Der August 2025 Threat Report unterstreicht, wie schnell hochriskante Schwachstellen zu aktiven Bedrohungen werden. Schwachstellen von Citrix, Fortinet, N-able und Trend Micro wurden innerhalb weniger Tage ausgenutzt. Andere kritische Probleme traten in häufig anvisierter Software wie Microsoft Exchange auf. Mainstream Enterprise Anwendungen wie Docker Desktop, Git und Zoom waren diesen Monat ebenfalls neuen Schwachstellen ausgesetzt. Schauen wir uns nun einige der größten Cyber Bedrohungen an, die im August 2025 zum Vorschein kamen.Blogbanner Thread report August 2025

Trio hochriskanter Citrix NetScaler CVEs: Eine in aktiver Ausnutzung

Citrix wies auf die aktive Ausnutzung von CVE-2025-7775 und zwei weiterer Hochrisiko-CVEs hin. Das Trio betrifft NetScalerADC und NetScaler Gateway in diversen Konfigurationen. Bisher wurde lediglich CVE-2025-7775 in CISA’s Katalog bekannter, ausgenutzter Schwachstellen (Known Exploited Vulnerabilities, KEV) aufgenommen. Mehrere nationale CERT-Warnungen wurden weltweit erteilt [1][2][3][4][5][6][7]. Die Installation aktueller Patches wird dringend empfohlen.

  • CVE-2025-7775 (CVSS 9.8, EPSS ≥92. Perzentil): Ein Speicherüberlauf (Memory-Overflow) [CWE-119] ermöglicht Ausführung von Remote Code (Remote-Code-Execution, RCE) oder Denial of Service (DoS), wenn NetScaler als Gateway (VPN-Virtual-Server, ICA-Proxy, CVPN, RDP-Proxy) oder AAA-Virtual-Server konfiguriert ist.
  • CVE-2025-6543 (CVSS 9.8): Speicherüberlauf [CWE-119] führt zu unbeabsichtigtem Kontrollfluss und DoS, wenn NetScaler als Gateway (VPN-Virtual-Server, ICA-Proxy, CVPN, RDP-Proxy) oder AAA-Virtual-Server konfiguriert ist.
  • CVE-2025-7776 (CVSS 8.8): Speicherüberlauf [CWE-119] führt zu unvorhersehbarem Verhalten und DoS, wenn NetScaler als Gateway (VPN-Virtual-Server, ICA-Proxy, CVPN, RDP-Proxy) mit einem PC-over-IP (PcoIP)-Profil konfiguriert ist. PcoIP ist ein Remote-Display-Protokoll für den Zugriff auf virtuelle Desktops.

Erst im Juni 2025 wurde eine weitere, hochriskante Schwachstelle in NetScaler ADC und Gateway unter dem Namen „CitrixBleed 2“ bekannt, die kurz nach Bekanntgabe aktiv für Ransomware-Angriffe ausgenutzt wurde. Greenbones OPENVAS ENTERPRISE FEED beinhaltet einen remote Versionserkennungstest für die drei neuen CVEs sowie für CitrixBleed 2.

Notfall-Patch für Microsoft Exchange Hybridbereitstellung

CVE-2025-53786 (CVSS 8.0) ist eine hochriskante Post-Authentifizierungs-Schwachstelle zur Rechteausweitung in Microsoft Exchange Hybrid-Umgebungen. In einer Hybridbereitstellung wird eine lokale Active Directory (AD)-Domäne mit einer cloudbasierten Azure AD synchronisiert; beide erkennen Geräte und Dienste. Im Falle einer Ausnutzung von CVE-2025-53786 können Angreifende mit Admin-Zugang zu einem lokalen Exchange Server lateral auf Microsoft 365 Exchange Online zugreifen [CWE-287] und potenziell den Authentifizierungsprozess modifizieren, um Persistenz zu erreichen [T1556.007].

Ausnutzbarkeit, darunter Authentifizierungsumgehung, laterale Bewegung [TA0008] und Datenexfiltration [TA0010], wurde auf der Black Hat 2025 demonstriert. Obwohl keine reale Ausnutzung festgestellt wurde, wies Microsoft eine erhöhte Ausnutzungswahrscheinlichkeit zu. CISA gab eine Notfall-Direktive (ED 25-02) aus und warnte, CVE-2025-53786 könne zu vollständiger Kompromittierung von Domänen in Hybridumgebungen führen. Diverse staatliche CERT-Agenturen gaben ebenfalls Warnungen aus [1][2][3][4][5][6][7]. Der OPENVAS ENTERPRISE FEED beinhaltet zwei remote Versionserkennungstests zur Erkennung anfälliger Instanzen von Microsoft Exchange [8][9].

Dringende Sicherheitswarnung zu Cisco Secure Firewall Management Center

CVE-2025-20265 (CVSS 10) in eine RCE-Sicherheitslücke (Remote Code Ausführung) in physischen und virtuellen Appliances von Cisco Secure Firewall Management Center (FMC). Sie tritt auf, wenn eine Appliance mit RADIUS für web-basierte Authentifizierung oder Management-Zugang via SSH konfiguriert ist. Die Schwachstelle entsteht durch unangemessene Eingabeverarbeitung, was nachgelagert zu Befehls-Injektion im Authentifizierungsprozess führen kann [CWE-74]. Unauthentifizierte Angreifende können möglicherweise beliebige Shell-Befehle einschleusen und mit erhöhten Rechten ausführen lassen.

Frei zugänglicher Exploit-Code oder aktive Angriffe wurden bisher nicht gemeldet. Allerdings waren Cisco-Edge-Devices in der Vergangenheit bereits häufig Ziele für APT-Gruppen [1][2][3]. In Anbetracht der Tatsache, dass sich Cisco FMC häufig am Netzwerkrand befindet und CVE-2025-20265 ein CVSS-Wert von 10 zugewiesen wurde, besteht dringender Handlungsbedarf für betroffene Systeme.  Cisco hat Sicherheitsupdates veröffentlicht und gleichzeitig erklärt, dass keine Workarounds verfügbar seien, das Deaktivieren der RADIUS-Authentifizierung allerdings eine vorübergehende Risikominderung darstellen könne. Greenbones OPENVAS ENTERPRISE FEED beinhaltet einen remote Versionserkennungstest, um ungepatchte FMC-Geräte aufzuspüren.

FortiSIEM ausgenutzt und weitere Hochrisiko-CVEs in Fortinet-Produkten

Fortinet war im August das Subjekt mehrerer schwerwiegender Schwachstellen. Insgesamt wurden für Fortinet 14 CVEs veröffentlicht — davon sechs mit hoher bis kritischer CVSS-Stufe. Einige nationale CERT-Agenturen behandelten die drei schwerwiegendsten CVEs dieser Gruppe [1][2][3], während sich andere lediglich auf die gravierendste Schwachstelle konzentrierten — CVE-2025-25256 [4][5][6][7][8] — welche von Fortinet als aktiv ausgenutzt gemeldet wurde. Auch hier steht Greenbone mit Versionserkennungstests und aktiven Tests  im OPENVAS ENTERPRISE FEED zur Seite, um FortiSIEM-Geräte zu identifizieren, die für CVE-2025-25256 anfällig sind. Zudem sind eine Reihe spezialisierter Tests für Fortinet-Schwachstellen enthalten, unter anderem folgende:

  • CVE-2025-25256 (CVSS 9.8, EPSS ≥ 95. Perzentil): Fehlerhafte Neutralisierung spezieller Elemente in einem Betriebssystembefehl [CWE-78] ermöglicht unauthentifizierten Angreifenden aus der Ferne, über Anfragen an den phMonitor-Dienst auf TCP-Port 7900 unautorisierten Code auszuführen. Fortinet bestätigt aktive Ausnutzung. Eine vollständige technische Beschreibung sowie Proof-of-Concept (Machbarkeitsnachweis, PoC) sind verfügbar. FortiSIEM 5.4 und diverse Unterversionen von FortiSIEM 6 und 7 sind betroffen.
  • CVE-2024-26009 (CVSS 8.1): Eine Umgehung der Authentifizierung über alternative Pfade oder Kanäle [CWE-288] ermöglicht unauthentifizierten Angreifenden, die Kontrolle über verwaltete Geräte zu übernehmen. Dies geschieht durch den Einsatz spezieller FortiGate-to-FortiManager-Protokoll (FGFM)-Anfragen. Für einen erfolgreichen Angriff muss das FortiGate-Gerät durch einen Fortimanager verwaltet werden, dessen Seriennummer der angreifenden Person oder Gruppe bekannt ist. Mehrere Versionen von FortiOS, FortiPAM und FortiSwitchManager sind betroffen.
  • CVE-2025-52970 (CVSS 8.1): Eine fehlerhafte Parameterbehandlung [CWE-233] ermöglicht unauthentifizierten entfernten Angreifenden, die über vertrauliche Informationen zum Zielgerät und einen bestehenden User verfügen, sich mittels einer speziell präparierten HTTP-Anfrage als beliebige User anzumelden. Mehrere Unterversionen von FortiWeb 7 sind betroffen.

Zwei neue N-Able CVEs rasant aktiv ausgenutzt

Zwei neue CVEs bezüglich N-Ables N-central stellen ein hohes Risiko für Unternehmen dar, welche die Software verwenden. Beide CVEs wurden zu CISAs KEV-Katalog hinzugefügt und nationale CERT-Warnungen wurden von NCSC.nl [1], dem Kanadischen Cyber Centre [2] und Südkoreas K_CERT [3] ausgegeben. N-central ist eine Plattform für Monitoring und Management aus der Ferne (RMM), die großflächig eingesetzt wird um Netzwerke und Systeme zu überwachen und zu verwalten. Obwohl die Ausnutzung beider Schwachstellen eine Authentifizierung erfordern besteht erhöhtes Risiko durch gestohlene Zugangsdaten [TA0006], Passwort-Wiederverwendung [T1078], Insider-Bedrohungen und weiterer potenzieller Angriffsvektoren.

  • CVE-2025-8876 (CVSS 8.8, EPSS ≥ 95. Perzentil): Ungesäuberte Eingaben werden in OS-Shell-Befehle injiziert [CWE-78], was Remote-Code-Ausführung (RCE) mit den Rechten der N-Central-Anwendung ermöglicht.
  • CVE‑2025‑8875 (CVSS 7.8, EPSS ≥ 93. Perzentil): Unsichere Deserialisierung unkontrollierter Daten [CWE-502] kann es Angreifenden ermöglichen, sogenannte Objekt-“Gadget“-Ketten zu konstruieren, welche beliebige RCE oder unautorisierte Änderungen am Anwendungszustand ermöglichen.

N-central Versionen vor 2025.3.1 sind betroffen. Einen Tag nach Veröffentlichung der CVEs berichtete Shadowserver über ~1.000 ungepatchte N-central Server, die ans öffentliche Internet exponiert waren. Zwei Wochen später waren die meisten davon weiterhin nicht aktualisiert. Der OPENVAS ENTERPRISE FEED kann anfällige Versionen von N-central aus der Ferne erkennen, was Verteidigungsteams schnelle und gezielte Risikominderung ermöglicht.

Angriff auf neue kritische Trend Micro Apex One Schwachstelle

CVE-2025-54948 (CVSS 9.8, EPSS ≥ 94. Perzentil) und CVE-2025-54987 (CVSS 9.8, EPSS ≥ 63. Perzentil) sind nicht authentifizierte RCE-Schwachstellen, welche die lokale (on-premises) Trend Micro Apex One Management Konsole betreffen. Beide CVEs basieren auf der selben Sicherheitslücke, betreffen allerdings verschiedene CPU-Architekturen. Das zugrundeliegende Problem ist eine Schwachstelle, die es Angreifenden ermöglicht, durch das Hochladen präparierter Dateien vor der Authentifizierung Befehle ins Betriebssystem zu injizieren [CWE-78]. Ein kompromittiertes Gerät gibt Angreifenden direkten Zugriff auf die Sicherheitsinfrastruktur des angegriffenen Unternehmens. Erfolgreiche Ausnutzung erfordert Zugriff, entweder direkt oder aus der Ferne, was ans Internet exponierte Instanzen einem besonderen Risiko aussetzt. Lokale Instanzen könnten Angreifenden zusätzlich eine Gelegenheit für laterale Bewegung [TA0008] liefern, nachdem sie initial [TA0001] über das Netzwerk des Opfers Zugang erhalten haben.

Trend Micro zufolge, ist aktive Ausnutzung zu befürchten und CISA hat CVE-2025-54948 zum KEV-Katalog hinzugefügt, wo es sich zu vielen weiteren ausgenutzten Apex One Sicherheitslücken gesellt, die bis 2021 zurückreichen. Nationale CERT-Warnungen wurden von Regierungsbehörden weltweit ausgegeben [1][2][3][4][5]. Apex One (on-premises) 2019 (14.0) Version 14.0.0.14039 und darunter sind betroffen. Bitte beachten Sie die offizielle Sicherheitswarnung, welche ein Tool zur Deaktivierung der Remote Install Agent Funktion bereitstellt, für Anweisungen zu Gegenmaßnahmen. Greenbones OPENVAS ENTERPRISE FEED hilft Ihnen, betroffene Endpunkte lokal aufzuspüren.

Git-Repository-Kloning Schwachstelle aktiv ausgenutzt

CVE-2025-48384 (CVSS 8.0, EPSS ≥ 88. Perzentil), früh im Juli 2025 veröffentlicht, wurde zu CISAs KEV-Katalog hinzugefügt und die Ausnutzbarkeit wurde als trivial eingestuft. Die Schwachstelle beschreibt einen beliebigen Dateischreibvorgang beim Klonen eines speziell präparierten Repositories, das Submodule mit der ‚recursive‘ flag verwendet — beispielsweise git clone –recursive <repo> — eine Option, die Submodule beim Klonen automatisch mitlädt. Die Ursache der Schwachstelle liegt in der fehlerhaften Behandlung nachgestellter Wagenrücklaufzeichen (Carriage Return, CR) in Konfigurationswerten, was potenziell zu RCE führen kann. Zur Ausnutzung müssen Angreifende ihre Opfer dazu bringen, ein solches präpariertes Git-Repository zu klonen.

Eine vollständige technische Beschreibung und Exploits mit bösartigen .gitmodules-Dateien sind bereits online verfügbar [1][2][3].  INCIBE-CERT hat eine Warnung herausgegeben [4] und CISA hat die Schwachstelle auf die KEV-Liste gesetzt [5].  Betroffen sind diverse Versionen von Git bis 2.50.0. Der OPANVAS ENTERPRISE FEED und der OPENVAS COMMUITY FEED enthalten lokale Paket-Erkennungstests für CVE-2025-48384.

Container Escape in Docker Desktop für Windows und macOS

CVE-2025-9074 (CVSS 9.3) ist eine Container-Escape-Schwachstelle in Docker für Windows und macOS. Die Schwachstelle ermöglicht es Angreifenden, bei der Ausführung eines bösartigen Containers unautorisierten Zugriff auf das Host-System des Opfers zu erlangen. Wie sich herausstellte war die Docker Engine API ohne Authentifizierung via TCP/IP unter 192.168.65.7:2375 zugänglich. Dieser Kanal umgeht gängige Socket-Beschränkungen und macht somit Dockers Enhanced Container Isolation (ECI) wirkungslos. Unter Windows können Angreifende System-DLLs einhängen und überschreiben, um volle administrative Kontrolle zu erlangen. Auf macOS ist der Zugriff auf das Host-Dateisystem aufgrund von Schutzmechanismen des Betriebssystems stärker eingeschränkt. Linux-Instanzen sind nicht betroffen.

Proof-of-Concepts zeigen triviale Ausnutzbarkeit — bereits wenige Zeilen Python oder eine simple HTTP-Anfrage können anfällige Instanzen von Docker Desktop kompromittieren. Ein detaillierter technischer Bericht, die Existenz von mindestens einem öffentlichen Exploit und die verbreitete Nutzung von Docker erhöhen das Risiko von CVE-2025-9074. Ein Versionserkennungstest für Windows-Installationen ist im OPENVAS ENTERPRISE FEED enthalten.

Kritische Schwachstelle im Zoom Client für Windows ermöglicht unauthentifizierte RCE

CVE-2025-49457 (CVSS 9.6) betrifft mehrere Zoom-Produkte für Windows, darunter Zoom Workplace, VDI, Rooms, Rooms Controller und Meeting SDK vor Version 6.3.10. Grund für die Sicherheitslücke ist eine Unsichere-Suchpfad-Schwachstelle [CWE-426], die auf fehlerhafte Behandlung von DLL-Pfaden zurückgeht. Als „DLL-Side-Loading“ bekannt tritt diese Lücke auf, wenn die Windows-API-Funktion LoadLibrary() ohne einen vollständig qualifizierten Dateipfad aufgerufen wird. In diesem Fall folgt Windows der standardmäßigen DLL-Suchreihenfolge. Wenn Angreifende eine Datei in einem so durchsuchten Verzeichnis ablegen können, wird diese somit geladen und ausgeführt. Daher ist CVE-2025-49457 in Verbindung mit Social-Engineering-Angriffen [T1566] und Insider-Bedrohungen, die auch 2025 weiterhin verbreitet sind, besonders gefährlich. Ausnutzung ermöglicht Angreifenden Rechteausweitung und die Ausführung beliebigen Codes, potenziell auf Windows-SYSTEM-Level.

Malaysias MyCERT [1] und Hongkongs CERT-HK [2] gaben Sicherheitshinweise heraus. Das Problem ist in Zoom Versionen 6.3.10 und folgend behoben, Organisationen sollten dringend den Aktualisierungsstatus prüfen. Obwohl einige Desktop-Anwendungen, darunter auch Zoom, automatische Updates unterstützen, ist in ausgedehnten IT-Infrastrukturen die manuelle Prüfung durch Sicherheitsteams unabdingbar. Der OPENVAS ENTERPRISE FEED automatisiert dies mittels aktiver Prüfung auf anfällige Zoom-Anwendungen.

Zusammenfassung

Der August 2025 Threat Report beleuchtet neue hochriskante Schwachstellen über diverse, weit verbreitete Plattformen hinweg. Verteidigungsteams hatten letzten Monat alle Hände voll zu tun, um wehrhaft zu bleiben gegen die aktive Ausnutzung von Citrix NetScaler kurz nach CitrixBleed 2, einer dringenden Aktualisierung von Microsoft Exchange, einer maximal schweren Cisco Secure Firewall CVE und dem Auftreten von Fortinet, N-able und Trend Micro Exploits. Neue Docker Desktop, Git und Zoom Schwachstellen kamen hierbei erschwerend hinzu. Greenbones OPENVAS SECURITY INTELLIGENCE entlastet Verteidigungsteams durch schnelle Erkennung und Gewissheit über den Sicherheitsstatus Ihres Unternehmens.

Utrecht wird am 10. und 11. September 2025 zum Treffpunkt der Cybersecurity-Branche. OPENVAS B.V. ist erstmals mit einem Stand auf der Cybersec Netherlands vertreten – ein wichtiger Meilenstein, um nach der Gründung der Niederlassung für die Benelux-Staaten unsere lokale Präsenz auszubauen und den direkten Austausch mit geschäftlichen Kontakten zu fördern. Die Region zählt zu den innovativsten Standorten Europas im Bereich Digitalisierung und IT-Infrastruktur. Mit unserer Präsenz stärken wir diesen Innovationsgeist und stehen Unternehmen in der Region mit umfassender Expertise, praxisnahen Lösungen und einem klaren Verständnis für die Anforderungen des lokalen Marktes zur Seite.

Blog Banner Cybersec 2025

Ein starkes Signal für die Benelux-Region

„Nicht zuletzt durch regulatorische Anforderungen wie NIS2 erkennen viele Organisationen die Bedeutung einer proaktiven IT-Sicherheitsstrategie. Gleichzeitig wünschen sie sich den persönlichen Austausch über unsere Lösungen. Die Cybersec Netherlands bietet die ideale Plattform dafür“, erklärt Maurice Godschalk, Account Director bei OPENVAS B.V. Mit der niederländischen Tochtergesellschaft verstärkt Greenbone seine Präsenz in Europa und unterstützt lokale Institutionen dabei, Schwachstellen frühzeitig zu erkennen und Risiken effektiv zu reduzieren.

Aktuelle Herausforderungen im Fokus

Die Zahl ungeschlossener Sicherheitslücken in digitalen Infrastrukturen steigt weiter, während Cyberkriminelle bekannte Schwachstellen mithilfe neuer Technologien gezielt und immer schneller ausnutzen. Gleichzeitig erschwert die zunehmende Komplexität der IT-Umgebungen vielen Organisationen den vollständigen Überblick über ihre Systeme. Hier ist ein professionelles Schwachstellenmanagement unverzichtbar – es bildet den zentralen Baustein für stärkere Cyber-Resilienz.

Besuchen Sie uns in Utrecht!

Auf der Messe diskutieren Sicherheitskoryphäen konkrete Ansätze, wie Organisationen ihre Cyber-Resilienz nachhaltig stärken können. Interaktive Sessions, Live-Demonstrationen und Fachvorträge fördern den Austausch zwischen Unternehmen, Behörden und Sicherheitsprofis, und tragen so zu einer gemeinsamen Sicherheitskultur bei.

Erleben Sie OPENVAS B.V. live am Stand 11.E069 und informieren Sie sich über unsere Lösungen für skalierbares und effizientes Schwachstellenmanagement. Das lokale Team um Maurice Godschalk freut sich auf den persönlichen Dialog, individuelle Beratung und praxisnahe Einblicke in unsere Technologie.

Die Cybersec Netherlands eröffnet einen spannenden Event-Herbst: In den kommenden Wochen und Monaten werden Greenbone und die Tochtergesellschaften auf zahlreichen führenden Konferenzen vertreten sein – mit dem klaren Ziel, Organisationen weltweit sicherer zu machen.

Unternehmen und Behörden müssen ab August 2025 die ersten Regelungen des EU AI Acts umsetzen – eine neue Ära der Verantwortung im Umgang mit Künstlicher Intelligenz beginnt. Weil der AI Act der EU nicht nur technische Anpassungen verlangt, sondern ein grundsätzliches Umdenken in den Köpfen, muss KI künftig differenziert nach Risiko und Anwendungsfall betrachtet werden. Das gilt umso mehr, wenn sie in sensible Lebensbereiche eingreift oder mit personenbezogenen Daten arbeitet.

Für Organisationen bedeutet das: Sie müssen sich intensiv mit dem Ökosystem rund um ihre KI-Systeme auseinandersetzen, Risiken frühzeitig erkennen und gezielt adressieren. Transparenz über die Datengrundlage, nachvollziehbare Modelle und menschliche Aufsicht sind keine Option mehr, sondern Pflicht. Gleichzeitig bietet der AI Act ein wertvolles Rahmenwerk, um Vertrauen aufzubauen und KI langfristig sicher und verantwortungsvoll zu nutzen. Auch Schwachstellenmanagement und Cybersecurity sind davon nicht ausgenommen.

Cybersecurity-Experten im KI-Interview

Wir haben Kim Nguyen, Senior Vice President Innovation von der Bundesdruckerei und lange Jahre der Chef und das Gesicht der Trusted Services dort, in einem Interview zum Thema KI, Regulierungen und dem Einfluss auf die Cybersecurity befragt. Außerdem gibt uns Greenbone-CMO Elmar Geese einen Ausblick auf die Zukunft des Schwachstellenmanagements.

Kim Nguyen, Senior Vice President für Innovation bei der Bundesdruckerei

Greenbone: Kim, das Thema KI und Cybersecurity ist ja derzeit in aller Munde, auch auf Veranstaltungen wie der jüngsten Potsdamer Konferenz für Cybersecurity. Und Sie sind da „mittendrin“ im gesellschaftlichen Diskurs.

Nguyen: Ja, dass das Thema Künstliche Intelligenz mir sehr am Herzen liegt, kann ich nicht leugnen, das sieht man in meinen Veröffentlichungen und Keynotes dazu. Mein Ansatz unterscheidet sich dabei ein wenig von den meisten anderen. Er hat viel mit Vertrauen zu tun, und das hat verschiedene Dimensionen: Eine davon ist Wohlwollen. Das bedeutet, das Wohl der einzelnen Nutzenden muss im Mittelpunkt stehen. User sind sicher, das System operiert zu ihrem Nutzen und verfolgt keine ihnen nicht bekannte Agenda.

Greenbone: Was denken Sie, wird die Cybersecurity insgesamt mit KI sicherer oder eher gefährlicher?

Nguyen: Künstliche Intelligenz ist natürlich längst in der Cybersicherheit angekommen und zwar als Risiko wie als Chance: Sie vergrößert einerseits den Angriffsvektor, denn Cyberkriminelle können ihre Angriffe schneller, automatisierter und gezielter durchführen. Andererseits kann sie dabei helfen, die Verteidigung zu härten, etwa bei der Analyse von Echtzeitdaten aus verschiedenen Sicherheitsquellen, um Sicherheitsvorfälle automatisch zu identifizieren und entsprechend zu reagieren.

„Ein Katz- und Mausspiel“

Wer bei diesem Katz- und Mausspiel zwischen Angreifenden und Verteidigeneden mithalten will, muss heute auch auf KI setzen, gerade in der Verteidigung. Die staatliche Regulierung ist dabei zentral, denn ohne entsprechende Gesetze und technische Vorgaben kann niemand unterscheiden, was erlaubt und vertrauenswürdig ist und was nicht.

Außerdem müssen Gesetzgebende bei dieser überaus dynamischen technischen Entwicklung weiterhin aktiv eingreifen, um Handlungs- und Rechtssicherheit zu gewährleisten. Das richtige Maß zu finden und gleichzeitig genug Freiräume zu lassen, damit Innovationen möglich bleiben und KI ein Enabler sein kann, ist nicht einfach, aber immens wichtig.

Greenbone: Was sind für Sie die wichtigsten Fragen/Regulierungen im EU AI Act und den Verordnungen, denen sich Unternehmen stellen müssen? Was kommt da noch auf uns zu? Wie bereitet sich denn eine große Institution wie die Bundesdruckerei vor?

Nguyen: Mit dem AI Act müssen Unternehmen ihre KI-Systeme risikobasiert einordnen und je nach Klassifizierung unterschiedlich strenge Anforderungen an Transparenz, Daten

qualität, Governance und Sicherheit erfüllen – und das insbesondere bei Hochrisiko-Anwendungen.

Es geht jedoch nicht nur darum, Compliance sicherzustellen, sondern auch den regulatorischen Rahmen als strategischen Hebel für vertrauenswürdige Innovation und nachhaltige Wettbewerbsfähigkeit zu nutzen. Dafür reicht es nicht, den Fokus lediglich auf ein entsprechendes KI-Modell zu legen. Wichtig sind ebenfalls die Integration, das Training des Modells und die Schulung der Nutzenden. Umfangreiche Sicherheitsleitplanken – so genannte „Guard Rails“ – müssen eingezogen werden, um sicherzustellen, dass ein System keine unerlaubten Vorgänge unternehmen kann.

„Eingespielte Prozesse bringen Nachvollziehbarkeit, Robustheit und Transparenz in den Vordergrund“

Die Bundesdruckerei als Technologieunternehmen des Bundes ist seit vielen Jahren im Hochsicherheitsbereich tätig. Wir verfügen über eingespielte Prozesse und Strukturen, die Nachvollziehbarkeit, Robustheit und Transparenz in den Vordergrund stellen und damit auch Vertrauen in verschiedene KI-Lösungen für die Verwaltung bringen: Mit dem KI-Kompetenzcenter unterstützen wir etwa Bundesbehörden und Ministerien bei der Entwicklung von KI-Anwendungen. Mit dem Auswärtigen Amt haben wir die Plattform PLAIN geschaffen, die eine gemeinsame Infrastruktur für Daten und KI-Anwendungen bietet oder mit Assistent.iQ einen KI-Assistenten entwickelt, der die Anforderungen der Verwaltung an Datensicherheit, Nachvollziehbarkeit und Flexibilität erfüllt.

Greenbone: Opensource ist ja ein Mindestkriterium für Vertrauen in Software, IT und Cybersecurity – Geht das mit KI überhaupt, und in welchem Maße?

Nguyen: Open Source ist ein wichtiges Thema bei KI, denn sie kann durch Prüfung von Codes und Modellen für notwendiges Vertrauen sorgen. Dafür müssen die Ergebnisse genau geprüft und bestätigt werden können. In diesem Fall braucht man eine Community, die sich regelmäßig einbringt und kümmert.

Oft ist der Open-Source-Ansatz vieler Projekte ambitioniert und ehrenwert, doch später werden manche Projekte nicht mehr genügend gepflegt oder kommen ganz zum Erliegen. Ohnehin muss man beim Thema Open Source und KI genau hinschauen, anders ausgedrückt: Open Source ist nicht gleich Open Source. Wenn KI-Entwickelnde ihre Modelle unter einer Open-Source-Lizenz veröffentlichen, bedeutet das längst nicht, dass man auch eine Open-Source-KI bekommt.

Wichtig sind zum einen die Zahlenwerte, die sogenannten Gewichte des KI-Modells, die bestimmen, wie dieses Eingaben verarbeitet und Entscheidungen trifft. Und zum zweiten auch die Trainingsdaten – und gerade diese werden der Kundschaft und den Nutzenden häufig vorenthalten. Dabei kann man erst mit ihnen zu einer Einschätzung kommen, wie nachvollziehbar, vertrauenswürdig und reproduzierbar ein Open-Source-Modell wirklich ist. Erst wenn das gesamte Wissen hinter den verschiedenen Modellen frei verfügbar ist, können sich hierauf aufbauend tragfähige Ideen entwickeln und Innovationen entstehen.

Greenbone: Was fehlt denn, um KI sicher einzusetzen? Was müssen wir ändern?

Nguyen: Damit KI sicher eingesetzt werden kann, braucht es zusätzlich zur technischen Exzellenz ein entsprechendes Mindset in Entwicklung, Governance und Verantwortung. Konkret müssen wir Sicherheit nach dem Prinzip „Security by Design“ von Anfang an mitdenken. Das bedeutet: Entwickelnde müssen stets systematisch prüfen, was schiefgehen kann und diese Risiken frühzeitig in den Entwurf und die Architektur des Modells integrieren.

Ebenso wichtig ist Transparenz über die Grenzen von KI-Systemen hinweg: Sprachmodelle funktionieren bislang nur innerhalb bestimmter Kontexte zuverlässig – außerhalb dieser Trainingsdomäne liefern sie zwar plausible, aber potenziell fehlerhafte Ergebnisse. Die Entwickelnde sollten deshalb klar kommunizieren, wo das Modell zuverlässig funktioniert und wo nicht.

Mindset, Kontext und Urheberrecht

 Wenn wir keine massiven Vertrauens- und Compliance-Probleme erleben möchten, dürfen wir zudem die Fragen zu Urheberrechten bei Trainingsdaten nicht vernachlässigen. Dann braucht es noch klare Testdaten, geeignete Evaluierungsinfrastruktur und eine laufende Überprüfung von Bias und Fairness.

Eine ausgewogene Kombination aus gesetzlicher Regulierung, technischer Selbstverpflichtung und schnell reagierender Governance ist dabei der Schlüssel für eine KI, mit der man demokratische Werte schützt und technologische Verantwortung übernimmt.

Greenbone: Glauben Sie, die EU hat hier einen Wettbewerbsvorteil?

Nguyen: Ja, die EU hat im globalen KI-Wettbewerb einen echten Vorteil – und dieser liegt im Vertrauen.  Andere Regionen setzen vor allem auf Geschwindigkeit und Marktdominanz – und nehmen dafür, wie zuletzt in den USA geschehen, die Tech-Giganten weitestgehend aus der Verantwortung für gesellschaftliche Risiken. Dagegen etabliert Europa mit dem AI Act geradezu exemplarisch ein Modell, das auf Sicherheit, Datenschutz und menschenzentrierte Entwicklung setzt.

Gerade weil KI zunehmend in sensible Lebensbereiche vordringt, wird der Schutz persönlicher Daten und die Durchsetzung demokratischer Werte immer wichtiger. Die EU schafft mit ihrer Governance-Struktur verbindliche Standards, an denen sich viele Länder und Unternehmen weltweit orientieren. Dieser Fokus auf Werte wird sich langfristig für Europa auszahlen – und zwar für den Export von Technologien sowie die Stärkung des gesellschaftlichen Vertrauens in Demokratie und digitale Systeme vor Ort.

Besonders bei der Entwicklung menschenzentrierter KI ist Europa Vorreiter. Regulierung darf dabei jedoch nicht zum Innovationshemmnis werden: Vertrauen und Sicherheit müssen Hand in Hand gehen mit Investitionsbereitschaft, technologischer Offenheit und schneller Umsetzungsfähigkeit. Dann kann Europa Standards setzen – und eine eigene, wettbewerbsfähige KI-Identität aufbauen.

Greenbone-CEO Elmar Geese zu KI im Schwachstellenmanagement

Greenbone: Herr Geese, KI ist in aller Munde, welche Veränderungen bringt künstliche Intelligenz fürs Schwachstellenmanagement?

Geese: Ich denke, KI wird uns da viel Unterstützung bringen, aber ersetzen kann sie das Schwachstellenmanagement nicht. Zwar kann künstliche Intelligenz beispielsweise zeitaufwändige Routineaufgaben wie die Auswertung großer Datenmengen übernehmen, Muster erkennen und Vorschläge zur Priorisierung machen. Das Sicherheitsteam trifft aber stets die finalen Entscheidungen und hat volle Kontrolle, besonders bei komplexen oder kritischen Fällen, wo menschliches Kontextverständnis unverzichtbar ist.

Der gezielte Einsatz, mit „Augenmaß“ und Planung von KI im Schwachstellenmanagement, bringt zahlreiche Vorteile, ohne dass man die Kontrolle komplett aus der Hand geben muss. Wir setzen heute bereits KI ein, um unserer Kundschaft ein besseres Produkt bereitzustellen, ganz ohne dass dabei Kundendaten zu den Anbietenden der großen KI Dienste übertragen werden. Unsere „vertrauensvolle KI“ kommt komplett ohne Weitergabe und zentrales Sammeln von Daten aus.

Greenbone: Welche Risiken muss man da beachten?

Geese: Nach dem heutigen Stand der Technik beinhaltet der Einsatz von KI in sicherheitskritischen Bereichen einige Risiken, die es zu begrenzen gilt. Automatisierung bietet hier viele Chancen, aber auch Risiken wie Fehlentscheidungen, neue Angriffsflächen oder unerwünschte Systemeffekte. Eine KI „mit Augenmaß“ kombiniert menschliche und maschinelle Stärken, so dass technologische Vorteile wie Geschwindigkeit und Skalierbarkeit genutzt werden können, ohne das Fachpersonal zu entmachten oder Sicherheitsrisiken einzugehen.

Greenbone und KI

Greenbone setzt auf den gezielten Einsatz von Künstlicher Intelligenz, um Schwachstellen im IT-Bereich effizient zu erkennen und Prioritäten zu unterstützen. Dabei bleibt das Sicherheitsteam jederzeit in der Verantwortung und behält die Kontrolle, besonders bei sensiblen oder komplexen Entscheidungen. Datenschutz steht für uns an oberster Stelle: Kundendaten werden nicht an externe KI-Unternehmen weitergegeben.

Unser Ansatz verbindet die Vorteile moderner Technologien mit menschlichem Urteilsvermögen – für eine zeitgemäße und verantwortungsbewusste Cybersicherheit.

Gern stehen wir für weiterführende Informationen zur Verfügung.  

 

Am 27. August 2025, veröffentlichten mehr als 20 Sicherheitsbehörden eine Cybersicherheitsempfehlung mit dem Titel „Countering Chinese State-Sponsored Actors Compromise of Networks Worldwide to Feed Global Espionage System“

 

Zu den veröffentlichenden Behörden gehörten 

  • die Nationale Sicherheitsbehörde der Vereinigten Staaten (NSA)
  • Cybersecurity and Infrastructure Security Agency (CISA) der Vereinigten Staaten
  • Federal Bureau of Investigation (FBI) der Vereinigten Staaten
  • Bundesnachrichtendienst (BND) der Bundesrepublik Deutschland
  • Bundesamt für Verfassungsschutz (BfV) der Bundesrepublik Deutschland
  • Bundesamt für Sicherheit in der Informationstechnik (BSI) der Bundesrepublik Deutschland

und viele weitere.

Das sind schlechte Nachrichten. Die gute Nachricht ist, dass Greenbone Ihnen mittels der OPENVAS-Produkte helfen kann, alle Schwachstellen in diesem Angriff zu erkennen.

  1. CVE-2024-21887: Ivanti Connect Secure und Ivanti Policy Secure: Web-Komponenten-Command-Injection-Schwachstelle, die häufig in Kombination mit CVE-2023-46805 (Authentifizierungsumgehung) ausgenutzt wird.
  2. CVE-2024-3400: Palo Alto Networks PAN-OS GlobalProtect: Beliebige Dateierstellung führt zu Betriebssystem-Befehlsinjektion. Diese CVE ermöglicht die Ausführung von Remote-Code ohne Authentifizierung (RCE) auf Firewalls, wenn GlobalProtect auf bestimmten Versionen/Konfigurationen aktiviert ist.
  3. CVE-2023-20273: Schwachstelle im Cisco Internetworking Operating System (IOS) XE Software Web Management User Interface ermöglicht Post-Authentication Command Injection/Privilege Escalation [T1068], häufig verkettet mit CVE-2023-20198 für Erstzugang zur Ausführung von Code als Root.
  4. CVE-2023-20198: Cisco IOS XE Web User Interface Authentication Bypass Schwachstelle.
  5. CVE-2018-0171: Cisco IOS und IOS XE Smart Install Remote Code Execution Schwachstelle.

Wenn Sie unsere Produkte nutzen, empfehlen wir dringend, einen System-Scan durchzuführen und Patch-Anweisungen zu folgen, sollten Ihre Systeme betroffen sein.

Der Juli 2025 Threat Report folgt einem breit angelegten Ansatz, um die top Cyber-Bedrohungen des Monats zu behandeln. Die Microsoft SharePoint Schwachstellen unter dem Namen “ToolShell” dominierten letzten Monat die Schlagzeilen; werfen sie einen Blick auf unseren ToolShell-Artikel für eine genaue Analyse. Im Juli wurden über 4.000 CVEs veröffentlicht, von denen beinahe 500 mit einem CVSS-Score von 9.0 oder höher als kritisch eingestuft wurden. Für Verteidigungsteams stellt das Volumen an Risiken ein wahres Zermürbungsgefecht dar. Greenbone stellte zur Unterstützung im Juli annähernd 5000 neue Erkennungstests bereit. Diese erlauben Verteidigungsteams, Software-Schwachstellen in ihrer IT-Umgebung zu erkennen, den Patch-Stand zu überprüfen und Angreifende davon abzuhalten, die Oberhand zu gewinnen.

Blog Banner Threat - report July 2025

Critische Cisco Schwachstelle ermöglicht unauthentifizierte Ausführung von Remote-Code (RCE) mit Root-Berechtigungen und mehr

Cisco hat die aktive Ausnutzung der Cisco Identity Services Engine (ISE) und Cisco ISE-PIC (Passive Identity Controller) Versionen 3.3 und 3.4 bestätigt. Die schwerwiegendsten Schwachstellen sind CVE-2025-20281, CVE-2025-20337, und CVE-2025-20282; alle CVSS 10. CVE-2025-20281 und CVE-2025-20337 wurden in den CISA KEV (Katalog bekannter, ausgenutzter Schwachstellen) aufgenommen. Jede dieser Schwachstellen kann durch das Übermitteln einer bösartigen API-Anfrage ausgenutzt werden, um Code mit Root-Privilegien auszuführen. Mehrere nationale CERT-Agenturen gaben Warnungen heraus: EU-CERT, CSA Singapore, NHS UK und NCSC Ireland. Cisco rät, umgehend Sicherheitsupdates zu installieren; funktionierende Workarounds sind nicht verfügbar. Der OPENVAS ENTERPRISE FEED enthält entsprechende Versionserkennungstest [1][2][3].

Anfang Juli schlug außerdem eine weitere kritische CVE in Cisco Unified Communications Manager Wellen. CVE-2025-20309 (CVSS 10) ermöglicht den Fernzugang mit Root-Berechtigungen via hart kodierten SSH Zugangsdaten. Belgiens CERT.be und NSSC Ireland gaben Warnungen heraus und die Schwachstelle wurde im AUSCERT-Wochenrückblick behandelt.

Aktive Angriffe treffen CrushFTP- und WingFTP-Server

Hochrisiko-CVEs in CrushFTP und WingFTP wurden kurz nach ihrer Veröffentlichung in den CISA KEV-Katalog aufgenommen, begleitet von globalen CERT-Warnungen [1][2][3]. FTP-Server sind häufig an das öffentliche Internet exponiert, allerdings können auch Instanzen in lokalen Netzwerken Hackenden Möglichkeiten für Persistenz und laterale Bewegung bieten [4]. FTP-Server speichern überdies häufig sensible Daten, was das Risiko für Ransomware-Angriffe erhöht.

  • CVE-2025-54309 (CVSS 9.8, EPSS ≥ 91. Perzentil): CrushFTP is anfällig für ungeschützte alternative Kanal-Schwachstellen [CWE-420], wenn das DMZ Proxy-Feature nicht genutzt wird. Die Software handhabt AS2-Validierung inkorrekt, was Remote-Administrationszugriff über HTTPS ermöglicht. Der OPENVAS ENTERPRISE FEED verfügt über einen Remote-Banner-Erkennungstest, um anfällige Instanzen zu erkennen. Nutzende sollten umgehend auf CrushFTP 10.8.5_12 (oder höher), beziehungsweise 11.3.4_23 (oder höher) aktualisieren.
  • CVE-2025-47812 (CVSS 10, EPSS ≥ 99. Perzentil): Nicht bereinigte Null-Byte-Zeichen in der Web-Oberfläche von WingFTP vor Version 7.4.4 erlauben die Ausführung von Remote-Lua-Code mit den Berechtigungen des FTP-Services (standardmäßig root oder SYSTEM). Greenbone liefert Aktive Prüfung und Versionsprüfung zur Identifizierung anfälliger Instanzen. Es wird dringend zu einem Update auf Version 7.4. oder höher geraten.

Patch-Umgehung ermöglicht Beliebigen Datei-Zugang in Node.js

CVE-2025-27210 (CVSS 7.5) ermöglicht die Umgehung von Sicherheitsmaßnahmen für CVE-2025-23084 (CVSS 5.6), einer bereits im januar 2025 adressierten Schwachstelle von Node.js auf Windows-Plattformen. Schätzungsweise 4.8% aller Web-Server weltweit und viele On-Premises und Cloud-native Anwendungen nutzen Node.js. Nationale CERT-Mitteilungen warnten vor hohen Risiken. [1][2] Mindestens ein Funktionsnachweis-Exploit (PoC, Proof of Concept) ist öffentlich verfügbar. [3] Sowohl der OPENVAS ENTERPRISE FEED als auch der COMMUNITY FEED enthalten einen Versionserkennungstest.

Die als Pfadmanipulation [CWE-22] (Path Traversal) klassifizierte Schwachstelle beruht auf den integrierten Funktionen path.join und path.normalize(), die nicht hinreichend auf Windows-Gerätenamen filtern, darunter reservierte Namen für spezielle Systemgeräte wie COM, PRN und AUX [4]. Dies kann aus der Ferne ausgenutzt werden, um Verzeichnisschutzmaßnahmen zu umgehen, wenn Eingaben von Nutzenden an die genannten Funktionen übergeben werden. Betroffen sind Node.js Versionen 20.x vor 20.19.4, sowie 22.x vor 22.17.1 und 24.x vor 24.4.1.

CVE-2025-37099: Vollständige Fernübernahme von HPE Insight Remote Support

Neue Schwachstellen in HPE Insight Remote Support stellen ein enormes Risiko für vollständige Systemübernahme innerhalb von Unternehmensinfrastrukturen dar. IRS wird in lokalen Unternehmensnetzwerken eingesetzt, um Hardware-Gesundheitsprüfungen, Infrastruktur-Monitoring und die Erstellung von Support-Tickets zu automatisieren.

CVE-2025-37099 (CVSS 9.8) ermöglicht die unauthentifizierte Ausführung von Remote-Code (RCE) auf SYSTEM-Ebene durch unzureichende Eingabevalidierung [CWE-20] in der processAttatchmentDataStream-Logik. Dadurch können bösartige Payloads als Code ausgeführt werden [CWE‑94][1]. Angreifende können somit Schadsoftware auf verwalteten Systemen ausführen. Auch wenn entsprechende Vorfälle nicht explizit dokumentiert sind, könnte der Zugang auf SYSTEM-Ebene ebenfalls genutzt werden, um Überwachungsprotokolle zu manipulieren oder zu löschen und damit Aktivitäten zu verschleiern. Da der betroffene Dienst häufig mit Geräten wie Servern und iLO-Controllern interagiert, könnte die Kompromittierung laterale Bewegung ermöglichen. [2]

HPE IRS sollte umgehend auf Version 7.15.0.646 oder höher aktualisiert werden. Die koordinierte Offenlegung beinhaltete überdies zwei weitere CVEs: CVE-2025-37098 und CVE-2025-37097, beide mit CVSS 7.5. Ein Versionserkennungstest zur Identifizierung anfälliger Instanzen und zur Verifizierung des Patch-Status zwecks Compliance ist im OPENVAS ENTERPRISE FEED enthalten.

Kritische Sicherheitsupdates für DELL-CVEs mit erhöhten EPSS-Werten

Kumulative Sicherheitsupdates für eine beträchtliche Menge an Dell-Produkten wurden veröffentlicht, um Sicherheitslücken in diversen Komponenten zu schließen. Der kanadische Cyber-Sicherheitsdienst CSE gab im Juli bezüglich dieser Updates drei Benachrichtigung heraus [1][2][3]. Folgend finden Sie einige der kritischen CVEs aus diesem Batch, die alle mit dem OPENVAS ENTERPRISE FEED erkannt werden können [1][2][3][4][5]:

  • CVE-2024-53677 (CVSS 9.8, EPSS 99. Perzentil): Dell Avamar Data Store und Avamar Virtual Edition erhielten Updates bezüglich einer Schwachstelle in Apache Struts. Alternative Gegenmaßnahmen oder Workarounds sind nicht verfügbar. Eine Liste betroffener Produkte ist in Dells Sicherheitsbulletin zu finden.
  • CVE-2025-24813 (CVSS 9.8, EPSS 99. Perzentil): Dell Secure Connect Gateway vor Version 5.30.0.14 ist von einer Apache Tomcat-Schwachstelle und weiteren kritischen CVEs betroffen. Das Update ist laut Dell von kritischer Wichtigkeit.
  • CVE-2004-0597 (CVSS 10, EPSS 99. Perzentil): Dell Networker birgt kritische Pufferüberlauf-Schwachstellen (Buffer Overflow) in libpng, die Angreifenden unter anderem die Ausführung von Remote-Code aus der Ferne durch den Einsatz bösartig manipulierter PNG-Dateien ermöglichen. Mehr Informationen dazu in Dells Sicherheitsbulletins [1][2][3][4].
  • CVE-2016-2842 (CVSS 9.8, EPSS ≥ 98. Perzentil): Dell Data Protection Advisor ist von Schwachstellen in diversen Komponenten betroffen, darunter CVE-2016-2841 in OpenSSL, das die Speicherzuweisung nicht korrekt kontrolliert und somit DoS (Denial of Service) und unter Umständen RCE (Ausführung von Remote-Code) ermöglicht. Weitere Informationen sind im Sicherheitsbulletin zu finden.
  • CVE-2025-30477 (CVSS 4.4): Dell PowerScale nutzt einen unsicheren kryptografischen Algorithmus. Die Folge ist mögliche, unbefugte Informationsfreigabe. Kritische PowerScale-Schwachstellen wurden im Juni 2025 behoben. Mehr Informationen in den Sicherheitsbulletins [1][2].

Eine Kumulative Zusammenfassung von 2025 D-LINK-Schwachstellen

Der OPENVAS ENTERPRISE FEED und der COMMUNITY FEED decken mit aktuell 27 Schwachstellentests den Großteil der D-Link-Produkte betreffenden CVEs ab, die 2025 veröffentlicht wurden. In Anbetracht der Relevanz von Sicherheit am Netzwerkrand (network edge security) sollten Schwachstellen in Routern und anderen Gateway-Geräten einen besonderen Stellenwert für Sicherheitsteams innehaben. Nach der Beilegung einer US-Regulierungsmaßnahme zwischen D-Link und der Federal Trade Commission erklärte sich D-Link 2019 bereit, ein umfassendes Sicherheitsprogramm umzusetzen. Es bleibt jedoch in Frage zu stellen, ob diese Maßnahmen weitreichend genug sind. Ivanti-Produkte zum Beispiel waren in den letzten Jahren von zahlreichen Schwachstellen hoher Kritikalität betroffen [1][2][3][4][5], von denen einige in Ransomware-Angriffen ausgenutzt wurden.

Adobe schließt kritische Sicherheitslücken in ColdFusion

Sicherheitsupdates für ColdFusion 2025, 2023, und 2021 behandeln 13 neue CVEs; fünf kritische Schwachstellen, darunter XEE (CVE-2025-49535, CVSS 9.3), hart codierte Zugangsdaten (CVE-2025-49551, CVSS 8.8), OS-Befehlsinjektion, XML-Injektion und SSRF. 2023 wurde die ColdFusion-Schwachstelle CVE‑2023‑26360 (CVSS 9.8) von Bedrohungsakteuren genutzt, um sich initialen Zugriff auf US-amerikanische zivile Bundesbehörden zu verschaffen.

Eine Remote-Versionsprüfung zum Erkennen ungepatchter Instanzen ist im OPENVAS ENTERPRISE FEED enthalten. Umgehende Aktualisierungen auf Update 3 (ColdFusion 2025), Update 15 (2023) oder Update 21 (2021) sind dringend empfohlen.

Splunk Enterprise aktualisiert Komponenten mit kritischer Kritikalität

Kumulative Updates für Splunk Enterprise betreffen diverse Komponenten von Dritten, unter anderem golang, postgres, aws-sdk-java und idna. Einige Komponenten wiesen eine kritische CVSS-Kritikalität auf, wie beispielsweise CVE-2024-45337 (CVSS 9.1) mit einem EPSS-Perzentil von ≥ 97%, was auf eine hohe Wahrscheinlichkeit von Exploit-Aktivität hinweist. CERT-FR und der kanadische Cyber CSE haben Warnungen zu den Splunk-Bulletins vom Juli veröffentlicht. Der Patch-Stand kann mit einem Versionstest aus dem OPENVAS ENTERPRISE FEED geprüft werden. Schwachstellentests für frühere Splunk-Sicherheitsbulletins und CVEs sind ebenfalls enthalten.

Oracle behebt eine Reihe hoch kritischer VirtualBox Schwachstellen

Mitte Juli wurden mehrere CVEs im Zusammenhang mit Oracle VM VirtualBox Version 7.1.10 veröffentlicht. Diese ermöglichen lokal privilegierten Angreifenden (mit Zugang zur Host-Infrastruktur oder auf die Ausführungsumgebung der Gast-VM), VirtualBox zu kompromittieren, was Privilegieneskalation oder die volle Kontrolle über die Kernkomponente des Hypervisors ermöglicht. Der Integer-Overflow-Bug CVE‑2025‑53024 (CVSS 8.2) im VMSVGA virtual device kommt durch unzureichende validierung von Eingaben zustande und führt zu Speicherkorruption mit Potenzial für komplette Kompromittierung des Hypervisors. [1] OPENVAS ENTERPRISE FEED  und COMMUNITY FEED enthalten Versionserkennungstests für Windows, Linux, und macOS.

Schwachstelle nach Authentifizierung ermöglicht RCE in SonicWall SMA100

CVE-2025-40599 (CVSS 9.1) ist eine Schwachstelle für beliebiges Hochladen von Dateien nach Authentifizierung in SonicWall SMA 100-Appliances. Sie ermöglicht Remote-Angreifenden mit Administrationsrechten die Ausführung von beliebigem Code sowie persistenten Zugriff. Schwache oder gestohlene Zugangsdaten erhöhen das Risiko dieser Schwachstelle. Betroffen sind die Modelle SMA 210, 410 und 500v, Versionen 10.2.1.15-81sv und darunter. SonicWalls Sicherheitsbulletin zufolge gibt es keinen wirksamen Workaround. Der OPENVAS ENTERPRISE FEED beinhaltet einen Remote-Versionstest zur Identifizierung anfälliger Geräte.

Neue MySQL CVEs ermöglichen Authentifizierte DoS-Attacken

Inmitten der Vielzahl von Schwachstellen, die unautorisierte RCE ermöglichen, sind solche, die lediglich einen Denial of Service (DoS) verursachen, leicht zu übersehen. Im Juli wurden zahlreiche DoS-Schwachstellen und zugehörige Sicherheitsupdates für MySQL 8 und 9 veröffentlicht [1]. Diese Sicherheitslücken erfordern für eine Ausnutzung zwar privilegierten Zugriff, jedoch bieten Managed Service Provider (MSP) gemeinsames MySQL-hosting für kleine und mittlere Unternehmen (KMU), Behörden und Non-Profit-Organisationen an, die den Aufwand für das Betreiben einer eigenen Datenbankinfrastruktur vermeiden möchten. In einem solchen Szenario erhalten Nutzende Zugriff zu separaten Datenbanken auf derselben MySQL-Serverinstanz. Ist eine solche Serverinstanz nicht gepatcht, ist es möglich, andere Organisationen auf derselben Instanz zu beeinträchtigen. Diese Schwachstellen unterstreichen die Wichtigkeit starker Zugangsdaten und der Verteidigung gegen Brute-Force- und Password-Spraying-Angriffe.

Remote Versionserkennungstests für alle untenstehenden CVEs sind verfügbar. Diese sind sowohl im OPENVAS ENTERPRISE FEED, als auch im COMMUNITY FEED zu finden. Sie decken Linux und Windows MySQL Installationen ab.

CVE ID

Betroffene Versionen

Auswirkung

Zugriffsvektor

Patch Status

CVE-2025-50078

(CVSS 6.5)

8.0.0–8.0.42, 8.4.0–8.4.5, 9.0.0–9.3.0

DoS (hang/crash)

Authentifizierter Fernzugriff

Gepatcht (July 2025)

CVE-2025-50082

(CVSS 6.5)

8.0.0–8.0.42, 8.4.0–8.4.5, 9.0.0–9.3.0

DoS (crash)

Authentifizierter Fernzugriff

Gepatcht (July 2025)

CVE-2025-50083

(CVSS 6.5)

8.0.0–8.0.42, 8.4.0–8.4.5, 9.0.0–9.3.0

DoS (crash)

Authentifizierter Fernzugriff

Gapatcht (July 2025)

 

CVE-2025-8088 (CVSS 8.4) ist eine neue, hoch riskante Path Traversal-Schwachstelle [CWE-35] in WinRAR bis einschließlich Version 7.12, sowie in verwandten Komponenten wie beispielsweise UnRAR.dll. Die Schwachstelle erlaubt unautorisierten Angreifenden, schadhafte Dateien in sensible Verzeichnisse wie den Windows-Autostart-Ordner zu kopieren, von wo sie automatisch ausgeführt werden können. Laut ESET Research wurde die aktive Ausnutzung erstmals am 18. Juli 2025 im Zusammenhang mit RomCom, einer forgteschrittenen, andauernden Bedrohung (Advanced Persistent Threat, APT), dokumentiert. Es ist bereits von einem Exploit-Kit die Rede, welches im Darknet für 80.000$ angeboten wird, diese Berichte sind jedoch bisher nicht hinreichend geprüft.

RARLAB hat Release Notes und gepatchte Versionen der WinRAR-Anwendung und der Quellcode-Version veröffentlicht. Nutzende sind dringend aufgefordert, die Sicherheitsupdates umgehend zu installieren. OPENVAS SECURITY INTELLIGENCE kann Ihrem Sicherheitsteam mit Hilfe unseres ENTERPRISE FEEDs helfen, anfällige Versionen von WinRAR im Netzwerk Ihrer Organisation zu erkennen. In unserem Threat Report vom Mai 2025 haben wir bereits über russische, staatlich finanzierte Bedrohungsakteure berichtet, die eine andere WinRAR-Schwachstelle, CVE-2023-38831 (CVSS 7.8), für Ransomware-Angriffe ausgenutzt hatten. Schauen wir uns nun die neueste Angriffs-Kampagne auf WinRAR an.

Zusammenfassung von RomComs Taktiken und Techniken

RomCom (aka Storm-0978, Tropical Scorpius, UNC2596) ist ein mit Russland in Verbindung stehender Bedrohungsakteur, bekannt für eine charakteristische Malware (RomCOM RAT) und die Durchführung hochentwickelter, finanziell motivierter Spearphishing-Attacken sowie Spionage-Kampagnen [1][2][3][4]. Ihre Aktivitäten stützen sich auf eine Bandbreite von Angriffs-Vektoren, wie Spearphishing, Installations-Trojaner und die Ausnutzung hochsensibler Schwachstellen. Nennenswerte Beispiele umfassen unter anderem CVE-2023-36884 (CVSS 7.5) in Microsoft Word, CVE-2024-9680 (CVSS 9.8) in Firefox, und CVE-2024-49039 (CVSS 8.8) in Windows Task Scheduler. ESET zufolge beinhalten RomCom’s Spearphishing E-Mails inzwischen als Angriffswerkzeuge präparierte RAR-Archive, die in Anhängen gezielt an Unternehmen aus den Bereichen Finanzen, Produktion, Verteidigung und Logistik in Europa und Kanada verschickt werden.

Die CVE-2025-8088 Angriffskette

Kampagnen, die CVE-2025-8088 ausnutzen, folgen einem mehrstufigen Prozess, indem schadhafte RAR-Archive für Import und Ausführung von Schadsoftware auf Zielsystemen eingesetzt werden. Im folgenden wird die von ESET Research erkannte Angriffskette erklärt:

  • Spearphishing-Übermittlung: Die Opfer erhalten E-Mails mit präparierten RAR-Archiven [T1204.002], die darauf ausgelegt sind, nach ihrer Extrahierung CVE-2025-8088 auszunutzen. Das angehängte Archiv erweckt den Eindruck, nur eine oder zwei Dateien zu enthalten, allerdings verbirgt es mehrere Alternate Data Streams (ADS) mit schadhaften Inhalten. In NTFS ermöglichen ADS das Speichern von Daten in einem separaten Datenstrom, welcher mit einer Datei verbunden ist, jedoch nicht in normalen Verzeichnislisten auftaucht.
  • Path Traversal Exploit: Die ADS-Payloads nutzen die Zeichenfolge ..\, um durch den Extraktionspfad zu navigieren und schadhafte DLL- oder EXE-Dateien in sensible Verzeichnisse wie %TEMP%, %LOCALAPPDATA% und den Windows-Autostart-Ordner zu installieren
  • Payload-Bereitstellung: Sobald das Payload in ein sensibles Verzeichnis extrahiert wurde, wird eine .lnk-Verknüpfungsdatei in den Windows-Autostart-ordner kopiert, um Persistenz zu erreichen [T1547]. WinRAR verfügt standardmäßig nicht über erhöhte Rechte. Der Windows-Autostart-Ordner ist jedoch von Nutzenden beschreibbar und sorgt somit dafür, dass die dort abgelegte Schadsoftware mit jedem Login ausgeführt wird.
  • Aktion gemäß Zielen: Als folge einer erfolgreichen Ausnutzung wurden bereits mehrere Malware-Payloads zur Command-and-Control-(C2)-Kommunikation beobachtet, darunter:
    • Missbrauch von COM-Hijacking [T1546.015], um eine bösartige DLL (Mythic Agent) auszuführen, die auf Active-Dicectory-(AD)-Domänen abzielt.
    • Verwendung einer trojanischen PuTTY-CAC-Executable (SnipBot), um Anit-Sandbox-Prüfungen [T1497] durchzuführen, bevor weitere Payloads importiert werden [T1105]. PuTTY-CAC ist eine modifizierte Version des beliebten PuTTY SSH/Telnet-Clients, die Unterstützung für Smartcards und zertifikatsbasierte Logins bietet.
    • Einsatz eines Rust-basierten Downloaders (RustyClaw) zur Bereitstellung des MeltingClaw-Loaders, um weitere Malware zu importieren [T1105].

Maßnamen zur Risikobegrenzung

WinRAR auf Windows Systemen sollte umgehend manuell auf die am 30. Juli herausgegebene Version WinRAR 7.13 Final aktualisiert werden. Das Update behebt die Schwachstellen in der Desktopanwendung, dem portablen UnRAR-Quellcode und den UnRAR.dll-Komponenten. Unternehmen sollten außerdem jegliche Software, die UnRAR.dll nutzt, auf die Version 7.13 FINAL aktualisieren. In komplexen IT-Umgebungen ist die Durchführung umfangreicher Schwachstellentests zwingend erforderlich, um sicherzustellen, dass alle betroffenen Instanzen behoben wurden und um den Patch-Status nach der Behebung zu verifizieren.

Weitere Sicherheitsmaßnahmen umfassen:

  • Einsatz von Antivirensoftware, um eingehende Dateien auf Malware zu prüfen
  • Einrichtung starker Verzeichnisberechtigungen, um das böswillige Extrahieren in sensible Verzeichnisse zu unterbinden
  • Durchführung von Sensibilisierungsschulungen, um Mitarbeitende über Spearphishing aufzuklären
  • Scannen von Systemen auf Indikatoren einer Kompromittierung (Indicators of Compromise, IoCs), um mögliche Kompromittierung zu identifizieren
  • Konfiguration von EDR-Lösungen, um bei Änderungen im Windows-Autostart-Ordner Alarm zu geben

Zusammenfassung

CVE-2025-8088 (CVSS 8.4), ist eine hoch riskante Path Traversal-Schwachstelle von WinRAR, die aktiv von der RomCom-APT ausgenutzt wird. Angriffe werden über Spearphisching-E-Mails verteilt, die bösartige RAR-Archive beinhalten. Diese schleusen lokal Schadsoftware in die Zielsysteme. Eine gepatchte Version, WinRAR 7.13 Final, schließt umgehend die Schwachstellen auf betroffenen Systemen, einschließlich der Desktop-Anwendung, dem portablen UnRAR-Quellcode und UnRAR.dll. Die Sicherheitsupdates sollten umgehend installiert werden. OPENVAS SECURITY INTELLIGENCE bietet bereits Versionserkennungstests als Teil unseres ENTERPRISE FEEDs, die es Ihrem Sicherheitsteam ermöglichen, die IT-Infrastruktur Ihres Unternehmens auf betroffene WinRAR-Versionen zu scannen und diese zu patchen.

Das Vertrauen in den globalen Finanzsektor sinkt – Grund dafür ist eine Reihe schwerwiegender Cybervorfälle im laufe der vergangenen Jahre. Diese Angriffe sind äußerst großflächig und kostenintensiv. Nicht nur Großunternehmen leiden unter diesem Kampf. Wenn Datenschutz und die Integrität von Finanztransaktionen kompromittiert sind, betrifft dies auch direkt Privatpersonen.

Einige der folgenschwersten Sicherheitsverletzungen bei Finanzunternehmen in der EU und weltweit umfassen:

  • Equifax (2017): Eine ungepatchte Schwachstelle in Apache Struts führte zum Diebstahl von Sozialversicherungsnummern (SSN), Geburtsdaten, Adressen und Führerscheinen von über 147 Millionen Personen.
  • UniCredit (2018): Italien’s zweitgrößte Bank exponierte persönlich identifizierbare Informationen (PII) von 778.000 Personen im Kundschaftskreis. 2024 erhob Italien eine Strafe von 2.8 Millionen Euro.
  • Capital One (2019): Eine fehlkonfigurierte Firewall ermöglichte den Diebstahl der PII von 106 Millionen Personen.
  • Finastra (2023): Ein in Großbritannien ansässige Fintech-Anbieter, der globale Banken bedient, wurde über sein sicheres Dateiübertragungssystem kompromittiert, was zum Diebstahl von über 400 GB sensibler Finanzdaten großer Bankkunden führte.
  • UBS and Pictet (2025): Ein Drittanbieter-Cyberangriff exponierte die PII von über 130.000 Angestellten, darunter Vertragsinformationen von Führungskräften.
  • Bybit (2025): Nordkoreanische Hackende stahlen im bislang größten Angriff auf eine Krypto-Börse 1.5 Millarden Dollar in Ethereum aus Bybit’s Cold Wallet.

Diese Vorfälle betonen die strategische Notwendigkeit, Finanztechnologien abzusichern. Cyberangriffe auf Banken umfassen betrügerische Überweisungen, das Hacken von Geldautomaten, POS-Malware und Datendiebstahl. Je nach Blickwinkel ist die Entwendung von PII sogar schlimmer, als der Diebstahl von Geld. Gestohlene Daten: Namen, Sozialversicherungsnummern, Adressen und andere PII werden im Darknet verkauft und von Angreifenden für social Engineering, Identitätsdiebstahl oder das Eröffnen betrügerischer Bankkonten genutzt. Geopolitische Spannungen erhöhen die Risiken für Opfer von Datendiebstahl. Feindliche Nationalstaaten und rechtlich zweifelhafte Informationsvermittelnde sammeln Informationen über Einzelpersonen zwecks Überwachung, Einschüchterung und Schlimmerem.

Als Reaktion auf die wachsenden Bedrohungen wurde das Gesetz über die Digitale Operationale Resilienz (“Digital Operational Resiliance Act”, kurz “DORA”) eingeführt, um die Cybersicherheitslage des EU-Finanzsektors durch bessere Sicherheitsrichtlinien zu stärken. Der neue Rechtsrahmen spielt eine zentrale Rolle für den regulatorischen Rahmen der EU im Finanzbereich, um das Vertrauen der Kundschaft zu stabilisieren und die Sicherheit von Unternehmen zu stärken.

Wie Greenbone’s OPENVAS SECURITY INTELLIGENCE bei der Einhaltung von DORA hilft:

  • Schwachstellenmanagement ist ein Grundlegender Bestandteil von IT-Sicherheit, mit anerkanntem Nutzen für Operative Resilienz. OPENVAS SCAN von Greenbone ist ein marktführender Schwachstellen-Scanner mit Erfolgsgeschichte.
  • Unser OPENVAS ENTERPRISE FEED enthält branchenführende Abdeckung für die Erkennung von CVEs sowie bei der Erkennung weiterer Schwachstellen im Netzwerk und an Endpunkten.
  • OPENVAS SCAN kann von Netzwerkdiensten erlaubte Verschlüsselungsprotokolle identifizieren, um sicherzustellen, dass Datenübertragungen mit den Richtlinien zur Datensicherheit konform sind.
  • Unsere Compliance-Scans prüfen auf sicherheitsgehärtete Konfigurationen für eine Bandbreite an Betriebssystemen und Anwendungen. Sie umfassen unter anderem CIS Benchmarks für Apache HTTPD, Microsoft IIS, NGINX, MongoDB, Oracle, PostgreSQL, Google Chrome, Windows 11 Enterprise und Linux [1] [2].
  • Alle Komponenten von OPENVAS SECURITY INTELLIGENCE sind für absolute Datensouveränität konzipiert; die Daten Ihres Unternehmens bleiben in Ihrem Unternehmen.
  • Unsere Kernproduktlinie ist Open Source, langjährig erprobt und steht sowohl Kundschaft, als auch Community-Mitgliedern zur externen Prüfung offen. Diese Transparenz erleichtert die Auditierung durch externe IT-Dienstleistende.
  • OPENVAS REPORT von Greenbone ist speziell darauf zugeschnitten, die Beweiserhebung und Aufbewahrung von Daten zwecks Compliance Reporting zu unterstützen.
  • Als aktiv ISO/IEC 27001:2022 und ISO 9001:2015 zertifiziertes Unternehmen setzt Greenbone auf strengste Qualitätsstandards für Informationssicherheit. Die ISO:14001 Zertifizierung für Umweltmanagementsysteme unterstreicht unser fortwährendes Engagement für Nachhaltigkeit und andere wichtige Themen.

Das EU-Gesetz zur Digitalen Operationalen Resilienz (DORA)

DORA ist eine EU-Verordnung, die am 16. Januar 2023 im Amtsblatt der Europäischen Union veröffentlicht wurde. Am 17 Januar 2025 ist sie offiziell in Kraft getreten. DORA ist Teil der Strategie für das digitale Finanzwesen in der EU, mit dem Ziel, Cybersecurity Verwaltung und Risk Management zu standardisieren und somit die operationale Widerstandsfähigkeit des EU-Finanzwesens zu stärken. Die Verordnung betrifft 20 verschieden Arten von Finanzunternehmen, darunter Banken, Versicherungsinstitute, Investmentfirmen und Drittanbietende von Informations- und Kommunikations-Dienstleistungen (IKT-Drittanbietende).

Aber sind Finanzinstitute nicht bereits unter NIS 2 als wesentliche Einrichtungen (EE, Essential Entities) reguliert?

Ja, allerdings bestimmt Artikel 4 von NIS 2, dass von DORA betroffene Finanzdienstleistungsunternehmen—unter anderem Banken, Investmentfirmen, Versicherungsinstitute und Finanzinfrastrukturen—den von DORA gestellten Ansprüchen in vollem Umfang genügen müssen, wenn es um Cybersecurity Risikomanagement und Vorfallsmeldung geht. Darüberhinaus haben alle sektorspezifischen, gleichwertigen EU-Mandate im Bereich Risikomanagement und Vorfallsmeldung Priorität über die entsprechenden Bestimmungen der NIS 2-Verordnung.

Wer sind die Europäischen Aufsichtsbehörden (European Supervisory Authorities, ESAs)?

Es gibt drei offiziell benannte ESAs, die für die Erstellung von Regulatorischen Technischen Standards (RTS) und Technische Durchführungsstandards (Implementing Technical Standards, ITS) verantwortlich sind, welche die Anforderungen von DORA konkretisieren:

  • European Banking Authority (EBA) [1]
  • European Insurance and Occupational Pensions Authority (EIOPA) [2]
  • European Securities and Markets Authority (ESMA) [3]

Was sind Regulatorische Technische Standards (RTS)?

Wie der Name bereits impliziert, definieren RTS die notwendigen technischen Standards, denen unter DORA fallende Unternehmen entsprechen müssen. RTS-Dokumente bieten detaillierte Richtlinien zur einheitlichen Umsetzung von DORA im EU Finanzsektor [4].

Die Finalen Entwürfe der Regulatorischen Technischen Standards umfassen:

  • Rahmenwerk für das IKT-Risikomanagement und vereinfachtes IKT-Risikomanagement[5]
  • Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen[6]
  • Richtlinie zu IKT-Diensten, die kritische oder wichtige Funktionen von Drittanbietenden (TTPs) unterstützen[7]

Was sind Technische Durchführungsstandards (Implementing Technical Standards, ITS)?

ITS sind detaillierte Vorschriften, die genau bestimmen, wie Finanzunternehmen ihre Verpflichtungen erfüllen müssen. Sie übertragen DORA’s generelle Bestimmungen in präzise, operationale, prozedurale und berichtsbezogene Standards. ITS befassen sich mit Vorfallsberichterstattung, Erfassung und Auswertung von IKT-Drittanbieterbeziehungen, Threat-Led Penetration Testing (TLTP) und dem Austausch von Informationen zu Cyberbedrohungen.

  • Die Finalen Entwürfe der Technischen Durchführungsstandards[8]

Der Umfang von DORA’s Einfluss auf IT-Sicherheit

Hier sind die grundlegenden IT-Sicherheitsprinzipien, auf die DORA Einfluss nimmt:

  1. Risikomanagement: DORA verpflichtet Finanzunternehmen, Robuste IT-Risikomanagement-Frameworks (RMF) umzusetzen, um operationale Risiken zu reduzieren.
  2. Vorfallsberichterstattung: Vollständig regulierte Unternehmen müssen schwerwiegende Cybervorfälle innerhalb von 24 Stunden in einem standardisierten Format an nationale Behörden melden. Kleine, nicht vernetzte und befreite Unternehmen tragen eine abgeschwächte Meldepflicht.
  3. Drittparteirisiken: DORA etabliert strengere Aufsicht und Verantwortlichkeit für den Umgang von Finanzunternehmen mit IKT-Drittanbieterbeziehungen.
  4. Sicherheitstests: Finanzunternehmen müssen ihre digitalen Systeme regelmäßig Sicherheitstests unterziehen, um Cyber-Resilienz zu steigern.
  5. Informationsaustausch: Um den Informationsaustausch zwischen Finanzinstituten und relevanten Behörden zu fördern, werden erstere ermutigt, aufkommende Bedrohungen zu melden, wenn sie für Dritte relevant sein könnten.

Zusammenfassung

Cyberangriffe mit hoher öffentlicher Sichtbarkeit haben Lücken in der Sicherheitsstrategie des Finanzsektors aufgezeigt, was die EU veranlasste, das Gesetz zur Digitalen Operationalen Resilienz (DORA) zu verabschieden, das seit dem 17. Januar 2025 gültig ist. Greenbone ist ein verlässlicher Partner zur Unterstützung in Sachen DORA-Compliance, mit einem bewährten Portfolio an Schwachstellenmanagement-Produkten und Compliance-Berichtstools. Unsere Produkte unterstützen resiliente Datensouveränität und liefern detaillierte Sicherheitsberichte.

Korrektes Cyber-Risikomanagement besteht nicht einfach aus dem Abhaken einer Compliance-Checkliste. Verteidigende müssen frühstmöglich und proaktiv aufkommende Risiken erkennen, um ihre operationale Widerstandsfähigkeit zu steigern. Greenbone hält Sie auf dem neuesten Stand über neue Sicherheitsrisiken und ermöglicht Verteidigungsteams von Europa’s Finanzinstituten, diese anzugehen, bevor es zu einem erfolgreichen Angriff kommt.

Am Samstag den 19. Juli wurden Microsoft SharePoint Server Thema weltweiter Cybersicherheits-Warnungen. Involviert sind vier CVEs, die kollektiv als „ToolShell“ bezeichnet werden. Zwei davon waren im Juli bereits publik und erhielten Patches, die allerdings mittels Bypass-Exploits umgangen werden konnten, was wiederum zwei weitere CVEs hervorbrachte. Die Schwachstellen ermöglichen Remote-Code-Ausführung (RCE) ohne Authentifizierung mit Systemrechten unter Windows.

Eine breit angelegte Angriffswelle traf bereits die US-Atomwaffenbehörde, sowie über 400 weitere Organisationen, darunter internationale Großunternehmen, Gesundheitsämter und andere Regierungsbehörden, den Finanzsektor und kritische Energieinfrastruktur. Eye Security erkannte die aktive Ausnutzung der Schwachstellen als erstes, woraufhin drei CVEs zum CISA -Katalog bekannter Schwachstellen mit aktiver Ausnutzung (KEV) hinzugefügt wurden. Staatlich finanzierte Ransomware-Angriffe aus China konnten mit diesen Schwachstellen in Verbindung gebracht werden und mehrere Proof-of-Concept-Exploit-Kits (PoC, Machbarkeitsnachweise) sind frei verfügbar [1][2][3]. Viele Länder veröffentlichten nationale CERT-Warnungen, darunter CERT-EU [4], die Niederlande [5], Neuseeland [6], Kanada [7] und Deutschland [8]. Die Schadowserver Foundation hat bereits über 9.000 öffentliche SharePoint IP-Adressen gefunden.

OPENVAS SECURITY INTELLIGENCE von Greenbone enthält Versionserkennungstests [9][10][11][12], direkte aktive Prüfungen auf alle ToolShell-CVEs [13] sowie aktive Checks zugehöriger Indikatoren für Kompromitierung (IoC) [14] in unserem ENTERPRISE FEED. Der Aktualisierungsstatus Ihres OPENVAS ENTERPRISE FEED sollte regelmäßig geprüft werden – nur so sind alle aktuellen Schwachstellentests enthalten. Schauen wir uns nun die ToolShell-Bugs im Detail an.

ToolShell Ereignisse im Zeitverlauf

Hier ein kurzer Überblick über die ToolShell Ereignisse bisher:

Die ToolShell-CVEs in Microsoft SharePoint

Als CVE-2025-49706 und CVE-2025-49704 ursprünglich im Mai 2025 als „ToolShell“ bekannt wurden, waren die technischen Details zwar noch nicht öffentlich, dennoch führte die Mitteilung über die Schwachstellen zu Sicherheitsupdates Mitte Juli. Forschungsteams meldeten jedoch bald erfolgreiche Angriffe auf vermeintlich durch die neuen Patches geschützte Server. Dies führte zur Bekanntgabe von CVE-2025-53770 und CVE-2025-53771.

Im Folgenden werden die Details der ToolShell-CVEs kurz dargestellt:

  • CVE-2025-49704 (CVSS 8.8): Unsichere Code-Erzeugung (“Code Injection”) [CWE-94] ermöglicht authorisierten Angreifenden das Ausführen von Remote-Code. Laut Cisco Talos sind hierfür Site-Member-Privilegien erforderlich, Microsoft zufolge lässt sich die Schwachstelle nur mit Site-Owner-Privilegien ausnutzen. Laut Microsoft ist die Schwachstelle leicht auszunutzen und birgt somit ein hohes Risiko für einen erfolgreichen Angriff.
  • CVE-2025-49706 (CVSS 6.3): Fehlerhafte Authentifizierung [CWE-287] ermöglicht es unauthorisierten Angreifenden, Spoofing über ein Netzwerk auszuführen, also eine vertrauenswürdige Identität vorzutäuschen.
  • CVE-2025-53770 (CVSS 9.8): Die Deserialisierung nicht vertrauenswürdiger Daten [CWE-502] ermöglicht unauthorisierten Angreifenden, Code über ein Netzwerk auszuführen. [CWE-94]. Dies stellt eine Variante von CVE-2025-49704 dar.
  • CVE-2025-53771 (CVSS 6.3): Unzureichende Begrenzung von Dateipfaden auf bestimmte Verzeichnisse [CWE-22] (“Path Traversal”) ermöglicht unauthorisierten Angreifenden, Spoofing über ein Netzwerk auszuführen. Dies ist eine Variente von CVE-2025-49706.

Die ToolShell Angriffsstrategie

Die Ausnutzung von ToolShell ermöglicht das unauthentifizierte Ausführen von Remote-Code auf betroffenen Microsoft SharePoint Servern. Die Angriffe laufen wie folgt ab:

  1. CVE-2025-49706 ermöglicht Zugriff zu internen SharePoint-Diensten, indem der Header Referer: /_layouts/SignOut.aspx manipuliert wird, um die Validierungslogik zu umgehen. Obwohl keine authentischen Sitzungen oder Nutzerdaten bestehen, behandelt SharePoint die Anfragen als authentifiziert.
  2. Zeitgleich wird ein bösartiges __VIEWSTATE-Payload an den Endpunkt /_layouts/15/ToolPane.aspx geschickt. Dieses enthält eine präparierte .NET-Gadget-Chain, welche die Deserialisierungs-Schwachstelle CVE-2025-53770 ausnutzt. Dabei handelt es sich um serialisierte ASP.NET-Objekte, die den Zustand von UI-Steuerelementen zwischen dem Browser und dem SharePoints-Backend synchronisieren sollen.
  3. Die Deserialisierungs-Schwachstelle lässt Angreifende exe– oder PowerShell-Befehle als Windows SYSTEM-User ausführen, was volle Kontrolle über das betroffene System ermöglicht.
  4. Mittels dieser Berechtigung installieren Angreifende unter anderem bösartige ASPX Web Shells (z.B. aspx), um die MachineKey-Konfiguration des betroffenen Systems, also ValidationKey und DecryptionKey, auszulesen und somit permanenten authentifizierten Zugriff zu gewinnen.
  5. Die gestohlenen Zugriffstoken ermöglichen Angreifenden nun, mittels ysoserial weitere valide __VIEWSTATE-Payloads zu verschicken.

Risikominderung von ToolShell Angriffen auf Microsoft SharePoint

ToolShell trifft On-Premises-Versionen von Microsoft Office SharePoint 2016, 2019, sowie Abonnement- und End-Of-Life-Versionen (EOL), wie SharePoint Server 2010 und 2013. Aktuelle Sicherheitsupdates sollten sofort installiert werden. Microsofts Sicherheitsupdate früh im Juli 2025 adressiert zwar CVE-2025-49704 und CVE-2025-49706, die neu entstandenen Bypass-Exploits machen jedoch weitere Patches erforderlich:

  • KB5002754 für Microsoft SharePoint Server 2019 Core
  • KB5002768 für Microsoft SharePoint Subscription Edition
  • KB5002760 für Microsoft SharePoint Enterprise Server 2016
  • SharePoint Server 2010 und 2013 sind betroffen, erhalten jedoch aufgrund ihres EOL-Status keine Patches mehr
  • SharePoint Online (Microsoft 365) ist NICHT betroffen

Microsoft empfiehlt, AMSI im Vollmodus zu aktivieren und Microsoft Defender Antivirus zu nutzen, um erfolgreiche Angriffe zu verhindern. Sicherheitsteams sollten außerdem davon ausgehen, dass ihre Systeme kompromittiert wurden und nach entsprechenden Indikatoren (IoCs) suchen, die in bekannten Angriffskampagnen erkannt wurden. Neben der Erkennung und Entfernung möglicher Malware müssen möglicherweise bereits gestohlene Zugangsdaten ungültig gemacht werden. Zu diesem Zweck wird zur Rotation von ASP.NET-MachineKeys geraten – entweder per PowerShell (Update-SPMachineKey), oder über den Machine Key Rotation Job der Central Administration, gefolgt von einem Neustart der IIS-Dienste mit iisreset.exe.

Zusammenfassung

Die ToolShell-Angriffskette birgt das Risiko unauthentifizierter Ausführung von Remote-Code (RCE). Angriffe bestehen aus der Umgehung der Authentifizierung, gefolgt von RCE mittels fehlerhafter Deserialisierung. Trotz Sicherheitsupdates im Juli 2025 für CVE-2025-49704 und CVE-2025-49706 wurden neue Bypass-Exploits entdeckt (CVE-2025-53770, CVE-2025-53771), die nun global aktiv ausgenutzt werden. Sicherheitsverantwortliche müssen alle verfügbaren Updates umgehend installieren, bestehende Malware beseitigen, Machine Keys rotieren und die Cyber-Resilienz ihrer Systeme prüfen. OPENVAS SECURITY INTELLIGENCE kann dabei helfen – durch schnelle und zuverlässige Erkennung gefährdeter SharePoint-Systeme und über 180.000 weiterer Schwachstellen.

OPENVAS steht seit mehr als 15 Jahren weltweit für exzellente Open-Source-Sicherheit – von kleinen Unternehmen über öffentliche Einrichtungen bis hin zu Betreibern kritischer Infrastrukturen. OPENVAS wird von Greenbone entwickelt und steht sowohl hinter den Enterprise Produkten von Greenbone, als auch hinter den Community Versionen. Die Marke OPENVAS schafft weltweit Vertrauen in eine hochentwickelte Open Source Lösung, die den Vergleich zu proprietären Mitbewerbern nicht zu scheuen braucht.

Ab jetzt stellen wir den Namen OPENVAS ins Zentrum aller unserer Aktivitäten. Unsere bewährten Lösungen, und unsere neuen Produkte erscheinen ab sofort unter einer gemeinsamen, starken Marke: OPENVAS.

Warum wir uns für OPENVAS entschieden haben

OPENVAS ist international bekannt, steht für Vertrauen und Open Source – und beschreibt klar, worum es geht: das Erkennen und Minimieren digitaler Risiken. Mit dem neuen Namensschema machen wir unsere Lösungen noch verständlicher, funktionaler und global einheitlicher. Ursprünglich nur als Name einer technischen Komponente, dem eigentlichen Schwachstellenscanner, vorgesehen, hat sich der Name jedoch als Bezeichnung unseres Open Source Produktportfolios etabliert. Das nehmen wir gerne auf und nutzen unsere etablierte Marke OPENVAS in allen unseren Produktbezeichnungen.

Das heißt für unsere Nutzer, Kunden und Partner: Es bleibt alles erhalten, was Sie an unseren Lösungen schätzen – nur unter neuen, sprechenden Namen. Und es kommt in diesem Jahr noch einiges dazu: Container Scanning, Agenten-basiertes Scanning, eine neue REST API und einiges mehr.

Was bedeutet das für Sie konkret?

  • Vertrautes bleibt: Ihre Lösungen funktionieren wie gewohnt, inklusive aller Services und Sicherheitsupdates.
  • Namen, die Klarheit schaffen: Jede Produktbezeichnung beschreibt nun direkt ihre Funktion – das spart Zeit und Missverständnisse.
  • Starke Marke, klare Kommunikation: National wie international treten wir unter einem einheitlichen Namen auf – OPENVAS.

Unser bewährtes Ziel: Ihnen die beste Lösung zu bieten, um digitale Risiken schnell, einfach und nachvollziehbar zu minimieren.

Was bedeutet das für unsere bestehenden Appliance Produkte

Unsere bestehenden Produkte werden wie gewohnt fortlaufend aktualisiert. Gleichzeitig bekommen sie neue Namen, wobei OPENVAS dabei immer im Mittepunkt steht.

Ein paar Beispiele: OPENVAS SCAN ist der neue Produktname für die Greenbone Enterprise Appliances, die gewohnten Leistungsbezeichnungen bleiben dabei erhalten. Die Greenbone Enterprise EXA wird zu OPENVAS SCAN EXA, die Greenbone Enterprise 600 zu OPENVAS SCAN 600.

Auch unsere kostenlosen Community Produkte wird es natürlich weiterhin geben, wir nutzen hier den Namen OPENVAS COMMUNITY EDITION für unsere freie Appliance und OPENVAS COMMUNITY FEED für den zugehörigen Daten-Feed mit den Schwachstellentests und Sicherheitsinformationen.

Greenbone bleibt – OPENVAS wird neuer Markenname

Greenbone bleibt der Name unseres Unternehmens – mit Hauptsitz in Deutschland und unseren Tochterunternehmen in Großbritannien, Italien und den Niederlanden. Der Name Greenbone hat sich im deutschsprachigem Raum etabliert, deswegen wollen wir heute nicht die Greenbone AG in OPENVAS AG umbenennen. International sind wir als OPENVAS deutlich bekannter und treten daher unter der Marke OPENVAS auf: OPENVAS UK, OPENVAS IT, OPENVAS NL.

Wir machen durch die Stärkung unserer Marke OPENVAS unsere Mission sichtbar: Cybersecurity verständlich, vertrauenswürdig und zugänglich machen – in über 150 Ländern auf der Welt.