Advisories

Zusammenfassung

Fortinet hat ein Sicherheitsupdate für FortiClientEMS veröffentlicht, das eine kritische SQL-Injection-Schwachstelle (CVE-2026-21643) behebt. Die Schwachstelle erlaubt es einem entfernten, nicht authentifizierten Angreifer, über speziell präparierte HTTP-Anfragen beliebigen Code auf dem Verwaltungsinterface auszuführen. Der CVSS-Score beträgt 9,1 (kritisch). Die Schwachstelle wird nach Angaben von Fortinet bereits aktiv ausgenutzt.

Technische Details

Bei CVE-2026-21643 handelt es sich um eine SQL-Injection-Schwachstelle (CWE-89) in der administrativen Oberfläche von FortiClientEMS. Aufgrund einer unzureichenden Neutralisierung spezieller Elemente in SQL-Befehlen kann ein entfernter, nicht authentifizierter Angreifer über speziell gestaltete HTTP-Anfragen beliebigen Code oder nicht autorisierte Befehle ausführen. Die Ausnutzung erfordert keine Benutzerinteraktion und keine besonderen Zugriffsrechte.

CVSS-Vektor: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:F/RL:O/RC:C

Die Schwachstelle wurde intern von Gwendal Guégniaud des Fortinet Product Security Teams entdeckt und am 6. Februar 2026 veröffentlicht.

Betroffene Systeme

• Fortinet FortiClientEMS 7.4.4

Folgende Versionen sind nicht betroffen: FortiClientEMS 8.0, FortiClientEMS 7.2

Empfehlungen und Maßnahmen

Fortinet empfiehlt, das Sicherheitsupdate umgehend einzuspielen:

1. Update auf FortiClientEMS 7.4.5 oder höher durchführen

Da die Schwachstelle einen CVSS-Score von 9,1 (kritisch) aufweist, keine Authentifizierung für die Ausnutzung erforderlich ist und eine aktive Ausnutzung in freier Wildbahn beobachtet wurde, sollte die Installation des Patches mit höchster Priorität erfolgen. Bis zur Installation des Updates sollten betroffene Systeme nur über stark eingeschränkte Zugriffskontrollen erreichbar sein.

Quellen

• Fortinet PSIRT Advisory: FG-IR-25-1142
• NVD: CVE-2026-21643

Zusammenfassung

In Langflow, einem Tool zur Erstellung KI-gestützter Workflows und Agents, wurde eine kritische Sicherheitslücke entdeckt. Der POST-Endpunkt /api/v1/build_public_tmp/{flow_id}/flow erlaubt nicht authentisierten Angreifern die Ausführung von beliebigem Python-Code auf dem Server. Die Schwachstelle erreicht einen CVSS-Score von 9.3 (Critical).

Technische Details

Die Verwundbarkeit betrifft den Endpunkt /api/v1/build_public_tmp/{flow_id}/flow, der für öffentlich geteilte Flows konzipiert ist und daher keine Authentifizierung erfordert. Wenn ein Angreifer das optionale data-Parameter übergibt, verwendet der Endpunkt die vom Angreifer kontrollierten Flow-Daten anstelle der in der Datenbank gespeicherten Flow-Daten. Diese Daten enthalten Python-Code in Node-Definitionen, der anschließend ohne jegliche Sandboxing-Mechanismen an die exec()-Funktion übergeben wird.

Dies unterscheidet sich von CVE-2025-3248, bei dem der /api/v1/validate/code-Endpunkt durch Hinzufügen einer Authentifizierung geschlossen wurde. Der build_public_tmp-Endpunkt ist bewusst ohne Authentifizierung erreichbar für öffentliche Flows, akzeptiert jedoch fälschlicherweise vom Angreifer bereitgestellte Flow-Daten mit beliebigem ausführbarem Code.

Betroffene Systeme

• Produkt: Langflow (langflow-ai)
• Betroffene Versionen: Alle Versionen vor 1.9.0

Empfehlungen und Maßnahmen

1. Sofortmaßnahme: Aktualisieren Sie Langflow auf Version 1.9.0 oder neuer
2. Prüfung: Überprüfen Sie Ihre Systeme auf Anzeichen einer Kompromittierung
3. Netzwerksegmentierung: Stellen Sie sicher, dass der Langflow-Dienst nicht direkt aus dem Internet erreichbar ist, falls ein Upgrade nicht sofort möglich ist
4. Monitoring: Überwachen Sie Zugriffe auf den Pfad /api/v1/build_public_tmp/ in Ihren Logs

Quellen

• GitHub Security Advisory GHSA-vwmf-pq79-vjvx
• Commit 73b6612
• GitHub Advisory GHSA-rvqx-wpfh-mfx7

Zusammenfassung

In Splunk Enterprise wurde eine kritische Schwachstelle (CVE-2026-20253, CVSS 9.8) entdeckt, die es einem nicht authentifizierten Angreifer ermöglicht, beliebige Dateien auf dem Zielsystem zu erstellen oder zu kürzen. Die Sicherheitslücke befindet sich im PostgreSQL Sidecar Service Endpoint, dem Authentifizierungsmechanismen fehlen. Splunk ist im Juni 2026 eine begrenzte aktive Ausnutzung dieser Schwachstelle bekannt geworden.

Technische Details

Die Schwachstelle existiert in Splunk Enterprise 10.2 (vor 10.2.4) und 10.0 (vor 10.0.7). Der PostgreSQL Sidecar Service Endpoint führt Dateioperationen ohne Authentifizierung durch, sodass jeder Netzwerkteilnehmer diese Operationen aufrufen kann. Der CVSSv3.1-Score beträgt 9.8 (Critical) mit dem Vektor CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H, was eine vollständige Kompromittierung von Vertraulichkeit, Integrität und Verfügbarkeit bedeutet. Splunk Enterprise 9.4 und früher sind nicht betroffen. Splunk Cloud Platform verwendet keine PostgreSQL Sidecars und ist ebenfalls nicht betroffen.

Betroffene Systeme

• Splunk Enterprise 10.2.0 bis 10.2.3
• Splunk Enterprise 10.0.0 bis 10.0.6

Nicht betroffen: Splunk Enterprise 10.4.0, 9.4 und früher, Splunk Cloud Platform.

Empfehlungen und Maßnahmen

Splunk empfiehlt dringend die Aktualisierung auf folgende gepatchte Versionen:

• Splunk Enterprise 10.2.4 oder höher
• Splunk Enterprise 10.0.7 oder höher
• Splunk Enterprise 10.4.0 oder höher

Falls ein sofortiges Upgrade nicht möglich ist, kann der PostgreSQL Sidecar Dienst deaktiviert werden. Fügen Sie folgende Konfiguration in $SPLUNK_HOME/etc/system/local/server.conf ein:

[postgresql]
disabled = true

Anschließend muss Splunk Enterprise neu gestartet werden. Diese Maßnahme sollte nicht angewendet werden, wenn Edge Processor, OpAmp oder SPL2-Datenpipelines auf der Instanz verwendet werden, da die Deaktivierung von PostgreSQL diese Funktionen beeinträchtigt. Kernfunktionen wie Suche, Indexierung und Dashboards sind nicht betroffen.

Quellen

• SVD-2026-0603: Unauthenticated Arbitrary File Creation and Truncation in a PostgreSQL Sidecar Service Endpoint
• Secure Splunk Enterprise
• Sidecar Configuration Settings

Zusammenfassung

Fortinet hat eine kritische Sicherheitslücke in FortiClientEMS (Endpoint Management Server) veröffentlicht, die unter CVE-2026-35616 geführt wird. Die Schwachstelle erlaubt es einem nicht authentifizierten Angreifer, durch manipulierte Anfragen beliebigen Code auszuführen. Der CVSS-Score beträgt 9.1 (Critical). Fortinet bestätigt, dass diese Lücke bereits aktiv ausgenutzt wird.

Technische Details

Bei CVE-2026-35616 handelt es sich um eine Schwachstelle durch unzureichende Zugriffskontrolle (CWE-284: Improper Access Control) in der API von FortiClientEMS. Ein entfernter, nicht authentifizierter Angreifer kann durch speziell präparierte Anfragen die Zugriffskontrollen umgehen und beliebigen Code mit den Privilegien des Dienstes ausführen. Dies ermöglicht eine vollständige Kompromittierung der Vertraulichkeit, Integrität und Verfügbarkeit des betroffenen Systems.

CVSS-Vektor: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:F/RL:O/RC:C

Betroffene Systeme

• FortiClientEMS 7.4.5
• FortiClientEMS 7.4.6

Nicht betroffen: FortiClientEMS 7.2.x, FortiClient Cloud und FortiSASE (alle wurden bereits von Fortinet remediert).

Empfehlungen und Maßnahmen

Fortinet empfiehlt betroffenen Kunden dringend, folgende Schritte umgehend durchzuführen:

1. Hotfix einspielen: Der Hotfix steht ab sofort zur Verfügung. Installationsanleitungen finden sich in den jeweiligen Release Notes.
2. Upgrade planen: Ein Upgrade auf FortiClientEMS 7.4.7 (sobald verfügbar) wird empfohlen, da dieses den permanenten Fix enthält.
3. Netzwerkzugriff einschränken: Die API-Schnittstellen sollten nur aus vertrauenswürdigen Netzwerken erreichbar sein.
4. Überwachung intensivieren: Auf ungewöhnliche API-Zugriffe und verdächtige Prozessausführungen achten.

Da diese Schwachstelle bereits aktiv ausgenutzt wird, sollte die Behebung mit höchster Priorität behandelt werden.

Quellen

• Fortinet PSIRT Advisory FG-IR-26-099: https://fortiguard.fortinet.com/psirt/FG-IR-26-099
• Release Notes FortiClientEMS 7.4.5: https://docs.fortinet.com/document/forticlient/7.4.5/ems-release-notes/832484
• Release Notes FortiClientEMS 7.4.6: https://docs.fortinet.com/document/forticlient/7.4.6/ems-release-notes/832484
• NVD: https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:F/RL:O/RC:C

Zusammenfassung

CVE-2026-3055 betrifft NetScaler ADC und NetScaler Gateway, die als SAML-Identity-Provider (IdP) konfiguriert sind. Aufgrund unzureichender Eingabevalidierung in den Endpunkten /saml/login und /wsfed/passive?wctx kommt es zu einem Memory Overread (CWE-125). Laut Analysen von watchTowr Labs wurden mindestens zwei separate Speicher-Overread-Schwachstellen unter dieser CVE-ID zusammengefasst.

Die Verwundbarkeit wird mit CVSS 9.3 (Critical) bewertet und ist seit dem 27. März 2026 nachweislich Gegenstand aktiver Ausnutzung durch bekannte Bedrohungsakteure. CISA hat die Schwachstelle in den Known Exploited Vulnerabilities (KEV)-Katalog aufgenommen und fordert Maßnahmen bis zum 2. April 2026.

Ein Angreifer kann durch gezielte HTTP-Anfragen Speicherinhalte des betroffenen Appliances auslesen – darunter administrative Session-IDs, die eine vollständige Übernahme des Geräts ermöglichen.

Technische Details

Die Schwachstelle befindet sich in der SAML-IdP-Implementierung von NetScaler. Ein Angreifer sendet eine GET-Anfrage an /wsfed/passive?wctx (oder /saml/login) ohne Wert für den Parameter wctx – d.h. ?wctx ohne =-Zeichen. Die Software prüft lediglich die Existenz des Parameters, nicht jedoch, ob dieser tatsächlich einen Wert besitzt. In der Folge wird auf einen Speicherbereich zugegriffen, der keine gültigen Daten enthält.

Die ausgelesenen Speicherdaten werden base64-kodiert im Cookie NSC_TASS in der HTTP-Antwort (HTTP 302 Redirect) zurückgegeben. Die Antwort enthält Kilobyte an fremden Speicherinhalten, darunter:

• HTTP-Header und Anfragedaten anderer Verbindungen
• Cookie-Werte anderer Benutzer
• Administrative Session-IDs (NSID)
• Interne Netzwerkinformationen

Ein patched Gerät antwortet dagegen lediglich mit einem HTTP 302 ohne NSC_TASS-Cookie.

watchTowr Labs hat einen öffentlichen Detection Artifact Generator (Python-Skript) veröffentlicht, der die Ausnutzbarkeit automatisiert prüft.

Betroffene Systeme

Folgende Produktversionen sind verwundbar, wenn das Gerät als SAML-IdP konfiguriert ist:

• NetScaler ADC 14.1 < 66.59
• NetScaler Gateway 14.1 < 66.59
• NetScaler ADC 13.1 < 62.23
• NetScaler Gateway 13.1 < 62.23
• NetScaler ADC 13.1 FIPS < 37.262
• NetScaler ADC 13.1 NDcPP < 37.262

Nicht betroffen sind Geräte, die nicht als SAML-IdP konfiguriert sind, sowie Versionen ab den genannten Patch-Leveln.

Empfehlungen und Maßnahmen

Sofortmaßnahmen (Priorität: Kritisch):

1. Patch einspielen: Aktualisieren Sie betroffene Systeme umgehend auf die behobenen Versionen:

   • NetScaler ADC/Gateway 14.1 → 14.1-66.59 oder höher
   • NetScaler ADC/Gateway 13.1 → 13.1-62.23 oder höher
   • NetScaler ADC 13.1 FIPS/NDcPP → 37.262 oder höher

2. KEV-Frist beachten: CISA fordert die Behebung bis zum 2. April 2026 (BOD 22-01).

3. Kompensierende Maßnahmen: Falls ein Patch nicht sofort eingespielt werden kann, deaktivieren Sie die SAML-IdP-Funktionalität oder schränken Sie den Zugriff auf die betroffenen Endpunkte (/saml/login, /wsfed/passive) auf vertrauenswürdige Quellen ein.

4. Überwachung: Überprüfen Sie Logs auf verdächtige Zugriffe auf /wsfed/passive?wctx ohne Wert sowie auf ungewöhnliche NSC_TASS-Cookie-Antworten.

5. Session-Reset: Ändern Sie nach dem Patch alle administrativen Passwörter und rotieren Sie Session-Tokens, da diese potenziell kompromittiert sein könnten.

Quellen

• Citrix Security Advisory CTX696300
• NVD Detailseite CVE-2026-3055
• watchTowr Labs: Teil 1 – Technische Analyse
• watchTowr Labs: Teil 2 – Zweite Schwachstelle und Exploitation
• CISA Known Exploited Vulnerabilities Catalog
• CVE Record CVE-2026-3055

Zusammenfassung

Am 19. März 2026 veröffentlichte ein Angreifer mit gestohlenen Credentials eine manipulierte Trivy v0.69.4 sowie bösartige Commits in den GitHub Actions aquasecurity/trivy-action und aquasecurity/setup-trivy. Die Attacke baut auf dem initialen Supply-Chain-Angriff auf, der Ende Februar 2026 begann. Die Credential-Rotation nach der ersten Offenlegung am 1. März war nicht atomar, sodass der Angreifer während des Rotationsfensters Secrets exfiltrieren und sich dauerhaften Zugriff verschaffen konnte.

Technische Details

Der Angreifer nutzte kompromittierte Credentials, um folgende Aktionen durchzuführen:

• Trivy v0.69.4: Veröffentlichung eines manipulierten Go-Binaries und Container-Images unter der offiziellen Release
• trivy-action: Force-Push von 76 von 77 Versionstags (0.0.1 – 0.34.2) mit Credential-stealing-Malware
• setup-trivy: Ersetzung aller 7 Tags (0.2.0 – 0.2.6) durch schädliche Commits

Die Credential-Rotation nach dem initialen Vorfall war nicht atomar – nicht alle Credentials wurden gleichzeitig widerrufen. Dadurch konnte der Angreifer während des Rotationsfensters (mehrere Tage) gültige Tokens nutzen, um neu rotierte Secrets abzugreifen und sich dauerhaften Zugang zu verschaffen.

Ein Indikator für eine Kompromittierung ist das Auftauchen eines Repositories namens tpcp-docs in der GitHub-Organisation des Opfers. Dies deutet darauf hin, dass der Fallback-Exfiltration-Mechanismus ausgelöst wurde.

Die Attacke steht im Zusammenhang mit der Kompromittierung der PyPI-Pakete telnyx und LiteLLM, die über denselben Angriffsvektor erfolgte.

Betroffene Systeme

Empfehlungen und Maßnahmen

1. Sofortiges Handeln: Falls eine kompromittierte Version in der eigenen Umgebung ausgeführt wurde, müssen alle Secrets, auf die betroffene Pipelines Zugriff hatten, als kompromittiert betrachtet und sofort rotiert werden.

2. Artefakte entfernen: Prüfen, ob Trivy v0.69.4 aus irgendeiner Quelle bezogen oder ausgeführt wurde. Entfernen Sie betroffene Artefakte umgehend.

3. Workflows überprüfen: Alle Workflows, die aquasecurity/trivy-action oder aquasecurity/setup-trivy verwenden, müssen auf Kompromittierung geprüft werden. Bei Verwendung von Versionstags (statt vollständiger Commit-SHA) sollten die Logs vom 19.–20. März 2026 auf Anomalien untersucht werden.

4. Repository-Prüfung: Suchen Sie in Ihrer GitHub-Organisation nach Repositories mit dem Namen tpcp-docs. Dessen Vorhandensein deutet auf erfolgreiche Secret-Exfiltration hin.

5. Prävention: GitHub Actions sollten ausschließlich mit vollständigen, unveränderlichen Commit-SHAs referenziert werden. Verwenden Sie keine mutierbaren Versionstags.

Quellen

• GitHub Security Advisory – Trivy (GHSA-69fq-xp46-6x23)
• GitHub Security Advisory – telnyx-python (GHSA-955r-262c-33jc)
• LiteLLM Security Issue
• LiteLLM Security Update März 2026
• FutureSearch – LiteLLM PyPI Supply Chain Attack
• Trivy Diskussion
• PyPI Advisory Database – LiteLLM
• PyPI Inspector – LiteLLM 1.82.7
• PyPI Inspector – LiteLLM 1.82.8
• Wiz Research – TeamPC/P-Angriff auf KICS GitHub Action

Zusammenfassung

Für die Webhosting-Software cPanel & WHM wurde eine kritische Sicherheitslücke (CVE-2026-41940) veröffentlicht, die alle Versionen nach 11.40 betrifft. Die Schwachstelle erlaubt einen Authentifizierungs-Bypass im Login-Ablauf, wodurch ein nicht authentifizierter Angreifer aus der Ferne vollständigen Zugriff auf das cPanel/WHM-Control Panel erlangen kann. Der CVSSv4-Score beträgt 9.3 (Critical). Der Sicherheitsforscher Sybre Waaijer hat die Schwachstelle verantwortungsvoll gemeldet.

Technische Details

Die Schwachstelle (CWE-306: Missing Authentication for Critical Function) liegt im Authentifizierungsmechanismus von cPanel und WHM. Ein nicht authentifizierter Angreifer kann durch Manipulation des Login-Flows eine bestehende Session übernehmen oder eine neue authentifizierte Session erstellen, ohne gültige Anmeldedaten zu besitzen. Die Ausnutzung erfolgt über die Ports 2083, 2087, 2095 und 2096.

Im Detail ermöglicht die Schwachstelle das Einschleusen von Session-Daten durch Newline-Injection in benutzerkontrollierte Felder. Ein Angreifer kann bösartige Session-Attribute wie successful_internal_auth_with_timestamp, hasroot=1 oder tfa_verified=1 in eine Badpass-Session einschleusen und sich so als authentifizierter Root-Benutzer ausgeben. Die Auswirkungen umfassen:

• Vollständige Übernahme des cPanel/WHM-Servers
• Zugriff auf alle gehosteten Accounts und Datenbanken
• Mögliche Kompromittierung der DNS- und Mail-Dienste
• Laterale Bewegung im Netzwerk

Betroffene Systeme

Betroffen sind alle cPanel & WHM Installationen ab Version 11.40, die noch nicht auf die gepatchten Versionen aktualisiert wurden:

Zusätzlich wurde für CentOS 6/CloudLinux 6 auf Version 110.0.50 ein direktes Update auf v110.0.103 bereitgestellt.

Empfehlungen und Maßnahmen

Sofortmaßnahmen:

1. Update einspielen – Führen Sie das Update umgehend aus:

   /scripts/upcp --force
   

2. Version prüfen und Dienst neustarten:

   /usr/local/cpanel/cpanel -V
   /scripts/restartsrv_cpsrvd --hard
   

3. Auf Kompromittierung prüfen – Nutzen Sie das von cPanel bereitgestellte Erkennungsskript ioc_checksessions_files.sh, das nach anomalen Session-Dateien sucht (badpass-Origin mit Authentifizierungsmarkern, token_denied-Zähler, malformed Session-Einträge).

4. Falls kein Update möglich ist, wenden Sie folgende Mitigationsmaßnahmen an:

   • Blockieren Sie eingehenden Traffic auf den Ports 2083, 2087, 2095 und 2096
   • Deaktivieren Sie Service-Subdomains:

     whmapi1 set_tweaksetting key=proxysubdomains value=0 && /scripts/proxydomains remove && /scripts/rebuildhttpdconf && /scripts/restartsrv_httpd
     

   • Stoppen Sie cpsrvd und cpdavd:

     whmapi1 configureservice service=cpsrvd enabled=0 monitored=0 && whmapi1 configureservice service=cpdavd enabled=0 monitored=0 && /scripts/restartsrv_cpsrvd --stop && /scripts/restartsrv_cpdavd --stop
     

5. Nach einer bestätigten Kompromittierung müssen alle Passwörter (Root- und WHM-Benutzer) zurückgesetzt, betroffene Sessions gelöscht und die Systeme auf Persistenz-Mechanismen (Cron, SSH-Keys, Backdoors) überprüft werden. Im Zweifel sollte der Server neu aufgesetzt und Accounts aus Backups wiederhergestellt werden.

Quellen

• cPanel & WHM Security Update 04/28/2026
• cPanel Release Notes
• WP Squared Changelog – Version 136.1.7
• Namecheap Status Update – Critical Security Vulnerability in cPanel
• VulnCheck Advisory – cPanel and WHM Authentication Bypass

Zusammenfassung

Zwischen dem 8. April und 5. Mai 2026 verbreitete die legitime Website daemon-tools.cc kompromittierte Installationspakete von DAEMON Tools Lite (Versionen 12.5.0.2421 bis 12.5.0.2434). Angreifer erlangten unbefugten Zugriff auf die Build- oder Distributionsinfrastruktur des Herstellers AVB Disc Soft und trojanisierten drei Binärdateien: DTHelper.exe, DiscSoftBusServiceLite.exe und DTShellHlp.exe. Die Dateien blieben mit dem legitimen AVB-Disc-Soft-Code-Signing-Zertifikat signiert, wodurch die manipulierten Installer vertrauenswürdig erschienen und signaturbasierte Erkennung umgingen. Der Vorfall wurde von Kasperskys Global Research and Analysis Team (GReAT) entdeckt und dokumentiert.

Technische Details

Betroffen sind Installationspakete von DAEMON Tools Lite für Windows, die über daemon-tools.cc im Zeitraum vom 8. April 2026 bis zum 5. Mai 2026 ausgeliefert wurden. Die Angreifer trojanisierten folgende Binärdateien:

• DTHelper.exe – Hilfsdienst mit Systemprivilegien
• DiscSoftBusServiceLite.exe – Systemdienst für die Emulation virtueller Laufwerke
• DTShellHlp.exe – Shell-Erweiterungshilfsprogramm

Durch die Verwendung des gestohlenen oder unter Umgehung der Infrastruktur genutzten Code-Signing-Zertifikats von AVB Disc Soft umgingen die manipulierten Binärdateien signaturbasierte Sicherheitslösungen und Trusted-Store-Prüfungen. Die Hintertür ermöglichte potenziell eine vollständige Kompromittierung betroffener Windows-Systeme, einschließlich der Fernausführung von Code, Datenerfassung und Persistenz-Mechanismen.

Die Version 12.6.0.2445 von DAEMON Tools Lite, veröffentlicht am 5. Mai 2026, enthält die manipulierten Dateien nicht mehr und gilt als sicher.

Betroffene Systeme

• Produkt: AVB Disc Soft DAEMON Tools Lite
• Betroffene Versionen: 12.5.0.2421 bis 12.5.0.2434 (einschließlich Version 12.5.1)
• Sichere Version: 12.6.0.2445 und höher
• Plattform: Microsoft Windows
• Auslieferungszeitraum: ca. 8. April 2026 bis 5. Mai 2026

Nicht betroffen sind DAEMON Tools Ultra, DAEMON Tools Pro sowie kostenpflichtige Versionen von DAEMON Tools Lite.

Empfehlungen und Maßnahmen

1. Sofortige Deinstallation: Entfernen Sie DAEMON Tools Lite, sofern eine betroffene Version (12.5.x) installiert ist.
2. System-Scan: Führen Sie einen vollständigen System-Scan mit aktueller Antivirensoftware durch.
3. Aktualisierung: Laden Sie die aktuelle Version 12.6.0.2445 ausschließlich von der offiziellen Website daemon-tools.cc herunter.
4. Indikatorprüfung: Überprüfen Sie folgende Binärdateien auf Manipulation: DTHelper.exe, DiscSoftBusServiceLite.exe, DTShellHlp.exe. Achten Sie auf ungewöhnliche Netzwerkverbindungen oder Systemaktivitäten.
5. Überwachung: Beobachten Sie Systeme auf Anzeichen einer Kompromittierung, insbesondere unautorisierte Netzwerkverbindungen und ungewöhnliche Prozessstarts.

Quellen

• Kaspersky Securelist: Popular DAEMON Tools software compromised
• DAEMON Tools Blog: Security Incident