Consecur Weekly Update zu Bedrohungsinfos in KW 48/2025

ConSecur GmbH ConSecur GmbH   |
  • Cybercrime
  • Experte
Consecur Weekly Update

Consecur Weekly Update zu den aktuellsten Bedrohungsinfos in KW 48/2025.

In der vergangenen Woche fanden laut Consecur Weekly Update  Angriffe auf den Oracle Identity Manager statt und der im September durch Kompromittierung von npm-Paketen bekannt gewordene Wurm „Shai Hulud“ ist erneut entdeckt worden.

Zusammenfassung (TL; DR):

  • Angriffe auf Oracle Identity Manager beobachtet
  • Shai-Hulud ist zurück

Angriffe auf Oracle Identity Manager beobachtet: Nach aktuellen Informationen der US-Sicherheitsbehörde Cybersecurity & Infrastrucutre Security Agency (CISA) gibt es Hinweise, dass bereits seit August dieses Jahres Angriffe auf Oracle Identity Manager stattfinden.

Bei der als kritisch eingestuften Lücke in der REST-API von Identity Manager handelt es sich um CVE-2025-61757. Diese ermöglicht es entfernten Angreifern vergleichsweise einfach mit präparierten URLs mithilfe von Parametern wie ?WSDL oder ;.wadl einen Sicherheitsfilter zu umgehen und die Computer anschließend mit Schadcode zu infizieren.

Ein Sicherheitsupdate, das die Lücke schließt, wurde bereits im Oktober veröffentlicht. Aus Oracles Auflistung zum aktuellen Update gehen allerdings lediglich die Versionen 12.2.1.4.0 und 14.1.2.1.0 als gefährdet hervor. Oraclekunden können im Supportportal die Versionskennung der abgesicherten Ausgabe einsehen. Administratoren sollten betroffene Instanzen umgehend patchen.

Was jetzt zu tun ist: Unverzüglich patchen

Shai-Hulud ist zurück: Der im September durch Kompromittierung von npm-Paketen bekannt gewordene Wurm „Shai Hulud“ ist erneut entdeckt worden. Diesmal hat er u.a. verbreitete Projekt wie Zapier oder PostHog im Visier. Er hat bereits mehr als 700 Pakete mit einem Gesamt-Downloadvolumen von 100 Mio infiziert. Dabei repliziert er sich selbst, leaked Passwörter und andere Secrets.

Github entfernt bereits entsprechend erstellte Repositories sowie npm die maliziösen Pakete, dennoch skaliert der Wurm so schnell, dass etwa 1000 Repos innerhalb von 30 Minuten neu hinzukommen.

Aufgrund der schnellen Skalierung und des Umfangs der Kompromittierung empfiehlt es sich, Abhängigkeiten zu eingesetzten Paketen zu überprüfen und ggf. Gegenmaßnahmen zu treffen.

Was jetzt zu tun ist:

  • Rotation von allen github, npm und CI/CD Passwörtern, die während der Installation genutzt werden
  • Überprüfung aller betroffenen npm-Pakete
  • Deaktivierung von npm PostInstall Script wo möglich
  • Überprüfen auf verdächtige github Repos mit dem Namen „Sha1 Hulud: The Second Coming“
  • Ob auch dieses Mal die Akteure des Vorgängers hinter „Shai Hulud 2“ stecken ist bisher unklar.
Zurück zu allen News

Weitere Inhalte zum Thema

Logo Newsletter IT-Sicherheit

Nichts mehr verpassen!

Mit Klick auf „Newsletter anmelden“ erhalten Sie unseren Newsletter. Die Anmeldung wird erst aktiv, nachdem Sie den Bestätigungslink in der E-Mail angeklickt haben. Datenschutzerklärung
Skip to content