Eilmeldung
CN台灣基進黨主席王興煥:日媒人遭襲擊是中國跨國鎮壓,應以國安層級嚴肅追查CN台中重罰三油廠延遲通報致癌物超標RUКатарский танкер Al-Raqayat атакован в Ормузском проливеCN基隆幼兒園虐童案:市府公布調查結果,擬處分停業,幼童安置成焦點KR중국 중부·서북부 재난…산사태·토네이도에 인명피해 속출CN台南右武衛兒童合唱團匈牙利奪3金及桂冠獎 巡演歐洲CN林宥嘉父親胰臟癌病逝 享壽68歲 告別式前悲痛發聲呼籲KR'자기 정치' 논란에 김부겸·정청래 설전SENya EU-regler för bilar: Vad du behöver vetaCN資深媒體人矢板明夫在台中演講後遇襲 國民黨議員呼籲嚴懲暴力CN台灣基進黨主席王興煥:日媒人遭襲擊是中國跨國鎮壓,應以國安層級嚴肅追查CN台中重罰三油廠延遲通報致癌物超標RUКатарский танкер Al-Raqayat атакован в Ормузском проливеCN基隆幼兒園虐童案:市府公布調查結果,擬處分停業,幼童安置成焦點KR중국 중부·서북부 재난…산사태·토네이도에 인명피해 속출CN台南右武衛兒童合唱團匈牙利奪3金及桂冠獎 巡演歐洲CN林宥嘉父親胰臟癌病逝 享壽68歲 告別式前悲痛發聲呼籲KR'자기 정치' 논란에 김부겸·정청래 설전SENya EU-regler för bilar: Vad du behöver vetaCN資深媒體人矢板明夫在台中演講後遇襲 國民黨議員呼籲嚴懲暴力
Newsgather
BackCISA warnt vor Angriffen auf SimpleHelp, Samsung MagicINFO und D-Link-Router
CISA warnt vor Angriffen auf SimpleHelp, Samsung MagicINFO und D-Link-Router
Dringend
Heise Online27.04.2026Technik1 dk okumaGermany

CISA warnt vor Angriffen auf SimpleHelp, Samsung MagicINFO und D-Link-Router

Kritische Sicherheitslücken in Fernwartungstool und Digital-Signage-Plattform werden aktiv ausgenutzt – D-Link-Router seit November ohne Support

Auf einen Blick

  • Die US-Sicherheitsbehörde CISA warnt vor aktiven Angriffen auf drei Produkte: das Fernwartungstool SimpleHelp RMM mit zwei kritischen Lücken (CVSS 9.9 und 7.2), die Samsung Digital-Signage-Plattform MagicINFO 9 mit einer kritischen Schwachstelle (CVSS 9.8) sowie D-Link DIR-823X-Router, die seit November 2024 ohne Support sind und vom Mirai-Botnetz angegriffen werden.
  • Admins sollten verfügbare Updates umgehend installieren.

KI-generierte Zusammenfassung

Warum es wichtig ist

Die CISA warnt vor aktiven Angriffen auf bekannte Sicherheitslücken in Unternehmenssoftware. Viele Admins haben verfügbare Updates trotz kritischer CVSS-Werte nicht installiert. Bei D-Link-Routern ist dies besonders problematisch, da der Herstellersupport bereits ausgelaufen ist.

Schriftgröße

Die US-amerikanische IT-Sicherheitsbehörde CISA hat Angriffe auf SimpleHelp, Samsung MagicINFO und D-Link DIR-823X beobachtet. Die angegriffenen Sicherheitslücken sind teils ein wenig älter.

In der Warnung der CISA listet die Behörde die Schwachstelleneinträge auf. Am gravierendsten scheinen zunächst die aktuell laufenden Angriffe auf Lücken im Fernwartungstool SimpleHelp RMM. Eine davon erlaubt Angreifern mit niedrigen Rechten, API-Schlüssel mit weitreichenden Rechten zu erstellen und so die Server-Admin-Rolle zu erlangen (CVE-2024-57726, CVSS 9.9, Risiko „kritisch“). Die andere ermöglicht das Hochladen von manipulierten ZIP-Dateien, die Dateien an beliebige Stellen des Dateisystems verfrachten und so das Ausführen eigenen Codes mit den Rechten des SimpleHelp-Servers erlaubt (CVE-2024-57728, CVSS 7.2, Risiko „hoch“). Version 5.5.8 oder neuere korrigieren die Probleme. Die Sicherheitslücken wurden jedoch bereits im Januar 2025 angegriffen. Offenbar haben einige Admins die verfügbaren Aktualisierungen immer noch nicht angewendet.

Samsung MagicINFO 9 Server ist eine Digital-Signage-Plattform zur Steuerung von Displays in Unternehmen und öffentlichen Einrichtungen. Aufgrund einer Schwachstelle können Angreifer beliebige Dateien auf das System schreiben, mit System-Rechten. Das erlaubt offenbar das Ausführen von eingeschleustem Code. Die Lücke CVE-2024-7399 (CVSS 9.8, Risiko „kritisch„) ist bereits etwas älter, Samsung hat sie mit einem Update im August 2024 bedacht. Das Aktivieren des automatischen Updates über „Menü“ – „Support“ – „Software-Update“ sollte die Aktualisierung finden und auf das Gerät befördern.

Auf die D-Link-Router DIR-823X haben es bösartige Akteure ebenfalls abgesehen. Darin können Angreifer aus dem Netz nach einer Anmeldung beliebige Befehle ausführen (CVE-2025-29635, CVSS 7.2, Risiko „hoch“). Der Support für diese Router ist jedoch am 15. November 2024 bereits ausgelaufen. Wer solch ein veraltetes Gerät noch in der IT-Umgebung hat, sollte es schleunigst durch ein Gerät ersetzen, das vom Hersteller mit Sicherheitsupdates versorgt wird. Der Cloud- und Sicherheitsanbieter Akamai hat vergangene Woche über Angriffe auf D-Link-Router durch das Mirai-Botnetz berichtet, das sich auf diesen veralteten Geräten ausbreitet. Das Unternehmen stellt Snort- und Yara-Regeln bereit, mit denen sich bekannte Angriffe und Malware erkennen lassen.

Zu den anderen aktuellen Angriffen sind keine weiteren Informationen etwa zu Art, Umfang oder Indizien für erfolgreiche Angriffe (Indicators of Compromise, IOC) bekannt. IT-Verantwortliche sollten die bereitstehenden Aktualisierungen aber zügig anwenden.

Worauf zu achten ist

KI-Ausblick — Möglichkeiten, keine Fakten

  • Weitere Angriffe auf ungepatchte SimpleHelp-Installationen werden erwartet

    Sehr wahrscheinlich · Innerhalb von Wochen

  • Mirai-Botnetz wird sich weiter auf D-Link DIR-823X ausbreiten

    Wahrscheinlich · Innerhalb von Wochen

  • Weitere Hersteller werden ähnliche Warnungen veröffentlichen

    Möglich · Innerhalb von Monaten

Offene Fragen

  • Wie viele Systeme wurden bisher kompromittiert?
  • Gibt es bekannte Indicators of Compromise für die Angriffe?
  • Welche Bedrohungsgruppe steht hinter den Angriffen?

Verwandte Themen

This article was originally published by Heise Online.

Ähnliche Meldungen

Mehr zu diesem Themacisa