End-of-Day report
Timeframe: Dienstag 26-05-2026 18:00 - Mittwoch 27-05-2026 18:00
Handler: Guenes Holler
Co-Handler: Alexander Riepl
News
Millions of AI agents imperiled by critical vulnerability in open source package
"BadHost" was found in Starlette, a package with 325 million weekly downloads.
https://arstechnica.com/information-technology/2026/05/millions-of-ai-agents-imperiled-by-critical-vulnerability-in-open-source-package/
KnowledgeDeliver flaw exploited as a zero-day to install web shells
Hackers exploited a critical zero-day vulnerability in a server running the KnowledgeDeliver learning management system (LMS) to deploy the Godzilla web shell.
https://www.bleepingcomputer.com/news/security/knowledgedeliver-flaw-exploited-as-a-zero-day-to-install-web-shells/
Messenger-App: Schwachstelle in Signal kann Datenlöschung verhindern
Wegen einer Schwachstelle beim Logging von Löschanfragen könnten Signal-Nachrichten auch nach Jahren wiederherstellbar sein.
https://www.golem.de/news/messenger-app-schwachstelle-in-signal-kann-datenloeschung-verhindern-2605-209008.html
(g+) F5 BIG-IP APM: Ein alter DoS-Patch kehrt als RCE zurück
F5 stuft CVE-2025-53521 von DoS auf RCE hoch, Angreifer hatten Zugang zum Quellcode. Die dringendste Frage für Admins: Sind BIG-IP-APM-Instanzen direkt aus dem Internet erreichbar?
https://www.golem.de/news/f5-big-ip-apm-ein-alter-dos-patch-kehrt-als-rce-zurueck-2605-209075.html
MuddyWater Uses DLL Side-Loading in Espionage Campaign Targeting 9 Countries
The Iranian hacking group known as MuddyWater has been linked to a new campaign affecting at least nine organizations across nine countries on four continents in the first quarter of 2026.
https://thehackernews.com/2026/05/muddywater-uses-dll-side-loading-in.html
Gitea Vulnerability Exposes Private Container Images without Authentication
Cybersecurity researchers have disclosed a security flaw in Gitea, an open-source, self-hosted platform for version control, that allows unauthenticated remote attackers to pull private container images from Gitea deployments without requiring an account, password, or other credentials.
https://thehackernews.com/2026/05/gitea-vulnerability-exposes-private.html
GlassWorm Malware Takedown Disrupts Developer Supply Chain Attack Infrastructure
CrowdStrike, in partnership with Google and the Shadowserver Foundation, has announced the simultaneous disruption of all command-and-control (C2) channels associated with GlassWorm, a persistent software chain campaign targeting software developers through malicious packages and extensions.
https://thehackernews.com/2026/05/glassworm-malware-takedown-disrupts.html
Umstrittene Befugnisse: BKA erhält Zugriff auf Angreifer-Infrastruktur
Das Kabinett hat den Weg für neue Befugnisse freigemacht: Das Bundeskriminalamt soll künftig IT-Systeme von Angreifern stören oder zerstören dürfen.
https://www.heise.de/news/Hackback-Erlaubnis-Kabinett-macht-Weg-frei-11308323.html
Fake-Anwaltskanzlei: Letzte außergerichtliche Zahlungsaufforderung als Druckmittel
Ein angeblich telefonisch abgeschlossenes Abo bei einem Gewinnspielunternehmen. Ausstehende Zahlungen und eine letzte Möglichkeit, die Sache außergerichtlich zu klären. Mit dieser Geschichte wollen Kriminelle ans Geld ihrer Opfer. Die dazugehörige Nachricht vom (Fake-)Anwalt kommt per E-Mail - oder per Post.
https://www.watchlist-internet.at/news/fake-anwaltskanzlei-zahlungsaufforderung/
FBI warns of Kali365 phishing kit that breaks into Microsoft 365 accounts - no password required
So, youve enabled multi-factor authentication. Youve taught your staff never to type their passwords into dodgy-looking login pages. Surely your Microsoft 365 accounts are safe now? Well, think again.
https://www.bitdefender.com/en-us/blog/hotforsecurity/fbi-kali365-phishing-kit-breaks-microsoft-365-accounts-no-password-required
BTMOB: A stealthy RAT burrowing deep into Android devices
The malware pairs remote access capabilities with ready-made campaign tools, lowering the barrier for full device compromise
https://www.welivesecurity.com/en/malware/btmob-stealthy-rat-burrowing-deep-android-devices/
Trojanized Gemini and Claude Installers Target Developers Via SEO Poisoning
Cybercriminals are using SEO poisoning and fake Gemini and Claude installer sites to infect developers with fileless malware and steal data.
https://hackread.com/trojan-gemini-claude-installers-developers-seo-poisoning/
OverlayPhantom Android Banking Trojan Targets 180+ Financial Apps Across 10 Countries
A newly discovered Android banking trojan known as OverlayPhantom is raising concerns among cybersecurity researchers after evidence revealed that the malware is actively targeting banking, financial, and cryptocurrency users across multiple Western countries.
https://thecyberexpress.com/overlayphantom-android-banking-trojan/
Trotz fehlender Patches: Russland setzt weiterhin massiv auf Microsoft Exchange
Zahlreiche russische Unternehmen haben wohl noch Exchange und andere westliche Software im Einsatz. Patches bekommen sie dafür aber schon lange nicht mehr.
https://www.golem.de/news/trotz-fehlender-patches-russland-setzt-weiterhin-massiv-auf-microsoft-exchange-2605-209083.html
Vulnerabilities
Ausnutzung wahrscheinlich: Kritische Nginx-Lücke gefährdet unzählige Webserver
Erst vor wenigen Tagen hatten Forscher von Depthfirst eine Nginx Rift genannte Sicherheitslücke in der weit verbreiteten Webserver-Software Nginx aufgedeckt, mit der Angreifer anfällige Systeme temporär unerreichbar machen und manchmal sogar Schadcode zur Ausführung bringen können. Jetzt hat der Nginx-Entwickler F5 noch eine weitere Lücke gepatcht, die weitgehend über die gleichen Eigenschaften verfügt.
https://www.golem.de/news/ausnutzung-wahrscheinlich-kritische-nginx-luecke-gefaehrdet-unzaehlige-webserver-2605-209060.html
UniFi OS Server: Kritische Sicherheitslücken ermöglichen Angriffe
In der zentralen Verwaltungsplattform und dem Betriebssystem für UniFi-Geräte UniFi OS Server klaffen mehrere Sicherheitslücken - teils mit Höchstwertung beim Risiko. Es stehen Updates zur Verfügung, die die Lücken schließen. Wer betroffene UniFi-Geräte einsetzt, sollte mit dem Installieren der Aktualisierungen nicht lange warten.
https://www.heise.de/news/UniFi-OS-Server-Kritische-Sicherheitsluecken-ermoeglichen-Angriffe-11307509.html
7-Zip: Update schließt Codeschmuggel-Lücke
Das populäre Packprogramm 7-Zip enthält eine Schwachstelle, die das Einschleusen von Schadcode ermöglicht. Ein Update steht bereit.
https://www.heise.de/news/7-Zip-Update-schliesst-Codeschmuggel-Luecke-11308241.html
Fehler in Docker Model Runner erlaubt Sandboxausbruch unter macOS
Nutzen Angreifer eine Sicherheitslücke in Docker unter macOS erfolgreich aus, können sie aus der Sandbox ausbrechen und Schadcode im Hostsystem ausführen. Eine dagegen gerüstete Version steht zum Download bereit.
https://www.heise.de/news/Fehler-in-Docker-Model-Runner-erlaubt-Sandboxausbruch-unter-macOS-11308267.html
LiteSpeed cPanel-Plugin: Angriffe auf Schwachstelle beobachtet
Im LiteSpeed-Plugin für cPanel klafft eine Sicherheitslücke, die der Hersteller als kritisch einstuft. Die US-amerikanische IT-Sicherheitsbehörde CISA warnt, dass Angriffe darauf beobachtet wurden. Aktualisierte Software steht bereit.
https://heise.de/-11307435
CVE-2026-48131 - VPND IKE Fragment Reassembly - Heap Out-of-Bounds Write via Sequence Number Zero
https://support.checkpoint.com/results/sk/sk184981
CVE-2026-48132 - VPN service may restart unexpectedly when processing IKE traffic over NAT-T 4500/UDP
https://support.checkpoint.com/results/sk/sk184982
CVE-2026-48133 Identity Awareness Captive Portal - Unauthenticated Local File Inclusion
https://support.checkpoint.com/results/sk/sk184993
CVE-2026-48134 - SQL injection issue in UserCheck Portal when DLP is active
https://support.checkpoint.com/results/sk/sk184983
CVE-2026-48135 - HTTP service can incorrectly process malformed HTTP requests
https://support.checkpoint.com/results/sk/sk184991
CVE-2026-48136 - Authenticated Administrator Role-Based Access Control Bypass in Compliance
https://support.checkpoint.com/results/sk/sk184992
LWN Security updates for Wednesday
https://lwn.net/Articles/1074840/