Sicherheitsprobleme: AI-Browser; Oracle 0-day; GoAnywhere; Ivanti; 7-Zip etc.

Warnung vor der Verwendung von AI-Browsern, die konzeptionelle Sicherheitsprobleme für Anwender mit sich bringen. Nutzer der Oracle Oracle E-Business Suite (EBS) werden seit Juli 2025 über eine erst am 4. Oktober 2025 gepatchte 0-day-Schwachstelle CVE-2025-61882 erfolgreich angegriffen. Eine GoAnywhere-Schwachstelle wird von der Medusa Ransomware ausgenutzt. Diese und weitere Sicherheitsprobleme in einem Sammelbeitrag zusammengefasst.

AI-Browser (Perplexity) Schwachstellen

Die gerade als "Welle" über die Anwender drüber schwappenden AI-Browser wie Perplexity Comet kommen mit inhärenten Sicherheitsmängeln daher. Darauf weist nachfolgender Tweet und der Artikel Researchers Warn of Security Gaps in AI Browsershin.

Der Hintergrund sind nicht einzelne Schwachstellen im Code, sondern konzeptioneller Natur. Die Browser haben ja Zugriff auf alles, was der Nutzer im Web macht, und werten das alles aus. Dabei werden Daten in Mengen abgezogen und keiner weiß, was damit passiert. Der Sicherheitsanbieter SquareX hat diesbezüglich vier zentrale Punkte aufgeführt:

• Bösartige Workflows: KI-Agenten können durch Phishing- oder OAuth-basierte Angriffe getäuscht werden, die übermäßige Zugriffsberechtigungen anfordern und so möglicherweise E-Mail- oder Cloud-Speicherdaten offenlegen.
• Prompt-Injection: Angreifer können versteckte Anweisungen in vertrauenswürdige Apps wie SharePoint oder OneDrive einbetten und KI-Agenten dazu veranlassen, Daten weiterzugeben oder schädliche Links einzufügen.
• Bösartige Downloads: KI-Browser können durch manipulierte Suchergebnisse dazu gebracht werden, getarnte Malware herunterzuladen.
• Missbrauch vertrauenswürdiger Apps: Selbst legitime Business-Tools können dazu verwendet werden, um durch KI-gesteuerte Interaktionen unbefugte Befehle auszuführen.

Schaut man sich die obigen Punkte an, kann eigentlich niemand, der ernsthaft um Sicherheit bemüht ist, die AI-Browser einsetzen. Das ist ein klassisches No-Go.

Indirekte Promp-Injections bei AI-Modellen

Unit 42 von Palo Alto Networks präsentiert in diesem Artikel einen Proof of Concept zur indirekten Prompt-Injektion in KI-Agenten.

Mit dieser Methode können bösartige Anweisungen im Speicher eines Agenten gespeichert werden, wodurch zukünftige Interaktionen beeinflusst werden.

Oracle 0-day (CVE-2025-61882) seit Juli ausgenutzt

Es ist ein Desaster, in der Oracle Oracle E-Business Suite (EBS) gab es eine 0-day-Schwachstelle CVE-2025-61882, die erst zum 4. Oktober 2025 gepatcht wurde. Die leicht ausnutzbare Sicherheitslücke ermöglicht es einem nicht authentifizierten Angreifer mit Netzwerkzugriff über HTTP, Oracle Concurrent Processing zu kompromittieren. Erfolgreiche Angriffe auf diese Sicherheitslücke können zur Übernahme von Oracle Concurrent Processing führen. Die Schwachstelle hat einen CVSS 3.1 Base Score 9,8 erhalten. Betroffen sind die unterstützten Versionen 12.2.3 bis 12.2.14.

Laut obigem Tweet bestätigt Google, dass Dutzende von Organisationen über Oracle E-Business Suite Zero-Day-Schwachstelle (CVE-2025-61882) von der Clop-Ransomware-Gruppe angegriffen wurden. Die Angreifer nutzten die Schwachstelle seit Juli 2025 aus und setzten dabei mehrstufige Java-Implantate und Erpressungstaktiken ein. The Hacker News hat den Sachverhalt im Beitrag CL0P-Linked Hackers Breach Dozens of Organizations Through Oracle Software Flaw aufbereitet.

Zudem hat Oracle zum Wochenende eine Sicherheitslücke in der Oracle E-Business Suite (CVE-2025-61884) behoben. Diese wurde aktiv ausgenutzt, um in Server einzudringen. Ein Proof-of-Concept-Exploit wurde von der Erpressergruppe ShinyHunters öffentlich bekannt gegeben. Bleeping Computer hat hier einige Informationen dazu zusammen getragen.

Medusa Ransomware missbraucht GoAnywhere

Im September 2025 hatte ich im Beitrag Fortra GoAnywhere MFT: Kritische Schwachstelle CVE-2025-10035 über ein Sicherheitsproblem mit der genannten Software berichtet.

Nun berichten Sicherheitsexperten von Microsoft in obigem Tweet und im Artikel Investigating active exploitation of CVE-2025-10035 GoAnywhere Managed File Transfer vulnerability, dass Akteure (Affiliates) im Umfeld der Medusa Ransomware-Gruppe die Schwachstelle ausnutzen. The Register hat es hier aufgegriffen.

Ivanti patzt bei 13 gemeldeten 0-day-Schwachstellen

Erinnert sich noch jemand an meinen Artikel IT-Dienstleister NTT streicht alle Ivanti Produkte aus seinem Portfolio, der Lesern in der Darstellung "etwas zu reißerisch daherkam". Ich kann noch reißerischer, lasse jetzt aber ZDI den Vortritt. Die Zero Day Initiative hat Ivanti 13 0-Day-Schwachstellen gemeldet und 90 Tage Zeit gegeben, diese zu beheben.

Gemäß obigem Tweet hat die ZDI nun 13 0-day-Schwachstellen veröffentlicht, während Ivanti nicht in der Lage war, diese Schwachstellen zu patchen. Die Details lassen sich im Beitrag ZDI Drops 13 Unpatched Ivanti Zero-Days Enabling Remote Code Execution nachlesen.

7-Zip-Schwachstellen CVE-2025-11002 und CVE-2025-11001

Im Pack-Tool 7-Zip gibt es die Schwachstellen CVE-2025-11002 und CVE-2025-11001, vor denen sogar das BSI warnt.

Laut obigem Tweet warnt die Zero-Day-Initiative hier und hier vor diesen Schwachstellen, die in 7-Zip v25.00 beseitigt wurden. Steven Lim legt in diesem Tweet offen, wie Angriffe über CVE-2025-11002 entdeckt werden können.

DDoS Botnet Aisuru kapert IoT-Geräte

Brian Krebs warnt im Artikel DDoS Botnet Aisuru Blankets US ISPs in Record DDoS vor dem schnell wachsenden Bot-Netz, welches US-Internetdienstanbieter mit Rekord-DDoS-Angriffen überzieht. Seit seinem Debüt vor mehr als einem Jahr habe das Aisuru-Botnetz praktisch alle anderen IoT-basierten Botnetze stetig überholt. De jüngsten Angriffe haben dabei die Internetbandbreite von schätzungsweise 300.000 kompromittierten Hosts weltweit abgezogen.

Neueste Erkenntnisse deuten laut Krebs darauf hin, dass das weltweit größte und zerstörerischste Botnetz einen Großteil seiner Rechenpower aus kompromittierten IoT-Geräten (Internet of Things) bezieht, die bei US-Internetprovidern wie AT&T, Comcast und Verizon gehostet werden. Krebs zitiert Experten, die sagen, dass die hohe Konzentration infizierter Geräte bei US-Providern die Bemühungen erschwert, den Kollateralschaden durch die Angriffe des Botnetzes zu begrenzen. Kürzlich hat das Botnetz mit einer kurzen Traffic-Flut von fast 30 Billionen Datenbits pro Sekunde alle bisherigen Rekorde gebrochen.

Steven Ferguson ist leitender Sicherheitsingenieur bei Global Secure Layer (GSL), einem ISP in Brisbane, Australien, verfolgt das Botnetz seit 3 Monaten. Ferguson hat laut Krebs kürzlich festgestellt, dass sich die Zusammensetzung des Botnetzes stark in Richtung infizierter Systeme bei Internetdienstanbietern in den Vereinigten Staaten verschoben habe. Ferguson teilte Protokolle eines Angriffs vom 8. Oktober 2025 mit, in denen der Datenverkehr nach dem Gesamtvolumen indexiert war, das über jeden Netzwerkanbieter gesendet wurde. Die Protokolle zeigten, dass 11 der 20 größten Datenverkehrsquellen Internetdienstanbieter mit Sitz in den USA waren.

Satellitenkommunikation leakt Vertrauliches

Noch eine interessante Erkenntnis, die zeit, wie verletzlich wir geworden sind. Forscher  haben eine Satellitenschüssel drei Jahre lang auf den Himmel ausgerichtet und überwachten dann die unverschlüsselten Daten, die empfangen werden konnten.

Andy Greenberg schreibt auf Wired, dass die Ergebnisse schockierend waren. Die aufgezeichneten Daten enthielten Tausende von Telefonaten und Textnachrichten von T-Mobile-Nutzern, Geheimnisse des Militärs und der Strafverfolgungsbehörden, und vieles mehr.

Großbritannien und die Digital-ID

Großbritannien will, wie andere Länder in Europa eine digitale Identifikation (ID) einführen. Premierminister Keir Starmer behauptet immer wieder, dass Großbritannien ein digitales ID-System braucht und das Land sich "Estland zum Vorbild nehmen sollte".

In obigem Tweet weist eine Psychotherapeutin genüsslich darauf hin, dass Estland eine solche zentrale digitale ID habe. 2021 hat ein Hacker 286.000 Passfotos dieser ID aus einer Regierungsdatenbank herunter geladen.