breach claims, dass die Gruppe ShinyHunters behauptet, Daten aus dem IT-Netzwerk des "Council of Europe" (das ist der Europarat) abgezogen zu haben.

In einem Beitrag vom Wochenende auf der ShinyHunters Dark-Web-Leak-Seite wird behauptet, dass 429.000 Dokumente mit Personal- und Gehaltsdaten aus verschiedenen Abteilungen des Europarats gestohlen wurden. Die Daten sollen bei nicht Zahlung zum 16. Juni 2026 veröffentlicht werden. Die IT des Europarats prüft gerade, was da dran ist.

Mögliche Sicherheitslücke bei Conda

Marko S. hat mich über eine Warnung von Conda (Plattform conda-capital[.]com mit Zugang zum Kapitalmarkt) informiert. Der Anbieter schreibt, dass man Hinweise auf eine mögliche Sicherheitslücke im Umfeld der Website-Infrastruktur erhalten habe. Nach aktuellem Kenntnisstand bestand über einen externen Drittanbieter, der in die Conda WordPress-Infrastruktur eingebunden ist, die Möglichkeit eines unbefugten Zugriffs auf die Systeme.

Die Plattform geht zum jetzigen Zeitpunkt, laut Meldung, davon aus, dass keine Investoren von dieser Sicherheitslücke betroffen sind. Man habe umgehend vorsorgliche Maßnahmen ergriffen. Aus Sicherheitsgründen wurden alle CONDA-Webseiten, einschließlich der White-Label-Partnerplattformen, vorübergehend in den Wartungsmodus gesetzt.

Derzeit prüfen die Verantwortlichen, gemeinsam mit externen Experten, den Sachverhalt und die möglichen Auswirkungen. Sobald belastbare weitere Informationen vorliegen, will man weiter informieren.

Was können Sie als Website-Besucher:in tun?
Wenn Sie aktuell Interesse an einer Investition haben, können Sie uns direkt kontaktieren — auch während die Plattform offline ist, per E-Mail an: support@conda-capital.com. Bitte geben Sie dabei Ihren Namen, die gewünschte Emission sowie den geplanten Investitionsbetrag an. Unser Customer-Support-Team meldet sich schnellstmöglich bei Ihnen.

Offizielles Fifa-Streaming-Portal war hackbar

Eine Sicherheitsforscherin mit dem Alias BobDaHacker hat die Streaming-Plattform agents[.]fifa[.]org der Fifa einem genauen Blick unterzogen und stellte fest, dass dort unzureichende Sicherheitsprüfungen erfolgten. Die Sicherheitsprüfungen für den Entra-Tenant erfolgten wohl nur Client-seitig, wie die Sicherheitsforscherin in ihrem Blog-Beitrag schreibt. Sie hätte über Serverzugriffe die Streaming-Funktionen der Fifa manipulieren und einigen Unsinn treiben können. Golem hat das Thema in diesem Artikel auf Deutsch aufbereitet.

Kali365 FBI-Sicherheitswarnung: Teams, Outlook, OneDrive

Kali365 ist eine Phishing-as-a-Service-Plattform, die Microsoft-365-Nutzer von Teams, Outlook und OneDrive ins Visier nimmt. Kali365 bietet Abonnenten für 250 Dollar monatlich KI-generierte Phishing-Angriffe, automatisierte Kampagnen und OAuth-Token-Klau, um Multifaktor-Authentifizierung zu umgehen.

Das FBI warnt Nutzer von Teams, Outlook und OneDrive offiziell vor den Risiken, die von dieser Plattform ausgehen. Das FBI empfiehlt, verdächtige E-Mails mit Gerätecodes nicht zu öffnen und Vorfälle an ic3.gov zu melden; die Bedrohung wurde erstmals im April 2026 erkannt. The Hill hat in diesem Artikel noch einige Informationen zusammen getragen.

ZPOS-Sicherheitlücken und fehlende Reaktion

ZPOS Ltd betreibt einen Plattform für POS-Zahlungssysteme (müsste diese hier sein und es gibt auch eine App), die von vielen kleinen Geschäften, Restaurants etc. in Spanien, Portugal etc. zur bargeldlosen Abwicklung von Zahlungen genutzt wird.

Sicherheitsforscher Paul Moore kritisiert in obigem Tweet die ZPos Ltd für anhaltende Sicherheitsmängel. Die Apps kommunizieren über unverschlüsseltes HTTP-Verbindungen, d.h. Passwörter und Zahlungsinfos werden im Klartext übertragen. Deren Server verwenden das veraltete PHP 5.5.9 aus dem Jahr 2014. Moore verweist auf einen sechs Monate älteren Thread, in dem er seit 2020 ignorierte Sicherheitsprobleme meldete, eine SAR nach GDPR stellte und eine Klage auf Entschädigung gerichtlich abgewiesen wurde. Sofern das zutrifft (Moore hat bei eigenen Zahlungen Missbrauchsversuche festgestellt), gehen Unternehmen, die ZPOS-Dienste für Zahlungen und EPoS verwenden, eine "Hypothek" ein. Denn sie setzen Kunden einem vermeidbaren Risiko aus, weil sensible Kundendaten ungeschützt bleiben. Es wird zu einem Wechsel des Zahlungsanbieters geraten.

Microsoft arbeitet am Defender RoguePlanet-Fix

Nightmare Eclipse hatte kürzlich ja eine RoguePlanet genannte 0-Day-Schwachstelle veröffentlicht (siehe Windows Defender-Schwachstelle RoguePlanet durch Nightmare Eclipse offengelegt). Nun hat Microsoft bestätigt, dass man an einem Fix für die Schwachstelle CVE-2026-50656 arbeitet. Ein Termin für den Fix wurde nicht genannt.

KI-Risiken: LiteLLM und KI-Nutzung in US-Behörden

Ich kippe mal zwei Fundsplitter zu KI-Risiken hier in den Beitrag, die mir gerade untergekommen sind. Dürfte auch uns in Europa letztendlich betreffen.

Ein LiteLLM-Account kann Zugangsdaten leaken

LiteLLM ist ein Open-Source-KI-Gateway, das eine einheitliche Schnittstelle zum Aufruf von über 100 LLM-Anbietern (OpenAI, Anthropic, Gemini, Bedrock, Azure, etc.) bietet. Klingt doch cool – und Ende März 2026 hatte ich im Beitrag Databricks mutmaßlich Opfer des TeamPCP LiteLLM-Lieferkettenangriffs über einen Sicherheitsvorfall im Zusammenhang mit LiteLLM berichtet. Denn dieses KI-Gateway muss natürlich die Zugangsdaten für die LLM-Anbieter kennen.

The Hacker News weist in obigem Tweet auf die Risiken hin. Da LiteLLM als Gateway fungiert, liegen API-Schlüssel, gespeicherte Geheimnisse, Prompts, Antworten und Anmeldeinformationen für Agenten an einem Ort. Im Beitrag LiteLLM Vulnerability Chain Lets Low-Privilege Users Take Over AI Gateway Servers weist The Hacker News auf eine kritische Schwachstellenkette (CVSS Score 9.9) in LiteLLM vor Version v1.83.14-stable hin, die Low-Privilege-Nutzern ermöglicht, sich zum Administrator zu machen, Code auszuführen, API-Keys zu stehlen und Prompts sowie Antworten zu lesen oder zu manipulieren und das LiteLLM-Gateways zu übernehmen.

Für Teams, die KI-Gateways nutzen, reicht das Aufspielen von Patches nicht aus. Diese sollten dringen überprüfen, welche Geheimnisse durch das Gateway geleitet wurden. Denn diese Geheimnisse sind im Zweifelsfall bereits zu Dritten abgeflossen. Ist doch immer wieder frappierend zu sehen, wie die Unternehmen potentiellen Angreifern solche Geheimnisse fein gesammelt auf dem Silbertablett freiwillig präsentieren. Die betteln geradezu danach, kompromittiert zu werden.

Risiko KI-Nutzung in US-Behörden

Sicherheitsexperte Bruce Schneier hat sich die Tage im Beitrag AI Use by the US Government über den KI-Einsatz in US-Behörden und die damit einhergehenden Gefahren ausgelassen. Anlass war, dass die Trump-Regierung am 14. April 2026 den weit verbreiteten Einsatz von KI zur Automatisierung staatlicher Prozesse einräumte. Das Amt für Verwaltung und Haushalt (OMB) gab bekannt, dass es in der gesamten US-Bundesregierung unglaubliche 3.611 aktive oder geplante Anwendungsfälle für KI gebe, schreibt Schneider.

Die Liste der Projekte enthalte viele beunruhigend anmutende Pläne, sensible staatliche Funktionen an KI zu übertragen, heißt es. Es gebe eine massive Verlagerung von Entscheidungsprozessen vom Menschen zur Maschine (KI) in Bereichen wie individuelle Freiheit, öffentliche Gesundheit und Wohlbefinden, Sicherheit von Kernreaktoren und vielem mehr.

• Die Verwaltungsbehörde für Kinder und Familien des Ministeriums für Gesundheit und Soziales (HHS) beauftragte Palantir, alle Förderanträge zu prüfen, um diejenigen zu kennzeichnen, die ideologisch nicht mit den Vorgaben der Regierung übereinstimmen.
• Das Bundesamt für Strafvollzug entwickelt ein KI-System zur Bewertung des "Potenzials für Fehlverhalten bei neu aufgenommenen Häftlingen", wodurch Personen in Hochsicherheitshaft eingewiesen werden, noch bevor sie während ihrer Haft tatsächlich etwas Unrechtes begangen haben.

Das Energieministerium testet den Einsatz von KI zur Steuerung von Kernreaktoren, um autonom auf potenzielle nukleare Sicherheitsvorfälle reagieren zu können. Schneier listet Beispiele auf, die zwischen George Orwells 1984 und "was soll schon [bei komplettem Kontrollverlust] schief gehen" rangieren.

The 2021 Honda Civic Entertainment-System-Jailbreak

Beim Honda Civic, Modelljahr 2021, lässt sich ein Jailbreak des Entertainment-Systems per USB-Stick durchführen. Das geht aus einem Artikel 2021 Honda Civic infotainment system can be jailbroken via USB — flaw uses public Android test keys to install unauthorized apps, enables for 'EvilValet' attacks auf Tom's Hardware hervor.

Der Softwarearchitekt Eric McDonald hat entdeckt, dass das Infotainment-System des Honda Civic aus dem Jahr 2021 über den vorderen USB-Anschluss eine eklatante Sicherheitslücke aufweist. Laut einem Blog-Beitrag ermöglicht Honda die Aktualisierung  des Systems über USB, überprüft aber nicht die einzuspielenden Patches auf Sicherheit. Die Hardware sucht lediglich nach einer signierten AOSP-Datei (Android Open Source Project) mit einem öffentlich bekannten Testschlüssel. Eröffnet zahlreiche Missbrauchsmöglichkeiten.

AMD entfernt Memory Crypto aus Consumer CPUs

Slashdot beschreibt in diesem Post, dass AMD einen vor einem Jahrzehnt eingeführten Schutzmechanismus aus CPUs für Endnutzer-Systeme entfernt. Bei High-End-CPUs gibt es Memory Crypto als Schutzmechanismus, um sie vor Cold-Boot-Angriffen und anderen Arten physischer Exploits zu schützen, bei denen sensible Daten aus den angeschlossenen Speicherchips abgezogen werden. TSME (Transparent Secure Memory Encryption) verschlüsselt den gesamten im Speicher abgelegten Inhalt und macht die Daten so für physische Angreifer unbrauchbar.

Die Schutzfunktion wurde dann auf weiteren CPUs integriert. Vor kurzem habe AMD bei AMD-Chipreihen der unteren Preisklasse den Schutz plötzlich abgeschafft (siehe hier). Das war auf Windows-Rechnern nicht zu erkennen. Bei der Nutzung von Linux soll dies einen erheblichen technischen Aufwand erfordern heißt es. AMD lehnt einen Kommentar ab, scheint die Schutzfunktion auf Low-End-CPUs auch nie entsprechend beworben zu haben. Tom's Hardware hat das Thema hier aufgegriffen.