Fortinet veröffentlicht Patch für aktiv ausgenutzte FortiWeb-Zero-Day-Schwachstelle

Fortinet hat dringende Sicherheitsupdates veröffentlicht, um eine neu bekannt gewordene FortiWeb-Zero-Day-Schwachstelle zu beheben, die bereits von Angreifern ausgenutzt wird. Die Schwachstelle, verfolgt als CVE-2025-58034, wurde von Forschern entdeckt und betrifft mehrere Versionen von FortiWeb. Sie ermöglicht authentifizierten Angreifern, nicht autorisierten Code über manipulierte HTTP-Anfragen oder CLI-Befehle auszuführen, was sie zu einem schwerwiegenden Fall von Betriebssystem-Kommandoinjektion macht. Forscher haben bereits rund 2.000 Ausnutzungsversuche in realen Angriffen registriert.
Administratorinnen und Administratoren werden dringend aufgefordert, sofort auf die neuesten FortiWeb-Versionen zu aktualisieren, die Anfang der Woche veröffentlicht wurden. Das Update folgt auf Fortinets Bestätigung, dass in der Vorwoche eine weitere FortiWeb-Zero-Day-Schwachstelle (CVE-2025-64446) behoben wurde, die inzwischen im CISA-Katalog aktiv ausgenutzter Schwachstellen geführt wird.
Diese Offenlegungen reihen sich in eine Serie von Schwachstellen ein, die von Spionage- und Ransomware-Gruppen ausgenutzt wurden, und unterstreichen die Bedeutung schneller Patch-Maßnahmen für exponierte Geräte.

Datenpanne bei der französischen Sozialversicherung legt Daten von bis zu 1,2 Millionen Personen offen

Pajemploi, der französische Sozialversicherungsdienst, den Eltern und häusliche Betreuungskräfte nutzen, hat eine massive Datenpanne bestätigt, von der bis zu 1,2 Millionen Personen betroffen sind. Die Behörde teilte mit, dass Angreifer auf personenbezogene Daten professioneller Betreuungskräfte zugreifen konnten, die in privaten Haushalten arbeiten und im Pajemploi-System von URSSAF registriert sind.
Die offengelegten Daten umfassen Namen, Geburtsorte, Adressen, Sozialversicherungsnummern, Akkreditierungsdetails und den Namen des Bankinstituts. Weder Bankkontonummern noch E-Mail-Adressen, Telefonnummern oder Passwörter wurden kompromittiert. Pajemploi erklärt, dass jede betroffene Person individuell informiert wird und alle Kernprozesse weiterhin regulär funktionieren.
Nach der Entdeckung der Datenpanne am 14. November leitete die Organisation sofort Gegenmaßnahmen ein und informierte CNIL sowie ANSSI. URSSAF warnt vor erhöhter Gefahr durch Betrugsversuche, die die gestohlenen Daten ausnutzen könnten. Keine Ransomware-Gruppe hat die Verantwortung übernommen, jedoch soll ANSSI den Vorfall entdeckt haben, nachdem Teile der Daten im Darknet auftauchten.

Cloudflare bestätigt, dass großer Ausfall durch internen Fehler verursacht wurde – kein Cyberangriff

Cloudflare hat bestätigt, dass die weitreichende Störung vom Dienstag nicht auf einen Cyberangriff zurückzuführen ist, obwohl erste Spekulationen nach einem ungewöhnlichen Traffic-Anstieg in diese Richtung deuteten. Der Ausfall betraf zahlreiche große Online-Dienste, darunter ChatGPT, X, Dropbox, Shopify und League of Legends, sowie öffentliche Einrichtungen wie New Jersey Transit und New York City Emergency Management.
Laut CTO Dane Knecht entstand der Ausfall durch einen latenten Fehler in einem Kerndienst, der Teil der Bot-Mitigations-Infrastruktur ist. Eine Routine-Konfigurationsänderung löste den Fehler aus, der sich anschließend zu einer breiten Netzwerkdegradation ausweitete. Cloudflare begann die Untersuchung um 11:48 UTC und implementierte kurz vor 14:42 UTC eine Lösung, obwohl einige Nutzer weiterhin sporadische Fehler meldeten.
Cloudflare wird einen vollständigen Incident-Report veröffentlichen. CEO Matthew Prince bezeichnete das Ereignis später als den schwersten Ausfall des Unternehmens seit 2019.

Microsoft stoppt rekordverdächtigen 15,7-Tbps-DDoS-Angriff, der dem Aisuru-Botnetz zugeordnet wird

Microsoft hat bekannt gegeben, dass es den größten jemals beobachteten DDoS-Angriff auf eine Cloud-Infrastruktur erfolgreich abgewehrt hat: einen 15,72-Tbps-Angriff auf Azure-Dienste Ende Oktober. Der multivektorielle Angriff erreichte zudem fast 3,64 Milliarden Pakete pro Sekunde und wurde dem Aisuru-Botnetz zugeordnet, einem schnell wachsenden Netzwerk kompromittierter Heimrouter und IoT-Geräte.
Mehr als 500.000 Quell-IP-Adressen aus verschiedenen Regionen wurden genutzt, um einen einzelnen Endpunkt in Australien zu überfluten. Microsoft und Netscout registrierten im gleichen Zeitraum einen starken Anstieg der Aisuru-Aktivität, darunter „Demonstrationsangriffe“ mit über 20 Tbps, die vor allem auf Gaming-Unternehmen zielten.
Microsoft warnt, dass steigende Glasfaser-Bandbreiten im privaten Bereich und leistungsfähigere IoT-Geräte zu immer größeren DDoS-Kampagnen führen. Die DDoS-Schutzinfrastruktur von Azure absorbierte und leitete den Angriff um, sodass die Dienste durchgehend verfügbar blieben.

Forscher warnen: Die Grenzen zwischen Cyberoperationen und kinetischen Angriffen verschwimmen

Amazon zufolge hat sich die Zahl der Cyberaktivitäten, die physische Militärschläge direkt unterstützen sollen, deutlich erhöht – ein Trend, den das Unternehmen als „cyber-enabled kinetic targeting“ bezeichnet. Iran-nahe Bedrohungsakteure nutzen digitale Aufklärung zunehmend, um reale Angriffe präziser zu steuern, wodurch die Grenzen zwischen Cyberkrieg und physischer Kriegsführung verschwimmen.
Ein besonders auffälliger Fall betrifft Imperial Kitten, eine Gruppe, die mit den Iranischen Revolutionsgarden (IRGC) in Verbindung gebracht wird. Zwischen 2021 und 2024 infiltrierte sie maritime Systeme wie AIS-Plattformen und bordeigene CCTV-Kameras, um gezielt Schiffsbewegungen auszuspähen. Nur wenige Tage nach gezielten AIS-Abfragen zu einem bestimmten Schiff erfolgte ein gescheiterter Raketenangriff durch Huthi-Milizen auf genau dieses Ziel.
Ein weiterer iranischer Akteur, MuddyWater, nutzte kompromittierte CCTV-Streams in Jerusalem zur Unterstützung von Raketenangriffen im Juni 2025. Amazon erklärt, dass solche Fälle zeigen, wie Cyber-Spionage inzwischen unmittelbar in militärische Entscheidungsprozesse einfließt, wobei Angreifer ihre Herkunft über anonymisierende VPN-Dienste verschleiern. Das Unternehmen warnt, dass diese Entwicklung einen grundlegenden Wandel in der modernen Kriegsführung darstellt.

Wenn Sie sich Sorgen um eine der in diesem Bulletin beschriebenen Bedrohungen machen oder Hilfe bei der Festlegung der Schritte benötigen, die Sie unternehmen sollten, um sich vor den wichtigsten Bedrohungen für Ihre Organisation zu schützen, wenden Sie sich bitte an Ihren Account Manager oder alternativ an uns, um herauszufinden, wie Sie Ihre Organisation schützen können.

Der Threat Intel Roundup wurde von Integrity360 erstellt und fasst Bedrohungsnachrichten zusammen, wie wir sie beobachten, aktuell zum Zeitpunkt der Veröffentlichung. Er sollte nicht als Rechts-, Beratungs- oder sonstige professionelle Beratung betrachtet werden. Alle Empfehlungen sollten im Kontext Ihrer eigenen Organisation betrachtet werden. Integrity360 nimmt in den von uns geteilten Informationen keine politische Haltung ein. Darüber hinaus spiegeln die geäußerten Meinungen nicht unbedingt die Ansichten von Integrity360 wider.