![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Heute einige Sicherheits- und St\u00f6rungsmeldungen, die mir die vergangenen Stunden und Tage untergekommen sind. Ein Leser fragte, ob Google gehackt worden sei – und die Nacht habe ich gesehen, dass eine Cybergruppe Google sowie T-Mobile als Opfer auff\u00fchrt. Auch mit dabei: Die RedHat Repositories wurden gehackt. Und in USA wurden Admins der FEMA mutma\u00dflich gefeuert, weil eine Citrix-Sicherheitsl\u00fccke einen Hack erm\u00f6glichte.
\n<\/p>\n
Das inzwischen zu IBM geh\u00f6rende Unternehmen Red Hat (engl. f\u00fcr: \u201aroter Hut') ist ein US-Softwarehersteller mit Sitz in Raleigh, North Carolina, der unter anderem die weit verbreitete Linux-Distribution Red Hat Enterprise Linux (RHEL) vertreibt und am Fedora-Projekt beteiligt ist.\u00a0Redhat, ist Opfer eines Hacks geworden.<\/p>\n
Die Nacht bin ich auf obigen Tweet<\/a> gesto\u00dfen (ein Leser hat mich heute fr\u00fch auch darauf hingewiesen – danke daf\u00fcr), der angibt, dass das Crimson Collective behauptet, Zugriff auf \u00fcber 28.000 (private) RedHat-Repositorys erhalten zu haben. Darunter sollen sich auch alle CERs (anhand des obigen Screenshots k\u00f6nnte CERs f\u00fcr 'Consulting Error Reports' stehen, diese Berichte enthalten oft Details \u00fcber die Infrastruktur der Kunden) seiner Kunden und die privaten Repositories seiner 'anderen' Entwickler befinden. Andererseits hei\u00dft es in diesem Tweet<\/a>, dass sich in den gestohlenen\u00a028.000 privaten Repositories auch Anmeldedaten, CI\/CD-Geheimnisse, Pipeline-Konfigurationen, VPN-Profile und Infrastruktur-Blueprints befinden sollen. Klingt alles nicht gut.<\/p>\n Die Kollegen von Bleeping Computer schreiben<\/a> gerade, dass Redhat den Hack seiner GitHub-Pr\u00e4senz best\u00e4tigt habe. \"Red Hat ist \u00fcber Berichte zu einem Sicherheitsvorfall im Zusammenhang mit unserem Beratungsgesch\u00e4ft informiert und hat die erforderlichen Abhilfema\u00dfnahmen eingeleitet.\" gab man gegen\u00fcber Bleeping Computer zu Protokoll.<\/p>\n Die Hacker gaben laut Bleeping Computer an, dass sie versucht h\u00e4tten, Red Hat mit einer Erpressungsforderung zu kontaktieren. Sie erhielten aber eine Standard-Antwort, doch einen Schwachstellenbericht an das Sicherheitsteam zu senden. Dann versuchte die Cybergruppe\u00a0das erstellte Ticket wiederholt an weitere Personen, darunter auch Mitarbeiter der Rechts- und Sicherheitsabteilung von Red Hat, zu schicken, so Bleeping Computer.<\/p>\n Erg\u00e4nzung<\/strong>: Bleeping Computer schreibt hier<\/a>, das Red Hat einen Angriff auf eine seiner GitLab-Instanzen, und nicht auf GitHub, best\u00e4tigt habe.<\/p>\n Die Nacht ist mir dann noch der folgende Tweet untergekommen, der auch nicht so sonderlich gut klingt. Demnach reicht ein einzelner Jupyter-Notebook-Benutzer k\u00f6nnte eine gesamte KI-Plattform kapern.<\/p>\n Ein Jupyter Notebook ist eine Open-Source-Webanwendung, mit der Data Scientists Dokumente erstellen und teilen k\u00f6nnen, die Live-Code, Gleichungen und andere Multimedia-Ressourcen enthalten. Hintergrund ist eine Sicherheitsl\u00fccke (CVE-2025-10725<\/a>) in Red Hat OpenShift AI. Red Hat OpenShift ist die IBM-Plattform zur Automatisierung repetitiver Aufgaben f\u00fcr Sicherheit, Bereitstellung & Lifecycle-Management. Und das AI d\u00fcrfte f\u00fcr eine AI-Erg\u00e4nzung stehen.<\/p>\n Dazu hei\u00dft es: In Red Hat Openshift AI Service wurde eine Schwachstelle CVE-2025-10725<\/a> entdeckt. Ein Angreifer mit geringen Berechtigungen, der Zugriff auf ein authentifiziertes Konto hat, beispielsweise als Datenwissenschaftler, der ein Standard-Jupyter-Notebook verwendet, kann seine Berechtigungen auf die eines vollst\u00e4ndigen Cluster-Administrators erweitern.<\/p>\n Dadurch k\u00f6nnen die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit des Clusters vollst\u00e4ndig kompromittiert werden. Der Angreifer kann sensible Daten stehlen, alle Dienste st\u00f6ren, sich zum vollst\u00e4ndigen Cluster-Administrator hochstufen und die Kontrolle \u00fcber die zugrunde liegende Infrastruktur \u00fcbernehmen. Dadurch ist eine vollst\u00e4ndige \u00dcbernahme der Plattform und aller darauf gehosteten Anwendungen m\u00f6glich.<\/p>\n The Hacker News hat das Ganze in diesem Artikel<\/a> pr\u00e4zisiert. Das Redhat Advisary zur Schwachstelle CVE-2025-10725 findet sich hier<\/a>.\u00a0Macht mehr in KI, haben sie gesagt, was kann da schon schief gehen.<\/p>\n Die Tage erreichte mich bereits die Information einer ungenannt bleiben wollenden Quelle \u00fcber eine private Nachricht, die kryptisch meinte, ich solle mal etwas Google beobachten. Es k\u00f6nnte sein, dass Google gehackt wurde, weil er glaubt, bei bestimmten Abrechnungsinformationen verd\u00e4chtige Ma\u00dfnahmen bemerkt zu haben. Details gab es aber keine – und ich habe es als Wasserstandsmeldung der Art \"vage im Auge behalten\" abgetan.<\/p>\n Die Nacht ist mir obiger Tweet von Cyber-Security-Analyst Dominic Alvieri, untergekommen, der m\u00f6glicherweise ein weiteres Puzzleteil darstellt. Dort hei\u00dft es, dass die Cybergruppe Scattered Spiders demn\u00e4chst mit einer neuen Leak-Seite auftauchen will. Als Opfer werden Google, T-Mobile, aber auch Dunkin' Donuts<\/a> und McDonalds genannt.<\/p>\n Dunkin' Donuts hatte 2019 einen Vorfall und Mc Donalds war 2022 Opfer eines Angriffs<\/a>. Zu Google gab es im Sommer Berichte, dass GMail-Konten gehackt wurden – was aber auf Nutzerfehler zur\u00fcckzuf\u00fchren war. Daher habe ich keine Ahnung, was Scattered Spider da leaken m\u00f6chte und ob es neue Daten sind, die abgezogen wurden.<\/p>\n Alvieri vermutet in obigen Tweet<\/a>, dass CrowdStrike die Schwachstelle gewesen sein k\u00f6nnte. Der Screenshot zeigt, wie ein Falcon Sensor abgeschaltet wird. Aber das Ganze ist \u00e4u\u00dferst vage.<\/p>\n Laut nachfolgendem Tweet finden derzeit Scans von\u00a0Palo Alto Networks PAN-OS Global Protect durch Angreifer statt. Es gebe einen deutlichen Anstieg von internetweiten Scans, die auf die kritische PAN-OS GlobalProtect-Sicherheitsl\u00fccke (CVE-2024-3400<\/a>) abzielen.<\/p>\n Es handelt sich bei\u00a0CVE-2024-3400<\/a> um eine Command Injection-Schwachstelle in der GlobalProtect-Funktion der PAN-OS-Software von Palo Alto Networks f\u00fcr bestimmte PAN-OS-Versionen. Bestimmte Funktionskonfigurationen kann es einem nicht authentifizierten Angreifer erm\u00f6glichen, beliebigen Code mit Root-Rechten auf der Firewall auszuf\u00fchren.<\/p>\n Ich hatte hier im Blog im April 2024 in den Beitr\u00e4gen Neue Warnung vor Schwachstelle CVE-2024-3400 in Palo Alto Networks Firewalls<\/a> und\u00a0Warnung: Aktive Ausnutzung einer ungepatchten Schwachstelle CVE-2024-3400 in Palo Alto Networks Firewalls<\/a> vor der Schwachstelle gewarnt. Im Beitrag\u00a0Chinesische Hackergruppe Salt Typhoon greift weltweit (Telekommunikations-)Unternehmen an<\/a> hei\u00dft es, dass die genannte Hackergruppe wohl auch die Schwachstelle f\u00fcr Angriffe ausnutze. Cyber Security News hat in diesem Artikel<\/a> die entsprechenden Informationen \u00fcber die aktuelle Kampagne zusammen gefasst.<\/p>\n Die Tage bin ich bei nextgov.com \u00fcber den Artikel\u00a0A Citrix vulnerability \u2014 suspected to have led to firings of multiple FEMA technology staff \u2014 enabled the breach, which let hackers pilfer data from FEMA servers connected to states at the southern border.<\/a> gestolpert. Die FEMA<\/a> (Federal Emergency Management Agency) ist die US-Beh\u00f6rde, die unserem Katastrophenschutz entspricht.<\/p>\n Der Artikel berichtet \u00fcber einen Cybersicherheitsvorfall bei der Federal Emergency Management Agency (FEMA), bei dem es Hackern gelungen ist, Mitarbeiterdaten sowohl aus dem Katastrophenschutzamt als auch aus der US-Zoll- und Grenzschutzbeh\u00f6rde zu entwenden.<\/p>\n Der erste Angriff begann am 22. Juni 2025, als Hacker mit gestohlenen Anmeldedaten auf die virtuelle Desktop-Infrastruktur von Citrix innerhalb der FEMA zugreifen konnten. Die Daten wurden laut dem Screenshot von Servern der Region 6 gestohlen. Diese FEMA-Region umfasst Arkansas, Louisiana, New Mexico, Oklahoma und Texas sowie fast 70 Stammesnationen.<\/p>\n Der Hack soll sp\u00e4ter auch zur Entlassung von zwei Dutzend IT-Mitarbeitern der FEMA gef\u00fchrt haben. Das geht wohl aus internen Besprechungsnotizen und Angaben einer mit der Angelegenheit vertrauten Person hervor, schreibt das verlinkte Medium. Die Entlassungen der IT-Mitarbeiter der FEMA wurden am 29. August 2025, nach einer routinem\u00e4\u00dfigen \u00dcberpr\u00fcfung der Systeme der Beh\u00f6rde bekannt gegeben, hei\u00dft es. Bei der \u00dcberpr\u00fcfung wurde eine Schwachstelle entdeckt, \"die es dem Angreifer erm\u00f6glichte, in das Netzwerk der FEMA einzudringen und die gesamte Beh\u00f6rde sowie die Nation als Ganzes zu gef\u00e4hrden\", teilte das Ministerium f\u00fcr Innere Sicherheit damals mit. Im verlinkten Artikel werden den Entlassenen, betraf auch F\u00fchrungskr\u00e4fte, schwere Vers\u00e4umnisse bei der IT-Sicherheit vorgeworfen.<\/p>\n","protected":false},"excerpt":{"rendered":" Heute einige Sicherheits- und St\u00f6rungsmeldungen, die mir die vergangenen Stunden und Tage untergekommen sind. Ein Leser fragte, ob Google gehackt worden sei – und die Nacht habe ich gesehen, dass eine Cybergruppe Google sowie T-Mobile als Opfer auff\u00fchrt. Auch mit … Weiterlesen ![\"Redhat](\"https:\/\/i.postimg.cc\/Dzz2wCxT\/image.png\")
<\/a><\/p>\nNoch ein Redhat-Klops<\/h2>\n
![\"RedHat](\"https:\/\/i.postimg.cc\/sgJZQNym\/image.png\")
<\/a><\/p>\nGoogle, McDonald, Google von Scattered Spiders gehackt?<\/h2>\n
![\"Scattered](\"https:\/\/i.postimg.cc\/DfgYBCxT\/image.png\")
<\/a><\/p>\n![\"CrowsStrike](\"https:\/\/i.postimg.cc\/NfJy7rSZ\/image.png\")
<\/p>\nScans von Palo Alto Networks PAN-OS Global Protect<\/h2>\n
![\"Palo](\"https:\/\/i.postimg.cc\/Hx1Njnty\/image.png\")
<\/a><\/p>\nEntlassungen nach FEMA-Hack \u00fcber Citrix-Sicherheitsl\u00fccke<\/h2>\n