Fortinet veröffentlicht Updates zur Behebung einer kritischen FortiSIEM-Sicherheitslücke 

Fortinet hat Sicherheitsupdates veröffentlicht, um eine kritische Schwachstelle in FortiSIEM zu beheben, die als CVE-2025-64155 verfolgt wird und mit 9,4 auf der CVSS-Skala bewertet ist. 
Bei der Schwachstelle handelt es sich um ein Betriebssystem-Kommandoinjektionsproblem, das es einem nicht authentifizierten Angreifer ermöglicht, auf verwundbaren Super- und Worker-Nodes eine Remote-Code-Ausführung zu erreichen. Sicherheitsforscher zeigten, wie exponierte Backend-Dienste, die auf TCP-Port 7900 lauschen, missbraucht werden können, um schädliche Dateien zu schreiben und schließlich Privilegien bis hin zu vollständigem Root-Zugriff zu eskalieren, was zu einer vollständigen Kompromittierung der Appliance führt. 
Mehrere FortiSIEM Versionen sind betroffen. Korrekturen stehen über Updates oder die Migration auf gepatchte Versionen zur Verfügung. FortiSIEM Cloud ist nicht betroffen. 
Fortinet hat außerdem eine separate kritische Schwachstelle in FortiFone (CVE-2025-47855) behoben, die einen nicht authentifizierten Zugriff auf Gerätekonfigurationsdaten ermöglichen könnte. Organisationen wird dringend empfohlen, die Updates umgehend einzuspielen und den Zugriff auf exponierte Management-Ports zu beschränken, um das Risiko zu reduzieren. 

Microsoft zerschlägt große Cybercrime-Plattform RedVDS 

Microsoft hat die Abschaltung von RedVDS angekündigt, einer groß angelegten Cybercrime-as-a-Service-Plattform, die seit März 2025 mit gemeldeten Verlusten von über 40 Millionen US-Dollar in den Vereinigten Staaten in Verbindung gebracht wird. Durch koordinierte zivilrechtliche Maßnahmen in den USA und im Vereinigten Königreich beschlagnahmte Microsoft zentrale Infrastrukturen und nahm den Marktplatz sowie das Kundenportal von RedVDS offline, in Zusammenarbeit mit Europol und deutschen Behörden. 
RedVDS verkaufte den Zugang zu kurzlebigen Windows basierten virtuellen Servern bereits ab 24 US-Dollar pro Monat und ermöglichte damit Phishing, Business-Email-Compromise-Angriffe, den Diebstahl von Zugangsdaten sowie Zahlungsumleitungsbetrug in großem Umfang. Ermittler verknüpften den Dienst mit mehreren Bedrohungsgruppen und identifizierten einen gemeinsamen technischen Fingerabdruck über Tausende bösartige Server hinweg. 
Microsoft gab bekannt, dass Angreifer RedVDS nutzten, um bis zu eine Million Phishing-E-Mails pro Tag zu versenden und in den letzten Monaten nahezu 200.000 Konten zu kompromittieren. Viele Kampagnen setzten zudem generative KI-Werkzeuge, darunter ChatGPT, ein, um überzeugendere Köder zu erstellen. Frühere Maßnahmen, einschließlich der Aktion gegen RaccoonO365 gemeinsam mit Cloudflare, unterstreichen die wachsenden Bemühungen, kriminelle Infrastrukturen an der Quelle zu zerschlagen. 

CNIL verhängt 42 Millionen Euro Geldstrafe gegen Free Mobile und Free wegen Datenschutzverstößen 

Die französische Datenschutzaufsichtsbehörde CNIL hat kumulierte Geldstrafen in Höhe von 42 Millionen Euro gegen Free Mobile und dessen Muttergesellschaft Free verhängt, nachdem es im Oktober 2024 zu einer schweren Datenpanne gekommen war. Der Vorfall legte personenbezogene Daten von nahezu 23 Millionen Mobilfunk- und Festnetz-Kunden offen und zählt damit zu den bedeutendsten Telekommunikations-Datenpannen in Frankreich. 
Angreifer kompromittierten ein internes Management-Tool und stahlen Kundeninformationen, von denen einige später in einem Hacker-Forum zum Verkauf angeboten wurden. Die Untersuchung der CNIL ergab Verstöße gegen mehrere Verpflichtungen der DSGVO, darunter unzureichende Sicherheitskontrollen, mangelhafte Kommunikation gegenüber betroffenen Kunden sowie eine übermäßige Speicherung von Daten ehemaliger Abonnenten. 
Trotz nachträglicher Verbesserungen entschied die CNIL, dass frühere Fahrlässigkeit den Angriff ermöglicht hatte, und ordnete weitere Abhilfemaßnahmen innerhalb strenger Fristen an. 
Der Fall reiht sich in einen breiteren Trend von Telekommunikations-Sicherheitsvorfällen in Frankreich ein, darunter auch Vorfälle bei Orange France und Bouygues Telecom, und unterstreicht anhaltende Cyber-Risiken im gesamten Sektor. 

Südkoreanischer Konzern Kyowon von Ransomware-Angriff betroffen 

Die Kyowon Group hat bestätigt, Opfer eines Ransomware-Angriffs geworden zu sein, der den Geschäftsbetrieb störte und zum Diebstahl von Daten aus internen Systemen führte. Der Vorfall ereignete sich im Januar und betraf einen erheblichen Teil der Server-Infrastruktur von Kyowon. Koreanische Medien berichten, dass rund 600 der insgesamt 800 Server betroffen waren. 
Kyowon erklärte, dass während des Angriffs Daten exfiltriert wurden, hat jedoch noch nicht bestätigt, ob auch Kundendaten betroffen sind. Das Unternehmen, das in den Bereichen Bildung, Verlagswesen, digitales Lernen und Verbraucherdienste tätig ist, verfügt über mehr als 9,6 Millionen registrierte Konten, die etwa 5,5 Millionen Personen zugeordnet sind. Kyowon hat die Korea Internet & Security Agency informiert und teilt mit, dass die Wiederherstellung der Online-Dienste kurz vor dem Abschluss steht. 
Der Vorfall ist der jüngste in einer Reihe groß angelegter Cyberangriffe auf südkoreanische Unternehmen, nach jüngsten Meldungen von Coupang, Korean Air, SK Telecom und Dior Korea, und verdeutlicht anhaltende Risiken in mehreren großen Branchen. 

Reprompt-Angriff macht Risiken in Copilot-Personal-Sitzungen deutlich 

Sicherheitsforscher haben eine neuartige Angriffstechnik mit dem Namen Reprompt offengelegt, die es Angreifern ermöglichen könnte, eine Microsoft-Copilot-Sitzung eines Nutzers zu übernehmen und unbemerkt sensible Daten zu exfiltrieren. Die Methode wurde von Varonis entdeckt, das demonstrierte, wie ein bösartiger Prompt in einer legitimen Copilot-URL verborgen und nach nur einem Klick des Nutzers ausgeführt werden kann. 
Reprompt missbraucht die Art und Weise, wie Copilot den Parameter „q“ in URLs verarbeitet, wodurch eingeschleuste Anweisungen automatisch ausgeführt werden. Durch das Verketten nachfolgender Anfragen und das Ausnutzen von Lücken in den Schutzmechanismen von Copilot könnten Angreifer auch nach dem Schließen des Copilot-Tabs weiterhin Zugriff auf eine authentifizierte Sitzung behalten. Forscher zeigten, wie dadurch Schutzmechanismen gegen Datenabfluss umgangen und Informationen unsichtbar extrahiert werden können. 
Das Problem betraf ausschließlich Copilot Personal und nicht Microsoft 365 Copilot. Microsoft wurde verantwortungsvoll informiert und stellte im Rahmen des Patch Tuesday im Januar 2026 eine Korrektur bereit. Nutzern wird dringend empfohlen, die neuesten Windows-Updates zeitnah zu installieren. 

Wenn Sie sich Sorgen um eine der in diesem Bulletin beschriebenen Bedrohungen machen oder Hilfe bei der Festlegung der Schritte benötigen, die Sie unternehmen sollten, um sich vor den wichtigsten Bedrohungen für Ihre Organisation zu schützen, wenden Sie sich bitte an Ihren Account Manager oder alternativ an uns, um herauszufinden, wie Sie Ihre Organisation schützen können.

Der Threat Intel Roundup wurde von Integrity360 erstellt und fasst Bedrohungsnachrichten zusammen, wie wir sie beobachten, aktuell zum Zeitpunkt der Veröffentlichung. Er sollte nicht als Rechts-, Beratungs- oder sonstige professionelle Beratung betrachtet werden. Alle Empfehlungen sollten im Kontext Ihrer eigenen Organisation betrachtet werden. Integrity360 nimmt in den von uns geteilten Informationen keine politische Haltung ein. Darüber hinaus spiegeln die geäußerten Meinungen nicht unbedingt die Ansichten von Integrity360 wider.