Lücken am Fließband
Als ich von der Sache las, habe ich nicht weitergelesen, sondern als Erstes meine eigene selbst gehostete Git-Instanz geprüft — eine ältere Version, also genau die Sorte, die man im Alltag aus den Augen verliert. Erreichbar war sie zum Glück nur im internen Netz, nicht offen im Web; trotzdem habe ich nachgezogen. Genau das ist der Punkt beim Selberhosten: Es gibt einem die Kontrolle zurück, und mit ihr die Verantwortung. Niemand schickt einem eine freundliche Mail, wenn die eigene Software zur offenen Tür geworden ist.
Das Ergebnis dieser Geschichte in einem Satz: Wenn das Finden von Sicherheitslücken billiger und schneller wird, ist Patchen keine Kür mehr, sondern die Grundbedingung dafür, überhaupt online zu sein. Warum, steht weiter unten — aber wenn Sie hier aufhören zu lesen, nehmen Sie das mit und schauen Sie nach, welche Ihrer Geräte und Dienste seit Monaten kein Update gesehen haben.
Was war passiert? Ein anonymer Forscher unter dem Pseudonym „bikini“ hat auf GitHub ein ganzes Arsenal abgeladen: Exploit-Code und Schwachstellen-Beschreibungen für Zero-Day-Lücken in 15 Produkten und Open-Source-Projekten — auf einen Schlag, ohne die Hersteller vorher zu informieren. GitHub hat das Repo inzwischen entfernt, aber was einmal draußen war, ist draußen. Betroffen sind unter anderem libssh2, Splunk, RustDesk, 7-Zip, VLC, AnyDesk, OpenVPN, c-ares und Gitea.
Zwei der Lücken werden bereits aktiv ausgenutzt. Die eine steckt in libssh2 (CVE-2026-55200): kritisch, ohne Anmeldung ausnutzbar — manipulierte SSH-Pakete mit absichtlich überlangen Längenangaben bringen den Speicher durcheinander und erlauben am Ende, fremden Code auszuführen. Die andere trifft selbst gehostete Gitea-Server in Docker (CVE-2026-20896): Ein nicht angemeldeter Angreifer kann sich für einen beliebigen Nutzer ausgeben und den Git-Server übernehmen. Behoben ist das in Gitea 1.26.3. Das war die Lücke, die mich an meinen eigenen Server denken ließ.
Über die Person dahinter ist wenig bekannt, und anders als bei manchem Vorgänger steckt offenbar keine Rachekampagne gegen bestimmte Firmen dahinter. Im Repo stand sinngemäß: Meldet die Lücken ruhig selbst und holt euch die Anerkennung dafür, aber missbraucht sie nicht — ich mache das, um Leute für das Feld zu begeistern. Man kann das als selbstgerechte Ausrede lesen oder als ehrliche Geste. Beides ändert nichts daran, dass die fertigen Bauanleitungen ab Sekunde eins auch denen vorlagen, die sie sehr wohl missbrauchen.
Das eigentlich Bemerkenswerte ist aber nicht die Veröffentlichung. Es ist der Verdacht, wie diese Lücken gefunden wurden. Ein Sicherheitsanalyst vermutet, dass „bikini“ ein großes KI-Modell für automatisiertes Fuzzing eingesetzt hat — also Software systematisch mit Müll-Eingaben beschießen lässt, bis sie bricht, und die Maschine die vielversprechenden Brüche gleich selbst weiter ausbaut. Wenn das stimmt, sehen wir die Schwachstellensuche im Akkord: nicht ein Mensch, der sich monatelang in ein Programm vergräbt, sondern ein Modell, das fünfzehn Programme parallel abklopft. Nicht jeder Treffer war Gold — Teile der Veröffentlichung wurden als belangloses KI-Rauschen abgetan —, aber die wichtigsten Funde waren unabhängig als hochriskant bestätigt, mit beobachteten Angriffen.
Und damit zurück zum Anfang. Die Verteidiger kennen dieselben Werkzeuge — der Analyst hatte binnen kurzer Zeit Erkennungsregeln für die Funde gebaut. Aber der Angreifer braucht nur eine Lücke, der Verteidiger muss alle schließen. Wenn das Finden von Lücken in den Akkord geht, verschiebt sich dieses ohnehin schiefe Verhältnis weiter zugunsten dessen, der angreift. Diesmal kam die Erinnerung daran in Form einer Schlagzeile. Beim nächsten Mal vielleicht nicht.
Quelle: The Register — Anonymous researcher drops 0-day 'exploitarium' repo
▸ KI & Macht · ▸ Security