Schlagwort: Threat Intelligence

React2Shell: eine glatte 10

Eine der Lieblingsbeschäftigungen für Personen aus der Threat-Intel-Szene ist es, sich griffige Namen für Schwachstellen zu überlegen. Oft handelt es sich um Komponenten (log4j) oder Angreifergruppierungen (Hafnium), manchmal finden sich auch Kombinationen. Anfang Dezember veröffentlichte React ein Advisory zu einer Schwachstelle in ihrer Serverkomponente. Diese ermöglicht einem nicht authentifizierten Angreifenden vollständige Codeausführung, sofern diese Komponente im Einsatz ist. Aus diesem Grund hat die Schwachstelle einen Score von 10 erhalten, das Maximum.

In diesem Fall wurde die Schwachstelle React2Shell genannt, eine Anspielung auf die Plattform und die Auswirkung. Es ist definitiv leichter zu merken als CVE-2025-55182. Wie auch immer sie genannt wird: Patchen!

https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components

https://www.cve.org/CVERecord?id=CVE-2025-55182

https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2025/2025-304569-1032.pdf?__blob=publicationFile&v=3

UK möchte Softwarehersteller in die Verantwortung ziehen

Große Sicherheitsvorfälle sind leider keine Seltenheit geworden. Oftmals entstehen sie aufgrund von Architekturfehlern und fehlender Sicherheitskonzeption bei der Planung. In Großbritannien wird gerade ein Vorschlag diskutiert, diese Lücke zu schließen. Ein großer Schmerzpunkt ist die Verallgemeinerung von Sicherheitsrisiken durch Unternehmen, der mit dem Vorschlag gelöst werden soll. Insbesondere soll verhindert werden, dass Unternehmen Software vertreiben, die nicht über ein Mindestmaß an Security verfügen. Ausschlaggebend soll die bestehende Publikation „Software Security Code of Practice“ der Regierung sein.

Auch die Meldepflichten sollen dort erweitert werden. Bisher gilt die Pflicht nur bei Ransomware-Angriffen, geplant ist jedoch eine Ausweitung auf alle Arten von Angriffen. In der Praxis muss das noch detaillierter beleuchtet werden, um nicht einen DDoS-Angriff auf die staatlichen Institutionen zu erzeugen, aufgrund der Menge an gemeldeten Phishing-Versuchen.

All diese Regelungen befinden sich zwar noch in einer frühen Diskussionsphase, es gab aber in der Vergangenheit bereits Fälle, in denen staatliche Regelungen und Vorschläge von anderen Jurisdiktionen übernommen wurden. Es lohnt sich also, die Entwicklung im Auge zu behalten.

https://therecord.media/software-companies-liable-britain-security

RAMses II: Erneute Technik-Knappheit

Der KI-Hype hat viele Auswirkungen auf unseren Alltag. Dadurch reduziert sich nicht nur die Qualität der Google-Suchergebnisse, sondern auch die Verfügbarkeit von RAM-Chips auf dem freien Markt. Wichtig anzumerken ist allerdings, dass DRAM (Dynamic Random Access Memory) in wesentlich mehr Produkten als in RAM-Modulen steckt.

Auch SSDs besitzen DRAM-Caches, Grafikkarten VRAM, und auch Smartphones und Embedded-Geräte sind darauf angewiesen. Mittelfristig dürften sich die massiven Preiserhöhungen also auch auf andere Produkte niederschlagen.

Doch warum schreiben wir darüber in einem Security Digest? Migrationen, IT-Infrastruktur-Planungen und Client-Systeme dürften die ein oder andere Kosten/Nutzen-Rechnung mittelfristig infrage stellen. Die Einschränkungen können Auswirkungen auf die Verfügbarkeit von Systemen und die Arbeitsfähigkeit von Mitarbeitenden haben, wenn diese essenziellen Komponenten ausfallen.

https://www.hardwareluxx.de/index.php/news/allgemein/wirtschaft/67674-bessere-margen-samsung-verschiebt-kapazit%C3%A4ten-hin-zu-dram.html

https://www.igorslab.de/lagebild-dram-module-ende-oktober-2025-horror-zu-halloween-und-truebe-aussichten