![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Ich packe mal einige Meldungen zu Sicherheitsthemen der letzten Stunden und Tage in einen Sammelbeitrag. In Joomla gibt es eine schwere Sicherheitsl\u00fccke, Novo Nordisk wurde gehackt, genau so wie mutma\u00dflich der Europarat. LiteLLM k\u00f6nnte bei der AI-Nutzung Credentials an die Anbieter leaken, und so weiter. Sammlung der t\u00e4glichen Sicherheitsbaustellen.<\/p>\n
<\/p>\n
Obiger Tweet<\/a> legt noch einige Informationen offen. Die\u00a0Hacker drangen bei Novo Nordisk \u00fcber ein in einem Repository zur\u00fcckgelassenes GitHub-Token ein und\u00a0blieben zwei Monate lang im System. Dabei\u00a0entwendeten sie 1,3 Terabyte\u00a0 an Daten, darunter unver\u00f6ffentlichte Arzneimittelformeln und interne KI-Modelle. Die Hackergruppe\u00a0forderte anschlie\u00dfend 25 Millionen Dollar L\u00f6segeld, was\u00a0Novo Nordisk ablehnte. Nun verkaufen die Hacker die Daten von Ozempic im dem Dark Web.<\/p>\n Die Google Threat Intelligence Group (GTIG) hat eine ausgekl\u00fcgelte Hacking-Kampagne der China zugeschriebenen Gruppe UNC6508 aufgedeckt. Die Angriffe richteten sich gegen Einrichtungen im nordamerikanischen akademischen, medizinischen und milit\u00e4rischen Forschungsbereich. Der Akteur blieb laut dieser Mitteilung<\/a> \u00fcber ein Jahr lang unentdeckt.<\/p>\n Die Angreifer kompromittierten \u00f6ffentlich zug\u00e4ngliche Webanwendungen, setzten ma\u00dfgeschneiderte Malware ein, verschaffte sich Zugang zu sensiblen internen Systemen und missbrauchte administrative Tools der Unternehmens zur verdeckten Datenexfiltration. Der Akteur verfolgte weitreichende Ziele bei der Datenerfassung, darunter sensible Verteidigungsinformationen in Bezug auf nationale Sicherheit, Operationen des Indo-Pazifik-Kommandos, k\u00fcnstliche Intelligenz, unbemannte Fahrzeugsysteme, offensive Cyberprogramme und medizinische Forschung. Details sind im GTIG-Report nachlesbar.<\/p>\n Blog-Leser Christoph hatte mich gestern bereits auf ein Problem mit Joomla informiert und schrieb: \"Ich bin die letzten Tage durch mehrere gehackte Joomla-Seiten von Bekannten darauf gesto\u00dfen, dass es in dem (vermutlich schon verbreiteten) Editor JCE eine 10.0 L\u00fccke gibt.\" Er ist dann auf die Schwachstelle\u00a0CVE-2026-48907<\/a> gesto\u00dfen.<\/p>\n Die\u00a0Joomla-Erweiterung \u2013 joomlacontenteditor.net \u2013 weist eine RCE-Schwachstelle (Remote-Codeausf\u00fchrung) auf. Betroffen ist die JCE-Erweiterung f\u00fcr Joomla < 2.9.99.5, und der CVSS-Base Score wurde mit 10.0 angegeben. Die Sicherheitsl\u00fccke in der JCE-Editor-Erweiterung f\u00fcr Joomla erm\u00f6glicht die Erstellung neuer Editorprofile f\u00fcr nicht authentifizierte Benutzer. Das kann letztendlich zum Hochladen und zur Ausf\u00fchrung von PHP-Code f\u00fchren.<\/p>\n Der Leser schrieb: \"Mich hat es sehr gewundert, dass ich da in meinen \u00fcblichen Bubbles nichts dar\u00fcber gesehen hab. Ist auf jeden Fall aktiv ausgenutzt.\". In der Leserschaft des Blogs scheint Joomla nicht sehr verbreitet, die Abrufzahlen entsprechender Artikel sind grottig. Ich habe es aber mal in den Beitrag hier aufgenommen, und laut folgendem Tweet warnen auch CERTs vor der Schwachstelle.<\/p>\n Mysites.guru hat in diesem Artikel<\/a> was dazu geschrieben.<\/p>\n Bleeping Computer berichtet im Artikel\u00a0Council of Europe investigates ShinyHunters data breach claims<\/a>, dass die Gruppe ShinyHunters behauptet, Daten aus dem IT-Netzwerk des \"Council of Europe\" (das ist der Europarat<\/a>) abgezogen zu haben.<\/p>\n In einem Beitrag vom Wochenende auf der ShinyHunters Dark-Web-Leak-Seite wird behauptet, dass 429.000 Dokumente mit Personal- und Gehaltsdaten aus verschiedenen Abteilungen des Europarats gestohlen wurden. Die Daten sollen bei nicht Zahlung zum 16. Juni 2026 ver\u00f6ffentlicht werden.\u00a0Die IT des Europarats pr\u00fcft gerade, was da dran ist.<\/p>\n Marko S. hat mich \u00fcber eine Warnung von Conda (Plattform conda-capital[.]com<\/em> mit Zugang zum Kapitalmarkt) informiert. Der Anbieter schreibt, dass man Hinweise auf eine m\u00f6gliche Sicherheitsl\u00fccke im Umfeld der Website-Infrastruktur erhalten habe. Nach aktuellem Kenntnisstand bestand \u00fcber einen externen Drittanbieter, der in die Conda WordPress-Infrastruktur eingebunden ist, die M\u00f6glichkeit eines unbefugten Zugriffs auf die Systeme.<\/p>\n Die Plattform geht\u00a0zum jetzigen Zeitpunkt, laut Meldung, davon aus, dass keine Investoren von dieser Sicherheitsl\u00fccke betroffen sind. Man\u00a0habe umgehend vorsorgliche Ma\u00dfnahmen ergriffen. Aus Sicherheitsgr\u00fcnden wurden alle CONDA-Webseiten, einschlie\u00dflich der White-Label-Partnerplattformen, vor\u00fcbergehend in den Wartungsmodus gesetzt.<\/p>\n Derzeit pr\u00fcfen die Verantwortlichen, gemeinsam mit externen Experten, den Sachverhalt und die m\u00f6glichen Auswirkungen. Sobald belastbare weitere Informationen vorliegen, will man weiter informieren.<\/p>\n Was k\u00f6nnen Sie als Website-Besucher:in tun? Eine Sicherheitsforscherin mit dem Alias BobDaHacker hat die Streaming-Plattform agents[.]fifa[.]org<\/em> der Fifa einem genauen Blick unterzogen und stellte fest, dass dort unzureichende Sicherheitspr\u00fcfungen erfolgten. Die Sicherheitspr\u00fcfungen f\u00fcr den Entra-Tenant erfolgten wohl nur Client-seitig, wie die Sicherheitsforscherin in ihrem Blog-Beitrag<\/a> schreibt. Sie h\u00e4tte \u00fcber Serverzugriffe die Streaming-Funktionen der Fifa manipulieren und einigen Unsinn treiben k\u00f6nnen. Golem hat das Thema in diesem Artikel<\/a> auf Deutsch aufbereitet.<\/p>\n Kali365 ist eine Phishing-as-a-Service-Plattform, die Microsoft-365-Nutzer von Teams, Outlook und OneDrive ins Visier nimmt. Kali365 bietet Abonnenten f\u00fcr 250 Dollar monatlich KI-generierte Phishing-Angriffe, automatisierte Kampagnen und OAuth-Token-Klau, um Multifaktor-Authentifizierung zu umgehen.<\/p>\n Das FBI warnt Nutzer von Teams, Outlook und OneDrive offiziell vor den Risiken, die von dieser Plattform ausgehen. Das FBI empfiehlt, verd\u00e4chtige E-Mails mit Ger\u00e4tecodes nicht zu \u00f6ffnen und Vorf\u00e4lle an ic3.gov<\/em> zu melden; die Bedrohung wurde erstmals im April 2026 erkannt. The Hill hat in diesem Artikel<\/a> noch einige Informationen zusammen getragen.<\/p>\n ZPOS Ltd betreibt einen Plattform f\u00fcr POS-Zahlungssysteme (m\u00fcsste diese hier<\/a> sein und es gibt auch eine App<\/a>), die von vielen kleinen Gesch\u00e4ften, Restaurants etc. in Spanien, Portugal etc. zur bargeldlosen Abwicklung von Zahlungen genutzt wird.<\/p>\n Sicherheitsforscher Paul Moore kritisiert in obigem Tweet<\/a> die ZPos Ltd f\u00fcr anhaltende Sicherheitsm\u00e4ngel. Die Apps kommunizieren \u00fcber unverschl\u00fcsseltes HTTP-Verbindungen, d.h. Passw\u00f6rter und Zahlungsinfos werden im Klartext \u00fcbertragen. Deren Server verwenden das veraltete PHP 5.5.9 aus dem Jahr 2014. Moore\u00a0verweist auf einen sechs Monate \u00e4lteren Thread, in dem er seit 2020 ignorierte Sicherheitsprobleme meldete, eine SAR nach GDPR stellte und eine Klage auf Entsch\u00e4digung gerichtlich abgewiesen wurde. Sofern das zutrifft (Moore hat bei eigenen Zahlungen Missbrauchsversuche festgestellt), gehen Unternehmen, die ZPOS-Dienste f\u00fcr Zahlungen und EPoS verwenden, eine \"Hypothek\" ein. Denn sie setzen Kunden einem vermeidbaren Risiko aus, weil sensible Kundendaten ungesch\u00fctzt bleiben. Es wird zu einem Wechsel des Zahlungsanbieters geraten.<\/p>\n Nightmare Eclipse hatte k\u00fcrzlich ja eine RoguePlanet genannte 0-Day-Schwachstelle ver\u00f6ffentlicht (siehe\u00a0Windows Defender-Schwachstelle RoguePlanet durch Nightmare Eclipse offengelegt<\/a>). Nun hat Microsoft best\u00e4tigt, dass man an einem Fix f\u00fcr die Schwachstelle CVE-2026-50656<\/a> arbeitet. Ein Termin f\u00fcr den Fix wurde nicht genannt.<\/p>\n Ich kippe mal zwei Fundsplitter zu KI-Risiken hier in den Beitrag, die mir gerade untergekommen sind. D\u00fcrfte auch uns in Europa letztendlich betreffen.<\/p>\n LiteLLM ist ein Open-Source-KI-Gateway, das eine einheitliche Schnittstelle zum Aufruf von \u00fcber 100 LLM-Anbietern (OpenAI, Anthropic, Gemini, Bedrock, Azure, etc.) bietet. Klingt doch cool – und Ende M\u00e4rz 2026 hatte ich im Beitrag\u00a0Databricks mutma\u00dflich Opfer des TeamPCP LiteLLM-Lieferkettenangriffs<\/a> \u00fcber einen Sicherheitsvorfall im Zusammenhang mit LiteLLM berichtet. Denn dieses KI-Gateway muss nat\u00fcrlich die Zugangsdaten f\u00fcr die LLM-Anbieter kennen.<\/p>\n The Hacker News weist in obigem Tweet<\/a> auf die Risiken hin. Da LiteLLM als Gateway fungiert, liegen API-Schl\u00fcssel, gespeicherte Geheimnisse, Prompts, Antworten und Anmeldeinformationen f\u00fcr Agenten an einem Ort. Im Beitrag\u00a0LiteLLM Vulnerability Chain Lets Low-Privilege Users Take Over AI Gateway Servers<\/a> weist The Hacker News auf eine kritische Schwachstellenkette (CVSS Score 9.9) in LiteLLM vor Version v1.83.14-stable hin, die Low-Privilege-Nutzern erm\u00f6glicht, sich zum Administrator zu machen, Code auszuf\u00fchren, API-Keys zu stehlen und Prompts sowie Antworten zu lesen oder zu manipulieren und das LiteLLM-Gateways zu \u00fcbernehmen.<\/p>\n F\u00fcr Teams, die KI-Gateways nutzen, reicht das Aufspielen von Patches nicht aus. Diese sollten dringen \u00fcberpr\u00fcfen, welche Geheimnisse durch das Gateway geleitet wurden. Denn diese Geheimnisse sind im Zweifelsfall bereits zu Dritten abgeflossen. Ist doch immer wieder frappierend zu sehen, wie die Unternehmen potentiellen Angreifern solche Geheimnisse fein gesammelt auf dem Silbertablett freiwillig pr\u00e4sentieren. Die betteln geradezu danach, kompromittiert zu werden.<\/p>\n Sicherheitsexperte Bruce Schneier hat sich die Tage im Beitrag\u00a0AI Use by the US Government<\/a> \u00fcber den KI-Einsatz in US-Beh\u00f6rden und die damit einhergehenden Gefahren ausgelassen. Anlass war, dass die Trump-Regierung am 14. April 2026 den weit verbreiteten Einsatz von KI zur Automatisierung staatlicher Prozesse einr\u00e4umte. Das Amt f\u00fcr Verwaltung und Haushalt (OMB) gab bekannt, dass es in der gesamten US-Bundesregierung unglaubliche 3.611 aktive oder geplante Anwendungsf\u00e4lle f\u00fcr KI gebe, schreibt Schneider.<\/p>\n Die Liste der Projekte enthalte viele beunruhigend anmutende Pl\u00e4ne, sensible staatliche Funktionen an KI zu \u00fcbertragen, hei\u00dft es. Es gebe eine massive Verlagerung von Entscheidungsprozessen vom Menschen zur Maschine (KI) in Bereichen wie individuelle Freiheit, \u00f6ffentliche Gesundheit und Wohlbefinden, Sicherheit von Kernreaktoren und vielem mehr.<\/p>\n Das Energieministerium testet den Einsatz von KI zur Steuerung von Kernreaktoren, um autonom auf potenzielle nukleare Sicherheitsvorf\u00e4lle reagieren zu k\u00f6nnen. Schneier listet Beispiele auf, die zwischen George Orwells 1984 und \"was soll schon [bei komplettem Kontrollverlust] schief gehen\" rangieren.<\/p>\n Beim Honda Civic, Modelljahr 2021, l\u00e4sst sich ein Jailbreak des Entertainment-Systems per USB-Stick durchf\u00fchren. Das geht aus einem Artikel\u00a02021 Honda Civic infotainment system can be jailbroken via USB \u2014 flaw uses public Android test keys to install unauthorized apps, enables for 'EvilValet' attacks<\/a> auf Tom's Hardware hervor.<\/p>\n Der Softwarearchitekt Eric McDonald hat entdeckt, dass das Infotainment-System des Honda Civic aus dem Jahr 2021 \u00fcber den vorderen USB-Anschluss eine eklatante Sicherheitsl\u00fccke aufweist. Laut einem Blog-Beitrag<\/a> erm\u00f6glicht Honda die Aktualisierung\u00a0 des Systems \u00fcber USB, \u00fcberpr\u00fcft aber nicht die einzuspielenden Patches auf Sicherheit. Die Hardware sucht lediglich nach einer signierten AOSP-Datei (Android Open Source Project) mit einem \u00f6ffentlich bekannten Testschl\u00fcssel. Er\u00f6ffnet zahlreiche Missbrauchsm\u00f6glichkeiten.<\/p>\n Slashdot beschreibt in diesem Post<\/a>, dass AMD einen vor einem Jahrzehnt eingef\u00fchrten Schutzmechanismus aus CPUs f\u00fcr Endnutzer-Systeme entfernt. Bei High-End-CPUs gibt es Memory Crypto als Schutzmechanismus, um sie vor Cold-Boot-Angriffen und anderen Arten physischer Exploits zu sch\u00fctzen, bei denen sensible Daten aus den angeschlossenen Speicherchips abgezogen werden. TSME (Transparent Secure Memory Encryption) verschl\u00fcsselt den gesamten im Speicher abgelegten Inhalt und macht die Daten so f\u00fcr physische Angreifer unbrauchbar.<\/p>\n Die Schutzfunktion wurde dann auf weiteren CPUs integriert. Vor kurzem habe AMD bei AMD-Chipreihen der unteren Preisklasse den Schutz pl\u00f6tzlich abgeschafft (siehe hier<\/a>). Das war auf Windows-Rechnern nicht zu erkennen. Bei der Nutzung von Linux soll dies einen erheblichen technischen Aufwand erfordern hei\u00dft es. AMD lehnt einen Kommentar ab, scheint die Schutzfunktion auf Low-End-CPUs auch nie entsprechend beworben zu haben. Tom's Hardware hat das Thema hier<\/a> aufgegriffen.<\/p>\n","protected":false},"excerpt":{"rendered":" Ich packe mal einige Meldungen zu Sicherheitsthemen der letzten Stunden und Tage in einen Sammelbeitrag. In Joomla gibt es eine schwere Sicherheitsl\u00fccke, Novo Nordisk wurde gehackt, genau so wie mutma\u00dflich der Europarat. LiteLLM k\u00f6nnte bei der AI-Nutzung Credentials an die … Weiterlesen Der Pharmakonzern Novo Nordisk (Anbieter von Abnehmspritzen) wurde vor zwei Monaten gehackt. Bei diesem Vorfall wurden sensible Daten von medizinischen Studien abgezogen. heise hatte das gerade in diesem Artikel<\/a> beleuchtet, die Meldung kreist aber bereits seit Tagen, nachdem das Unternehmen das \u00f6ffentlich gemacht hatte (siehe<\/a>).<\/p>\n
![\"Novo](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/06\/NovoNordisk.jpg\")
<\/a><\/p>\nChina-Hacker in US-Systemen<\/h2>\n
Joomla-Schwachstelle (CVSS 10.0)<\/h2>\n
![\"Joomla-Schwachstelle](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/06\/Joomla-Schwachstelle-CVE-2026-48907.jpg\")
<\/a><\/p>\nEuroparat gehackt?<\/h2>\n
M\u00f6gliche Sicherheitsl\u00fccke bei Conda<\/h2>\n
\nWenn Sie aktuell Interesse an einer Investition haben, k\u00f6nnen Sie uns direkt kontaktieren \u2014 auch w\u00e4hrend die Plattform offline ist, per E-Mail an: support@conda-capital.com. Bitte geben Sie dabei Ihren Namen, die gew\u00fcnschte Emission sowie den geplanten Investitionsbetrag an. Unser Customer-Support-Team meldet sich schnellstm\u00f6glich bei Ihnen.<\/p>\nOffizielles Fifa-Streaming-Portal war hackbar<\/h2>\n
Kali365 FBI-Sicherheitswarnung: Teams, Outlook, OneDrive<\/h2>\n
![\"Kali365-FBI-Warnung\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/06\/Kali365-FBI-Warnung.jpg\")
<\/a><\/p>\nZPOS-Sicherheitl\u00fccken und fehlende Reaktion<\/h2>\n
![\"ZOIS](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/06\/ZOIS-Sicherheitsproblem.jpg\")
<\/a><\/p>\nMicrosoft arbeitet am Defender RoguePlanet-Fix<\/h2>\n
KI-Risiken: LiteLLM und KI-Nutzung in US-Beh\u00f6rden<\/h2>\n
Ein LiteLLM-Account kann Zugangsdaten leaken<\/h3>\n
![\"LiteLLM-Risiko\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/06\/LiteLLM-Risiko.jpg\")
<\/a><\/p>\nRisiko KI-Nutzung in US-Beh\u00f6rden<\/h3>\n
\n
The 2021 Honda Civic Entertainment-System-Jailbreak<\/h2>\n
AMD entfernt Memory Crypto aus Consumer CPUs<\/h2>\n