WordPress-Plugin-Sicherheitslücke legt sensible Daten offen

Eine schwerwiegende Sicherheitslücke wurde im beliebten WordPress-Plugin Anti-Malware Security and Brute-Force Firewall entdeckt, das auf über 100.000 Websites installiert ist. Die Schwachstelle, bekannt als CVE-2025-11705, ermöglicht es authentifizierten Benutzern mit Abonnentenrechten, beliebige Dateien auf dem Server zu lesen – darunter auch sensible Dateien wie wp-config.php, die Datenbankzugangsdaten, Passwort-Hashes und Authentifizierungsschlüssel enthalten können.

Das Problem betrifft Versionen 4.23.81 und älter und wurde von Forschern an Wordfence gemeldet. Es beruht auf fehlenden Berechtigungsprüfungen in der AJAX-Scan-Funktion des Plugins. Die gepatchte Version 4.23.83 wurde am 15. Oktober veröffentlicht und behebt das Problem durch korrekte Benutzerverifizierung.

Obwohl Wordfence keine aktive Ausnutzung beobachtet hat, sind alle Websites mit Benutzerregistrierung potenziell gefährdet. Administratoren wird dringend empfohlen, sofort zu aktualisieren.

Hacktivisten dringen in kritische Infrastruktursysteme in Kanada ein

Das Canadian Centre for Cyber Security hat eine Warnung herausgegeben, nachdem Hacktivisten mehrere kritische Infrastruktursysteme kompromittiert und industrielle Steuerungen manipuliert haben – in Vorfällen, die gefährliche Bedingungen hätten verursachen können. Die Warnung betrifft drei aktuelle Fälle: eine Wasseraufbereitungsanlage, ein Öl- und Gasunternehmen sowie einen landwirtschaftlichen Betrieb. Die Angreifer veränderten Druck-, Temperatur- und Überwachungswerte, was zu Fehlalarmen und Betriebsstörungen führte.

Die Behörden gehen davon aus, dass die Angriffe opportunistisch und nicht hochentwickelt waren – mit dem Ziel, Angst zu verbreiten, mediale Aufmerksamkeit zu erlangen und das öffentliche Vertrauen zu untergraben. Ähnliche Vorfälle wurden weltweit beobachtet, darunter russisch verbundene Hackerangriffe auf industrielle Kontrollsysteme in den USA.

Das Cyber Centre empfiehlt, direkten Internetzugang zu entfernen, Multi-Faktor-Authentifizierung zu verwenden, Penetrationstests durchzuführen und Firmware aktuell zu halten.

Microsoft behebt weltweiten DNS-Ausfall nach ähnlicher AWS-Störung

Microsoft hat einen großen DNS-Ausfall behoben, der vorübergehend Azure, Microsoft 365 und verwandte Dienste weltweit beeinträchtigte. Der Ausfall begann gegen 16:00 UTC und führte zu weitreichenden Anmeldeproblemen und Verbindungsfehlern, wodurch Benutzer keinen Zugriff auf Firmennetzwerke, das Azure-Portal, Intune und das Exchange Admin Center hatten.

Zehntausende Organisationen waren betroffen, darunter Gesundheitsdienstleister und das niederländische Bahnsystem, das Ausfälle bei Online-Tickets und Reisesystemen verzeichnete. Microsoft bestätigte Probleme mit dem Azure Front Door CDN und empfahl die Nutzung von PowerShell und CLI bis zur vollständigen Wiederherstellung.

Der Vorfall ereignete sich kurz nach einem ähnlichen DNS-Ausfall bei AWS (Amazon Web Services), der Millionen von Online-Plattformen störte. Microsoft hat die Funktionalität durch Umleitung des Datenverkehrs wiederhergestellt und untersucht weiterhin die Ursache, um die Dienstresilienz zu verbessern.

Atroposia: Malware-as-a-Service sorgt für Alarm

Sicherheitsforscher von Varonis haben eine neue Malware-as-a-Service (MaaS)-Plattform namens Atroposia entdeckt, die Cyberkriminellen einen leistungsstarken Remote-Access-Trojaner (RAT) für nur $200 pro Monat bietet. Dieses modulare Toolkit ermöglicht dauerhaften, verdeckten Zugriff auf infizierte Systeme und bietet fortschrittliche Funktionen wie versteckte Remote-Desktop-Sitzungen, Dateisystemkontrolle, Diebstahl von Zwischenablageinhalten und Zugangsdaten sowie DNS-Hijacking.

Atroposia kommuniziert verschlüsselt und kann die Benutzerkontensteuerung (UAC) von Windows umgehen, was sie besonders gefährlich macht. Der integrierte Schwachstellenscanner kann ausnutzbare Sicherheitslücken in Unternehmensumgebungen erkennen, z. B. veraltete VPN-Clients oder ungepatchte Software.

Varonis warnt, dass Atroposia sich in eine wachsende Liste von Plug-and-Play-Cybercrime-Tools wie SpamGPT und MatrixPDF einreiht, die die technische Einstiegshürde für weniger erfahrene Angreifer senken.

Herodotus und GhostGrab zielen weltweit auf Android-Nutzer

Zwei neue Android-Bedrohungen, Herodotus und GhostGrab, sind Teil des wachsenden Malware-as-a-Service (MaaS)-Ökosystems.

Herodotus, entdeckt von ThreatFabric, ist ein Banktrojaner, der auf Italien und Brasilien abzielt. Er simuliert menschliches Verhalten, um biometrische Betrugserkennung zu umgehen, und nutzt Android-Zugänglichkeitsdienste, um Geräte zu übernehmen, Zugangsdaten zu stehlen und 2FA-Codes abzufangen. Besonders auffällig ist die Funktion zur zufälligen Verzögerung bei Texteingaben, um maschinelles Verhalten zu verschleiern.

GhostGrab, identifiziert von CYFIRMA, ist eine hybride Bedrohung, die Nutzer in Indien ins Visier nimmt. Sie kombiniert den Diebstahl von Bankdaten mit verdecktem Monero-Mining, was den Angreifern doppelte Einnahmequellen verschafft. Die Malware wird über gefälschte Finanz-Apps verbreitet und fordert riskante Berechtigungen an, um sensible Daten wie Bank-PINs und staatliche Ausweise zu stehlen.

Beide Bedrohungen zeigen die zunehmende Raffinesse von Android-Malware.

Sicherheitstipp: Keine Apps außerhalb offizieller Stores installieren, Berechtigungen sorgfältig prüfen und nur vertrauenswürdige Quellen wie Google Play verwenden.

Wenn Sie sich Sorgen um eine der in diesem Bulletin beschriebenen Bedrohungen machen oder Hilfe bei der Festlegung der Schritte benötigen, die Sie unternehmen sollten, um sich vor den wichtigsten Bedrohungen für Ihre Organisation zu schützen, wenden Sie sich bitte an Ihren Account Manager oder alternativ an uns, um herauszufinden, wie Sie Ihre Organisation schützen können.

Der Threat Intel Roundup wurde von Integrity360 erstellt und fasst Bedrohungsnachrichten zusammen, wie wir sie beobachten, aktuell zum Zeitpunkt der Veröffentlichung. Er sollte nicht als Rechts-, Beratungs- oder sonstige professionelle Beratung betrachtet werden. Alle Empfehlungen sollten im Kontext Ihrer eigenen Organisation betrachtet werden. Integrity360 nimmt in den von uns geteilten Informationen keine politische Haltung ein. Darüber hinaus spiegeln die geäußerten Meinungen nicht unbedingt die Ansichten von Integrity360 wider.