ConSecur GmbH
Consecur Weekly Update zu Bedrohungsinfos in KW 51/2025.
In der vergangenen Woche gab es laut Consecur Weekly Update ein Datenleck bei Soundcloud und Pornhub und es wurden Malware in Firefox Add-ons sowie weitere Lücken in React gefunden.
Zusammenfassung (TL; DR):
- Datenleck bei Soundcloud und Pornhub
- Weitere Lücken in React gefunden
- Kritische Schwachstellen in Fortinet-Produkten werden aktiv ausgenutzt
- Malware in Firefox Add-ons gefunden
Datenleck bei Soundcloud und Pornhub: Nachdem Nutzer bereits seit Ende letzter Woche VPN-Verbindungsprobleme beklagten, bestätigte die Audio-Streaming-Plattform SoundCloud nun, dass die Ausfälle durch eine Sicherheitsverletzung verursacht wurden, wobei Angreifer eine Datenbank stahlen, die E-Mail-Adressen sowie weitere Profilinformationen enthält.
In einer Stellungnahme gegenüber BleepingComputer erklärte das Unternehmen nun: „Wir gehen davon aus, dass eine mutmaßliche Hackergruppe auf bestimmte begrenzte Daten zugegriffen hat, die wir speichern“. Demnach seien keine sensiblen Daten, sondern lediglich E-Mail-Adressen und andere, bereits öffentliche Informationen, betroffen. Insgesamt seien etwa 20 Prozent der SoundCloud-Nutzer von der Sicherheitsverletzung betroffen, was ca. 28 Millionen Konten entsprechen könnte.
Im Zuge eingeleiteter Gegenmaßnahmen kam es auch zu Konfigurationsänderungen, die die VPN-Verbindung zur Website unterbrach. Nach dieser Reaktion kam es bei SoundCloud zu DoS-Angriffen, die die Verfügbarkeit der Plattform im Internet vorübergehend beeinträchtigten.
Erst vergangenen Freitag erklärte Pornhub, Opfer eines Datenlecks geworden zu sein, nachdem eine SMS-Phishing-Attacke (Smishing) es Angreifern ermöglichte, dessen Systeme zu kompromittieren. Die Erpressergruppe ShinyHunters behauptet, über einen Vorfall beim Analytics-Anbieter Mixpanel historische Nutzungsdaten, wie Aktivität und ggf. Such-/Watch-Verlauf von Premium-Accounts entwendet zu haben, die zum Teil von Reuters verifiziert werden konnten. PornHub betont, dass es keine Kompromittierung der eigenen Systeme gab und keine Passwörter/Zahlungsdaten betroffen seien. Ob beide Vorfälle zusammenhängen, ist derzeit unklar.
Weitere Lücken in React gefunden: Die kritische React-Schwachstelle React2Shell (CVE-2025-55182, CVSS 10.0) bleibt ein akutes Risiko. Neben breiter Scan- und Exploit-Aktivität zeigt sich, dass erste Fixes nicht ausreichten. Meta warnt indes, dass bestimmte Zwischen-Versionen der Patches unvollständig waren und Nutzer erneut aktualisieren müssen.
Darüber hinaus wurden nun weitere Schwachstellen in React Server Components veröffentlicht. Dabei handelt es sich um zwei DoS-Lücken sowie eine Lücke, durch die Quellcode offengelegt werden könnte. Das erhöht die Angriffsfläche und kann Exploit Chaining erleichtern.
Parallel dazu verdichten sich die Hinweise auf staatlich unterstützte Aktivität. Die Google Threat Intelligence Group (GTIG) ordnet mittlerweile verschiedene chinesische Cyberspionagegruppen den React2Shell-Kampagnen zu, die unterschiedliche Toolchains verwenden.
Die Ausnutzung der Lücke dient laut aktuellen Berichten auch, um Linux-Backdoors wie KSwapDoor und ZnDoor nachzuladen und so persistenten Zugriff aufzubauen.
Empfohlen wird ein Upgrade auf die von React als sicher benannten Versionen 19.0.3 / 19.1.4 / 19.2.3.
Was jetzt zu tun ist: Umgehend patchen
Kritische Schwachstellen in Fortinet-Produkten werden aktiv ausgenutzt: Nachdem Fortinet am 9. Dezember vor zwei kritischen Schwachstellen in Zusammenhang mit dem FortiCloud-SSO-Login warnte, werden seit dem 12. Dezember bereits Angriffe in freier Wildbahn beobachtet. Betroffen sind verschiedene Produkte, wie FortiOS, FortiProxy, FortiSwitchManager (CVE-2025-59718, CVSS 9.8) sowie FortiWeb (CVE-2025-59719, CVSS 9.8).
Beide Lücken erlauben eine Umgehung der Authentifizierung mithilfe manipulierter SAML-Nachrichten, da kryptografische Signaturen nicht korrekt geprüft werden. Eine Ausnutzung ist allerdings nur möglich, wenn der standardmäßig deaktivierte FortiCloud-SSO-Login aktiv ist. Während des FortiCare-Registrierungsprozesses kann es allerdings auch unbemerkt zu einer Aktivierung kommen, sofern die entsprechende Option nicht manuell ausgeschaltet wird.
Aktuellen Beobachtungen, u.A. durch Arctic Wolf, zufolge, zielen Angreifer insbesondere auf Admin-Accounts ab und exportieren nach erfolgreichem Zugriff u. A. System- bzw. Gerätekonfigurationen. Diese können je nach Setup auch gehashte Zugangsdaten enthalten, wodurch Folgeangriffe wahrscheinlicher werden.
Für beide Lücken sowie 16 weitere Schwachstellen wurden bereits Updates veröffentlicht. Als kurzfristige Maßnahme empfiehlt der Hersteller, den administrativen Login via FortiCloud SSO bis zum Update zu deaktivieren.
Was jetzt zu tun ist:
- Umgehend patchen
- ggf. FortiCloud-SSO-Admin-Login deaktivieren
- ggf. Zugangsdaten zurücksetzen und Logs auf ungewöhnliche Datei-Exports prüfen
Malware in Firefox Add-ons gefunden: Eine neue, als “GhostPoster” bezeichnete Malware wurde in 17 Firefox Add-ons gefunden, die insgesamt bereits mehr als 50.000 Downloads zu verzeichnen haben. Der schädliche Code befindet sich dabei nicht ausschließlich in normalen Skriptdateien, sondern wird in den PNG-Logo-Dateien der Erweiterungen versteckt und beim Laden der Add-ons extrahiert und ausgeführt.
Nach Angaben von Koi Security fungiert der aus dem Logo geladene Code zunächst als Loader, der nach 48 Stunden die Payload von einer hardgecodeten Domain runterladen, wobei nur in zehn Prozent der Fälle ein Download erfolgt, um Überwachungstools zu umgehen. Die Payload selbst ist stark obfuskiert und XOR-verschlüsselt, wobei der Schlüssel aus der Laufzeit-ID der Erweiterung abgeleitet wird.
Die finale Payload verschafft den Betreibern persistenten Zugriff mit weitreichenden Rechten im Browser, was ihnen u.A. das Kapern von Affiliate-Links sowie Injektion von Tracking-Code ermöglicht. Bei den Erweiterungen handelt es sich um beliebte Kategorien wie free-vpn-forever, screenshot-saved-easy und weather-best-forecast.
Mozilla hat nach Bekanntwerden Maßnahmen ergriffen und die genannten Erweiterungen aus dem Store entfernt. Nutzen der Erweiterungen wird empfohlen, ggf. Passwörter kritischer Accounts zurückzusetzen.
Was jetzt zu tun ist: ggf. Passwörter zurücksetzen
