Sicherheits - NEWS ( Computer, Hardware, Software und Co. )

Kritische Sicherheitslücke: Angreifer können DSL-Router von Asus übernehmen

Ein wichtiges Sicherheitsupdate schließt eine gefährliche Softwareschwachstelle in einigen DSL-Routern von Asus.

Nutzen Angreifer eine "kritische" Sicherheitslücke in bestimmten DSL-Router-Modellen von Asus aus, können sie mit vergleichsweise wenig Aufwand die volle Kontrolle über Geräte erlangen. Ein Update schließt die Schwachstelle.

Einer Warnmeldung des Herstellers zufolge sind konkret die DSL-Router DSL-AC51, DSL-AC750 und DSL-N16 bedroht.
Der Beschreibung der Schwachstelle (CVE-2025-59367) zufolge können entfernte Angreifer ohne Authentifizierung an der Lücke ansetzen.


Dabei ist die Anmeldung auf einem nicht näher beschriebenen Weg umgehbar.
Wie Attacken im Detail ablaufen könnten und ob es bereits Angriffe gibt, ist bislang nicht bekannt.
Um Router zu schützen, müssen die Besitzer von betroffenen Modellen die Firmware 1.1.2.3_1010 installieren.

Ob davon auch Router betroffen sind, für die der Support (End-of-Life, EOL) bereits ausgelaufen ist, geht aus der Warnmeldung nicht hervor.
Asus führt darin jedenfalls Sicherheitstipps für EOL-Modelle auf.
So sollten diese unter anderem nicht für einen Fernzugriff über etwa VPN eingerichtet und somit aus dem Internet erreichbar sein.
Das sind natürlich nur temporäre Lösungen.
Auf lange Sicht muss ein neues Gerät her, das noch im Support ist und Sicherheitsupdates bekommt.
Überdies gibt der Hersteller noch Standard-Sicherheitstipps zu starken Passwörtern und dem regelmäßigen Überprüfen auf Sicherheitsupdates.

Zuletzt gab es im Juni dieses Jahres Attacken auf Asus-Router.

Angreifer steigen über Zero-Day-Lücke bei Logitech ein

Beim Hersteller für Computerperipherie Logitech gab es einen IT-Sicherheitsvorfall.
Dabei konnten Angreifer auf interne Daten zugreifen.

Angreifer hatten Zugriff auf Computersysteme von Logitech International.
Dabei haben sie den Angaben des Computerzubehörherstellers zufolge Daten von Kunden und Mitarbeitern kopiert.

Schwachstelle mittlerweile geschlossen
Das geht aus einer aktuellen Pressemitteilung hervor.
Derzeit geht der Hersteller davon aus, dass die Angreifer durch das erfolgreiche Ausnutzen einer Zero-Day-Sicherheitslücke in einer Drittanbieter-Softwareplattform in interne IT-Systeme eingebrochen sind und Daten kopieren konnten.

Eine Zero-Day-Lücke bezeichnet eine Schwachstelle, für die es zum Zeitpunkt von Attacken noch keinen Sicherheitspatch gibt.
Logitech versichert, dass sie die Lücke mittlerweile über ein Update geschlossen haben.

Datenbeute
Die Verantwortlichen geben an, dass die Angreifer "wahrscheinlich" Zugriff auf "begrenzte" Informationen von Kunden und Mitarbeitern hatten.
Über den konkreten Umfang und die kopierten Inhalte gibt es derzeit keine weiteren Details. Logitech schließt zum jetzigen Zeitpunkt aber aus, dass sich darunter persönliche Informationen wie Ausweisnummern und Kreditkartendaten befinden.

Der IT-Sicherheitsvorfall habe keine Auswirkungen auf die Produkte, den Geschäftsbetrieb oder die Fertigung des Herstellers.
Der Vorfall werde mithilfe einer externen Sicherheitsfirma weiter untersucht.
Logitech geht davon aus, dass eine Cyberversicherung für die entstandenen Kosten durch den Schaden und die forensischen Untersuchungen aufkommen wird.

Die Täter
Weil die Cyberkriminellen von Clop jüngst Logitech in ihre Opferliste aufgenommen haben, liegt es nahe, dass sie hinter der Attacke stecken.
Es ist davon auszugehen, dass sie den Hersteller nun erpressen und die erbeuteten Daten als Druckmittel für eine Lösegeldzahlung benutzen.

Die Clop-Bande gibt an, über eine "kritische" Lücke (CVE-2025-61882) in Oracle E-Business Suite in IT-Systeme von verschiedenen Herstellern eingestiegen zu sein.
Die Lücke wurde im Oktober dieses Jahres geschlossen.

Telekom: Diese Betrugsmail sieht täuschend echt aus

Viele Telekom-Kunden bekommen ihre monatliche Rechnung als E-Mail.
Umso perfider ist die aktuelle Betrugsnachricht, die angeblich im Namen des Unternehmens herumgeht.
Denn die E-Mail sieht täuschend echt aus und ist auf den ersten Blick nicht vom Original zu unterscheiden.

Laut Phishing-Zentrale wird die Nachricht mit dem Betreff "Ihre Telekom Abrechnung steht bereit" verschickt.
Vom Aufbau und Design imitiert sie das Aussehen einer echten Telekom-Rechnung fast perfekt.
Allerdings gibt es einige Auffälligkeiten, die bei näherem Betrachten ins Auge fallen.

So fehlt bei der gefälschten E-Mail etwa die persönliche Anrede des Rechnungsempfängers, stattdessen steht dort nur "Hallo".
Auch im ersten Absatz der Nachricht fallen Ungereimtheiten auf.
Die Telekom etwa gibt nie die komplette Nummer des Buchungskontos an, sondern nur einen gekürzten Ausschnitt.
In der Phishing-Mail ist das anders, dort wird eine vollständige Nummer angegeben.

Gefahr beim Rechnungs-Link
Der wirklich relevante Teil - der Rechnungsbetrag inklusive Link zu den Rechnungen - sieht fast identisch aus.
Leicht unterschiedlich sind hier wieder die Formulierungen.
Hier lauert auch die größte Gefahr für Telekom-Kunden, die ihre vermeintliche Rechnung ansehen wollen und auf den Link in der gefälschten Mail klicken.



Doch der enthaltene Link führt nicht zur echten Webseite des Unternehmens, sondern zu einer nachgebauten Seite, über die persönliche Daten abgegriffen werden sollen.

Wer eine solche Nachricht erhält, sollte also keinesfalls auf den Link klicken oder Anhänge öffnen.
Stattdessen wird empfohlen, die E-Mail unbeantwortet in den Spam-Ordner zu verschieben und zu löschen.
Besteht Unsicherheit über die Echtheit einer Mitteilung, kann direkt über die offizielle Telekom-Webseite oder über die App geprüft werden, ob tatsächlich eine neue Rechnung vorliegt.
Auf diese Weise lässt sich verhindern, dass sensible Informationen in die Hände von Betrügern gelangen.

7-Zip: Angreifer schleusen Schadcode ein

Angreifer missbrauchen eine Sicherheitslücke in 7-Zip, die ihnen das Einschleusen und Ausführen von Schadcode ermöglicht.

Im populären Packprogramm 7-Zip attackieren Angreifer eine Sicherheitslücke, die das Einschleusen von Schadcode und Ausführung mit erhöhten Rechten ermöglicht. Aktualisierungen zum Schließen des Sicherheitslecks stehen bereits länger bereit.

Vor beobachteten Angriffen auf die Sicherheitslücke CVE-2025-11001 warnt nun der nationale Gesundheitsdienst von England (National Health Service, NHS).
"Aktive Angriffe auf CVE-2025-11001 wurden in freier Wildbahn beobachtet.
Ein Sicherheitsforscher hat zudem einen Proof-of-Concept-Exploit (PoC) für CVE-2025-11001 veröffentlicht.
Der PoC erlaubt Angreifern, das Handling von symbolischen Links zu missbrauchen, um Dateien außerhalb des vorgesehenen Ordners zum Entpacken zu schreiben, was in einigen Szenarien das Ausführen beliebigen Codes ermöglicht."
Weitergehende Informationen zu den Attacken nennt der NHS jedoch nicht.

Ausführlichere Schwachstellenbeschreibung
Die ursprüngliche Erläuterung der Sicherheitslücke durch Trend Micros Zero Day Initiative (ZDI) war äußerst knapp.
Der später veröffentlichte CVE-Eintrag liefert hingegen mehr Informationen, auch beim ZDI sind die nun zu finden.
Demnach kann 7-Zip beim Verarbeiten von Archiven patzen, sodass Angreifer eine "Path Traversal" missbrauchen können – also das Durchwandern von Verzeichnissen mit Anweisungen wie "../" zum Zugriff auf übergeordnete Verzeichnisse.
Der Umgang mit symbolischen Links in 7-Zip vor 25.00 war fehlerhaft.
Dadurch konnten manipulierte Archive Code einschleusen, indem sie etwa Dienst-Dateien überschreiben und dann mit deren Rechten ausführen.
Nutzerinteraktion ist erforderlich, so ein Archiv muss entpackt werden (CVE-2025-11001, CVSS 7.0, Risiko "hoch").

Es handelt sich um eine Sicherheitslücke, die der Entwickler bereits im Juli mit Version 25.00 von 7-Zip angegangen ist.
Da 7-Zip jedoch keinen integrierten Update-Mechanismus besitzt, müssen Nutzerinnen und Nutzer selbst aktiv werden und die Software auf den aktuellen Stand bringen.
Sie sollten unbedingt die aktuelle Version von der Download-Seite von 7-Zip herunterladen und damit die bisher installierte Version ersetzen.

Banking-Trojaner Sturnus liest verschlüsselte Chats von Whatsapp, Signal und Telegram

Eine neue Schadsoftware für Android liest sogar die verschlüsselten Inhalte aus Whatsapp, Signal und Telegram mit und übernimmt die Kontrolle über das Handy.

Sturnus (Englisch für “Star”) heißt eine neue Schadsoftware für Android.
Laut den Sicherheitsexperten von Threatfabric handelt es sich bei Sturnus um einen Banking-Trojaner, der Informationen sogar aus Ende-zu-Ende-verschlüsselten Chatnachrichten aus Whatsapp, Signal oder Telegram stehlen kann.

Das macht Sturnus aber nicht etwa, indem er die Verschlüsselung der jeweiligen Messenger knackt - das kann er dann doch nicht.
Sondern Sturnus liest die Nachrichten von den Bildschirmen der Android-Geräte ab.
Hierzu läuft Sturnus getarnt im Hintergrund.
Wird eine Nachricht also im Messenger entschlüsselt und auf dem Bildschirm angezeigt, schlägt Sturnus zu und liest den Text einfach ab.
Sturnus kann also nicht die Verschlüsselung knacken, kommt aber eben doch an die Inhalte der Nachrichten.

Der Trojaner kann zudem Bankdaten über realistisch wirkende, gefälschte Anmeldeseiten sammeln, die legitime Banking-Apps nachahmen.
Neben dem Auslesen der Nachrichten kann Sturnus auch Eingaben aufzeichnen und Bildschirminhalte verändern.
Die Schadsoftware soll über infizierte Geräte fast vollständig die Kontrolle übernehmen können.
So kann Sturnus Passwortänderungen überwachen und das Gerät sogar sperren.

Sturnus kann zudem den Bildschirm des Geräts ausschalten, während er im Hintergrund betrügerische Transaktionen ausführt und beispielsweise selbst Nachrichten öffnet und diese dann mitliest.
Der Besitzer des Androiden merkt von alledem nichts.

Die Forscher beschreiben das Vorgehen von Sturnus folgendermaßen:

Bitte, Anmelden oder Registrieren um den Inhalt zu sehen!

Zum Vergrößern anklicken....

Sturnus scheint sich derzeit noch in einer Art Testphase zu befinden und nur bestimmte Nutzer im Visier zu haben, und zwar solche von Finanzinstituten in Süd- und Mitteleuropa.
Sturnus verbreitet sich in APK-Dateien, die als seriöse Apps wie Google Chrome getarnt sind. Wie diese APK-Dateien auf die Geräte der Android-Nutzer kommen, ist derzeit noch unbekannt - vielleicht über betrügerische Werbung oder Direktnachrichten.
Sobald sich Sturnus auf dem betroffenen Android-Gerät installiert hat, öffnet er sowohl verschlüsselte als auch in Klartext Verbindungen zu seinem Kontrollserver.