November 2025 Threat Report: Datendiebstahl führt zu einer volatilen Ransomware-Landschaft

War der November 2025 ein ruhiger Monat für die Cybersicherheit? Nein, natürlich nicht. Die Auswirkungen der Oracle EBS-Ransomware-Kampagnen, die im Oktober begannen, waren weitreichend: Allein das Cl0p-Syndikat hat über 29 Organisationen angegriffen, insgesamt gab es über 100 Opfer. Dazu gehörten Envoy Air (eine Tochtergesellschaft von American Airlines), Cox Enterprises, Logitech, die Harvard University, die Washington Post, Allianz UK, Schneider Electric, Mazda, Canon, der britische National Health Service (NHS), die University of the Witwatersrand, das Dartmouth College und andere. Eine kostenlose Testversion von Greenbones OPENVAS BASIC bietet Verteidigern Zugang zu wichtigen Cybersicherheitsfunktionen. Scannen Sie Ihre IT-Umgebung mit dem OPENVAS ENTERPRISE FEED von Greenbone und profitieren Sie noch heute von branchenführender Abdeckung.

Im Threat Report dieses Monats werden wir die neuesten Bedrohungen für die Cybersicherheit von Unternehmen im November 2025 untersuchen, darunter einige der riskantesten neuen Software-Schwachstellen. Datendiebstahl und Erpressung sind ebenfalls aktuelle Themen, da Ransomware-Angriffe im Jahr 2025 weiter zunehmen. Neue Vorschriften und zivilrechtliche Präzedenzfälle kommen ebenfalls ins Spiel und erhöhen die potenziellen finanziellen Kosten für Unternehmen, die private Daten preisgeben.

Es ist Zeit, erneut über Datendiebstahl zu sprechen

Der Threat Report vom Mai 2025: Hack, Rinse, Repeat untersuchte, wie gestohlene Daten nachfolgende Cyberangriffe ermöglichen, indem sie Kontext für gezielte Social-Engineering-Kampagnen und sensible Informationen über die IT-Infrastruktur eines Unternehmens liefern. Alternativ können gestohlene Daten direkt für Zahlungskartenbetrug oder Identitätsdiebstahl verwendet werden, was sich negativ auf die einzelnen Opfer auswirkt.

Jeden Tag werden weltweit mehrere große Datenverstöße bekannt. Das Identity Theft Resource Center (ITRC) hat allein in den USA in der ersten Hälfte des Jahres 2025 1.732 öffentlich gemeldete Datenverstöße (≈9,6 pro Tag) erfasst. Der im Oktober veröffentlichte Bericht „ENISA Threat Landscape 2025” verzeichnete 4.875 Vorfälle in der EU von Juli 2024 bis Juni 2025 (≈13,4 pro Tag). Der „European Threat Landscape Report 2025” von CrowdStrike behauptet, dass 92 % der Ransomware-Opfer in der EU auf einer Data Leak Site (DLS) gelistet waren, die mit verschlüsselungsbasierten Erpressungs- und Datendiebstahl-Erpressungstaktiken in Verbindung steht, während 8 % der Opfer auf DLS Ransomware-Gangs gelistet waren, die sich ausschließlich auf Datendiebstahl verlassen.

Wohin führt das alles? Erstens sollen neue EU-Vorschriften Organisationen mit Strafmaßnahmen dazu bewegen, ihre Cybersicherheit zu verbessern. Der Digital Operational Resilience Act (DORA) verlangt von Finanzinstituten, sowohl ihre eigene Cybersicherheit als auch die von externen IKT-Unternehmen zu bewerten. Der Deutsche Bundesrat hat dem Gesetz zur Umsetzung der NIS-2-Richtlinie nichts entgegengesetzt, welches Geldstrafen und sogar persönliche Haftung für Führungskräfte und Vorstände von Unternehmen vorsieht, die unter die EU-Vorschriften fallen. Die Durchsetzung von NIS 2 wird für Ende 2025 bis Anfang 2026 erwartet.

Auch die von Datenverstößen betroffenen Personen melden sich zu Wort. Die Zahl der Rechtsstreitigkeiten im Zusammenhang mit Datenschutzverletzungen erreichte 2024 einen Rekordwert (≈124 pro Monat) und stieg bis 2025 weiter an. Anfang 2025 gab Conduent Business Solutions den Diebstahl von personenbezogenen Gesundheitsdaten (PHI) von mehr als 10,5 Millionen amerikanischen Personen bekannt. Im Oktober 2025 wurden die Opfer benachrichtigt, und seitdem wurden zehn Sammelklagen eingereicht. Im November entschied ein US-Berufungsgericht, dass die Veröffentlichung von Führerscheinnummern im Internet einem „konkreten” Schaden gleichkommt, was das Risiko für Unternehmen, die Daten preisgeben, weiter erhöht.

Auf die eine oder andere Weise verhängen die zuständigen Behörden höhere finanzielle Kosten für Unternehmen, die keine angemessenen Cybersicherheitsmaßnahmen implementieren. Als grundlegende IT-Sicherheitskontrolle bietet das risikobasierte Schwachstellenmanagement weitreichende Vorteile: Es reduziert den unbefugten Erstzugriff auf kritische IT-Ressourcen, wehrt Massenangriffe ab, verhindert Denial-of-Service-Angriffe (DoS) und trägt zur Eindämmung fortgeschrittener Social-Engineering-Angriffe bei. Außerdem verringert es die Folgeschäden einer Sicherheitsverletzung, falls es doch einmal zu einer solchen kommen sollte.

Unbekannte Geräte: Ein weiterer Grund, Ihre IT-Infrastruktur zu scannen

Neu auftretende Software-Schwachstellen sind nicht der einzige Grund, die IT-Infrastruktur Ihres Unternehmens kontinuierlich zu scannen. Ein aktueller Strafprozess gegen Nordex, einen niederländischen Windparkbetreiber, zeigt, wie leicht sich unbekannte Geräte in Produktionsnetzwerke einschleichen können. Laut Urteil schloss ein Manager des Unternehmens heimlich drei Cryptocurrency-Mining-Rigs und zwei Helium-Netzwerkknoten an interne Systeme an zwei Standorten an. Der inzwischen verurteilte Betreiber schloss die Miner an einen Router in einem Umspannwerk an und versteckte die WLAN-Hotspots in Windkraftanlagen. Die Rogue-Geräte wurden erst entdeckt, als Nordex sich von einem mit Conti in Verbindung stehenden Ransomware-Vorfall aus dem Jahr 2022 erholte.

Kontinuierliches Scannen der Infrastruktur ist wichtig: Nicht autorisierte Hardware kann auf geringfügige Verstöße gegen Richtlinien hinweisen, aber auch auf böswillige Insider oder externe Bedrohungen, die sich unbefugten Zugriff verschafft haben. OPENVAS SCAN ist mit Konfigurationen für Erkennungsscans ausgestattet, die Warnmeldungen ausgeben, wenn neue Geräte in einem Netzwerk erscheinen oder wenn kritische Systeme ausfallen.

DNS-Risiko durch neue Cache-Poisoning-Sicherheitslücke in BIND 9

CVE-2025-40778 und CVE-2025-40780 (beide CVSS 8.6) sind nicht authentifizierte Schwachstellen in rekursiven Resolvern von BIND 9, die Remote-DNS-Cache-Poisoning und Datensatzfälschungen ermöglichen. Eine dritte Schwachstelle, CVE-2025-8677 (CVSS 7.5), ermöglicht Denial-of-Service-Angriffe durch CPU-Auslastung. Cache-Poisoning-Fehler zielen auf die Art und Weise ab, wie rekursive Resolver Antworten im Speicher zwischenspeichern. Wenn ein Resolver mit einem bösartigen DNS-Eintrag vergiftet wird, werden User bis zum Ablauf der TTL auf die bösartige IP umgeleitet.

BIND 9 ist ein weit verbreiteter Open-Source-DNS-Server, der vom Internet Systems Consortium (ISC) entwickelt und gepflegt wird. Er wird besonders häufig für On-Prem- und ISP-/Unternehmensbereitstellungen eingesetzt. Obwohl keine Exploits in freier Wildbahn gemeldet wurden, gibt es für CVE-2025-40778 einen öffentlichen Proof-of-Concept (PoC) [1] und weltweit wurden zahlreiche nationale CERT-Warnungen herausgegeben [2][3][4][5][6][7][8].

Greenbone bietet Erkennungsprüfungen für alle drei CVEs für mehrere Linux-Distributionen und Hardwaregeräte. Allgemein gesagt sind viele BIND 9-Versionen zwischen 9.11 und 9.21, einschließlich einiger Supported Preview (S1)-Builds, anfällig. Spezifische Informationen zu den betroffenen Produkten finden Sie in den Sicherheitshinweisen von ISC [9][10][11].

2 Jahre alte Linux-Use-After-Free-Sicherheitslücke ist nun eine Ransomware-Bedrohung

CVE-2024-1086 (CVSS 7.8, EPSS > 99. Perzentil), veröffentlicht Anfang 2024, wird nun für Ransomware-Angriffe genutzt. Die CVE steht seit Mitte 2024 auf der KEV-Liste der CISA und wurde im November 2025 für die Verwendung in Ransomware-Angriffen markiert. CVE-2024-1086 ist eine Use-after-free-Sicherheitslücke [CWE-416], welche die lokale Rechteausweitung auf Root, sowie die Ausführung beliebigen Codes auf Kernel-Ebene ermöglicht. Die Sicherheitslücke befindet sich im Linux-Kernel netfilter/nf_tables und betrifft Kernel vor Version 6.1.77. Ein öffentlicher PoC ist seit März 2024 verfügbar [1].

Greenbones OPENVAS ENTERPRISE FEED und COMMUNITY FEED bieten seit Anfang 2024 Erkennung für CVE-2024-1086 in mehreren Linux-Distributionen.

CVE-2025-12480: Gladinet Triofox-Sicherheitslücke unter aktivem Angriff

CVE-2025-12480 (CVSS 9.1, EPSS >98. Perzentil) ist eine Sicherheitslücke in der Zugriffskontrolle [CWE-284] in Gladinet Triofox, die eine nicht authentifizierte Remote-Code-Ausführung (RCE) ermöglicht. Die Schwachstelle wird aktiv von der Bedrohungsgruppe UNC6485 ausgenutzt. Obwohl bisher noch keine erfolgreichen Ransomware-Angriffe gemeldet wurden, zeigen Analysen, dass Bedrohungsakteure Fernzugriffstools [T1219] importieren und nach Möglichkeiten für laterale Bewegungen [T1046] suchen. Eine vollständige technische Analyse wurde von Google Mandiant veröffentlicht, wodurch das Risiko einer Ausweitung der Ausnutzung steigt.

Die Angriffskette funktioniert durch die Bereitstellung einer bösartigen GET-Anfrage, die localhost im Host-Header angibt. Der HTTP-Host-Header wird für das Routing auf der Serverseite verwendet, kann jedoch gefälscht werden, da er nicht für das Routing über das Internet verwendet wird. CVE-2025-12480 kann auch als Origin Validation Error [CWE-346] betrachtet werden, da Triofox Anfragen an localhost ohne ordnungsgemäße Überprüfung automatisch vertraut. Dieser Spoofing-Angriff ermöglicht anschließend den Zugriff auf die Route AdminAccount.aspx, sensible Installationsskripte und Konfigurationsseiten. RCE wird schließlich erreicht, indem die Antiviren-Engine von Triofox ein Pfad zu vom Angreifer generierten Skripten bereitgestellt wird.

Die italienische nationale Cyberagentur ACN und Taiwans TWCERT haben Warnungen für CVE-2025-12480 herausgegeben [1][2]. Der OPENVAS ENTERPRISE FEED von Greenbone umfasst sowohl eine aktive Überprüfung als auch eine Versionsüberprüfung, um anfällige Systeme zu identifizieren. Benutzer sollten sofort auf die Triofox-Version 16.7.10368.56560 oder höher aktualisieren. Eine Abhilfe kann auch durch die Konfiguration einer WAF erreicht werden, die externe Anfragen ablehnt, die localhost im Host-Header angeben.

CVE-2025-61757: Nicht authentifizierter RCE in Oracle Identity Manager

CVE-2025-61757 (CVSS 9,8, EPSS > 98. Perzentil) ist eine RCE-Sicherheitslücke vor der Authentifizierung in Oracle Identity Manager (OIM) und Oracle Identity Governance (OIG). OIM ist die zentrale Provisioning- und Identitätslebenszyklus-Engine von Oracle, während OIG zusätzliche Governance-Funktionen wie Zugriffsüberprüfungen, Rollen-/SoD-Kontrollen, Analysen und mehr umfasst. CVE-2025-61757 wird aktiv ausgenutzt, es gibt mindestens einen öffentlichen PoC-Exploit und eine detaillierte technische Analyse ist verfügbar.

Die Ausnutzung für den ersten Zugriff auf OIM-Instanzen, die mit dem Internet verbunden sind, gilt als trivial; die Authentifizierung kann mit einer einzigen HTTP-Anfrage umgangen werden. Durch Hinzufügen von ?WSDL zur URL oder Anhängen von ;.wadl als Pfadparameter überspringt der SecurityFilter die Authentifizierungsprüfungen. Forschende nutzten diesen unbefugten API-Zugriff, um einen Endpunkt zu missbrauchen, der zur Syntaxprüfung von Groovy-Skripten durch Kompilieren vorgesehen ist. Obwohl das Groovy-Skript selbst nicht ausgeführt wird (sondern nur kompiliert), werden Code-Annotationen innerhalb des Skripts zur Kompilierungszeit ausgeführt, wodurch RCE ermöglicht wird.

Weltweit wurden mehrere nationale CERT-Warnungen für CVE-2025-61757 herausgegeben [1][2][3][4]. Der OPENVAS ENTERPRISE FEED von Greenbone enthält eine aktive Überprüfung, um die Anfälligkeit für CVE-2025-61757 mit einer speziell gestalteten HTTP-Anfrage zu überprüfen. Betroffen sind die Versionen 12.2.1.4.0 und 14.1.2.1.0 von OIM und OIG.

CentOS Web Panel (CWP) unter aktivem Angriff für RCE

CVE-2025-48703 (CVSS 9.0, EPSS >98. Perzentil) ist eine Schwachstelle für die Remote-Befehlsinjektion vor der Authentifizierung [CWE-78] in Control Web Panel / CentOS Web Panel (CWP). Die Ausnutzung erfordert die Kenntnis eines gültigen Nicht-Root-Usernames. Der Fehler wird durch eine Umgehung der Authentifizierung im Dateimanager-Endpunkt changePerm in Kombination mit einer OS-Befehlsinjektion über den nicht bereinigten Parameter t_total chmod verursacht. Infolgedessen könnte ein Angreifer als gültiger Benutzer eine Reverse-Shell erstellen. Eine vollständige technische Beschreibung und ein PoC wurden von Fenrisk veröffentlicht, der den Fehler entdeckt und gemeldet hat.

Im November hat die CISA CVE-2025-48703 als aktiv ausgenutzt gekennzeichnet, und Taiwans TWCERT hat eine Warnung herausgegeben [1]. Angesichts der weit verbreiteten Nutzung von CWP und der großen Anzahl von Instanzen, die dem Internet ausgesetzt sind, stellt CVE-2025-48703 weltweit ein hohes Risiko dar. Der OPENVAS ENTERPRISE FEED von Greenbone enthält eine authentifizierte Versionserkennungsprüfung, um anfällige CWP-Server zu identifizieren, sodass User sofort Maßnahmen ergreifen können. Alle Versionen von CWP vor 0.9.8.1205 sind betroffen.

Nicht gepatchtes Microsoft Office ist neuen Social-Engineering-Angriffen ausgesetzt

CVE-2025-60724 (CVSS 9.8) ist eine neue kritische GDI+-Heap-Überlauf-Sicherheitslücke [CWE-122], die die Grafikkomponente von Microsoft Office und Windows betrifft. RCE kann auf dem Computer eines Opfers ausgelöst werden, wenn dieses dazu gebracht wird, ein speziell gestaltetes Dokument oder eine Metadatei zu öffnen. Microsoft hat die Schwachstelle mit einem Patch Tuesday-Rollout im November behoben. Vulmon listet zwei öffentliche PoC-Exploits auf, die jedoch beide inzwischen von GitHub entfernt wurden.

Ausgeklügelte Social-Engineering-Angriffe überzeugen User oft dazu, eine schädliche Datei zu öffnen, die versucht, eine lokale Software-Sicherheitslücke auszunutzen. Um besser zu verstehen, wie Cyber-Kriminelle diese Taktik anwenden, lesen Sie unseren aktuellen Blogbeitrag „Greenbone hilft bei der Abwehr fortgeschrittener Social-Engineering-Angriffe“. Greenbone umfasst die Erkennung von CVE-2025-60724 und anderen CVEs, die im monatlichen Patch-Zyklus von Microsoft veröffentlicht wurden.

PoC-Exploit für neue Schwachstellen in N-Central veröffentlicht

Horizon.ai hat einen PoC-Exploit-Code und eine detaillierte technische Analyse für eine neue Angriffskette veröffentlicht, die CVE-2025-9316 und CVE-2025-11700 in N-Able’s N-Central ausnutzt. N-Central ist eine Verwaltungs- und Überwachungssoftware (RMM), die von großen Unternehmen und Managed Service Providern (MSPs) verwendet wird, um IT-Infrastrukturen einschließlich Konfiguration, Patching, Berichterstellung und Analyse einfach zu verwalten. N-Central gehört zur Kategorie der Software mit „Blast Radius“; eine Kompromittierung könnte leicht zu nachgelagerten Sicherheitsverletzungen bei Dritten führen.

Das belgische CERT.be und das italienische ACN haben CERT-Warnungen für die neuen CVEs herausgegeben [1][2]. Zwei weitere CVEs mit kritischem Schweregrad in N-Central wurden im August dieses Jahres bekannt gegeben und schnell aktiv ausgenutzt – ein weiterer Beweis dafür, dass Angreifer N-Central als hochwertiges Ziel betrachten. Hier ist eine kurze Zusammenfassung der beiden neuen ausnutzbaren CVEs in N-Central und einer weiteren neuen CVE mit hohem Risiko für das Produkt:

CVE-2025-11366     (CVSS     9,8): Eine Umgehung der Authentifizierung über Pfadüberquerung [CWE-22].     Der Fehler wurde entdeckt und behoben, wobei nur sehr wenige Details bekannt gegeben wurden.

CVE-2025-11700     (CVSS     7,5): Eine XML-External-Entities-Injection [CWE-611], die zur Offenlegung von Informationen führt

CVE-2025-9316 (CVSS 6.9): Angreifer können Session-IDs für nicht authentifizierte Benutzer generieren, was zu einer Umgehung der Authentifizierung führt [CWE-1284].

Die CVEs sind in N-Central 2025.4 behoben. Der OPENVAS ENTERPRISE FEED von Greenbone enthält eine Remote-Banner-Prüfung zur Identifizierung aller drei oben genannten CVEs sowie eine zusätzliche aktive Prüfung für CVE-2025-9316.

Zusammenfassung

Der November 2025 war für die Cybersicherheit alles andere als ruhig. Ransomware-Kampagnen, die auf Schwachstellen in Oracle EBS abzielten, weiteten sich auf über 100 Opfer aus. Die Zahl der Sicherheitsverletzungen steigt weiter an, und Sammelklagen im Namen privater Opfer halten Schritt. Die EU-Verordnungen DORA und NIS 2 rücken in den Fokus und erhöhen die Haftung von Unternehmen und Personen für das Management. Was die Schwachstellen angeht, so sorgen neue aktiv ausgenutzte Schwachstellen in BIND 9, Linux, Triofox, N-Central und anderen dafür, dass der Ransomware-Krieg noch lange nicht vorbei ist.

Eine kostenlose Testversion von Greenbones OPENVAS BASIC bietet Verteidigern Zugang zu wichtigen Cybersicherheitsfunktionen. Scannen Sie Ihre IT-Umgebung mit Greenbones OPENVAS ENTERPRISE FEED, um noch heute von einer branchenführenden Abdeckung zu profitieren.