Der Puls von Cloud und Cyber — Ausgabe 2: Sonderausgabe zur praktischen IT-Sicherheit Von einer kompromittierten JavaScript-Bibliothek bis hin zum verdeckten Krieg um Ihre Daten

Kritische RCE-Schwachstelle in der expr-eval-Bibliothek: Wenn JavaScript-Rechner beliebigen Code ausführen

Aktuelle Veröffentlichungen der GitHub Advisory Database und des CERT/CC haben eine bedeutende Sicherheitslücke in der weitverbreiteten expr-eval-Bibliothek und deren Forks aufgedeckt, die als CVE-2025-12735 erfasst wurde. Die Schwachstelle resultiert aus unzureichender Eingabevalidierung in der evaluate()-Funktion, die Objekteingaben nicht ordnungsgemäß bereinigt. Diese Nachlässigkeit ermöglicht es Angreifern, bösartige Objekte als Variablen einzuschleusen, was in bestimmten Szenarien zur Ausführung beliebigen Codes führen kann.

Die weitreichende Verbreitung der Bibliothek in unterschiedlichsten Projekten – von einfachen Webanwendungen bis hin zu anspruchsvollen NLP- und KI-Diensten – verstärkt die potenzielle Tragweite dieser Schwachstelle erheblich. Zum Zeitpunkt der Berichterstattung wurde die CVE als hochgradig kritisch eingestuft, wobei Software-Supply-Chain-Monitoring mehrere aktiv eingesetzte Versionen der Bibliothek im gesamten npm-Ökosystem identifiziert hat. Besonders besorgniserregend ist das Muster transitiver Abhängigkeiten, bei dem zahlreiche Projekte die anfällige Bibliothek unwissentlich über ihre Abhängigkeiten einbinden.

Warum dies von Bedeutung ist

Für Organisationen, die expr-eval in serverseitigen Umgebungen oder Systemen mit Betriebssystemzugriff zur Auswertung benutzergenerierter Ausdrücke einsetzen, stellt diese Schwachstelle einen kritischen Eskalationspfad dar – von einem scheinbar harmlosen Logikproblem hin zur vollständigen Serverkompromittierung. Node.js- und Frontend-Teams, die auf diese Bibliothek angewiesen sind – sei es direkt oder über transitive Abhängigkeiten – sollten umgehend handeln:

Durchführung umfassender Abhängigkeitsscans für expr-eval und expr-eval-fork
• Überprüfung aller Instanzen, in denen evaluate() nicht vertrauenswürdige Eingaben verarbeitet
• Implementierung strenger Eingabevalidierung und Isolationsmaßnahmen (Sandboxing, Kontextbeschränkung, Vermeidung der Ausführung auf primären Servern)
• Sofortiges Upgrade auf gepatchte Versionen nach deren Veröffentlichung

Doppelt belastet: Ausgeklügelte Phishing-Kampagne zielt auf Hotels und deren Gäste

Eine umfassende Untersuchung von Sekoia.io hat eine mehrschichtige Angriffskampagne aufgedeckt, die Hotelmanagementsysteme ins Visier nimmt. Die Operation setzt eine ausgefeilte Kette von Techniken ein, von initialen Phishing-E-Mails über die Bereitstellung von ClickFix-Malware bis hin zur Installation von PureRAT für persistente Systemkontrolle.

Die Angriffsmethodik folgt einer sorgfältig orchestrierten Sequenz. Zunächst kompromittieren Angreifer Systeme von Hotelmanagern durch Phishing und erlangen Zugriff auf Booking.com-Konten oder ähnliche Plattformen wie Expedia. Unter Ausnutzung legitimer Extranet-Zugangsdaten initiieren sie anschließend doppelte Belastungen für bestehende Reservierungen, wodurch die Illusion offizieller Kommunikation seitens des Hotels oder der Buchungsplattform entsteht. In mehreren dokumentierten Fällen setzten Angreifer überzeugende Zahlungsseiten ein, die die Benutzeroberfläche von Booking.com nachahmen und hinter Cloudflare-Infrastruktur gehostet werden, um Bankdaten der Gäste abzugreifen.

Diese Operation wird durch ein umfangreiches Underground-Ökosystem in russischsprachigen Foren unterstützt, in denen Bedrohungsakteure E-Mail-Datenbanken von Hotelmanagern, Authentifizierungs-Cookies, Zugangsdaten und Infostealer-Logs handeln.

Implikationen für die Hotelbranche

Organisationen im Gastgewerbe, Tourismus und Unternehmen, die von Buchungsplattformen abhängig sind, müssen erkennen, dass offizielle Kanäle nicht als sicher vorausgesetzt werden können. Administrative Sicherheit – umfassend E-Mail-Systeme, Arbeitsstationen, Antivirenlösungen und EDR-Bereitstellung – ist geschäftskritisch geworden. Wesentliche Schutzmaßnahmen umfassen:

Beschränkung administrativer Anmeldungen auf gehärtete, verwaltete Geräte
• Durchsetzung der Multi-Faktor-Authentifizierung über alle Zugriffspunkte hinweg
• Implementierung granularer Zugriffskontrollen für administrative Funktionen
• Einrichtung von Warnmeldungen für doppelte Abrechnungstransaktionen und ungewöhnliche Kontomodifikationen

Für Security Operations Centers bietet der Bericht von Sekoia umsetzbare Erkennungsabfragen und Sigma-Regeln zur Identifizierung von PowerShell-Missbrauch, DLL-Sideloading und anomalem AddInProcess32.exe-Verhalten, die für die SIEM-Integration bereitstehen.

KI-Unternehmen exponieren sich auf GitHub

Das Cloud-Sicherheitsunternehmen Wiz führte eine umfassende Analyse der Forbes AI 50-Liste durch und untersuchte die 50 führenden privaten Unternehmen im Bereich künstliche Intelligenz. Die Ergebnisse zeigen, dass 65% dieser Organisationen mindestens eine bestätigte Secrets-Exposition auf GitHub erlebt haben, von API-Tokens und Schlüsseln bis hin zu sensiblen Zugangsdaten.

Die Forschungsmethodik ging über oberflächliches Repository-Scanning hinaus und umfasste vollständige Commit-Historien, gelöschte Forks, Gists und öffentliche Repositories von Organisationsmitgliedern. Bemerkenswert ist, dass ein erheblicher Anteil exponierter Secrets in der Peripherie des GitHub-Ökosystems entdeckt wurde und nicht innerhalb primärer Organisations-Repositories.

Sicherheit jenseits von Modellen und Datensätzen

Für KI- und Machine-Learning-Teams müssen Sicherheitsüberlegungen über Modellschutz und Datensatzintegrität hinausgehen. GPU-Zugriffstokens, proprietäre Datensätze und Cloud-Infrastruktur-Zugangsdaten sind zu primären Angriffszielen geworden. Wesentliche Sicherheitsmaßnahmen umfassen:

Erweiterung des Secret-Scannings über primäre Organisationen hinaus auf persönliche Konten, Gists und Forks
• Implementierung robuster Token-Rotationsrichtlinien und strenger Kontrollen für GitHub Personal Access Tokens und Cloud-Schlüssel
• Nutzung formaler Secrets-Management-Lösungen anstelle des Committens von .env-Dateien in Repositories, insbesondere für sensible modellbezogene Projekte

Regierungsstillstand dauert an, aber Cybersicherheit kann nicht pausieren: Vorübergehende Verlängerung der CISA Act- und FCEA-Finanzierung

Inmitten des längsten Stillstands der US-Bundesregierung in der Geschichte wurde H.R.5371 (Continuing Appropriations and Extensions Act, 2026) dem Kongress vorgelegt, um kritische Finanzierung vorübergehend wiederherzustellen. Diese Gesetzgebung verlängert die finanzielle Unterstützung für den Cybersecurity Information Sharing Act (CISA Act) und den Federal Cybersecurity Enhancement Act (FCEA) bis Januar 2026.

Der CISA Act etabliert den Rahmen für den Austausch von Bedrohungsinformationen zwischen privatwirtschaftlichen Einheiten und Regierungsbehörden, während FCEA Sicherheitsstandards und Mechanismen für kritische Bundesinfrastruktur definiert. Ohne diese Verlängerung würde der formale Apparat für den Empfang und die Verteilung von Bedrohungsinformationen auf nationaler Ebene faktisch den Betrieb einstellen.

Dies stellt jedoch lediglich eine Übergangslösung dar. Sollte bis Jahresende 2025 keine langfristige Vereinbarung zustande kommen, bleibt das Risiko erneuter Haushaltslücken Anfang 2026 erheblich.

Implikationen für Threat-Intelligence-Konsumenten

Organisationen, die auf US-Regierungs-Threat-Feeds oder CISA-basierte Frameworks angewiesen sind, sollten beachten, dass kurzfristige Mechanismen zum Austausch von Bedrohungsinformationen zwar operativ bleiben, eine Notfallplanung für potenzielle Nicht-Verlängerungsszenarien jedoch ratsam ist. Dies erfordert eine verstärkte Abhängigkeit von kommerziellen und Open-Source-Bedrohungsinformationen sowie gestärkte regionale und branchenspezifische Kooperationsvereinbarungen.

Firefox 145 und der Kampf gegen Fingerprinting: Dramatische Reduzierung der Benutzerverfolgung

Mozilla hat angekündigt, dass Firefox 145 eine neue Generation von Anti-Fingerprinting-Abwehrmaßnahmen einführt, die laut realen Daten den Anteil der Benutzer, die eindeutig per Fingerprinting identifiziert werden können, annähernd halbieren. Diese Schutzmaßnahmen sind derzeit im privaten Browsing-Modus und im Enhanced Tracking Protection – Strict-Modus aktiv.

Die implementierten Maßnahmen umfassen die Beschränkung der Offenlegung von Hardware-Informationen (CPU-Kernanzahl, Touch-Fähigkeiten, Dock-/Taskleisten-Dimensionen), die Standardisierung verfügbarer Schriftarten (mit Ausnahme wesentlicher Sprachschriftarten) sowie die Einführung randomisierten Rauschens in bestimmte Grafik- und Bildauslesungen zur Neutralisierung canvas-basierter Fingerprinting-Techniken.

Mozilla betont, dass ihr Ansatz Benutzerfreundlichkeit mit Datenschutz in Einklang bringt. Bestimmte Informationen, wie Zeitzonendaten, die für Kalender- und Konferenzdienste unerlässlich sind, bleiben zugänglich, um eine Beeinträchtigung der Web-Funktionalität zu vermeiden.

Implikationen für Benutzer und Webentwickler

Für datenschutzbewusste Benutzer stellt Firefox mit Enhanced Tracking Protection im Strict-Modus nun eine der robustesten Optionen auf dem Markt dar. Webentwicklungsteams sollten erkennen, dass zunehmend aggressive Fingerprinting-Techniken mit einer höheren Wahrscheinlichkeit beeinträchtigter Benutzererfahrungen in Browsern wie Firefox korrelieren. Abhängigkeiten von Fingerprinting zur Benutzeridentifikation – etwa für Anti-Betrugsmaßnahmen – rechtfertigen eine Überprüfung und Migration zu weniger invasiven Methodologien.

Phishing über offizielle facebookmail.com-Domain: Ausnutzung der Meta Business Suite

Forschungen des Harmony Email Security-Teams von Check Point haben eine umfangreiche Phishing-Kampagne dokumentiert, die die Meta Business Suite und die legitime facebookmail.com-Domain ausnutzt. Die Angriffsmethodik umfasst die Erstellung betrügerischer Facebook-Business-Seiten mit Logos und Namen, die legitime Marken nachahmen, und nutzt anschließend die Funktionen der Business Suite für Kooperationseinladungen und Werbeprogramme, um E-Mails zu versenden, die authentischen Facebook-Benachrichtigungen ähneln – tatsächlich von der facebookmail.com-Domain stammend.

Häufige Themen umfassen Einladungen zu kostenlosen Werbeguthaben-Programmen, offiziellen Meta-Partnerprogrammen und Kontoverifizierungsanforderungen. Eingebettete Links leiten zu Phishing-Seiten weiter (häufig auf Domains wie vercel.app gehostet), die darauf ausgelegt sind, Kontozugangsdaten abzugreifen.

Laut Check Point-Telemetrie wurden über 40.000 Phishing-E-Mails an etwa 5.000 Organisationen zugestellt, wobei ein Unternehmen mehr als 4.200 solcher Nachrichten erhielt. Ziele umfassen überwiegend kleine und mittlere Unternehmen in Sektoren wie Online-Werbung, Automobilbranche, Bildung und Immobilien.

Jenseits der Domain-Verifizierung

Diese Kampagne demonstriert, dass traditionelle Sicherheitsschulungen, die sich ausschließlich auf die Verifizierung der Absender-Domain konzentrieren, unzureichend sind, wenn legitime Domains zu Komponenten der Angriffskette werden. Marketing- und Social-Media-Teams sollten eine obligatorische Multi-Faktor-Authentifizierung über alle Meta-, Facebook- und Instagram-Konten hinweg implementieren, Protokolle zur Meldung verdächtiger E-Mails über interne Sicherheitskanäle etablieren – unabhängig von der scheinbaren Legitimität des Absenders – und den Zugriff auf die Business Suite auf verwaltete Geräte mit MDM-/EDR-Schutz beschränken.

Redaktionelle Zusammenfassung

Die JavaScript-Lieferkette stellt weiterhin erhebliche Risikovektoren dar. Eine scheinbar geringfügige Bibliothek wie expr-eval kann sich in eine Hintertür für Codeausführung auf Produktionsservern verwandeln, insbesondere in KI- und NLP-Umgebungen. Dependency-Hygiene hat sich von einem Luxus zu einer grundlegenden Sicherheitsanforderung entwickelt.

Phishing hat sich zu einem organisierten Geschäftsmodell entwickelt. Von Hotels bis zu Buchungsplattformen demonstrieren die „Doppelbelastungs"-Methodik und der Schwarzmarkt für Booking.com-Logs, wie Angreifer sich auf spezifische vertikale Ökosysteme konzentrieren und jede Komponente als Service anbieten.

Die GitHub-Exposition des KI-Sektors offenbart systemische Herausforderungen. Wenn 65% der Forbes AI 50-Unternehmen Secrets auf GitHub geleakt haben, stehen Organisationen ohne rigorose Secrets-Management- und Git-Hygiene-Richtlinien wahrscheinlich vor identischen Risiken.

Selbst inmitten von Regierungsstillständen erkennt der Kongress die strategische Notwendigkeit, die Finanzierung von CISA Act und FCEA durch vorübergehende Maßnahmen aufrechtzuerhalten, was unterstreicht, dass die Infrastruktur zum Austausch von Bedrohungsinformationen nicht beiläufig ausgesetzt werden kann.

Schließlich veranschaulicht der Kontrast zwischen Firefoxs fortschrittlichen Anti-Fingerprinting-Fähigkeiten und der Ausnutzung von facebookmail.com die duale Natur der gegenwärtigen Landschaft: Benutzer, die zwischen Browsern, die für ihre Privatsphäre kämpfen, und Plattformen, die unbeabsichtigt zu Angriffsvektoren werden, gefangen sind.