Die aktuelle Cybersecurity-Woche ließ sich am besten mit einem fehlerhaften Cronjob vergleichen: Überall knacken Auth-Bypass-Lücken, Dev-Tools sind kompromittiert, und KI senkt die Hemmschwelle für Angriffe auf ein neues Minimum. Das übergreifende Motto der Angreifer lautet: Alte Schwachstellen in neue Verpackungen packen und schneller ausbeuten als die Verteidiger patchen können.
PAN-OS und Gogs: Wenn Standard-Konfigurationen zur Falle werden
Die Bedrohung der Woche kommt von Palo Alto Networks. Die Warnung lautet: Der kürzlich offengelegte Auth-Bypass in PAN-OS und Prisma Access (CVE-2026-0257, CVSS 7.8) wird bereits aktiv ausgenutzt. Angreifer können借此 VPN-Verbindungen aufbauen, sofern Authentication Override Cookies und spezifische Zertifikatskonfigurationen aktiv sind – ein klassischer Fall von „konfigurationsbedingter Verwundbarkeit".
Noch brisanter ist die Lage bei Gogs. Der beliebte Open-Source-Git-Service leidet unter einem kritischen Zero-Day, der Remote Code Execution (RCE) ermöglicht. Das Problem: Gogs bietet standardmäßig eine offene Registrierung. Ein Angreifer kann also einfach ein Konto erstellen, ein Repository anlegen und über einen Pull Request mit böswilligem Branch-Namen den Server übernehmen. Das Resultat ist der totale Kontrollverlust – inklusive Zugriff auf alle privaten Repositories und Credentials. Dass bisher kein Patch verfügbar ist, macht Gogs-Server auf Windows, Linux und macOS zu leichter Beute.
Der KI-Faktor: Angriffe in Rekordzeit
Künstliche Intelligenz ist längst nicht mehr nur ein Buzzword in den Marketingabteilungen der Verteidiger; sie ist zu einem operativen Werkzeug der Angreifer geworden. Die indische Cyberbehörde CERT-In forderte diese Woche drastisch: Kritische Schwachstellen in internet-facing Systemen sollen innerhalb von 12 Stunden gepatcht werden. Der Grund? KI-assistierte Angriffe komprimieren die Zeitspanne zwischen Disclosure und Exploit dramatisch.
Diese Entwicklung ist keine Theorie. Die russische Hackergruppe GREYVIBE nutzt Large Language Models (LLMs) extensiv für ihre Angriffe auf ukrainische Ziele. Laut WithSecure ist der KI-Einsatz hier kein isoliertes Experiment mehr, sondern operativ tief in die Angriffskette integriert. Auch im Phishing-Bereich zeigt KI Wirkung: Das PhaaS-Tool EvilTokens automatisiert OAuth-Device-Code-Phishing im großen Stil und nutzt KI, um in Rekordgeschwindigkeit realistische Infrastrukturen aufzubauen. Gleichzeitig leiten manipulierte KI-Chatbot-Empfehlungen Nutzer zu verseuchten Executables um, die nicht nur Crypto-Miner, sondern auch ScreenConnect für dauerhaften Remote-Zugang installieren.
Ein besonders absurdes Beispiel lieferte ein einzelner russischsprachiger Akteur ("bandcampro"): Er betrieb einen QAnon-verschwörungsnahen Telegram-Kanal und ließ sich dabei von einem gejailbreakten Google Gemini als „Coworker" unterstützen. Die KI generierte Posts, rotierte API-Keys und modellierte Passwörter.
Infrastruktur-Takedowns und subtile Side-Channels
Es gibt auch kleine Erfolge: CrowdStrike, Google und Shadowserver haben die C2-Infrastruktur von GlassWorm gekappt. GlassWorm verbreitete sich über trojanisierte VS-Code-Extensions und kompromittierte npm/Python-Pakete. Die Abschaltung aller vier Kanäle gleichzeitig war ein harter Schlag, aber Experten warnieren zurecht: In der Ökonomie von Open-Source-Abuse ist das nur eine temporäre Unterbrechung. Die Akteure werden unter neuen Namen wieder auftauchen.
Deutlich subtiler geht der FROST-Angriff vor. Forscher der TU Graz zeigten, dass bösartige Websites winzige Veränderungen der SSD-Zugriffszeiten als Side-Channel messen können. Über das Origin Private File System (OPFS) im Browser lassen sich so ohne Nutzerinteraktion Aktivitäten auf dem Host-System tracken – etwa welche Apps gerade genutzt werden.
Auch Social Engineering bleibt extrem effektiv: Ein Angriff auf die juristische Branche nutzte Microsoft Teams Voice Phishing, um das Opfer über Quick Assist zur Installation eines Java-basierten RAT (Nimbus RAT) zu bringen. Die Zeit vom ersten Kontakt bis zur Ausführung: unter 20 Minuten.
Fazit: Patchen war gestern, 12-Stunden-Patching ist heute
Die Ereignisse dieser Woche – von Windows-Netlogon-Lücken über Linux-CIFSwitch bis hin zu den unzähligen CVEs in Chrome, GitLab und Veeam – zeichnen ein klares Bild. Die Zeitfenster, die Verteidiger haben, schrumpfen auf ein Minimum. Wer KI-gestützte Automatisierung auf der Angreiferseite nicht durch radikal beschleunigte Patch-Prozesse und Zero-Trust-Architekturen kontert, spielt den Gegnern direkt in die Hände. Das Patchen der offensichtlichen Lücken ist heute keine Wochenendaufgabe mehr, sondern ein Fall für den Notfallplan.
Quelle: The Hacker News