NCSC warnt britische Organisationen vor DOS-Bedrohungen durch Hacktivistengruppen

Das National Cyber Security Centre (NCSC), das zum GCHQ gehört, hat eine neue Warnung herausgegeben, wonach britische Organisationen nach wie vor Ziel von Hacktivistengruppen sind, die dem russischen Staat nahestehen. Der Schwerpunkt der Aktivitäten liegt eher auf Störungen als auf finanziellem Gewinn, wobei Denial-of-Service-Angriffe darauf abzielen, Netzwerke und Online-Dienste zu überlasten.

Lokale Behörden und Betreiber kritischer nationaler Infrastrukturen gehören zu den am meisten gefährdeten Gruppen. Obwohl DoS-Angriffe oft technisch einfach sind, betont die NCSC, dass ihre Auswirkungen schwerwiegend sein können und zu Ausfällen von Diensten, Betriebsstörungen und erheblichen Wiederherstellungskosten führen können.

Die Warnung folgt auf eine gemeinsame internationale Empfehlung vom Dezember 2025, in der auf die anhaltenden Angriffe auf NATO-Mitgliedstaaten und europäische Organisationen hingewiesen wurde, die als Unterstützer der Ukraine gelten.

Jonathon Ellison, Director of National Resilience bei der NCSC, forderte die Organisationen auf, jetzt zu handeln, indem sie ihre Abwehrmaßnahmen überprüfen und wirksame Reaktionspläne erstellen.

Kritische KI-Framework-Schwachstellen aufgedeckt

Sicherheitsforscher haben zwei kritische Schwachstellen in Chainlit, einem weit verbreiteten Open-Source-Framework für KI-Anwendungen, aufgedeckt, die ernsthafte Risiken für Unternehmen darstellen, die den Einsatz von KI beschleunigen wollen. Die Ergebnisse fallen mit dem Start von Project DarkSide zusammen, einer Initiative, die sich auf die Aufdeckung von Schwachstellen in KI-Entwicklungsbausteinen konzentriert.

Die als CVE-2026-22218 und CVE-2026-22219 bezeichneten Schwachstellen ermöglichen es nicht authentifizierten Angreifern, beliebige Dateien zu lesen und serverseitige Anforderungsfälschung durchzuführen. Die Ausnutzung der Schwachstelle erfordert keine Benutzerinteraktion und kann zur Preisgabe von Cloud-Anmeldeinformationen, Datenbankinhalten, Umgebungsvariablen und proprietärem Quellcode führen. In Cloud-Umgebungen kann dies zu Seitwärtsbewegungen und einer vollständigen Kompromittierung der Infrastruktur führen.

Mit schätzungsweise 700.000 monatlichen Downloads und aktiven Implementierungen in Unternehmen und Hochschulen ist das Risiko erheblich. Chainlit hat die Version 2.9.4 veröffentlicht, um beide Probleme zu beheben.

Bis zur Fertigstellung des Patches wurden Hinweise zur Erkennung sowie Warnungen veröffentlicht, dass unsichere KI-Grundlagen die Angriffsfläche für Unternehmen rasch vergrößern.

Zendesk-Systeme für Spam missbraucht

Eine groß angelegte globale Spam-Welle wurde mit dem Missbrauch ungesicherter Zendesk-Supportsysteme in Verbindung gebracht. Die Empfänger berichteten von Hunderten von E-Mails, die innerhalb weniger Minuten eintrafen. Die Kampagne begann am 18. Januar und erregte aufgrund der schieren Menge und der ungewöhnlichen Art der Nachrichten schnell die Aufmerksamkeit der sozialen Medien.

Die E-Mails werden generiert, wenn Angreifer gefälschte Support-Tickets mit ungeprüften E-Mail-Adressen einreichen. Die automatischen Bestätigungsantworten von Zendesk verwandeln dann legitime Kundendienstplattformen in eine unwissende Massen-Spam-Maschine. Obwohl die Nachrichten keine bösartigen Links oder direkten Phishing-Köder zu enthalten scheinen, haben ihre chaotischen und manchmal alarmierenden Betreffzeilen für Verwirrung und Besorgnis gesorgt.

Zu den betroffenen Organisationen gehören Discord, Dropbox, NordVPN, Riot Games und mehrere öffentliche Einrichtungen. Die Betreffzeilen reichen von gefälschten Mitteilungen der Strafverfolgungsbehörden bis hin zu Angeboten für kostenlose Dienstleistungen, die oft in dekorativem Unicode-Text verfasst sind.

Der Vorfall macht deutlich, wie grundlegende Überprüfungslücken in weit verbreiteten Plattformen in großem Umfang ausgenutzt werden können, auch ohne den Einsatz herkömmlicher Malware oder Phishing-Techniken.

Fortinet-Patch-Umgehung unter Beschuss

Fortinet-Kunden berichten über die aktive Ausnutzung einer Patch-Umgehung, die eine zuvor behobene FortiGate-Authentifizierungsschwachstelle, CVE-2025-59718, betrifft. Angreifer missbrauchen die Schwachstelle, um Firewalls zu kompromittieren, auf denen gepatchte FortiOS-Versionen, einschließlich 7.4.9 und 7.4.10, laufen, was Bedenken aufkommen lässt, dass der ursprüngliche Fix unvollständig war.

Mehrere Administratoren haben beobachtet, dass unbefugte Administratorkonten über böswillige FortiCloud SSO-Anmeldungen erstellt wurden, eine Aktivität, die mit den bereits von Arctic Wolf im Dezember 2025 dokumentierten Ausnutzungstechniken übereinstimmt. Berichten zufolge bereitet Fortinet zusätzliche Updates vor, einschließlich FortiOS 7.4.11, um das Problem vollständig zu beheben.

Die Schwachstelle wurde in den CISA-Katalog der aktiv ausgenutzten Schwachstellen aufgenommen, während Shadowserver weiterhin Tausende von gefährdeten Geräten verfolgt.

Administratoren wird empfohlen, FortiCloud SSO nach Möglichkeit zu deaktivieren, bis ein vollständiger Fix verfügbar ist, da Angreifer auch auf andere ungepatchte Fortinet-Produkte abzielen, einschließlich FortiSIEM.

Fortune-500-Unternehmen durch falsch konfigurierte Testanwendungen gefährdet

Nach neuen Erkenntnissen von Pentera nutzen Angreifer aktiv falsch konfigurierte Sicherheitstestanwendungen aus, um in Live-Cloud-Umgebungen einzudringen. Absichtlich verwundbare Tools wie DVWA, OWASP Juice Shop, Hackazon und bWAPP werden missbraucht, wenn sie im öffentlichen Internet offen liegen und mit übermäßigen Cloud-Privilegien eingesetzt werden.

Pentera identifizierte 1.926 anfällige Instanzen in AWS, Azure und GCP, von denen viele mit übermäßig freizügigen IAM-Rollen und Standard-Anmeldeinformationen verbunden waren. Die gefährdeten Anwendungen gehörten zu mehreren Fortune-500-Unternehmen, darunter Cloudflare, F5 und Palo Alto Networks, die die Probleme inzwischen alle behoben haben.

Die Forscher fanden eindeutige Beweise für eine aktive Ausnutzung der Sicherheitslücke, darunter das Mining von Monero-Kryptowährungen über XMRig, dauerhafte Backdoors und PHP-Webshells, die eine vollständige Systemkontrolle ermöglichen. Die Ergebnisse verdeutlichen, wie unsichere, nicht produktive Ressourcen zu hochwirksamen Einstiegspunkten in Cloud-Umgebungen von Unternehmen werden können.

Wenn Sie über eine der in diesem Bulletin beschriebenen Bedrohungen besorgt sind oder Hilfe benötigen, um herauszufinden, welche Maßnahmen Sie ergreifen sollten, um sich vor den größten Bedrohungen für Ihr Unternehmen zu schützen, wenden Sie sich bitte an Ihren Kundenbetreuer odernehmen Sie Kontakt auf, um zu erfahren, wie Sie Ihr Unternehmen schützen können.

Der Threat Intel Roundup wurde von Integrity360 erstellt und fasst die zum Zeitpunkt der Veröffentlichung aktuellen Bedrohungsnachrichten zusammen, die wir beobachten. Sie sollten nicht als Rechts-, Beratungs- oder sonstige professionelle Beratung betrachtet werden. Alle Empfehlungen sollten im Zusammenhang mit Ihrer eigenen Organisation betrachtet werden. Integrity360 vertritt in den von uns verbreiteten Informationen keinen politischen Standpunkt. Außerdem müssen die geäußerten Meinungen nicht unbedingt die Ansichten von Integrity360 sein.