Wir eröffnen diese Episode mit einer kritischen Schwachstelle in n8n, berichtet von Security Online. CVE-2025-68668, mit einem CVSS-Score von 9.9, ermöglicht es einem authentifizierten Benutzer, aus der Python-Sandbox der Automatisierungsplattform auszubrechen, um beliebige Systembefehle auszuführen, wodurch der Code Node zu einem Vektor für die vollständige Kompromittierung des Hostsystems wird.

CVEfeed.io meldet eine unkontrollierte DLL-Loading-Schwachstelle in AsusSoftwareManagerAgent. CVE-2025-12793, bewertet mit 8.5 in CVSS 4.0, nutzt einen nicht vertrauenswürdigen Suchpfad aus, der es einem lokalen Angreifer ermöglicht, beliebigen Code durch Manipulation von DLL-Namespaces auszuführen.

Clubic berichtet über das Verschwinden der Hauptdomain von Anna's Archive. Das Registry hat annas-archive.org zwei Wochen nach dem Hochladen von 300 Terabyte Spotify-Daten unter serverHold-Status gesetzt, was auf rechtliche Schritte des Public Interest Registry nach der Klage von OCLC wegen der Extraktion von 2,2 Terabyte WorldCat-Daten hindeutet.

Phoronix meldet eine kritische Situation für das Debian-Projekt: Die drei delegierten Mitglieder des Data Protection Teams sind gleichzeitig zurückgetreten und lassen das Projekt ohne aktives Team zur Verwaltung der DSGVO-Verpflichtungen zurück. Projektleiter Andreas Tille übernimmt diese Rolle nun ad-hoc, während neue Freiwillige gesucht werden.

Schließlich hat CERT-FR den Hinweis CERTFR-2026-AVI-0004 bezüglich CVE-2025-13699 herausgegeben, der mehrere MariaDB-Zweige betrifft. Der Hersteller hat die genaue Art des Sicherheitsproblems nicht spezifiziert, empfiehlt aber ein Update auf die Versionen 10.11.15, 10.6.24, 11.4.9 oder 11.8.4.

Quellen:

• Security Online – n8n CVE-2025-68668: https://securityonline.info/n8n-sandbox-escape-how-cve-2025-68668-turns-workflows-into-weapons/
• CVEfeed.io – CVE-2025-12793 ASUS: https://cvefeed.io/vuln/detail/CVE-2025-12793
• Clubic – Anna's Archive Domain: https://www.clubic.com/actualite-593797-le-site-qui-avait-pirate-spotify-perd-son-nom-de-domaine.html
• Phoronix – Debian Data Protection Team: https://www.phoronix.com/news/No-Debian-Data-Protection-Team
• CERT-FR – MariaDB-Schwachstelle: https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0004/

Nicht nachdenken, patchen!

Ihr Feedback ist willkommen.
E-Mail: radiocsirt@gmail.com
Website: https://www.radiocsirt.com/de
Wöchentlicher Newsletter: https://radiocsirtgermanedition.substack.com/

Willkommen zu Ihrem täglichen Cybersicherheits-Podcast.

Wir eröffnen diese Ausgabe mit einer Analyse, die von FIRST Punkt org am 29. Dezember 2025 veröffentlicht wurde und die jährliche Überprüfung der Schwachstellenprognosen für das Jahr 2025 präsentiert. Der von Éireann Leverett verfasste Artikel bestätigt die Validierung der Vuln4Cast-Projektprognosen mit 49.183 am 29. Dezember veröffentlichten CVEs, die innerhalb des im Februar 2025 festgelegten Konfidenzintervalls von 41.142 bis 49.868 CVEs liegen. Der MAPE von 1 Komma 39 Prozent gegenüber der oberen Grenze zeigt eine hervorragende Genauigkeit der Prognosemodelle.

Die vierteljährlichen Prognosen für Q4 2025 werden ebenfalls validiert mit 12.359 veröffentlichten CVEs, innerhalb des Konfidenzintervalls von 11.815 bis 14.129 CVEs. Diese Genauigkeit unter 5 Prozent zeigt, dass vierteljährliche Prognosen ausreichend zuverlässig für die operative Planung durch Patch-Management-Teams, SOCs und CERTs sind.

Der Artikel hebt die Expansion des Schwachstellenprognose-Ökosystems hervor mit CVEForecast Punkt org, entwickelt von Jerry Gamblin bei Cisco unter Verwendung von XGBoost, und der Vulnerability-Lookup-Plattform von CIRCL Luxemburg, die Sichtungs-Tracking und umfassende Statistiken hinzufügt. Zukünftige Entwicklungen werden sich auf die Prognose von Anbieterverteilungen, CVSS-Vektoren, CWEs und Schwachstellenausnutzbarkeit konzentrieren. Verbesserungen sind in sechs Bereichen im Gange: CWE-Ursachenanalyse, Exploit-Vorhersage, Exploitation-Vorhersage, CNA-Prognose, CVSS-Vektor-Prognose und CVSS-Score-Vorhersage.

FIRST kündigt die VulnOptiCon 2026-Konferenz in Luxemburg an, gehostet von CIRCL, um der Community zu ermöglichen, Methoden auszutauschen und gemeinsam die Expositionswissenschaft und prädiktive Sicherheit voranzubringen.

Quelle
FIRST – Jährliche Überprüfung der Schwachstellenprognosen 2025: https://www.first.org/blog/20251229-Vulnerability-Forecast-Review

Nicht nachdenken, patchen!

Ihr Feedback ist willkommen.
E-Mail: radiocsirt@gmail.com
Website: https://www.radiocsirt.com/de
Wöchentlicher Newsletter: https://radiocsirtgermanedition.substack.com/

Willkommen zu Ihrem täglichen Cybersicherheits-Podcast.

Wir beginnen diese Ausgabe mit mehreren Sicherheitshinweisen des CERT-FR zu kritischen Schwachstellen, die zentrale Komponenten des Linux-Ökosystems und von Unternehmensumgebungen betreffen. Die Hinweise betreffen insbesondere Ubuntu, Red Hat und IBM-Produkte, die Schwachstellen aufweisen, welche eine Rechteausweitung, die Ausführung von beliebigem Code oder die Verletzung der Vertraulichkeit ermöglichen können. Diese Schwachstellen betreffen weit verbreitete Komponenten in Server- und Cloud-Infrastrukturen und unterstreichen die Bedeutung eines konsequenten Patch-Managements in kritischen Umgebungen.

Anschließend analysieren wir eine Schwachstelle im Roundcube-Webmail, referenziert als CVE-2025-68461. Diese Schwachstelle ermöglicht es einem entfernten Angreifer, Eingabeverarbeitungsmechanismen auszunutzen, um Sitzungssicherheit zu kompromittieren oder Schadcode im Kontext des betroffenen Benutzers auszuführen. Aufgrund der weiten Verbreitung von Roundcube stellt diese Schwachstelle ein erhebliches Risiko für öffentlich erreichbare Organisationen dar.

Abschließend betrachten wir eine von Microsoft behobene Sicherheitslücke mit der Kennung CVE-2025-13699. Diese Schwachstelle betrifft eine Windows-Systemkomponente und kann zur Umgehung von Sicherheitsmechanismen oder zur Erlangung erhöhter Privilegien ausgenutzt werden. Microsoft hat entsprechende Updates bereitgestellt und empfiehlt deren zeitnahe Installation.

Quellen

• CERT-FR – Ubuntu-Schwachstellen: https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1139/
• CERT-FR – Red Hat-Schwachstellen: https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1141/
• CERT-FR – IBM-Produktschwachstellen: https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1137/
• Roundcube-Schwachstelle – CVE-2025-68461: https://cyberveille.esante.gouv.fr/alertes/roundcube-cve-2025-68461-2025-12-26
• Microsoft – CVE-2025-13699: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-13699

Nicht nachdenken, patchen!

Ihr Feedback ist willkommen.
E-Mail: radiocsirt@gmail.com
Website: https://www.radiocsirt.com/de
Wöchentlicher Newsletter: https://radiocsirtgermanedition.substack.com/

Willkommen zu Ihrem täglichen Cybersicherheits-Podcast.

Wir beginnen diese Ausgabe mit einem Fall, der Cyberkriminalität und Nachrichtendienste in Osteuropa verbindet. In Georgien wurde der ehemalige Leiter der Gegenspionage im Rahmen einer Untersuchung zu groß angelegten Betrugszentren festgenommen. Die Behörden gehen davon aus, dass er strukturierte Betrugsoperationen mit internationalen Opfern unterstützt oder geschützt hat und verdeutlichen damit erneut die enge Verbindung zwischen organisierter Kriminalität, Korruption und Cyberbetrug.

Anschließend analysieren wir eine Phishing-Kampagne, die sich über gefälschte E-Mails im Namen von Grubhub an Nutzer von Kryptowährungen richtet. Die Nachrichten versprechen eine Verzehnfachung der eingesendeten Kryptowährung. Die Gelder werden unmittelbar an von Angreifern kontrollierte Wallets weitergeleitet, ohne Möglichkeit der Rückholung, was eine klassische, aber weiterhin effektive Social-Engineering-Methode zeigt.

Zum Abschluss betrachten wir eine Operation der China-nahen Gruppe Evasive Panda, die Spionageaktivitäten über eine manipulierte DNS-Infrastruktur durchgeführt hat. Dabei kamen fortgeschrittene DNS- und Traffic-Redirection-Techniken zum Einsatz, um unauffällige Schadlasten auszuliefern und mehrere Erkennungsmechanismen zu umgehen. Die Kampagne verdeutlicht die kontinuierliche Weiterentwicklung von APT-Taktiken im staatlichen Cyberespionageumfeld.

Quellen

• Festnahme in Georgien – Betrugszentren:https://therecord.media/republic-of-georgia-former-spy-chief-arrested-scam-centers
• Krypto-Phishing – gefälschte Grubhub-E-Mails:https://www.bleepingcomputer.com/news/security/fake-grubhub-emails-promise-tenfold-return-on-sent-cryptocurrency/
• APT Evasive Panda – missbrauchte DNS-Infrastruktur:https://thehackernews.com/2025/12/china-linked-evasive-panda-ran-dns.html

Nicht nachdenken, patchen!

Ihr Feedback ist willkommen.
E-Mail: radiocsirt@gmail.com
Website: https://www.radiocsirt.com/de
Wöchentlicher Newsletter: https://radiocsirtgermanedition.substack.com/

Willkommen zu Ihrem täglichen Cybersecurity-Podcast.

Wir beginnen diese Ausgabe mit einer geopolitischen Analyse, die eine neue Phase der transatlantischen Spannungen im Bereich der digitalen Regulierung markiert. Die Vereinigten Staaten haben Visabeschränkungen gegen mehrere europäische Akteure der Tech-Regulierung verhängt, darunter Thierry Breton, ehemaliger EU-Kommissar. Die US-Regierung begründet dies mit Vorwürfen extraterritorialer Zensur im Zusammenhang mit der Durchsetzung des Digital Services Act. Die Europäische Union verurteilte die Maßnahme und forderte formelle Erklärungen unter Verweis auf ihre regulatorische Souveränität.

Anschließend analysieren wir CVE-2018-25154, eine kritische Buffer-Overflow-Schwachstelle in GNU Barcode Version 0.99. Die Schwachstelle im Code-93-Encoding ermöglicht beliebige Codeausführung über präparierte Eingabedateien. Der CVSS-Score 3.1 liegt kritisch bei 9.8, mit hohem Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit.

Wir betrachten außerdem CVE-2023-36525, eine nicht authentifizierte Blind SQL Injection im WordPress-Plugin WPJobBoard bis Version 5.9.0. Die Schwachstelle ist remote ausnutzbar, ohne Benutzerinteraktion oder Berechtigungen.

Im Bereich Cyberkriminalität wurde die Infrastruktur web3adspanels.org durch das FBI beschlagnahmt, die als Backend zur Speicherung kompromittierter Bankzugangsdaten aus Phishing-Kampagnen diente und für Account-Takeover-Angriffe genutzt wurde.

Danach befassen wir uns mit Urban VPN Proxy, einer kostenlosen VPN-Browsererweiterung, deren neuere Versionen KI-Plattform-Konversationen abfangen und exfiltrieren, einschließlich Prompts, Antworten und Metadaten.

Zum Abschluss behandeln wir die aktive Ausnutzung von CVE-2020-12812 auf FortiGate-Firewalls, eine weiterhin missbrauchte Schwachstelle zum Umgehen der Zwei-Faktor-Authentifizierung über LDAP-Mechanismen.

Quellen
Tech-Regulierung und Spannungen USA–EU: https://www.01net.com/actualites/pourquoi-les-etats-unis-sattaquent-a-thierry-breton-et-aux-autres-regulateurs-de-la-tech.html

CVE-2018-25154 – GNU Barcode Buffer Overflow: https://cvefeed.io/vuln/detail/CVE-2018-25154

CVE-2023-36525 – WPJobBoard Blind SQL-Injection: https://cvefeed.io/vuln/detail/CVE-2023-36525

FBI-Beschlagnahmung – web3adspanels.org: https://securityaffairs.com/186094/cyber-crime/fbi-seized-web3adspanels-org-hosting-stolen-logins.html

Datenernte bei Urban VPN Proxy: https://boingboing.net/2025/12/19/this-free-vpn-is-a-massive-security-risk.html

Ausnutzung der FortiGate 2FA-Umgehung: https://cyberpress.org/hackers-abuse-3-year-old-fortigate-flaw/

Nicht nachdenken, patchen!

Ihr Feedback ist willkommen.
E-Mail: radiocsirt@gmail.com
Website: https://www.radiocsirt.com/de
Wöchentlicher Newsletter: https://radiocsirtgermanedition.substack.com/

Willkommen zu Ihrem täglichen Cybersicherheits-Podcast.

Eine neue Initiative bringt freiwillige Cybersicherheitsexperten mit Wasserversorgern zusammen, um kritische Infrastrukturen besser gegen wachsende Bedrohungen zu schützen. Fachleute aus der DEF-CON-Franklin-Community unterstützen Versorgungsbetriebe durch Sicherheitsbewertungen, OT-Analyse und die Umsetzung angepasster Schutzmaßnahmen.

MongoDB warnt Administratoren eindringlich vor einer schwerwiegenden Remote-Code-Execution-Schwachstelle in seinem Ökosystem. Die Lücke ermöglicht nicht authentifizierten Angreifern die Ausführung beliebigen Codes auf exponierten Node.js-Servern. Öffentliche Proof-of-Concept-Exploits erhöhen das Risiko einer aktiven Ausnutzung erheblich.

Eine groß angelegte Kompromittierungskampagne mit der Malware PCPcat nutzte kritische Schwachstellen in Next.js- und React-Serverkomponenten aus. Innerhalb von 48 Stunden wurden über 59.000 Server kompromittiert, wobei Zugangsdaten, SSH-Schlüssel und Umgebungsvariablen abgegriffen wurden.

In Frankreich kam es bei La Poste und der Banque Postale infolge eines DDoS-Angriffs zu erheblichen Ausfällen. Mehrere Online-Dienste waren zeitweise nicht verfügbar, wobei laut Behörden keine Kundendaten kompromittiert wurden.

Quellen:
Cyber Volunteers / Water Utility / MSSP : https://therecord.media/cyber-volunteer-water-utility-mssp

MongoDB – Severe RCE Patch Warning : https://www.bleepingcomputer.com/news/security/mongodb-warns-admins-to-patch-severe-rce-flaw-immediately/

PCPcat – React/Next.js Servers Breach : https://thecyberexpress.com/pcpcat-react-servers-nextjs-breach/

La Poste – Outage After a Cyber Attack : https://securityaffairs.com/186064/security/la-poste-outage-after-a-cyber-attack.html

Nicht nachdenken, patchen!

Ihr Feedback ist willkommen.
E-Mail: radiocsirt@gmail.com
Website: https://www.radiocsirt.com/de
Wöchentlicher Newsletter: https://radiocsirtgermanedition.substack.com/

Willkommen zu Ihrem täglichen Cybersecurity-Podcast.

CISA hat CVE-2023-52163 aufgrund aktiver Ausnutzung bei Digiever DS-2105 Pro Videorekordern in den KEV-Katalog aufgenommen. Dieser Autorisierungsfehler ermöglicht es Angreifern, Sicherheitskontrollen zu umgehen. CISA empfiehlt allen Organisationen dringend die Einspielung von Firmware-Updates, da diese Schwachstelle ein häufiger Vektor für unbefugten Zugriff in IoT-Netzwerken ist.

Genians Security Center dokumentiert die Kampagne „Artemis“ der APT37-Gruppe gegen südkoreanische Ziele mittels bösartiger HWP-Dokumente. Die Attacke nutzt OLE-Objekte und DLL Side-Loading über das Tool VolumeId zur Installation des RoKRAT-Moduls. Die Angreifer setzen Steganographie zur Verschleierung ein und missbrauchen Yandex und pCloud für C2-Kommunikation. Die Entdeckung wird durch die Nutzung legitimer Prozesskontexte erschwert.

SoundCloud bestätigt einen Datenabfluss bei 26 Millionen Konten nach der Kompromittierung eines Dashboards. Exfiltriert wurden E-Mails und Profilinfos; Passwörter sind nicht betroffen. Nachfolgende DDoS-Angriffe und verschärfte Zugriffskontrollen führten zu VPN-Verbindungsproblemen. Die Plattform hat die Überwachungsmechanismen zur Bedrohungserkennung massiv verstärkt.

Forscher von Socket Security haben zwei bösartige Chrome-Erweiterungen namens Phantom Shuttle entdeckt, die Zugangsdaten von 170 Unternehmensdomänen wie AWS und GitHub stehlen. Die Tools nutzen PAC-Skripte und injizieren Proxy-Zugangsdaten über Web-Requests. Sensible Daten werden alle fünf Minuten im Klartext an den C2-Server phantomshuttle[.]space gesendet.

Anna’s Archive hat 300 Terabyte an Spotify-Daten veröffentlicht, darunter 86 Millionen Titel. Das Scraping erfolgte über Monate durch Stream-Ripping mittels Drittanbieter-Konten. Spotify deaktivierte die Konten und führte neue Schutzmaßnahmen gegen automatisiertes Abspielen ein. Der Vorfall unterstreicht die Risiken durch großangelegtes automatisiertes Scraping von Mediendaten.

Sources:
CISA KEV Digiever : https://www.cisa.gov/news-events/alerts/2025/12/22/cisa-adds-one-known-exploited-vulnerability-catalog
APT37 Artemis : https://www.genians.co.kr/en/blog/threat_intelligence/dll
SoundCloud Breach : https://www.theregister.com/2025/12/16/soundcloud_cyberattack_data_leak/
Chrome Phantom Shuttle : https://thehackernews.com/2025/12/two-chrome-extensions-caught-secretly.html
Spotify Scraping : https://therecord.media/spotify-disables-scraping-annas

Nicht nachdenken, patchen!

Ihr Feedback ist willkommen.
E-Mail: radiocsirt@gmail.com
Website: https://www.radiocsirt.com/de
Wöchentlicher Newsletter: https://radiocsirtgermanedition.substack.com/