{"id":326711,"date":"2026-06-22T13:00:37","date_gmt":"2026-06-22T11:00:37","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=326711"},"modified":"2026-06-22T16:14:23","modified_gmt":"2026-06-22T14:14:23","slug":"security-servicenow-vorfall-fortibleed-nachlese-google-captcha-winke-winke-und-mehr","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/06\/22\/security-servicenow-vorfall-fortibleed-nachlese-google-captcha-winke-winke-und-mehr\/","title":{"rendered":"Security: ServiceNow-Vorfall; FortiBleed-Nachlese; Google Captcha \"Winke-Winke\" und mehr"},"content":{"rendered":"

\"SicherheitHeute noch ein kleiner Sammelbeitrag rund um Sicherheitsthemen. Beim Anbieter ServiceNow hat es einen Sicherheitsvorfall gegeben haben, bei dem Dritte \u00fcber einen ungesicherten API-Zugang auf Kunden-Instanzen zugreifen konnten. Bei FortiBleed gibt es neue Erkenntnisse zu den Angriffen auf die FortiNet-Instanzen. Und bei Google verlangt der Captcha-Zugang nun Winkbewegungen des Nutzers. Derweil fordert die Free Software Foundation die EU-Kommission auf, Google zu zwingen, dass die KI-Modelle unter Android deinstallierbar sein m\u00fcssen.<\/p>\n

<\/p>\n

Sicherheitsvorfall bei ServiceNow<\/h2>\n

\"\"ServiceNow Inc.<\/a> ist ein US-amerikanisches Technologieunternehmen mit Sitz in Santa Clara, Kalifornien. Es bietet mit dem gleichnamigen Produkt eine cloud-basierte L\u00f6sung f\u00fcr das IT-Service-Management an.<\/p>\n

Auf die volle KI-Experience gesetzt<\/h3>\n

In der Eigenwerbung hei\u00dft es \"Optimieren Sie Ihre Unternehmensworkflows mit der\u00a0ServiceNow<\/em> AI-Platform in allen Bereichen Ihres Unternehmens \u2013 sowohl f\u00fcr Kunden als auch f\u00fcr Mitarbeiter. […] Von HR und Finanzwesen \u00fcber Kundenservice bis Sicherheit \u2013 egal welche Branche und welche Unternehmensgr\u00f6\u00dfe: ServiceNow optimiert Arbeitsabl\u00e4ufe, steigert die Produktivit\u00e4t und bietet optimierte Experiences in jeder Abteilung, damit alle Mitarbeiter besser und effizienter arbeiten k\u00f6nnen.\" KI-Experience wird ganz gro\u00df geschrieben und die Top 500 Unternehmen h\u00e4ngen nat\u00fcrlich bei ServiceNow am Tropf.<\/p>\n

Verdacht auf eine Schieflage<\/h3>\n

Mir ist bereits vor einigen Tagen oberer Tweet<\/a> vom 9. Juni 2026 untergekommen, der auf einen m\u00f6glichen Sicherheitsvorfall anspielt. Die Kernaussage:\u00a0Der Anbieter hat zum 5. Juni 2026 einen Sicherheitsvorfall erlitten, bei dem\u00a0Angreifer eine Schwachstelle in der nicht authentifizierten REST-API ausnutzten, um auf Kundeninstanzen zuzugreifen und Kundendaten abzufragen.<\/p>\n

Benachrichtigungen, die ServiceNow-Kunden erhielten, besagte, dass \u00fcber eine verd\u00e4chtige IP-Adresse, die auf mehrere Kunden-Tenants zugegriffen worden sei.<\/p>\n

\"ServiceNow-Incident\"<\/a><\/p>\n

Die Ursache scheint ein skriptgesteuerter REST-API-Endpunkt zu sein, der keine Authentifizierung erforderte, da er Aktivit\u00e4ten unter dem Benutzer \u201eGuest\" protokollierte, der \u00fcber kein tats\u00e4chliches Konto verf\u00fcgte, hie\u00df es. Die Ressource befand sich seit mindestens 2018 in diesem Zustand und wurde erst am \"vergangenen Freitag\" (war der 5. Juni 2026) behoben, als ServiceNow das Flag \"requires_authentication<\/em>\" auf \"true\" setzte. Auf reddit.com wurde das in diesem Thead<\/a> heftig diskutiert.<\/p>\n

Offenlegung eines Sicherheitsvorfalls<\/h3>\n

Ich hatte es am Rand bei den Kollegen von Bleeping Computer mitbekommen, die am 10. Juni 2026 das Thema aufgegriffen<\/a> haben. Dort hei\u00dft es, dass es auf einem abgeschotteten ServiceNow-Kundenportal eine Sicherheitsinformation \u00fcber einen Cybervorfall gab. Am 5. Juni 2026 sind denen wohl Zugriffe auf Kundensysteme aufgefallen (diese gab es laut reddit.com Diskussion am 2., 3. Juni 2026).<\/p>\n

Inzwischen ist die ServiceNow Verlautbarung hier \u00f6ffentlich abrufbar<\/a>. Aus dieser geht hervor, dass das Unternehmen bereits im April 2026 von extern Hinweise auf obiges Problem bekam, und dann im Juni 2026 wiederholte Hinweise von Sicherheitsforschern eingingen. Derzeit zieht sich das Unternehmen, so wie ich deren Verlautbarung interpretiere, auf den Punkt zur\u00fcck, dass die Zugriffe von einer IP durch Sicherheitsforscher, die die Schwachstelle erforschten, erfolgte. Also nix wirklich wichtiges passiert. Golem hatte das in diesem Beitrag ebenfalls aufgegriffen<\/p>\n

FortiBleed-Nachlese zum Hack der FortiNet-Instanzen<\/h2>\n

Zum 18. Juni 2026 hatte ich im Beitrag\u00a0FortiBleed: Administrator-Passw\u00f6rter bei 75.000 Fortinet-Firewalls geknackt<\/a> berichtet, dass Fortinet Firewalls und Gateways im Risiko stehen, weil Zugangsdaten f\u00fcr Administrator-Zug\u00e4nge zirkulieren. Laut The Hacker News<\/a> warnte die US-Cybersicherheitsbeh\u00f6rde CISA ihre Klientel vor entsprechenden Angriffen.<\/p>\n

Analyse von FortiNet<\/h3>\n

Zum 19. Juni 2026 hat FortiNet dann die Analyse\u00a0Analysis of Reported Credential Compromise of FortiGate Devices<\/a> mit eigenen Erkenntnissen ver\u00f6ffentlicht. Der Anbieter negiert eine neue Schwachstelle und geht davon aus, dass die Angreifer alte Anmeldedaten aus fr\u00fcheren Vorf\u00e4llen wiederverwenden und Brute-Force-Techniken gegen Ger\u00e4te einsetzen, die \u00fcber eine unzureichende Passwort-Sicherheit verf\u00fcgen sowie keine Multi-Faktor-Authentifizierung (MFA) nutzen.<\/p>\n

Weitere Analysen von SpyCloud und Beaumond<\/h3>\n

Inzwischen bin ich auf die Analyse von SpyCloud<\/a> gesto\u00dfen, die im Grunde die FortiNet-Analyse st\u00fctzen. Es scheint wohl eine gro\u00df angelegte Brute-Force-Kampagne gewesen zu sein, die vorhandene Passwortlisten zum Angriff auf Administratorzug\u00e4nge verschiedener Systeme verwendete. In einer Multi-Server-Operation zum Erlangen des Erstzugangs wurden nicht nur Fortinet-VPN-Anmeldungen per Brute-Force-Angriff geknackt. Sondern es gab auch Zugriffe auf andere Konten von Synology-NAS-Ger\u00e4ten, Sophos-Firewalls und MSSQL-Servern. Eine weitere Analyse von Sicherheitsforschern gibt es hier<\/a>.<\/p>\n

\"FortiBleed-Nachlese\"<\/a><\/p>\n

Obigem Tweet<\/a> zufolge haben die\u00a0Angreifer hinter der FortiBleed-Kampagne 36 GPUs bei einem KI-Cloud-Anbieter angemietet, um gestohlene FortiGate-Konfigurations-Hashes im industriellen Ma\u00dfstab zu knacken. Sicherheitsforscher Kevin Beaumont beleuchtet die Kampagne.\u00a0Kevin Beaumont widerspricht der \u00f6ffentlichen Darstellung von Fortinet, wonach es sich bei den Daten lediglich um alte Sicherheitsl\u00fccken und Brute-Force-Angriffe handele.<\/p>\n

Der Sicherheitsforscher wird in obigem Tweet so zitiert, dass die Angreifer frisch geknackte Passw\u00f6rter genutzt h\u00e4tten. Bei jedem Unternehmen, dem Beaumont im Rahmen eines Vorfalls geholfen hat, wurden die Konfiguration im Mai 2026 exportiert. In den von Beaumont analysierten F\u00e4llen seien der Angreifer weit \u00fcber das Sammeln von Zugangsdaten hinausgegangen: Der Angreifer f\u00fcgte Admin-Konten hinzu, \u00f6ffnete SSH- und RDP-Firewall-Regeln und loggte sich in IPsec-Tunnel ein, hie\u00df es.<\/p>\n

Google Splitter: Android AI bannen; Captcha per \"Winke-Winke\"<\/h2>\n

Abschlie\u00dfend noch zwei Informationssplitter aus dem Google-Universum, die ich der Leserschaft nicht vorenthalten m\u00f6chte. Es geht beide Male um Google KI, die ihre Schatten vorauswirft.<\/p>\n

Free Software Foundation fordert AI-Bann bei Android von EU-Kommission<\/h3>\n

Google rollt seit einiger Zeit seine AI-Funktionen auf alle Android-Ger\u00e4te aus und als Nutzer hat man alle H\u00e4nde voll zu tun, die Prozesse zu unterbinden. Die Free Software Foundation Europe hat sich nun an die EU-Kommission gewandt. Die Forderung lautet<\/a>, dass die EU-Kommission Google zu zwingen soll, dass die in Android ausgerollten AI-Funktionen deinstallierbar werden. Dies hat neowin.net in diesem Artikel<\/a> aufgegriffen.<\/p>\n

Google fordert Winken bei Captchas<\/h3>\n

Google hat das Problem, dass seine KI die \u00fcblichen Captcha-Erkennungsversuche von KI-L\u00f6sungen nicht mehr abwehren kann. Daher f\u00fchrt man bei der reCaptcha-Erkennung \"Handgesten\" ein. heise hat das Thema hier aufgegriffen<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"

Heute noch ein kleiner Sammelbeitrag rund um Sicherheitsthemen. Beim Anbieter ServiceNow hat es einen Sicherheitsvorfall gegeben haben, bei dem Dritte \u00fcber einen ungesicherten API-Zugang auf Kunden-Instanzen zugreifen konnten. Bei FortiBleed gibt es neue Erkenntnisse zu den Angriffen auf die FortiNet-Instanzen. … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-326711","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/326711","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=326711"}],"version-history":[{"count":3,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/326711\/revisions"}],"predecessor-version":[{"id":326716,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/326711\/revisions\/326716"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=326711"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=326711"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=326711"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}