{"id":325131,"date":"2026-05-19T18:54:55","date_gmt":"2026-05-19T16:54:55","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=325131"},"modified":"2026-05-19T20:06:16","modified_gmt":"2026-05-19T18:06:16","slug":"cyberangriffe-auf-stuttgart-arwini-n8n-schwachstelle-und-mehr","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/05\/19\/cyberangriffe-auf-stuttgart-arwini-n8n-schwachstelle-und-mehr\/","title":{"rendered":"Cyberangriffe auf Stuttgart? ARWINI; n8n-Schwachstelle und mehr"},"content":{"rendered":"

\"SicherheitNoch ein kurzer Informationssplitter rund um Cybersicherheit. Mir ist die Information zugegangen, dass die Landeshauptstadt Stuttgart Opfer der Rhysida-Ransomware-Gruppe geworden ist. Zudem gibt es neue Informationen zum Cyberangriff auf den Rezeptpr\u00fcfdienst ARWINI, \u00fcber den ich k\u00fcrzlich berichtete. Zudem gibt es wieder eine schwerwiegende Schwachstellen in n8n. Grafana hat sich Code klauen lassen und es gibt einen neuen Lieferkettenangriff. M\u00e4chtig Sturm im Cyber-Space.<\/p>\n

<\/p>\n

Cyberangriff durch Rhysida auf Stadt Stuttgart?<\/h2>\n

\"\"\u00d6ffentliche Berichte, dass es die Tage einen Cyberangriff auf die Landeshauptstatt Stuttgart gegeben hat, habe ich nicht gefunden. Der letzte Cyberangriff war im Mai 2025, wie man diesem SWR-Beitrag<\/a> entnehmen kann.<\/p>\n

\"Stuttgart<\/a><\/p>\n

Aus der Leserschaft ist mir obiger Tweet<\/a> von HackManac zugespielt worden. Die Ransomware-Gruppe Rhysida<\/a> reklamiert einen Angriff auf die Landeshauptstadt von Baden-W\u00fcrttemberg, Stuttgart. Gelistet wird der Vorfall seit dem 19. Mai 2026. Die Gruppe fordert ein L\u00f6segeld in H\u00f6he von 5 BTC, und will andernfalls Daten in sechs Tagen ver\u00f6ffentlichen. Die Daten sollen Finanzdokumente, Steuerunterlagen und technische Zeichnungen umfassen.<\/p>\n

Grob gerechnet 331.000 Euro L\u00f6segeld erscheinen mir nicht so sonderlich hoch, k\u00f6nnte also Fake sein, um Interesse zu wecken (oder es sind irgendwo einige Dokumente abgegriffen worden). Derzeit ist der Vorfall aber offiziell unbest\u00e4tigt und nur in Ransomware-Seiten wie ransomware.live <\/a>zu finden.<\/p>\n

Ich habe die Presseabteilung der Stadt Stuttgart bez\u00fcglich einer Stellungnahme angefragt. Pressesprecher Harald Knitter antwortete kurzfristig und gibt an: \"Im Moment liegen mir in der Pressestelle keine eigenen Erkenntnisse zu einem solchen Vorfall vor.\"<\/p>\n

ARWINI durch Kairos-Ransomware gehackt<\/h2>\n

Zum 16. Mai 2026 hatte ich im Blog-Beitrag\u00a0Cyberangriff auf die ARWINI (Rezeptpr\u00fcfung in Niedersachsen) mit potentiellem Datenabfluss<\/a> \u00fcber einen erfolgreichen Cyberangriff auf die Rezeptpr\u00fcfungsstelle ARWINI in Niedersachsen berichtet. Es hie\u00df nebul\u00f6s, dass 80.000 (anonymisierte) Datens\u00e4tze abgeflossen sein k\u00f6nnten. Und es wurde vor \"Angriffen\" auf die in den anonymisierten Datens\u00e4tzen enthaltenen Personen per E-Mail etc. gewarnt. Passte alles nicht so richtig zusammen.\u00a0Nun ist klar, dass definitiv Daten abgeflossen sind und die\u00a0 Ransomware-Gruppe Kairos diesen Angriff f\u00fcr sich reklamiert. Details habe ich in obigem Beitrag nachgetragen.<\/p>\n

OverDoS Schwachstelle (CVE-2026-42236) in n8n<\/h2>\n

Das Checkmarx Zero Research Team hat eine, OverDoS getaufte, schwerwiegende DoS-Schwachstelle (CVE-2026-42236<\/a>) in der Automatisierungsplattform n8n entdeckt. Die Sicherheitsl\u00fccke erm\u00f6glicht es Angreifern, \u00f6ffentlich erreichbare n8n-Instanzen \u2013 ohne Authentifizierung – durch speziell pr\u00e4parierte Requests lahmzulegen. Laut Checkmarx sind potenziell mehr als 70.000 Instanzen exponiert. Details lassen sich in diesem Blog-Beitrag<\/a> nachlesen.<\/p>\n

n8n wird zunehmend f\u00fcr KI-Workflows, MCP-Integrationen und automatisierte Gesch\u00e4ftsprozesse eingesetzt. Besonders relevant ist daher der technische Hintergrund der Schwachstelle: Sie h\u00e4ngt mit OAuth Dynamic Client Registration (DCR) sowie modernen MCP- und OAuth-basierten Integrationen zusammen, wie sie h\u00e4ufig in modernen Automatisierungsumgebungen eingesetzt werden.<\/p>\n

Grafana GitHub-Repository wurde gehackt<\/h2>\n

\"\"Grafana<\/a>\u00a0ist eine plattform\u00fcbergreifende Open-Source-Anwendung zur grafischen Darstellung von Daten aus verschiedenen Datenquellen wie z. B. InfluxDB, MySQL, PostgreSQL, Prometheus und Graphite.\u00a0Die erfassten Rohdaten lassen sich anschlie\u00dfend in verschiedenen Anzeigeformen ausgeben.<\/p>\n

\"Grafana-Hack\"<\/p>\n

Sonntag hatte ich auf X bereits obigen Tweet gesehen, dass es bei Grafana einen Cybervorfall gegeben habe. Ein Angreifer erhielt\u00a0Zugriff auf einen GitHub-Token und konnte den Quellcode aus der Grafana Labs-Umgebung herunterladen. Es gab eine Erpressung mit L\u00f6segeldforderung, aber Grafana hat die Zahlung verweigert.<\/p>\n

Grafana hat in einer Serie Tweets<\/a> den Vorfall eingestanden und schreibt, dass keine Kundendaten betroffen seien. Man hat\u00a0eine forensische Analyse eingeleitet und glaubt, die Quelle des Leaks von Anmeldedaten identifiziert zu haben. Die\u00a0kompromittierten Anmeldedaten wurden inzwischen ung\u00fcltig gemacht. Es wurden zus\u00e4tzliche Sicherheitsma\u00dfnahmen implementiert, um die GitHub-Umgebung weiter vor unbefugtem Zugriff zu sch\u00fctzen. Ich habe inzwischen gesehen, dass Bleeping Computer hier<\/a> einige Informationen zusammen getragen hat.<\/p>\n

Neuer Mini Shai-Hulud antv npm-Lieferkettenangriff<\/h2>\n

Der npm-Wurm \"Mini Shai-Hulud\" hat diesem Tweet<\/a> zufolge vor wenigen Stunden erneut zugeschlagen.\u00a0 Nachdem das npm-Konto atool<\/em> (i@hust.cc) kompromittiert wurde, ver\u00f6ffentlichte der Angreifer in einem 22-min\u00fctigen Zeitfenster zwischen 01:39 und 02:06 UTC 631 sch\u00e4dliche Versionen in 314 Paketen, die alle dieselbe Payload enthielten.<\/p>\n

Hunderte von antv-Paketen (Alibabas Datenvisualisierungssuite) sowie echarts-for-react, timeago.js, size-sensor und canvas-nest.js wurden kompromittiert. Die Schadfunktion sammelt \u00fcber 20 Arten von Geheimnissen: GitHub-PATs, npm-Token, AWS-Schl\u00fcssel, GCP-Dienstkonten, Azure-Anmeldedaten, DB-Verbindungszeichenfolgen, Stripe-Schl\u00fcssel, Slack-Token, SSH-Schl\u00fcssel, Docker-Authentifizierung, Kubernetes-Konfigurationen, Vault-Token, und versucht, aus dem Docker-Container zu entkommen, wenn der Host-Socket erreichbar ist.<\/p>\n

Es sind Pakete mit Millionen Downloads betroffen. Ein Bericht findet sich beispielsweise auf dieser Webseite<\/a>. Microsoft hat in diesem Tweet<\/a> ebenfalls eine Analyse vorgelegt.<\/p>\n

NGINX-Schwachstelle (CVE-2026-42945) mit ASLR ausnutzbar<\/h2>\n

Im Beitrag\u00a0NGINX-Schwachstelle (CVE-2026-42945) wird ausgenutzt<\/a> hatte ich \u00fcber eine Schwachstelle im NGINX-Webserver berichtet. Die sollte nur mit deaktiviertem ASLR ausnutzbar sein. Nun hat jemand ein Proof of Concept (PoC) ver\u00f6ffentlicht, dass ASLR umgeht – patchen ist also dringend geworden.<\/p>\n","protected":false},"excerpt":{"rendered":"

Noch ein kurzer Informationssplitter rund um Cybersicherheit. Mir ist die Information zugegangen, dass die Landeshauptstadt Stuttgart Opfer der Rhysida-Ransomware-Gruppe geworden ist. Zudem gibt es neue Informationen zum Cyberangriff auf den Rezeptpr\u00fcfdienst ARWINI, \u00fcber den ich k\u00fcrzlich berichtete. Zudem gibt es … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[908,426],"tags":[2564,4338,4328],"class_list":["post-325131","post","type-post","status-publish","format-standard","hentry","category-internet","category-sicherheit","tag-hack","tag-internet","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/325131","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=325131"}],"version-history":[{"count":3,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/325131\/revisions"}],"predecessor-version":[{"id":325141,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/325131\/revisions\/325141"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=325131"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=325131"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=325131"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}