Última hora
DEMacron besucht Syrien – Explosionen nahe Hotel in DamaskusPLPożar hotelu w Radziejowicach. Sześć zastępów straży pożarnej na miejscuJPクレジットカード決済代行の全東信、倒産で飲食・銀行業界に波紋CN資深媒體人矢板明夫演講後遭中國籍男子揮拳攻擊ARالجنيه الإسترليني يرتفع لأعلى مستوى في 3 أسابيع مقابل الدولار، وسهم سبيس إكس يدرج في ناسداك 100TRBelçika Savunma Bakanı Francken'den NATO Zirvesi'nde Önemli AçıklamalarUSTrump's NATO Criticisms Set Stage for Tense Summit in TurkeyBRDelegado de Roraima é alvo de representação do MP por misoginia institucionalizadaTRHSBC Türkiye'de Bireysel Bankacılık ve Orta Ölçekli Kurumsal Müşterilere Yönelik Operasyonlarını DeğerlendiriyorITDue arresti per l'omicidio di Anastasiia Berezovska, sospettata di attentato a MonacoDEMacron besucht Syrien – Explosionen nahe Hotel in DamaskusPLPożar hotelu w Radziejowicach. Sześć zastępów straży pożarnej na miejscuJPクレジットカード決済代行の全東信、倒産で飲食・銀行業界に波紋CN資深媒體人矢板明夫演講後遭中國籍男子揮拳攻擊ARالجنيه الإسترليني يرتفع لأعلى مستوى في 3 أسابيع مقابل الدولار، وسهم سبيس إكس يدرج في ناسداك 100TRBelçika Savunma Bakanı Francken'den NATO Zirvesi'nde Önemli AçıklamalarUSTrump's NATO Criticisms Set Stage for Tense Summit in TurkeyBRDelegado de Roraima é alvo de representação do MP por misoginia institucionalizadaTRHSBC Türkiye'de Bireysel Bankacılık ve Orta Ölçekli Kurumsal Müşterilere Yönelik Operasyonlarını DeğerlendiriyorITDue arresti per l'omicidio di Anastasiia Berezovska, sospettata di attentato a Monaco
Newsgather
BackCISA warnt vor Angriffen auf SimpleHelp, Samsung MagicINFO und D-Link-Router
CISA warnt vor Angriffen auf SimpleHelp, Samsung MagicINFO und D-Link-Router
Urgente
Heise Online27.04.2026Tecnología1 dk okumaGermany

CISA warnt vor Angriffen auf SimpleHelp, Samsung MagicINFO und D-Link-Router

Kritische Sicherheitslücken in Fernwartungstool und Digital-Signage-Plattform werden aktiv ausgenutzt – D-Link-Router seit November ohne Support

En resumen

  • Die US-Sicherheitsbehörde CISA warnt vor aktiven Angriffen auf drei Produkte: das Fernwartungstool SimpleHelp RMM mit zwei kritischen Lücken (CVSS 9.9 und 7.2), die Samsung Digital-Signage-Plattform MagicINFO 9 mit einer kritischen Schwachstelle (CVSS 9.8) sowie D-Link DIR-823X-Router, die seit November 2024 ohne Support sind und vom Mirai-Botnetz angegriffen werden.
  • Admins sollten verfügbare Updates umgehend installieren.

Resumen generado por IA

Por qué importa

Die CISA warnt vor aktiven Angriffen auf bekannte Sicherheitslücken in Unternehmenssoftware. Viele Admins haben verfügbare Updates trotz kritischer CVSS-Werte nicht installiert. Bei D-Link-Routern ist dies besonders problematisch, da der Herstellersupport bereits ausgelaufen ist.

Tamaño de fuente

Die US-amerikanische IT-Sicherheitsbehörde CISA hat Angriffe auf SimpleHelp, Samsung MagicINFO und D-Link DIR-823X beobachtet. Die angegriffenen Sicherheitslücken sind teils ein wenig älter.

In der Warnung der CISA listet die Behörde die Schwachstelleneinträge auf. Am gravierendsten scheinen zunächst die aktuell laufenden Angriffe auf Lücken im Fernwartungstool SimpleHelp RMM. Eine davon erlaubt Angreifern mit niedrigen Rechten, API-Schlüssel mit weitreichenden Rechten zu erstellen und so die Server-Admin-Rolle zu erlangen (CVE-2024-57726, CVSS 9.9, Risiko „kritisch“). Die andere ermöglicht das Hochladen von manipulierten ZIP-Dateien, die Dateien an beliebige Stellen des Dateisystems verfrachten und so das Ausführen eigenen Codes mit den Rechten des SimpleHelp-Servers erlaubt (CVE-2024-57728, CVSS 7.2, Risiko „hoch“). Version 5.5.8 oder neuere korrigieren die Probleme. Die Sicherheitslücken wurden jedoch bereits im Januar 2025 angegriffen. Offenbar haben einige Admins die verfügbaren Aktualisierungen immer noch nicht angewendet.

Samsung MagicINFO 9 Server ist eine Digital-Signage-Plattform zur Steuerung von Displays in Unternehmen und öffentlichen Einrichtungen. Aufgrund einer Schwachstelle können Angreifer beliebige Dateien auf das System schreiben, mit System-Rechten. Das erlaubt offenbar das Ausführen von eingeschleustem Code. Die Lücke CVE-2024-7399 (CVSS 9.8, Risiko „kritisch„) ist bereits etwas älter, Samsung hat sie mit einem Update im August 2024 bedacht. Das Aktivieren des automatischen Updates über „Menü“ – „Support“ – „Software-Update“ sollte die Aktualisierung finden und auf das Gerät befördern.

Auf die D-Link-Router DIR-823X haben es bösartige Akteure ebenfalls abgesehen. Darin können Angreifer aus dem Netz nach einer Anmeldung beliebige Befehle ausführen (CVE-2025-29635, CVSS 7.2, Risiko „hoch“). Der Support für diese Router ist jedoch am 15. November 2024 bereits ausgelaufen. Wer solch ein veraltetes Gerät noch in der IT-Umgebung hat, sollte es schleunigst durch ein Gerät ersetzen, das vom Hersteller mit Sicherheitsupdates versorgt wird. Der Cloud- und Sicherheitsanbieter Akamai hat vergangene Woche über Angriffe auf D-Link-Router durch das Mirai-Botnetz berichtet, das sich auf diesen veralteten Geräten ausbreitet. Das Unternehmen stellt Snort- und Yara-Regeln bereit, mit denen sich bekannte Angriffe und Malware erkennen lassen.

Zu den anderen aktuellen Angriffen sind keine weiteren Informationen etwa zu Art, Umfang oder Indizien für erfolgreiche Angriffe (Indicators of Compromise, IOC) bekannt. IT-Verantwortliche sollten die bereitstehenden Aktualisierungen aber zügig anwenden.

Qué observar

Perspectiva de IA — posibilidades, no hechos

  • Weitere Angriffe auf ungepatchte SimpleHelp-Installationen werden erwartet

    Muy probable · En semanas

  • Mirai-Botnetz wird sich weiter auf D-Link DIR-823X ausbreiten

    Probable · En semanas

  • Weitere Hersteller werden ähnliche Warnungen veröffentlichen

    Posible · En meses

Preguntas abiertas

  • Wie viele Systeme wurden bisher kompromittiert?
  • Gibt es bekannte Indicators of Compromise für die Angriffe?
  • Welche Bedrohungsgruppe steht hinter den Angriffen?

Temas relacionados

This article was originally published by Heise Online.

Noticias relacionadas

Más sobre este temacisa