Niederlande: Aktiv ausgenutzte Citrix NetScaler Schwachstelle 

In den Niederlanden ist es Angreifern gelungen, mehrere Organisationen der kritischen Infrastruktur zu kompromittieren. Auslöser war eine Speicherüberlauf-Sicherheitslücke in Citrix NetScaler ADC und Gateway (CVE-2025-6543), die als kritisch eingestuft ist. Das Nationale Cyber-Sicherheitszentrum der Niederlande berichtet, dass die Angriffe bereits Anfang Mai begonnen haben – also mehrere Wochen bevor Citrix die Schwachstelle am 25. Juni öffentlich machte. Die Täter gingen gezielt vor, nutzten ausgefeilte Techniken und löschten Spuren, um ihre Aktivitäten zu verschleiern. 

Im Juni wurde zudem eine weitere, ähnlich kritische Schwachstelle (CVE-2025-5777) bekannt. Weltweit sind laut Forschern noch mehr als 4.100 im Internet erreichbare NetScaler-Instanzen für CVE-2025-6543 anfällig, und über 3.300 Systeme sind weiterhin durch CVE-2025-5777 gefährdet. Für beide Lücken wurden bereits Ausnutzungsversuche registriert. 

Die US-Cybersicherheitsbehörde CISA hat beide Schwachstellen in ihren Katalog der bekannten, aktiv ausgenutzten Sicherheitslücken aufgenommen und rät dringend zu sofortigen Updates. Die Behörde warnt vor Risiken, die mit der Angriffswelle „CitrixBleed“ aus dem Jahr 2023 vergleichbar sind. Dass Citrix in den letzten Jahren mehrfach mit Zero-Day-Schwachstellen konfrontiert war, verstärkt die Sorge über das mögliche Ausmaß der aktuellen Angriffe. 

Fortinet warnt vor kritischer FortiSIEM-Sicherheitslücke mit Exploit-Code in freier Wildbahn 

Fortinet fordert zur sofortigen Installation eines Patches auf, um eine kritische Sicherheitslücke in FortiSIEM zu beheben, die eine nicht authentifizierte Befehlsinjektion aus der Ferne ermöglicht und unter der Kennung CVE-2025-25256 (CVSS 9.8) geführt wird. Die Schwachstelle betrifft die Versionen 5.4 bis 7.3 und könnte es Angreifern ermöglichen, über manipulierte CLI-Anfragen beliebigen Code auszuführen. Fortinet hat zwar keine Zero-Day-Ausnutzung bestätigt, warnt jedoch davor, dass funktionsfähiger Exploit-Code im Umlauf ist. 

Die Schwachstelle stell ein besonders hohes Risiko dar, da FortiSIEM häufig von Behörden, großen Unternehmen, Finanzinstituten, Gesundheitsdienstleistern und MSSPs verwendet wird.  Die Ausnutzung hinterlässt keine eindeutigen Anzeichen für eine Kompromittierung und macht es schwer eine Kompromittierungen zu erkennen. 

Patches sind in FortiSIEM 7.3.2, 7.2.6, 7.1.8, 7.0.4 und 6.7.10 verfügbar, allerdings werden die Versionen 5.4 bis 6.6 keine Korrekturen erhalten, da sie nicht mehr unterstützt werden.  

Die Veröffentlichung folgt den jüngsten Berichten von Forschern über einen Anstieg böswilliger Aktivitäten, die die Sorge über mögliche Missbräuche verstärken. 

Microsoft behebt 107 Sicherheitslücken, darunter eine Zero-Day-Sicherheitslücke in Windows Kerberos 

Microsofts Patch Tuesday im August 2025 enthält Korrekturen für 107 Sicherheitslücken, darunter eine bekannte Zero-Day-Sicherheitslücke in Windows Kerberos (CVE-2025-53779). Die als mäßig eingestufte Sicherheitslücke könnte es einem authentifizierten Angreifer ermöglichen die Rechte eines Domänenadministrators durch relative Path Traversal zu erlangen. Yuval Gordon von Akamai entdeckte diese erstlich im Mai. 

Die Veröffentlichung diesen Monats behebt 44 Schwachstellen zur Rechteausweitung, 35 Fehler zur Remote-Codeausführung, 18 Probleme zur Offenlegung von Informationen, vier Denial-of-Service-Schwachstellen und neun Spoofing-Schwachstellen. 13 davon werden als kritisch eingestuft, neun davon ermöglichen die Remote-Codeausführung. 

Weitere wichtige Korrekturen sind kritische Patches für Windows NTLM, GDI+, DirectX, Microsoft Office und Windows Message Queuing. Microsoft empfiehlt dringende Updates, insbesondere für Unternehmen und Domänencontroller, um das Risiko einer potenziellen Ausnutzung zu verringern. 

Das Update folgt auf einen Monat mit bedeutenden Sicherheitsaktivitäten verschiedener Anbieter, darunter dringende Patches von Adobe, Cisco, Fortinet, Google und Trend Micro für aktiv ausgenutzte Sicherheitslücken. 

Salesforce-Hack: ShinyHunters veröffentlichen 2,8 Millionen Allianz-Lebensversicherungsdaten 

Die Hackergruppe ShinyHunters hat 2,8 Millionen Datensätze von Kunden und Partnern der US-Versicherungsgesellschaft Allianz Life veröffentlicht. Die Daten wurden im Juli bei einem gezielten Angriff auf Salesforce-Systeme entwendet. Der Angriff war Teil einer größeren Kampagne, die laut ShinyHunters in Zusammenarbeit mit Scattered Spider und ehemaligen Mitgliedern der Gruppe Lapsus$ durchgeführt wurde. 

Die erbeuteten Tabellen „Accounts“ und „Contacts“ enthalten sensible persönliche und geschäftliche Daten, darunter Namen, Adressen, Telefonnummern, Geburtsdaten, Steueridentifikationsnummern, Unternehmenszugehörigkeiten und Lizenzinformationen. 

Der Angriff erfolgte über Social Engineering: Mitarbeitende wurden dazu verleitet, eine schädliche OAuth-App mit den Salesforce-Instanzen des Unternehmens zu verbinden. Anschließend exfiltrierten die Angreifer die Daten und stellten Lösegeldforderungen. 

ShinyHunters, die zuvor mit Angriffen auf AT&T und Snowflake in Verbindung gebracht wurden, betreiben inzwischen einen neuen Telegram-Kanal, um Sicherheitsforschende und Strafverfolgungsbehörden zu verhöhnen und ihre Beteiligung an mehreren prominenten Attacken öffentlich zu machen. Die Untersuchung von Allianz Life dauert an. 

Nigeria verzeichnet weltweit schnellsten Anstieg bei Cyberangriffen, während Afrika die globale Zielliste anführt 

Nigeria hat aktuell die höchste Wachstumsrate bei Cyberangriffen weltweit. Laut dem Global Threat Intelligence Report von Check Point (Juli 2025) verzeichneten nigerianische Organisationen im Durchschnitt 6.101 wöchentliche Angriffe – ein Anstieg um 67 % im Vergleich zum Vorjahr. Damit ist Nigeria das am meisten angegriffene Land Afrikas und eines der verwundbarsten weltweit.  

Im afrikanischen Durchschnitt wurden 3.374 Angriffe pro Woche registriert. Besonders betroffen waren neben Nigeria auch Angola (3.731), Kenia (3.468) und Südafrika (2.113). Am stärksten im Fokus standen die Branchen Telekommunikation, öffentliche Verwaltung und Finanzwesen, gefolgt von Energie- und Versorgungsunternehmen.  

Global gesehen stieg die durchschnittliche Zahl der wöchentlichen Angriffe im Juli auf 1.947 (+5 % im Jahresvergleich). Der Bildungssektor war mit 4.210 Angriffen pro Woche am stärksten betroffen. Die Landwirtschaft verzeichnete mit +115 % den größten prozentualen Anstieg. 

Die Ransomware-Fälle nahmen weltweit um 41 % zu, auf insgesamt 487 Vorfälle. Haupttreiber waren hier die Gruppen Qilin, Akira und Play. 

Norwegen gibt an, dass russische Hacker kurzzeitig die Kontrolle über einen Staudamm übernommen haben 

Die norwegische Regierung hat erstmals offiziell russische Hacker für einen Angriff auf kritische Infrastruktur verantwortlich gemacht. Am 7. April übernahmen Angreifer für mehrere Stunden die Kontrolle über den Bremanger-Staudamm. Es gelang ihnen eine Schleuse zu öffnen, die vier Stunden lang 500 Liter Wasser pro Sekunde ausströmen lies, bevor der Angriff entdeckt und gestoppt wurde. Es wurden keine Verletzten gemeldet. 

Beate Gangaas, Chefin der norwegischen Sicherheitspolizei PST, bezeichnete den Vorfall als Teil einer veränderten Aktivität pro-russischer Cyberakteure, die gezielt Angst und Chaos auslösen soll. Sie warnte, dass Norwegens „russischer Nachbar“ gefährlicher geworden sei.  

Das Ereignis unterstreicht die zunehmenden Risiken für Norwegens Energieinfrastruktur, die stark von Wasserkraft abhängig ist, und folgt auf europäische Warnungen vor möglichen russischen Sabotagekampagnen. Gangaas erklärte, dass sie den Vorfall öffentlich machte, um die Bevölkerung zu sensibilisieren und zukünftige Angriffe abzuschrecken. Die russische Botschaft in Oslo hat sich nicht geäußert. 

 Wenn Sie sich Sorgen um eine der in diesem Bulletin beschriebenen Bedrohungen machen oder Hilfe bei der Festlegung der Schritte benötigen, die Sie unternehmen sollten, um sich vor den wichtigsten Bedrohungen für Ihre Organisation zu schützen, wenden Sie sich bitte an Ihren Account Manager oder alternativ an uns, um herauszufinden, wie Sie Ihre Organisation schützen können.

Der Threat Intel Roundup wurde von Integrity360 erstellt und fasst Bedrohungsnachrichten zusammen, wie wir sie beobachten, aktuell zum Zeitpunkt der Veröffentlichung. Er sollte nicht als Rechts-, Beratungs- oder sonstige professionelle Beratung betrachtet werden. Alle Empfehlungen sollten im Kontext Ihrer eigenen Organisation betrachtet werden. Integrity360 nimmt in den von uns geteilten Informationen keine politische Haltung ein. Darüber hinaus spiegeln die geäußerten Meinungen nicht unbedingt die Ansichten von Integrity360 wider.