Security: ServiceNow-Vorfall; FortiBleed-Nachlese; Google Captcha "Winke-Winke" und mehr

Veröffentlicht am 22. Juni 2026 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)Heute noch ein kleiner Sammelbeitrag rund um Sicherheitsthemen. Beim Anbieter ServiceNow hat es einen Sicherheitsvorfall gegeben haben, bei dem Dritte über einen ungesicherten API-Zugang auf Kunden-Instanzen zugreifen konnten. Bei FortiBleed gibt es neue Erkenntnisse zu den Angriffen auf die FortiNet-Instanzen. Und bei Google verlangt der Captcha-Zugang nun Winkbewegungen des Nutzers. Derweil fordert die Free Software Foundation die EU-Kommission auf, Google zu zwingen, dass die KI-Modelle unter Android deinstallierbar sein müssen.

Sicherheitsvorfall bei ServiceNow

ServiceNow Inc. ist ein US-amerikanisches Technologieunternehmen mit Sitz in Santa Clara, Kalifornien. Es bietet mit dem gleichnamigen Produkt eine cloud-basierte Lösung für das IT-Service-Management an.

Auf die volle KI-Experience gesetzt

In der Eigenwerbung heißt es "Optimieren Sie Ihre Unternehmensworkflows mit der ServiceNow AI-Platform in allen Bereichen Ihres Unternehmens – sowohl für Kunden als auch für Mitarbeiter. […] Von HR und Finanzwesen über Kundenservice bis Sicherheit – egal welche Branche und welche Unternehmensgröße: ServiceNow optimiert Arbeitsabläufe, steigert die Produktivität und bietet optimierte Experiences in jeder Abteilung, damit alle Mitarbeiter besser und effizienter arbeiten können." KI-Experience wird ganz groß geschrieben und die Top 500 Unternehmen hängen natürlich bei ServiceNow am Tropf.

Verdacht auf eine Schieflage

Mir ist bereits vor einigen Tagen oberer Tweet vom 9. Juni 2026 untergekommen, der auf einen möglichen Sicherheitsvorfall anspielt. Die Kernaussage: Der Anbieter hat zum 5. Juni 2026 einen Sicherheitsvorfall erlitten, bei dem Angreifer eine Schwachstelle in der nicht authentifizierten REST-API ausnutzten, um auf Kundeninstanzen zuzugreifen und Kundendaten abzufragen.

Benachrichtigungen, die ServiceNow-Kunden erhielten, besagte, dass über eine verdächtige IP-Adresse, die auf mehrere Kunden-Tenants zugegriffen worden sei.

ServiceNow-Incident

Die Ursache scheint ein skriptgesteuerter REST-API-Endpunkt zu sein, der keine Authentifizierung erforderte, da er Aktivitäten unter dem Benutzer „Guest" protokollierte, der über kein tatsächliches Konto verfügte, hieß es. Die Ressource befand sich seit mindestens 2018 in diesem Zustand und wurde erst am "vergangenen Freitag" (war der 5. Juni 2026) behoben, als ServiceNow das Flag "requires_authentication" auf "true" setzte. Auf reddit.com wurde das in diesem Thead heftig diskutiert.

Offenlegung eines Sicherheitsvorfalls

Ich hatte es am Rand bei den Kollegen von Bleeping Computer mitbekommen, die am 10. Juni 2026 das Thema aufgegriffen haben. Dort heißt es, dass es auf einem abgeschotteten ServiceNow-Kundenportal eine Sicherheitsinformation über einen Cybervorfall gab. Am 5. Juni 2026 sind denen wohl Zugriffe auf Kundensysteme aufgefallen (diese gab es laut reddit.com Diskussion am 2., 3. Juni 2026).

Inzwischen ist die ServiceNow Verlautbarung hier öffentlich abrufbar. Aus dieser geht hervor, dass das Unternehmen bereits im April 2026 von extern Hinweise auf obiges Problem bekam, und dann im Juni 2026 wiederholte Hinweise von Sicherheitsforschern eingingen. Derzeit zieht sich das Unternehmen, so wie ich deren Verlautbarung interpretiere, auf den Punkt zurück, dass die Zugriffe von einer IP durch Sicherheitsforscher, die die Schwachstelle erforschten, erfolgte. Also nix wirklich wichtiges passiert. Golem hatte das in diesem Beitrag ebenfalls aufgegriffen

FortiBleed-Nachlese zum Hack der FortiNet-Instanzen

Zum 18. Juni 2026 hatte ich im Beitrag FortiBleed: Administrator-Passwörter bei 75.000 Fortinet-Firewalls geknackt berichtet, dass Fortinet Firewalls und Gateways im Risiko stehen, weil Zugangsdaten für Administrator-Zugänge zirkulieren. Laut The Hacker News warnte die US-Cybersicherheitsbehörde CISA ihre Klientel vor entsprechenden Angriffen.

Analyse von FortiNet

Zum 19. Juni 2026 hat FortiNet dann die Analyse Analysis of Reported Credential Compromise of FortiGate Devices mit eigenen Erkenntnissen veröffentlicht. Der Anbieter negiert eine neue Schwachstelle und geht davon aus, dass die Angreifer alte Anmeldedaten aus früheren Vorfällen wiederverwenden und Brute-Force-Techniken gegen Geräte einsetzen, die über eine unzureichende Passwort-Sicherheit verfügen sowie keine Multi-Faktor-Authentifizierung (MFA) nutzen.

Weitere Analysen von SpyCloud und Beaumond

Inzwischen bin ich auf die Analyse von SpyCloud gestoßen, die im Grunde die FortiNet-Analyse stützen. Es scheint wohl eine groß angelegte Brute-Force-Kampagne gewesen zu sein, die vorhandene Passwortlisten zum Angriff auf Administratorzugänge verschiedener Systeme verwendete. In einer Multi-Server-Operation zum Erlangen des Erstzugangs wurden nicht nur Fortinet-VPN-Anmeldungen per Brute-Force-Angriff geknackt. Sondern es gab auch Zugriffe auf andere Konten von Synology-NAS-Geräten, Sophos-Firewalls und MSSQL-Servern. Eine weitere Analyse von Sicherheitsforschern gibt es hier.

FortiBleed-Nachlese

Obigem Tweet zufolge haben die Angreifer hinter der FortiBleed-Kampagne 36 GPUs bei einem KI-Cloud-Anbieter angemietet, um gestohlene FortiGate-Konfigurations-Hashes im industriellen Maßstab zu knacken. Sicherheitsforscher Kevin Beaumont beleuchtet die Kampagne. Kevin Beaumont widerspricht der öffentlichen Darstellung von Fortinet, wonach es sich bei den Daten lediglich um alte Sicherheitslücken und Brute-Force-Angriffe handele.

Der Sicherheitsforscher wird in obigem Tweet so zitiert, dass die Angreifer frisch geknackte Passwörter genutzt hätten. Bei jedem Unternehmen, dem Beaumont im Rahmen eines Vorfalls geholfen hat, wurden die Konfiguration im Mai 2026 exportiert. In den von Beaumont analysierten Fällen seien der Angreifer weit über das Sammeln von Zugangsdaten hinausgegangen: Der Angreifer fügte Admin-Konten hinzu, öffnete SSH- und RDP-Firewall-Regeln und loggte sich in IPsec-Tunnel ein, hieß es.

Google Splitter: Android AI bannen; Captcha per "Winke-Winke"

Abschließend noch zwei Informationssplitter aus dem Google-Universum, die ich der Leserschaft nicht vorenthalten möchte. Es geht beide Male um Google KI, die ihre Schatten vorauswirft.

Free Software Foundation fordert AI-Bann bei Android von EU-Kommission

Google rollt seit einiger Zeit seine AI-Funktionen auf alle Android-Geräte aus und als Nutzer hat man alle Hände voll zu tun, die Prozesse zu unterbinden. Die Free Software Foundation Europe hat sich nun an die EU-Kommission gewandt. Die Forderung lautet, dass die EU-Kommission Google zu zwingen soll, dass die in Android ausgerollten AI-Funktionen deinstallierbar werden. Dies hat neowin.net in diesem Artikel aufgegriffen.

Google fordert Winken bei Captchas

Google hat das Problem, dass seine KI die üblichen Captcha-Erkennungsversuche von KI-Lösungen nicht mehr abwehren kann. Daher führt man bei der reCaptcha-Erkennung "Handgesten" ein. heise hat das Thema hier aufgegriffen.

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen für den Permalink.

2 Kommentare zu Security: ServiceNow-Vorfall; FortiBleed-Nachlese; Google Captcha "Winke-Winke" und mehr

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht. Wegen Missbrauchs bin ich gezwungen, Name und E-Mail als Pflichtfelder beim Kommentieren zu aktivieren. Wählt ggf. einen (noch nicht benutzten) Alias-Namen und verwendet ggf. eine Dummy-Mail-Adresse (z.B. t@hotkev.com).

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.