ShareFile: Zwei Lücken zur Pre-Auth-RCE verkettet

watchTower Labs hat in Progress ShareFile zwei Schwachstellen offengelegt, die sich zu einer vorauthentifizierten Remote-Code-Ausführung kombinieren lassen. CVE-2026-2699 ist ein Authentifizierungs-Bypass über den Endpunkt “/ConfigService/Admin.aspx”, CVE-2026-2701 eine nachauthentifizierte Remote-Code-Ausführung. Verkettet können Angreifer die Authentifizierung umgehen und Web-Shells hochladen. Progress stellte die Korrekturen mit dem am 10. März 2026 veröffentlichten Storage Zone Controller 5.12.4 bereit. Rund 30.000 Instanzen sind über das Internet erreichbar, was das Einspielen der Patches dringlich macht.

NoVoice: Android-Rootkit über 50 Apps verteilt

Laut McAfee Labs wurde die Android-Malware NoVoice über mehr als 50 Apps verbreitet, die zusammen mindestens 2,3 Millionen Mal heruntergeladen wurden. Die Apps gaben sich als Werkzeuge, Bildergalerien und Spiele aus und boten die beworbene Funktion auch tatsächlich. Im Hintergrund versuchte die Malware, durch das Ausnutzen von 22 Android-Schwachstellen mit Patches aus den Jahren 2016 bis 2021 Root-Zugriff zu erlangen.

“Gelingen die Exploits, übernimmt die Malware die vollständige Kontrolle über das Gerät”, erklärte McAfee Labs. Anschließend werde in jede geöffnete App von Angreifern kontrollierter Code eingeschleust, um App-Daten auszulesen und an eigene Server abzuführen. NoVoice meidet Geräte in bestimmten Regionen wie Peking und Shenzhen und führt mehr als ein Dutzend Prüfungen auf Emulatoren, Debugger und VPNs durch. Über einen entfernten Server lädt es passende Exploits nach, deaktiviert SELinux und verändert als Rootkit Systembibliotheken, um Schadcode beim Öffnen bestimmter Apps auszuführen, beliebige Apps zu installieren und sich dauerhaft einzunisten.

Eines der betroffenen Programme ist WhatsApp, dessen Daten die Malware unmittelbar nach dem Start abgriff. Es gibt gewisse Überschneidungen mit Triada. Google hat die Apps inzwischen entfernt. Die höchste Konzentration an Infektionen wurde in Nigeria, Äthiopien, Algerien, Indien und Kenia gemeldet.

FBI warnt vor im Ausland entwickelten Apps

Das FBI warnt vor Datenschutzrisiken durch im Ausland, insbesondere in China, entwickelte Mobil-Apps. Apps mit digitaler Infrastruktur in China unterlägen den dortigen Sicherheitsgesetzen, was der chinesischen Regierung potenziell Zugriff auf Nutzerdaten ermögliche. Zudem könnten solche Apps Kontaktdaten abgreifen, Daten auf chinesischen Servern speichern oder Schadcode enthalten, der bekannte Schwachstellen ausnutzt und eine Hintertür für erweiterte Rechte einrichtet. Konkrete Apps nannte das FBI nicht.

CloudTrail-Umgehung und Lieferketten-Angriffe

Laut Abstract Security umgehen Angreifer klassische CloudTrail-Erkennungen wie StopLogging oder DeleteTrail und nutzen stattdessen weniger bekannte AWS-APIs, um die Protokollierung zu blenden – etwa PutEventSelectors, StopEventDataStoreIngestion oder DeleteResourcePolicy. “Das eigentliche Risiko liegt in der Abfolge: Einzeln wirken diese API-Aufrufe wie Routinewartung, doch aneinandergereiht ermöglichen sie es Angreifern, Spuren zu löschen und der Erkennung vollständig zu entgehen”, so das Unternehmen.

Die Zahl der Malware-Hinweise in Open-Source-Ökosystemen ist laut Endor Labs seit Januar 2024 um das 13,6-Fache gestiegen. Von 1.011 in der OSV-Datenbank erfassten npm-Account-Übernahmen entfielen 930 auf 2025. Zudem tauchte die Gruppe LofyGang mit dem gefälschten npm-Paket “undicy-http” wieder auf, das laut JFrog einen Node.js-basierten Fernzugriffstrojaner und eine native Windows-Binärdatei zum Diebstahl von Zugangsdaten ausliefert.