2025 - Greenbone

Greenbone unterstützt DORA Compliance mit Schwachstellenerkennung, Datensouveränität und Reporting

Das Vertrauen in den globalen Finanzsektor sinkt – Grund dafür ist eine Reihe schwerwiegender Cybervorfälle im laufe der vergangenen Jahre. Diese Angriffe sind äußerst großflächig und kostenintensiv. Nicht nur Großunternehmen leiden unter diesem Kampf. Wenn Datenschutz und die Integrität von Finanztransaktionen kompromittiert sind, betrifft dies auch direkt Privatpersonen.

Einige der folgenschwersten Sicherheitsverletzungen bei Finanzunternehmen in der EU und weltweit umfassen:

Equifax (2017): Eine ungepatchte Schwachstelle in Apache Struts führte zum Diebstahl von Sozialversicherungsnummern (SSN), Geburtsdaten, Adressen und Führerscheinen von über 147 Millionen Personen.
UniCredit (2018): Italien’s zweitgrößte Bank exponierte persönlich identifizierbare Informationen (PII) von 778.000 Personen im Kundschaftskreis. 2024 erhob Italien eine Strafe von 2.8 Millionen Euro.
Capital One (2019): Eine fehlkonfigurierte Firewall ermöglichte den Diebstahl der PII von 106 Millionen Personen.
Finastra (2023): Ein in Großbritannien ansässige Fintech-Anbieter, der globale Banken bedient, wurde über sein sicheres Dateiübertragungssystem kompromittiert, was zum Diebstahl von über 400 GB sensibler Finanzdaten großer Bankkunden führte.
UBS and Pictet (2025): Ein Drittanbieter-Cyberangriff exponierte die PII von über 130.000 Angestellten, darunter Vertragsinformationen von Führungskräften.
Bybit (2025): Nordkoreanische Hackende stahlen im bislang größten Angriff auf eine Krypto-Börse 1.5 Millarden Dollar in Ethereum aus Bybit’s Cold Wallet.

Diese Vorfälle betonen die strategische Notwendigkeit, Finanztechnologien abzusichern. Cyberangriffe auf Banken umfassen betrügerische Überweisungen, das Hacken von Geldautomaten, POS-Malware und Datendiebstahl. Je nach Blickwinkel ist die Entwendung von PII sogar schlimmer, als der Diebstahl von Geld. Gestohlene Daten: Namen, Sozialversicherungsnummern, Adressen und andere PII werden im Darknet verkauft und von Angreifenden für social Engineering, Identitätsdiebstahl oder das Eröffnen betrügerischer Bankkonten genutzt. Geopolitische Spannungen erhöhen die Risiken für Opfer von Datendiebstahl. Feindliche Nationalstaaten und rechtlich zweifelhafte Informationsvermittelnde sammeln Informationen über Einzelpersonen zwecks Überwachung, Einschüchterung und Schlimmerem.

Als Reaktion auf die wachsenden Bedrohungen wurde das Gesetz über die Digitale Operationale Resilienz (“Digital Operational Resiliance Act”, kurz “DORA”) eingeführt, um die Cybersicherheitslage des EU-Finanzsektors durch bessere Sicherheitsrichtlinien zu stärken. Der neue Rechtsrahmen spielt eine zentrale Rolle für den regulatorischen Rahmen der EU im Finanzbereich, um das Vertrauen der Kundschaft zu stabilisieren und die Sicherheit von Unternehmen zu stärken.

Wie Greenbone’s OPENVAS SECURITY INTELLIGENCE bei der Einhaltung von DORA hilft:

Schwachstellenmanagement ist ein Grundlegender Bestandteil von IT-Sicherheit, mit anerkanntem Nutzen für Operative Resilienz. OPENVAS SCAN von Greenbone ist ein marktführender Schwachstellen-Scanner mit Erfolgsgeschichte.
Unser OPENVAS ENTERPRISE FEED enthält branchenführende Abdeckung für die Erkennung von CVEs sowie bei der Erkennung weiterer Schwachstellen im Netzwerk und an Endpunkten.
OPENVAS SCAN kann von Netzwerkdiensten erlaubte Verschlüsselungsprotokolle identifizieren, um sicherzustellen, dass Datenübertragungen mit den Richtlinien zur Datensicherheit konform sind.
Unsere Compliance-Scans prüfen auf sicherheitsgehärtete Konfigurationen für eine Bandbreite an Betriebssystemen und Anwendungen. Sie umfassen unter anderem CIS Benchmarks für Apache HTTPD, Microsoft IIS, NGINX, MongoDB, Oracle, PostgreSQL, Google Chrome, Windows 11 Enterprise und Linux [1] [2].
Alle Komponenten von OPENVAS SECURITY INTELLIGENCE sind für absolute Datensouveränität konzipiert; die Daten Ihres Unternehmens bleiben in Ihrem Unternehmen.
Unsere Kernproduktlinie ist Open Source, langjährig erprobt und steht sowohl Kundschaft, als auch Community-Mitgliedern zur externen Prüfung offen. Diese Transparenz erleichtert die Auditierung durch externe IT-Dienstleistende.
OPENVAS REPORT von Greenbone ist speziell darauf zugeschnitten, die Beweiserhebung und Aufbewahrung von Daten zwecks Compliance Reporting zu unterstützen.
Als aktiv ISO/IEC 27001:2022 und ISO 9001:2015 zertifiziertes Unternehmen setzt Greenbone auf strengste Qualitätsstandards für Informationssicherheit. Die ISO:14001 Zertifizierung für Umweltmanagementsysteme unterstreicht unser fortwährendes Engagement für Nachhaltigkeit und andere wichtige Themen.

Das EU-Gesetz zur Digitalen Operationalen Resilienz (DORA)

DORA ist eine EU-Verordnung, die am 16. Januar 2023 im Amtsblatt der Europäischen Union veröffentlicht wurde. Am 17 Januar 2025 ist sie offiziell in Kraft getreten. DORA ist Teil der Strategie für das digitale Finanzwesen in der EU, mit dem Ziel, Cybersecurity Verwaltung und Risk Management zu standardisieren und somit die operationale Widerstandsfähigkeit des EU-Finanzwesens zu stärken. Die Verordnung betrifft 20 verschieden Arten von Finanzunternehmen, darunter Banken, Versicherungsinstitute, Investmentfirmen und Drittanbietende von Informations- und Kommunikations-Dienstleistungen (IKT-Drittanbietende).

Aber sind Finanzinstitute nicht bereits unter NIS 2 als wesentliche Einrichtungen (EE, Essential Entities) reguliert?

Ja, allerdings bestimmt Artikel 4 von NIS 2, dass von DORA betroffene Finanzdienstleistungsunternehmen—unter anderem Banken, Investmentfirmen, Versicherungsinstitute und Finanzinfrastrukturen—den von DORA gestellten Ansprüchen in vollem Umfang genügen müssen, wenn es um Cybersecurity Risikomanagement und Vorfallsmeldung geht. Darüberhinaus haben alle sektorspezifischen, gleichwertigen EU-Mandate im Bereich Risikomanagement und Vorfallsmeldung Priorität über die entsprechenden Bestimmungen der NIS 2-Verordnung.

Wer sind die Europäischen Aufsichtsbehörden (European Supervisory Authorities, ESAs)?

Es gibt drei offiziell benannte ESAs, die für die Erstellung von Regulatorischen Technischen Standards (RTS) und Technische Durchführungsstandards (Implementing Technical Standards, ITS) verantwortlich sind, welche die Anforderungen von DORA konkretisieren:

European Banking Authority (EBA) [1]
European Insurance and Occupational Pensions Authority (EIOPA) [2]
European Securities and Markets Authority (ESMA) [3]

Was sind Regulatorische Technische Standards (RTS)?

Wie der Name bereits impliziert, definieren RTS die notwendigen technischen Standards, denen unter DORA fallende Unternehmen entsprechen müssen. RTS-Dokumente bieten detaillierte Richtlinien zur einheitlichen Umsetzung von DORA im EU Finanzsektor [4].

Die Finalen Entwürfe der Regulatorischen Technischen Standards umfassen:

Rahmenwerk für das IKT-Risikomanagement und vereinfachtes IKT-Risikomanagement[5]
Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen[6]
Richtlinie zu IKT-Diensten, die kritische oder wichtige Funktionen von Drittanbietenden (TTPs) unterstützen[7]

Was sind Technische Durchführungsstandards (Implementing Technical Standards, ITS)?

ITS sind detaillierte Vorschriften, die genau bestimmen, wie Finanzunternehmen ihre Verpflichtungen erfüllen müssen. Sie übertragen DORA’s generelle Bestimmungen in präzise, operationale, prozedurale und berichtsbezogene Standards. ITS befassen sich mit Vorfallsberichterstattung, Erfassung und Auswertung von IKT-Drittanbieterbeziehungen, Threat-Led Penetration Testing (TLTP) und dem Austausch von Informationen zu Cyberbedrohungen.

Die Finalen Entwürfe der Technischen Durchführungsstandards[8]

Der Umfang von DORA’s Einfluss auf IT-Sicherheit

Hier sind die grundlegenden IT-Sicherheitsprinzipien, auf die DORA Einfluss nimmt:

Risikomanagement: DORA verpflichtet Finanzunternehmen, Robuste IT-Risikomanagement-Frameworks (RMF) umzusetzen, um operationale Risiken zu reduzieren.
Vorfallsberichterstattung: Vollständig regulierte Unternehmen müssen schwerwiegende Cybervorfälle innerhalb von 24 Stunden in einem standardisierten Format an nationale Behörden melden. Kleine, nicht vernetzte und befreite Unternehmen tragen eine abgeschwächte Meldepflicht.
Drittparteirisiken: DORA etabliert strengere Aufsicht und Verantwortlichkeit für den Umgang von Finanzunternehmen mit IKT-Drittanbieterbeziehungen.
Sicherheitstests: Finanzunternehmen müssen ihre digitalen Systeme regelmäßig Sicherheitstests unterziehen, um Cyber-Resilienz zu steigern.
Informationsaustausch: Um den Informationsaustausch zwischen Finanzinstituten und relevanten Behörden zu fördern, werden erstere ermutigt, aufkommende Bedrohungen zu melden, wenn sie für Dritte relevant sein könnten.

Zusammenfassung

Cyberangriffe mit hoher öffentlicher Sichtbarkeit haben Lücken in der Sicherheitsstrategie des Finanzsektors aufgezeigt, was die EU veranlasste, das Gesetz zur Digitalen Operationalen Resilienz (DORA) zu verabschieden, das seit dem 17. Januar 2025 gültig ist. Greenbone ist ein verlässlicher Partner zur Unterstützung in Sachen DORA-Compliance, mit einem bewährten Portfolio an Schwachstellenmanagement-Produkten und Compliance-Berichtstools. Unsere Produkte unterstützen resiliente Datensouveränität und liefern detaillierte Sicherheitsberichte.

Korrektes Cyber-Risikomanagement besteht nicht einfach aus dem Abhaken einer Compliance-Checkliste. Verteidigende müssen frühstmöglich und proaktiv aufkommende Risiken erkennen, um ihre operationale Widerstandsfähigkeit zu steigern. Greenbone hält Sie auf dem neuesten Stand über neue Sicherheitsrisiken und ermöglicht Verteidigungsteams von Europa’s Finanzinstituten, diese anzugehen, bevor es zu einem erfolgreichen Angriff kommt.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

13. August 2025/von Greenbone AG

ToolShell: Patch-Umgehung löst Notfallwarnung für Microsoft SharePoint aus

Blog

Am Samstag den 19. Juli wurden Microsoft SharePoint Server Thema weltweiter Cybersicherheits-Warnungen. Involviert sind vier CVEs, die kollektiv als „ToolShell“ bezeichnet werden. Zwei davon waren im Juli bereits publik und erhielten Patches, die allerdings mittels Bypass-Exploits umgangen werden konnten, was wiederum zwei weitere CVEs hervorbrachte. Die Schwachstellen ermöglichen Remote-Code-Ausführung (RCE) ohne Authentifizierung mit Systemrechten unter Windows.

Eine breit angelegte Angriffswelle traf bereits die US-Atomwaffenbehörde, sowie über 400 weitere Organisationen, darunter internationale Großunternehmen, Gesundheitsämter und andere Regierungsbehörden, den Finanzsektor und kritische Energieinfrastruktur. Eye Security erkannte die aktive Ausnutzung der Schwachstellen als erstes, woraufhin drei CVEs zum CISA -Katalog bekannter Schwachstellen mit aktiver Ausnutzung (KEV) hinzugefügt wurden. Staatlich finanzierte Ransomware-Angriffe aus China konnten mit diesen Schwachstellen in Verbindung gebracht werden und mehrere Proof-of-Concept-Exploit-Kits (PoC, Machbarkeitsnachweise) sind frei verfügbar [1][2][3]. Viele Länder veröffentlichten nationale CERT-Warnungen, darunter CERT-EU [4], die Niederlande [5], Neuseeland [6], Kanada [7] und Deutschland [8]. Die Schadowserver Foundation hat bereits über 9.000 öffentliche SharePoint IP-Adressen gefunden.

OPENVAS SECURITY INTELLIGENCE von Greenbone enthält Versionserkennungstests [9][10][11][12], direkte aktive Prüfungen auf alle ToolShell-CVEs [13] sowie aktive Checks zugehöriger Indikatoren für Kompromitierung (IoC) [14] in unserem ENTERPRISE FEED. Der Aktualisierungsstatus Ihres OPENVAS ENTERPRISE FEED sollte regelmäßig geprüft werden – nur so sind alle aktuellen Schwachstellentests enthalten. Schauen wir uns nun die ToolShell-Bugs im Detail an.

ToolShell Ereignisse im Zeitverlauf

Hier ein kurzer Überblick über die ToolShell Ereignisse bisher:

Mai 2025: Dinh Ho Anh Khoa von Vittel Cyber Security deckt am zweiten Tag der Pwn2Own Berlin 2025 die Schwachstellen auf.
Juli 2025: Microsoft veröffentlicht ein Sicherheitsupdate mit unzureichenden Patches. Zwei CVEs werden bekannt gegeben: CVE-2025-49706 und CVE-2025-49704.
Juli 2025: Die CODE WHITE GmbH postet eine funktionierende Reproduktion des Exploits.
Juli 2025: Eye Research berichtet über laufende Angriffskampagnen und stellt fest, dass die Patches umgangen werden können.
Juli 2025: Microsoft äußert sich zu aktiver Ausnutzung und beschreibt Gegenmaßnahmen. Zwei weitere CVEs bezüglich der Patch-Umgehung werden bekannt gegeben: CVE-2025-53770 und CVE-2025-53771.
Juli 2025: CISA fügt CVE-2025-53770 zum KEV-Katalog hinzu und erklärt das sofortige Installieren der Sicherheitsupdates als unabdingbar.
Juli 2025: CISA fügt CVE-2025-49706 und CVE-2025-49704 zum KEV-Katalog hinzu, ebenfalls unter Aufforderung zu umgehender Behebung.
Juli 2025: Microsoft und CISA bestätigen den Einsatz von ToolShell in Ransomware-Angriffen durch staatlich unterstützte chinesische Bedrohungsakteure und aktualisieren Handlungsempfehlungen.

Die ToolShell-CVEs in Microsoft SharePoint

Als CVE-2025-49706 und CVE-2025-49704 ursprünglich im Mai 2025 als „ToolShell“ bekannt wurden, waren die technischen Details zwar noch nicht öffentlich, dennoch führte die Mitteilung über die Schwachstellen zu Sicherheitsupdates Mitte Juli. Forschungsteams meldeten jedoch bald erfolgreiche Angriffe auf vermeintlich durch die neuen Patches geschützte Server. Dies führte zur Bekanntgabe von CVE-2025-53770 und CVE-2025-53771.

Im Folgenden werden die Details der ToolShell-CVEs kurz dargestellt:

CVE-2025-49704 (CVSS 8.8): Unsichere Code-Erzeugung (“Code Injection”) [CWE-94] ermöglicht authorisierten Angreifenden das Ausführen von Remote-Code. Laut Cisco Talos sind hierfür Site-Member-Privilegien erforderlich, Microsoft zufolge lässt sich die Schwachstelle nur mit Site-Owner-Privilegien ausnutzen. Laut Microsoft ist die Schwachstelle leicht auszunutzen und birgt somit ein hohes Risiko für einen erfolgreichen Angriff.
CVE-2025-49706 (CVSS 6.3): Fehlerhafte Authentifizierung [CWE-287] ermöglicht es unauthorisierten Angreifenden, Spoofing über ein Netzwerk auszuführen, also eine vertrauenswürdige Identität vorzutäuschen.
CVE-2025-53770 (CVSS 9.8): Die Deserialisierung nicht vertrauenswürdiger Daten [CWE-502] ermöglicht unauthorisierten Angreifenden, Code über ein Netzwerk auszuführen. [CWE-94]. Dies stellt eine Variante von CVE-2025-49704 dar.
CVE-2025-53771 (CVSS 6.3): Unzureichende Begrenzung von Dateipfaden auf bestimmte Verzeichnisse [CWE-22] (“Path Traversal”) ermöglicht unauthorisierten Angreifenden, Spoofing über ein Netzwerk auszuführen. Dies ist eine Variente von CVE-2025-49706.

Die ToolShell Angriffsstrategie

Die Ausnutzung von ToolShell ermöglicht das unauthentifizierte Ausführen von Remote-Code auf betroffenen Microsoft SharePoint Servern. Die Angriffe laufen wie folgt ab:

CVE-2025-49706 ermöglicht Zugriff zu internen SharePoint-Diensten, indem der Header Referer: /_layouts/SignOut.aspx manipuliert wird, um die Validierungslogik zu umgehen. Obwohl keine authentischen Sitzungen oder Nutzerdaten bestehen, behandelt SharePoint die Anfragen als authentifiziert.
Zeitgleich wird ein bösartiges __VIEWSTATE-Payload an den Endpunkt /_layouts/15/ToolPane.aspx geschickt. Dieses enthält eine präparierte .NET-Gadget-Chain, welche die Deserialisierungs-Schwachstelle CVE-2025-53770 ausnutzt. Dabei handelt es sich um serialisierte ASP.NET-Objekte, die den Zustand von UI-Steuerelementen zwischen dem Browser und dem SharePoints-Backend synchronisieren sollen.
Die Deserialisierungs-Schwachstelle lässt Angreifende exe– oder PowerShell-Befehle als Windows SYSTEM-User ausführen, was volle Kontrolle über das betroffene System ermöglicht.
Mittels dieser Berechtigung installieren Angreifende unter anderem bösartige ASPX Web Shells (z.B. aspx), um die MachineKey-Konfiguration des betroffenen Systems, also ValidationKey und DecryptionKey, auszulesen und somit permanenten authentifizierten Zugriff zu gewinnen.
Die gestohlenen Zugriffstoken ermöglichen Angreifenden nun, mittels ysoserial weitere valide __VIEWSTATE-Payloads zu verschicken.

Risikominderung von ToolShell Angriffen auf Microsoft SharePoint

ToolShell trifft On-Premises-Versionen von Microsoft Office SharePoint 2016, 2019, sowie Abonnement- und End-Of-Life-Versionen (EOL), wie SharePoint Server 2010 und 2013. Aktuelle Sicherheitsupdates sollten sofort installiert werden. Microsofts Sicherheitsupdate früh im Juli 2025 adressiert zwar CVE-2025-49704 und CVE-2025-49706, die neu entstandenen Bypass-Exploits machen jedoch weitere Patches erforderlich:

KB5002754 für Microsoft SharePoint Server 2019 Core
KB5002768 für Microsoft SharePoint Subscription Edition
KB5002760 für Microsoft SharePoint Enterprise Server 2016
SharePoint Server 2010 und 2013 sind betroffen, erhalten jedoch aufgrund ihres EOL-Status keine Patches mehr
SharePoint Online (Microsoft 365) ist NICHT betroffen

Microsoft empfiehlt, AMSI im Vollmodus zu aktivieren und Microsoft Defender Antivirus zu nutzen, um erfolgreiche Angriffe zu verhindern. Sicherheitsteams sollten außerdem davon ausgehen, dass ihre Systeme kompromittiert wurden und nach entsprechenden Indikatoren (IoCs) suchen, die in bekannten Angriffskampagnen erkannt wurden. Neben der Erkennung und Entfernung möglicher Malware müssen möglicherweise bereits gestohlene Zugangsdaten ungültig gemacht werden. Zu diesem Zweck wird zur Rotation von ASP.NET-MachineKeys geraten – entweder per PowerShell (Update-SPMachineKey), oder über den Machine Key Rotation Job der Central Administration, gefolgt von einem Neustart der IIS-Dienste mit iisreset.exe.

Zusammenfassung

Die ToolShell-Angriffskette birgt das Risiko unauthentifizierter Ausführung von Remote-Code (RCE). Angriffe bestehen aus der Umgehung der Authentifizierung, gefolgt von RCE mittels fehlerhafter Deserialisierung. Trotz Sicherheitsupdates im Juli 2025 für CVE-2025-49704 und CVE-2025-49706 wurden neue Bypass-Exploits entdeckt (CVE-2025-53770, CVE-2025-53771), die nun global aktiv ausgenutzt werden. Sicherheitsverantwortliche müssen alle verfügbaren Updates umgehend installieren, bestehende Malware beseitigen, Machine Keys rotieren und die Cyber-Resilienz ihrer Systeme prüfen. OPENVAS SECURITY INTELLIGENCE kann dabei helfen – durch schnelle und zuverlässige Erkennung gefährdeter SharePoint-Systeme und über 180.000 weiterer Schwachstellen.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

5. August 2025/von Joseph Lee

OPENVAS: Der neue Name für bewährte Greenbone-Sicherheit

Blog

OPENVAS steht seit mehr als 15 Jahren weltweit für exzellente Open-Source-Sicherheit – von kleinen Unternehmen über öffentliche Einrichtungen bis hin zu Betreibern kritischer Infrastrukturen. OPENVAS wird von Greenbone entwickelt und steht sowohl hinter den Enterprise Produkten von Greenbone, als auch hinter den Community Versionen. Die Marke OPENVAS schafft weltweit Vertrauen in eine hochentwickelte Open Source Lösung, die den Vergleich zu proprietären Mitbewerbern nicht zu scheuen braucht.

Ab jetzt stellen wir den Namen OPENVAS ins Zentrum aller unserer Aktivitäten. Unsere bewährten Lösungen, und unsere neuen Produkte erscheinen ab sofort unter einer gemeinsamen, starken Marke: OPENVAS.

Warum wir uns für OPENVAS entschieden haben

OPENVAS ist international bekannt, steht für Vertrauen und Open Source – und beschreibt klar, worum es geht: das Erkennen und Minimieren digitaler Risiken. Mit dem neuen Namensschema machen wir unsere Lösungen noch verständlicher, funktionaler und global einheitlicher. Ursprünglich nur als Name einer technischen Komponente, dem eigentlichen Schwachstellenscanner, vorgesehen, hat sich der Name jedoch als Bezeichnung unseres Open Source Produktportfolios etabliert. Das nehmen wir gerne auf und nutzen unsere etablierte Marke OPENVAS in allen unseren Produktbezeichnungen.

Das heißt für unsere Nutzer, Kunden und Partner: Es bleibt alles erhalten, was Sie an unseren Lösungen schätzen – nur unter neuen, sprechenden Namen. Und es kommt in diesem Jahr noch einiges dazu: Container Scanning, Agenten-basiertes Scanning, eine neue REST API und einiges mehr.

Was bedeutet das für Sie konkret?

Vertrautes bleibt: Ihre Lösungen funktionieren wie gewohnt, inklusive aller Services und Sicherheitsupdates.
Namen, die Klarheit schaffen: Jede Produktbezeichnung beschreibt nun direkt ihre Funktion – das spart Zeit und Missverständnisse.
Starke Marke, klare Kommunikation: National wie international treten wir unter einem einheitlichen Namen auf – OPENVAS.

Unser bewährtes Ziel: Ihnen die beste Lösung zu bieten, um digitale Risiken schnell, einfach und nachvollziehbar zu minimieren.

Was bedeutet das für unsere bestehenden Appliance Produkte

Unsere bestehenden Produkte werden wie gewohnt fortlaufend aktualisiert. Gleichzeitig bekommen sie neue Namen, wobei OPENVAS dabei immer im Mittepunkt steht.

Ein paar Beispiele: OPENVAS SCAN ist der neue Produktname für die Greenbone Enterprise Appliances, die gewohnten Leistungsbezeichnungen bleiben dabei erhalten. Die Greenbone Enterprise EXA wird zu OPENVAS SCAN EXA, die Greenbone Enterprise 600 zu OPENVAS SCAN 600.

Auch unsere kostenlosen Community Produkte wird es natürlich weiterhin geben, wir nutzen hier den Namen OPENVAS COMMUNITY EDITION für unsere freie Appliance und OPENVAS COMMUNITY FEED für den zugehörigen Daten-Feed mit den Schwachstellentests und Sicherheitsinformationen.

Greenbone bleibt – OPENVAS wird neuer Markenname

Greenbone bleibt der Name unseres Unternehmens – mit Hauptsitz in Deutschland und unseren Tochterunternehmen in Großbritannien, Italien und den Niederlanden. Der Name Greenbone hat sich im deutschsprachigem Raum etabliert, deswegen wollen wir heute nicht die Greenbone AG in OPENVAS AG umbenennen. International sind wir als OPENVAS deutlich bekannter und treten daher unter der Marke OPENVAS auf: OPENVAS UK, OPENVAS IT, OPENVAS NL.

Wir machen durch die Stärkung unserer Marke OPENVAS unsere Mission sichtbar: Cybersecurity verständlich, vertrauenswürdig und zugänglich machen – in über 150 Ländern auf der Welt.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

30. Juli 2025/von Greenbone AG

Juni 2025 Threat Report: Zermürbungsgefecht im Cyberraum

Blog

Der IOCTA-Bericht 2025 von Europol warnt davor, dass die Nachfrage nach Daten im Milieu der Cyberkriminalität stark ansteigt. Wie viele Daten wurden genau gestohlen? Genaue Zahlen lassen sich nicht ermitteln. Allerdings wurden bei einem einzigen Hackerangriff auf das US-amerikanische Gesundheitsunternehmen Change Healthcare die persönlichen Daten, unter anderem Sozialversicherungsnummern, von 190 Millionen Menschen gestohlen. Das ist mehr als die Hälfte der gesamten US-Bevölkerung, die von einem einzigen Vorfall betroffen war. Dieser Vorfall verblasst jedoch im Vergleich zum National Public Data Breach von 2024, bei dem 272 Millionen Sozialversicherungsnummern, 420 Millionen Adressen und 161 Millionen Telefonnummern in den USA gestohlen wurden. In den untersuchten Ländern des europäischen Wirtschaftsraums wurden 2024 täglich etwa 363 Datenschutzverletzungen gemeldet. Nun drohen neue Varianten zerstörerischer Wiper-Malware, die Betroffene von Datendiebstahl milde getroffen wirken lassen.

Cyber-Sicherheitsverantwortliche befinden sich in einem zermürbenden Kampf: Die Bewältigung der ständigen Flut neuer Bedrohungen ist eine gewaltige und entscheidende Aufgabe. Im Threat Report dieses Monats geben wir Einblicke in die neueste Welle von Wiper-Malware, neue aktiv ausgenutzte Schwachstellen und aufkommende Bedrohungen, die den globalen Cyberkonflikt prägen.

Neue Welle von Wiper-Malware im Cybergefecht

Kürzlich hat Cisco Talos eine bisher unbekannte Wiper-Malware namens „PathWiper“ beobachtet, die bei einem zerstörerischen Angriff auf kritische Infrastrukturen in der Ukraine eingesetzt wurde. Wiper wird meist im Rahmen von Cyber-Warfare-Kampagnen eingesetzt, bei denen finanzieller Gewinn nicht das primäre Motiv ist. Während Ransomware die Opfer zur Zahlung eines Lösegelds für die Rückgabe ihrer verschlüsselten Daten zwingt, zerstört Wiper diese einfach. Wiper wird seit Beginn des Krieges zwischen Russland und der Ukraine eingesetzt. 2022 wurde HermeticWiper gegen die Ukraine verwendet und legte Regierungsbehörden und kritische Dienste wenige Stunden vor dem ersten Einmarsch Russlands lahm.

Forschungsteams zur Cybersecurity haben kürzlich auch eine neue Ransomware-as-a-Service-Gruppe (RaaS) namens Anubis entdeckt, die ihre maßgeschneiderte Ransomware um eine Wiper-Option erweitert hat. Angesichts der verschärften geopolitischen Spannungen ist es plausibel, dass staatliche Akteure RaaS-Betreiber und Hacktivisten dazu anstiften werden, zerstörerische Angriffe mit großer Wirkung durchzuführen.

Wiper-Angriffe an sich sind nichts Neues. Shamoon, auch bekannt als Disttrack, entdeckt im Jahr 2012, war die erste große Wiper-Malware. Sie wurde vermutlich von iranischen Bedrohungsakteuren entwickelt und zum Angriff auf Saudi Aramco und andere Organisationen in den Golfstaaten eingesetzt. NotPetya, getarnt als Ransomware, war eine weitere prominente Wiper-Variante, die 2017 auftauchte – mit globalen Folgen.

Unternehmen, insbesondere im Bereich kritischer Infrastruktur, müssen die potenziellen Auswirkungen von Wiper-Malware auf ihre Widerstandsfähigkeit berücksichtigen. Was ist, wenn die Zahlung eines Lösegelds keine Option ist? Eine gut konzipierte Backup-Strategie kann eine vollständige oder teilweise Datenwiederherstellung ermöglichen. Jedoch haben Ausfallzeiten auch finanzielle Auswirkungen und können sogar Menschenleben kosten. Die Gewährleistung der Einhaltung der MTTR-Ziele (Mean Time to Recovery) ist für die Aufrechterhaltung des Betriebs von entscheidender Bedeutung. Natürlich ist auch die Sorgfalt bei der Schließung von Sicherheitslücken, bevor sie für Angriffe ausgenutzt werden können, für eine proaktive Cyberstrategie unerlässlich.

Echte Risiken und „AI-Slop“: Linux-CVEs im Wandel

Die Zeiten, in denen Linux weniger Cyberangriffe auf sich zog, sind längst vorbei. Linux-Systeme werden zunehmend zum Ziel raffinierter Angriffe. Im vergangenen Jahr explodierte auch die Zahl der Linux-Kernel-CVEs (Common Vulnerabilities and Exposures); die zentrale CNA (CVE Numbering Authority) wies im Jahr 2024 durchschnittlich 55 neue CVEs pro Woche zu. Dieser Anstieg wird manchmal darauf zurückgeführt, dass künstliche Intelligenz Fehler aufdeckt, die eigentlich keine Sicherheitsrisiken darstellen, sogenannten „AI-Slop“. Der Entwickler von Curl, Daniel Stenberg, veröffentlichte sogar einen Hinweis, in dem er Bug-Reports zu „AI-Slop“ verbot. In einer entsprechenden Diskussion zu einem Bug-Report wurde die Sorge geäußert, dass „ein Angriff auf unsere Ressourcen zur Bewältigung von Sicherheitsproblemen“ erfolgen könnte.

Was das Risiko- und Patch-Management angeht, haben viele Security-Teams nicht den Luxus, die technische Nutzbarkeit jeder CVE eingehend zu untersuchen. Die technische Bewertung und Analyse von Patching-Unterschieden (Patch-Diffs) nehmen enorm viel Zeit in Anspruch. Der daraus resultierende aufreibende Kampf zwingt die Sicherheitsteams zu einem Wettlauf gegen die Zeit. Beim Priorisieren von Behebungsmaßnahmen stützen sich Sicherheitsteams auf CVSS (Common Vulnerability Scoring System), EPSS (Exploit Prediction Scoring System), den Exploit-Status und Faktoren wie Compliance-Anforderungen und betriebliche Kritikalität. Sicherheitsverantwortliche wollen Beweise dafür sehen, dass kontinuierliche Fortschritte erzielt und Sicherheitslücken geschlossen werden. Dies ist der eigentliche Vorteil der Verwendung einer Schwachstellenmanagement-Plattform wie Greenbone.

Vor diesem Hintergrund sind hier einige neue CVEs mit hohem Risiko für Privilegien-Ausweitung auf Linux-Systemen, die in diesem Monat Aufmerksamkeit erregt haben:

CVE-2023-0386 (CVSS 7.8): Das OverlayFS-Subsystem des Linux-Kernels, das nun als aktiv ausgenutzt gilt, ermöglicht die Ausweitung auf die Root-Ebene, indem es die Art und Weise ausnutzt, wie Dateien mit besonderen Privilegien zwischen bestimmten gemounteten Dateisystemen kopiert werden.
CVE-2025-6019 (CVSS 7.0): Eine in Fedora- und SUSE-Distributionen gefundene Schwachstelle ermöglicht es Angreifenden ohne Root-Rechte in der Gruppe „allow_active“, privilegierte Festplattenoperationen wie das Mounten, Entsperren und Formatieren von Geräten über D-Bus-Aufrufe an „udisksd“ auszuführen. Die Schwachstelle gilt als leicht auszunutzen, und es ist ein öffentlicher PoC (Proof of Concept) verfügbar, was das Risiko erhöht.
CVE-2025-32462 und CVE-2025-32463: Zwei lokale Schwachstellen zur Rechteausweitung wurden in Sudo 1.9.17p1 behoben, das am 30. Juni 2025 veröffentlicht wurde. CVE-2025-32462 ermöglicht es, über lokale Geräte die Option „–host“ zu missbrauchen, um Berechtigungen auf zugelassenen Hosts zu erweitern, während CVE-2025-32463 unbefugten Root-Zugriff über die „–chroot“-Option ermöglicht, selbst wenn dies in der Sudo-Datei nicht ausdrücklich erlaubt ist.
CVE-2025-40908 (CVSS 9.1): Nicht authentifizierte Angreifende können vorhandene Dateien manipulieren, indem sie eine speziell gestaltete YAML-Datei als Eingabe verwenden, die zu einem missbräuchlichen Aufruf von „open“ mit zwei Argumenten führt. Zu den anfälligen Systemen gehören alle Perl-Anwendungen oder -Distributionen (wie Amazon Linux, SUSE, Red Hat, Debian), die YAML‑LibYAML vor Version 0.903.0 verwenden.

CVE-2025-49113: Eine kritische CVE in RoundCube Webmail

Eine kürzlich bekannt gewordene Sicherheitslücke mit der Kennung CVE-2025-49113 (CVSS 9.9) in RoundCube Webmail ermöglicht es bei authentifizierten Angriffen, beliebigen Code auf einem RoundCube-Server auszuführen. Eine schlecht konzipierte PHP-Deserialisierung [CWE-502] validiert Eingaben nicht ordnungsgemäß, sodass der Parameter „_from“ bösartigen serialisierten Code übertragen kann. Cyberkriminelle, die den Fehler erfolgreich ausnutzen, können möglicherweise die vollständige Kontrolle über den RoundCube-Server erlangen, um Daten zu stehlen und Command-and-Control-Tools (C2) für den dauerhaften Zugriff zu installieren.

Obwohl für die Ausnutzung von CVE-2025-49113 gültige Anmeldedaten erforderlich sind, sind keine Administratorrechte erforderlich. Technische Analysen [1][2], PoC-Exploits [3][4] und ein Metasploit-Modul sind verfügbar, was das potenzielle Risiko eines Missbrauchs erhöht. Ein EPSS-Score von 81 weist auf eine extrem hohe Wahrscheinlichkeit einer Ausnutzung in naher Zukunft hin. Der Forscher, der die Schwachstelle entdeckt hat, behauptet, dass Exploit-Kits bereits in Untergrundforen für Cyberkriminalität zum Verkauf angeboten werden. Zahlreiche nationale CERT-Behörden haben Warnungen zu dieser Schwachstelle herausgegeben [5][6][7][8][9], während Shadowserver Anfang Juni über 84.000 exponierte Roundcube-Dienste gemeldet hat.

Der Greenbone Enterprise Feed umfasst eine Remote-Versionserkennung [10][11] und Linux Local Security Checks (LSC) [12][13][14][15][16][17] zur Identifizierung anfälliger Instanzen von RoundCube Webmail (Versionen vor 1.5.10 und 1.6.11). Anwendenden wird dringend empfohlen, Updates umgehend zu installieren.

Neue kritische CVE in Cisco ISE Cloud mit PoC-Exploit

CVE-2025-20286 (CVSS 10) ist eine neue Schwachstelle, die Cloud-Bereitstellungen der Cisco Identity Services Engine (ISE) auf AWS, Azure und Oracle Cloud Infrastructure (OCI) betrifft. Der Fehler könnte nicht authentifizierten Angreifenden den Zugriff auf sensible Daten, die Ausführung einiger eingeschränkter Verwaltungsvorgänge, die Änderung von Systemkonfigurationen und die Störung von Diensten ermöglichen. Aufgrund eines mangelhaften Software-Designs werden identische Zugangsdaten [CWE-259] generiert und für alle verbundenen ISE-Instanzen mit derselben Version und Plattform freigegeben.

Cisco hat die Existenz eines öffentlich zugänglichen Exploits bestätigt. Das Unternehmen erklärte außerdem, dass die Schwachstelle nur ausgenutzt werden kann, wenn der primäre Administrationsknoten in der Cloud bereitgestellt ist. Lokale Bereitstellungen und mehrere Hybrid-/Cloud-VM-Lösungen sind nicht betroffen. Insgesamt stellt CVE-2025-20286 aufgrund der weit verbreiteten Nutzung von Cisco ISE in Unternehmensnetzwerken und der Verfügbarkeit von Exploit-Code eine hochriskante Schwachstelle für alle mit betroffenen Konfigurationen dar. Greenbone bietet einen Test zur Versionserkennung an, um potenziell gefährdete Instanzen zu identifizieren.

CitrixBleed 2 und eine weitere aktiv ausgenutzte Schwachstelle in Citrix NetScaler ADC und Gateway

CVE-2025-5777 (CVSS 9.3), auch „CitrixBleed 2“ genannt, ist eine Out-of-Bounds-Read-Sicherheitslücke [CWE-125], die Citrix NetScaler ADC und NetScaler Gateway betrifft und es bei nicht authentifizierten Angriffen ermöglicht, gültige Sitzungstoken aus dem Speicher zu stehlen, indem fehlerhafte HTTP-Anfragen gesendet werden. CVE-2025-5777 ist auf eine unzureichende Eingabevalidierung zurückzuführen, eine leider häufige, aber leicht zu vermeidende Ursache für Softwarefehler. Die Offenlegung von Sitzungstoken ermöglicht die Identitätsübernahme legitimer Benutzerinnen und Benutzer und damit unbefugten Zugriff. Sicherheitsverantwortliche gehen davon aus, dass eine Ausnutzung der Schwachstelle unmittelbar bevorsteht, und ziehen Parallelen zur ursprünglichen CitrixBleed-Sicherheitslücke (CVE-2023-4966), die von Ransomware-Gruppen bei schwerwiegenden Angriffen ausgenutzt wurde.

Eine weitere Schwachstelle, CVE-2025-6543 (CVSS 9.8), die ebenfalls Citrix NetScaler ADC und Gateway betrifft, wurde zum KEV-Katalog (Known Exploited Vulnerabilities) der CISA hinzugefügt, was darauf hindeutet, dass sie bereits aktiv ausgenutzt wird. CVE-2025-6543 ist eine Memory-Overflow-Schwachstelle [CWE-119]. Die Auswirkungen wurden offiziell als Denial of Service beschrieben, aber in Fachkreisen wird angenommen, dass sie auch die Ausführung von beliebigem Code oder die Übernahme von Geräten umfassen können, wie in ähnlichen Fällen in der Vergangenheit beobachtet wurde.

Beide Schwachstellen betreffen nur Geräte, die als Gateway (VPN-Virtual Server, ICA-Proxy, CVPN, RDP-Proxy) oder AAA (Authentifizierung, Autorisierung und Abrechnung) Virtual Server konfiguriert sind. Beide Schwachstellen sind Gegenstand weitreichender nationaler CERT-Hinweise [1][2][3][4][5][6][7]. Greenbone bietet eine Remote-Versionsprüfung zur Erkennung von CitrixBleed 2 sowie eine Remote-Versionsprüfung für CVE-2025-6543. Die Installation aktueller Sicherheitsupdates wird dringend empfohlen.

Drei ausnutzbare Schwachstellen in Sitecore CMS

Drei neue CVEs, die die Sitecore Experience Platform betreffen, können verkettet werden, um eine nicht authentifizierte Remote Code Execution (RCE) durchzuführen. Die Schwachstellen wurden mit einer vollständigen technischen Beschreibung und PoC-Anleitung veröffentlicht, wodurch ihre Ausnutzung sehr wahrscheinlich ist. In der Angriffskette ermöglicht CVE-2025-34509 den ersten authentifizierten Zugriff, während CVE-2025-34510 oder CVE-2025-34511 beide RCE-Schwachstellen nach der Authentifizierung sind. Angreifende können zunächst fest codierte Anmeldedaten ausnutzen, um ein gültiges Sitzungstoken zu generieren, dann eine bösartige „.aspx“-Webshell hochladen und anschließend beliebige Shell-Befehle auf dem System des Opfers ausführen. Alternativ könnte CVE-2025-34511 verwendet werden, um PowerShell-Befehle auszuführen, anstatt eine Webshell hochzuladen.

Hier eine kurze Beschreibung der einzelnen Schwachstellen:

CVE-2025-34509 (CVSS 8.2): Fest codierte Anmeldedaten [CWE-798] ermöglichen es Remote-Angreifenden, sich mit diesem Konto zu authentifizieren, um auf die Admin-API zuzugreifen.
CVE-2025-34510 (CVSS 8.8): Eine als „Zip Slip“ bekannte Schwachstelle beim Path Traversal mit relativen Pfaden [CWE-23] ermöglicht es Kriminellen über einen authentifizierten Angriff, schädliche Dateien aus einem ZIP-Archiv in das Webroot-Verzeichnis zu extrahieren, was über eine .aspx-Webshell zu RCE führen könnte.
CVE-2025-34511 (CVSS 8.8): Eine uneingeschränkte Datei-Upload-Sicherheitslücke [CWE-434] im PowerShell-Extensions-Modul ermöglicht es Angreifenden, beliebige Dateien, einschließlich ausführbarer Skripte, an einen beliebigen beschreibbaren Speicherort hochzuladen. Obwohl CVE-2025-34511 die Installation der Sitecore PowerShell Extension erfordert, wird dies als gängige Konfiguration angesehen.

Sitecore ist ein beliebtes Content-Management-System (CMS) für Unternehmen, das von großen globalen Organisationen in verschiedenen Branchen eingesetzt wird. Obwohl Sitecore schätzungsweise zwischen 0,45 % und 0,86 % des globalen CMS-Marktanteils ausmacht [1][2], besteht ihre Klientel aus hochwertigen Zielen. Greenbone ist in der Lage, anfällige Instanzen von Sitecore mit einer aktiven Überprüfung und einem Test zur Fernerkennung der Version zu erkennen. Patches wurden in Sitecore Version 10.4 veröffentlicht und auf frühere, unterstützte Versionen zurückportiert, sodass Benutzende ein Upgrade durchführen können.

Umgehung von CVE-2025-23120 in Veeam-Backups

CVE-2025-23121 (CVSS 9.9) ist eine Lücke in der Deserialisierung [CWE-502], die es den für die Domain authentifizierten Personen ermöglicht, beliebigen Code [CWE-94] auf Veeam Backup & Replication-Servern auszuführen. Die Schwachstelle entsteht durch unsichere Datenverarbeitung und stellt eine Umgehung einer zuvor gepatchten Schwachstelle, CVE-2025-23120, dar.

Derzeit ist kein öffentlicher PoC-Exploit verfügbar. Jedoch sind CVEs in Veeam Backup & Replication häufig das Ziel von Cyberkriminellen. Darüber hinaus betrifft die Sicherheitslücke nur Unternehmen, die Domain-gebundene Backup-Server verwenden. Angesichts der Bedeutung von Backups für die Wiederherstellung nach Ransomware-Angriffen stellt sie jedoch eine ernsthafte Bedrohung dar. Kriminelle können gültige Anmeldedaten stehlen oder Passwort-Spraying einsetzen, um wiederverwendete Zugangsdaten zu erlangen.

Greenbone kann remote betroffene Veeam-Produkte erkennen, und es wird dringend empfohlen, einen Patch auf Version 12.3.2.3617 zu installieren

Zusammenfassung

Im Juni 2025 tauchten mindestens zwei neue Wiper-Malware-Varianten auf, die kritische Infrastrukturen und Unternehmen bedrohen. Weitreichende massive Datenverletzungen nehmen zu und beeinträchtigen Unternehmen und Einzelpersonen, da gestohlene Daten für verschiedene böswillige Zwecke verwendet werden. In diesem Monat gab es auch eine Flut neu entdeckter, kritischer Sicherheitslücken in Produkten für Unternehmen, von denen die meisten nicht in diesem Bericht behandelt werden. Viele davon waren innerhalb weniger Stunden nach ihrer Bekanntgabe mit PoCs oder vollständigen Exploit-Kits verfügbar. Von RoundCube und Cisco ISE bis hin zu Citrix- und Linux-Systemen: Hochriskante digitale Schwachstellen, die Aufmerksamkeit erfordern, heizen die Zermürbungsschlacht im Cyberraum weltweit für die angegriffenen Unternehmen weiter an.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

23. Juli 2025/von Joseph Lee

Kritisch: CVE-2025-25257 mit unautorisierter Remote Code Execution in FortiWeb Fabric Connector

Blog

Die neue Schwachstelle CVE-2025-25257 (CVSS 9.6) in Fortinets FortiWeb Fabric Connector stellt weltweit ein hohes Risiko dar. Obwohl sie sich am 14. Juli 2025 noch im Status „Reserved“ befand, haben das CERT.be in Belgien und das Center for Internet Security (CIS) bereits eine CERT-Warnungen veröffentlicht. Weitere Warnungen dürften in Kürze folgen, sobald die CVE den Status „Published“ erreicht.

Es sind mehrere öffentliche PoC (Proof of Concept) Exploits [1][2] verfügbar, die das Risiko weiter erhöhen. Updates sollten dringend installiert werden. Greenbone hat kurz nach der Offenlegung der Schwachstelle einen Erkennungstest veröffentlicht, mit dem sich anfällige Systeme in den Netzwerken identifizieren lassen. Ein Blick auf die Details von CVE-2025-25257 zeigt, worum es sich dabei handelt.

CVE-2025-25257: RCE in FortiWeb Fabric Connector

CVE-2025-25257 (CVSS 9.6) ist eine Schwachstelle, die einen nicht authentifizierten Zugriff (Remote Code Execution; RCE) in Fortinet FortiWeb Fabric Connector erlaubt. Sie wurde mit einem kritischen Schweregrad von CVSS 9.6 klassifiziert, weil sie die Ausführung von SQL- und Python-Code auf dem System des Opfers aufgrund unsachgemäßer Filterung von HTTP-Headern ermöglicht. Erschreckenderweise besteht diese Schwachstelle, weil der Wert des HTTP-Headers „Authorization:Bearer” ohne Bereinigung in SQL-Abfragen eingefügt wird [CWE-89] – ein unverzeihlich schlechtes Software-Design. Vollständige technische Beschreibungen und Exploits [1][2][3] wurden von watchTowr Labs und anderen Sicherheitsforschenden veröffentlicht, sodass die Ausnutzung dieser Schwachstelle nun für Cyberkriminelle auf jedem Niveau als trivial anzusehen ist.

Zusätzlich zu allen typischen SQL-Injection-Angriffen, wie dem Aufzählen der Datenbanken oder dem Ändern von Daten, können RCE-Angriffe durchgeführt werden, indem durch SQL-Code der MySQL-Befehl „INTO OUTFILE“ ausgenutzt wird. Durch das Schreiben einer ausführbaren „.pth“-Datei in das Python-Verzeichnis „site-packages“ (im Fall von FortiWeb: „/usr/local/lib/python3.10/site-packages/“) wird diese jedes Mal ausgeführt, wenn ein Python-Skript gestartet wird. Denn beim Start des Interpreters wird der integrierte Initialisierungsmechanismus von Python („site.py“) ausgelöst. Die webbasierte Verwaltungskonsole von FortiWeb enthält überdies ein Python-basiertes CGI-Skript („ml-draw.py“), das ohne Authentifizierung ausgelöst werden kann, was die Exploit-Kette vervollständigt.

Obwohl die Schwachstelle bislang noch nicht in der Praxis ausgenutzt wurde, deuten ihr Status als Pre-Auth-RCE und frühere Angriffe auf Fortinet-Produkte darauf hin, dass eine leicht zu nutzende Schwachstelle wie CVE-2025-25257 wahrscheinlich bald nach ihrer Offenlegung Verwendung finden wird. FortiWeb Fabric Connector ist kein öffentlich erreichbarer Edge-Dienst, kann jedoch lokal ausgenutzt werden, um FortiWeb WAF-Konfigurationen zu ändern, sensible Informationen zu stehlen oder zusätzliche persistente Malware zu installieren.

Welche Rolle spielt der FortiWeb Fabric Connector?

FortiWeb selbst ist eine Web Application Firewall (WAF), die in diesem Zusammenhang als Sicherheitskomponente am Netzwerkrand (Edge) betrachtet werden kann. Fabric Connector ist eine Systemintegrationskomponente zur automatisierten Koordination zwischen der FortiWeb WAF und anderen Fortinet-Produkten wie FortiGate und FortiManager. Wenn andere Fortinet-Geräte Bedrohungsdaten generieren, kann der Fabric Connector daraus in Echtzeit Sicherheitsmaßnahmen innerhalb von FortiWeb generieren. Glücklicherweise ist der FortiWeb Fabric Connector kein Edge-Dienst und daher in der Regel nicht über das öffentliche Internet zugänglich. Als WAF haben FortiWeb-Geräte jedoch die Aufgabe, bösartigen Datenverkehr daran zu hindern, Webserver zu erreichen. Wenn Angreifende also in der Lage sind, die Konfiguration zu ändern, könnten sie sekundäre Angriffe auf webbasierte Ressourcen ermöglichen.

Behebung der Sicherheitslücke CVE-2025-25257

CVE-2025-25257 betrifft die FortiWeb-Versionen 7.0.0 bis 7.0.10, 7.2.0 bis 7.2.10, 7.4.0 bis 7.4.7 und 7.6.0 bis 7.6.3. Nutzende sollten umgehend ein Upgrade auf die Versionen 7.0.11, 7.2.11, 7.4.8 oder 7.6.4 oder höher durchführen. Wenn ein Update nicht möglich ist, empfiehlt Fortinet, das FortiWeb HTTP/HTTPS-Admin-Interface zu deaktivieren.

Zusammenfassung

CVE-2025-25257 ermöglicht RCE für nicht authentifizierte Angriffe über die Fabric Connector HTTP-API von Fortinet FortiWeb. Die Schwachstelle beruht auf einer SQL-Injection-Lücke, die bereits dazu verwendet wurde, Privilegien zu eskalieren und Python-Code auszuführen. Öffentliche PoCs und eine nationale CERT-Empfehlung von CERT.be unterstreichen die Dringlichkeit, einen Patch zu installieren oder andere Abhilfemaßnahmen zu ergreifen. Greenbone hat kurz nach Bekanntwerden dieser Schwachstelle einen Erkennungstest veröffentlicht, mit dem Sie anfällige Systeme in ihren Netzwerken identifizieren können.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

21. Juli 2025/von Joseph Lee

Bundesrechnungshof: Rechenzentren der Behörden haben massive Schwachstellen

Blog

Der Bundesrechnungshof übt scharfe Kritik am aktuellen Stand der Cybersicherheit in der Bundesverwaltung. Ein als vertraulich eingestuftes Dokument, das Der Spiegel zitiert, kommt zu dem Schluss, dass wesentliche Teile der staatlichen IT-Infrastruktur gravierende Sicherheitsmängel aufweisen und nicht den Mindestanforderungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) entsprechen.

Der Bundesrechnungshof (BRH) ist das oberste deutsche Kontrollorgan für die Haushalts- und Wirtschaftsführung des Bundes. Er prüft, ob Bundesbehörden, Ministerien, Bundesunternehmen und andere öffentliche Einrichtungen ordnungsgemäß, wirtschaftlich und sparsam mit Steuergeldern umgehen. Dabei ist er unabhängig, sowohl von der Bundesregierung als auch vom Bundestag.

In dem Bericht moniert er, dass es kein zentrales, ressortübergreifendes Informationssicherheitscontrolling gebe. Die bestehende Sicherheitsarchitektur müsse effizienter gestaltet werden.

Unzureichend: Controlling und NIS2-Vorbereitung

Ein weiterer Kritikpunkt kommt durch die Anforderungen der NIS2-Richtlinie hinzu [1] [2] [3]. Diese bringt erhebliche neue Pflichten für Bundesbehörden und KRITIS-nahe Organisationen mit sich – insbesondere in Bezug auf Prävention, Nachweispflichten und BSI-Kontrollen. Viele Einrichtungen sind darauf weder technisch noch organisatorisch ausreichend vorbereitet.

Der Rechnungshof bewertet zwar positiv, dass durch die Anpassung der Schuldenbremse gezielt in Cybersicherheit investiert werden kann. Die Investitionen sind jedoch an die nachweisbare Wirksamkeit der Maßnahmen gebunden. In der Praxis bedeutet dies: Nur wer belegen kann, dass geplante Sicherheitsmaßnahmen zu konkreten Verbesserungen führen, wird künftig Fördermittel erhalten.

Steigender Handlungsdruck

Der Bericht verdeutlicht den steigenden Handlungsdruck in der öffentlichen Verwaltung. Die Bedrohungslage verschärft sich weiter – mit jährlichen Schadenssummen in dreistelliger Milliardenhöhe. Der Bundesrechnungshof fordert ein Umdenken: hin zu einem strukturierten, datengestützten und nachhaltigen Sicherheitsmanagement. Alarmierend ist das flächendeckende Versagen: In fast allen Rechenzentren deutscher Behörden finden sich gravierende Schwachstellen – mit dramatischen Konsequenzen für Sicherheit, Resilienz und Vertrauenswürdigkeit der staatlichen IT-Infrastruktur. Behörden und KRITIS-Organisationen müssen jetzt aktiv werden und modernes Schwachstellenmanagement einführen.

Oft fehlt dabei sogar die Notstromversorgung, nicht einmal ein Zehntel der untersuchten Rechenzentren erfüllen die BSI-Mindeststandards für Hochverfügbarkeit. Das, so die Untersuchung, sei besorgniserregend: Fehlende Redundanz, veraltete Systeme, unzureichende Ausfallsicherheit: All das gefährdet die Funktionsfähigkeit kritischer Infrastruktur im Krisenfall.

Über 180 Milliarden Euro Schaden jedes Jahr

Dabei ist der Schaden bereits da: Laut aktueller Zahlen verursachen Cyberangriffe jedes Jahr Schäden von über 180 Milliarden Euro in Deutschland. Sabotageakte, hybride Angriffe und Blackout-Szenarien sind längst Realität – Tendenz steigend.

Laut Bundesrechnungshof fehlt es aber an vielen Stellen: an strukturierter Informationssicherheit und ressortübergreifendem, datenbasiertem IT-Risikomanagement und passendem Controlling. Es fehlen belastbare Informationen. Ohne diese lassen sich weder die Gefahrenlage noch etwaige Fortschritte im Einzelfall realistisch einschätzen – und schon gar nicht nachweisen.

Greenbones Schwachstellenmanagement hilft

Geht es darum, die richtigen Maßnahmen umzusetzen und ihre Wirksamkeit nachzuweisen, kommen Lösungen wie die von Greenbone ins Spiel. Modernes Schwachstellenmanagement bietet einen entscheidenden strategischen Vorteil: Es schafft eine verlässliche, belastbare Datenbasis für die Entscheidungen der Administratoren und des Managements.

OPENVAS von Greenbone erkennt, bewertet und priorisiert Schwachstellen automatisch, kontinuierlich und objektiv. So entsteht ein verlässliches Fundament für IT-Controlling-Strukturen – auch in Ministerien, Behörden und anderen öffentlichen Betrieben. Vulnerability Management schafft überdies in Zeiten wachsender Rechenschaftspflicht eine unverzichtbare Transparenz – und wird so vom „Nice to Have“ zum Pflichtbaustein.

Die Reports des Greenbone Vulnerability Managements enthalten Bewertungen durch die Metriken CVSS (Common Vulnerability Scoring System) und EPSS (Exploit Prediction Scoring System), Trendanalysen und Fortschrittsindikatoren. Damit können Behörden nicht nur intern dokumentieren, sondern gegenüber Rechnungshöfen und Ministerien auch messbare Verbesserungen belegen.

Gerüstet für NIS2

Die neue NIS2-Richtlinie verschärft Anforderungen für Betreiber kritischer Infrastrukturen, definiert neue Verantwortlichkeiten, weitet BSI-Kontrollen und Meldepflichten aus und konkretisiert einzusetzende Softwarekomponenten. Daher beschäftigen sich mehr und mehr Unternehmen mit der bevorstehenden deutschen Variante der Regelung.

Greenbones Lösungen unterstützen Behörden und KRITIS-nahe Organisationen aktiv bei der Vorbereitung auf regulatorische Prüfungen. Funktionen wie das automatisierte Schwachstellenmanagement, revisionssichere Reportings und Audit-Trails bieten Sicherheit, auch unter steigender behördlicher Kontrolle.

Webinare helfen bei der Prävention – Jetzt ist die Zeit zum Handeln!

Greenbones Kundschaft erhält konkrete Hilfe, wenn es darum geht, die BSI-Vorgaben im Rechenzentrum zu erfüllen, Audits vorzubereiten und das Schwachstellenmanagement als Bestandteil der Notfallvorsorge zu sehen. Denn Prävention ist immer günstiger und effektiver als die Krisenbewältigung.

Der Bericht des Bundesrechnungshofs ist ein Weckruf – und eine Chance. Und weil Cybersicherheit mit Sichtbarkeit beginnt, ist Greenbone die richtige Wahl. Kontaktieren sie uns oder besuchen sie unsere Webinare – ganz aktuell die Reihe für Behörden und KRITIS. Dort erhalten sie tiefgehenden Informationen zur Umsetzung der NIS-2-Richtlinie, Rechenzentrumshärtung und Georedundanz aber auch zum grundsätzlichen Aufbau eines Schwachstellen-Controllings. Termine, Inhalte und Anmeldung finden Sie auf der Website.

NIS2 oder NIS-2? Im text wird einheitlich NIS-2 genutzt, in den Überschriften NIS2.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

17. Juli 2025/von Markus Feilner

LEV: Die neuen Schwachstellen-Metriken in NIST CSWP 41 verständlich erklärt

Blog

Dieses Jahr werden die IT-Sicherheitsteams mit einer Flut neuer Sicherheitsrisiken überschwemmt. Bei der Behebung von Schwachstellen die Prioritäten richtig zu setzen, ist ein Dauerthema in der IT-Sicherheits- und Risikoanalyse. So müssen täglich neue Nadeln in einem Heuhaufen von Aufgaben gefunden werden. Zu den Faktoren, die dieses Problem noch verschärfen, gehören der Fachkräftemangel in der Cybersicherheit, neuartige Angriffstechniken und die zunehmende Offenlegung von CVEs (Common Vulnerabilities and Exposures).

Um diesem Bedarf an mehr Präzision und Effizienz gerecht zu werden, entstehen aktuell zahlreiche neue Priorisierungsmetriken. Nicht, dass mehr Risikoperspektiven etwas Schlechtes wären, aber die bereits überforderten Verteidigenden befinden sich in einer schwierigen Lage: Sie müssen sich entscheiden, ob sie weitermachen oder innehalten wollen, um den Wert neuer Metriken besser abzuschätzen.

Die im Mai 2025 vom NIST (National Institute of Standards and Technology) veröffentlichte Metrik Likely Exploited Vulnerabilities (LEV; Wahrscheinlich ausgenutzte Schwachstellen) konsolidiert historische Zeitreihen aus EPSS (Exploit Prediction Scoring System) und den Status der Ausnutzung in freier Wildbahn. Dadurch berechnet LEV um unter anderem eine aggregierte Risikobewertung. Dieser Artikel erläutert, was LEV ist und welche zusätzlichen Gleichungen in dem kürzlich veröffentlichten technischen Whitepaper des NIST (NIST CSWP 41) enthalten sind.

Der Grund für LEV (Likely Exploited Vulnerabilities)

LEV verwendet die historische EPSS-Zeitreihe einer CVE, um einen kumulativen Risikowert zu berechnen, der die Wahrscheinlichkeit darstellt, dass sie jemals aktiv ausgenutzt wurde. Aber worin unterscheidet sich dies von EPSS selbst? Ist EPSS, ein Modell aus dem Machine Learning (ML), das fast 1.500 Vorhersagemerkmale enthält, nicht gut genug?

Einige akademische Kritiken haben ergeben, dass EPSS kritische Schwachstellen übersehen kann. Die direkte Beobachtung historischer EPSS-Daten zeigt, dass die Werte für einen sehr kurzen Zeitraum (ein bis zwei Tage) in die Höhe schnellen können. Danach fallen sie meist wieder auf einen moderaten oder niedrigen Ausgangswert zurück. Das ist ein Problem für Sicherheitsverantwortliche, die EPSS einsetzen.

So spiegelt EPSS beispielsweise nicht wider, wie Cyberkriminelle vorgehen. Aus Branchenberichten geht hervor, dass sie Schwachstellen ausnutzen, wann und wo auch immer sie gefunden werden – sogar alte Schwachstellen. Mit anderen Worten: Angreifende verzichten nicht auf eine Schwachstelle, weil sie nicht aktuell ist. Die alleinige Nutzung aktueller EPSS-Werte kann riskant sein – selbst bei kürzlich entdeckten Schwachstellen. Verteidigende können dem begegnen, indem sie in ihrer Risikokalkulation immer den höchsten EPSS-Wert zugrunde legen: Aber eine weitere Schwachstelle bleibt bei den rohen EPSS-Werten bestehen: Statistisch gesehen sollte eine Ansammlung von mäßigen Wahrscheinlichkeitswerten auch eine hohe Wahrscheinlichkeit für das Eintreten eines Ereignisses bedeuten.

LEV behebt diese letzte Einschränkung durch die Berechnung einer kumulativen Wahrscheinlichkeit unter Verwendung der historischen EPSS-Daten der einzelnen CVEs. LEV wendet den üblichen produktbasierten Ansatz zur Berechnung der kumulativen Wahrscheinlichkeit des Eintretens mindestens eines Ereignisses unter mehreren unabhängigen Ereignissen an. Infolgedessen gelten CVEs, die selbst bei maximalem EPSS keine Warnungen ausgelöst haben, unter LEV nun als hochriskant.

Mathematische Variablen und Symbolreferenz

Diese Übersicht erklärt alle Variablen und mathematischen Symbole, die in den Gleichungen verwendet werden.

Variablen-Referenz

Symbol / Funktion	Beschreibung	Verwendet in
v	Eine Schwachstelle (z. B. ein CVE)	Alle Gleichungen
d	Ein Datum ohne Zeitkomponente	Alle Gleichungen
d₀	Erstes Datum mit EPSS-Daten für v	Alle Gleichungen
d_n	Das Analysedatum (normalerweise heute)	LEV, erwartete Ausnutzung, kombinierte Wahrscheinlichkeit
d_kev	Datum der letzten Aktualisierung der KEV-Liste (Known Exploited Vulnerabilities)	KEV Ausgenutzt
LEV (v,d₀,d_n)	Kumulative Wahrscheinlichkeit der Ausnutzung von Schwachstelle v im Zeitraum d₀bis d_n	Alle Gleichungen
EPSS (v,d_n)	EPSS-Punktzahl zum Zeitpunkt d_n	Komposit-Wahrscheinlichkeit
KEV (v,d_n)	1.0 wenn v in KEV-Liste am Datum d_n, sonst 0	Komposit-Wahrscheinlichkeit
scopedcves	CVEs mit d₍₀₎≤ d_kevfür KEV-Verfolgung	KEV Ausgenutzt
cves	CVEs im Geltungsbereich mit d₍₀₎≤ d_n	Erwartete Ausnutzung

Symbol-Referenz

Symbol	Bezeichnung	Bedeutung
∀	Universeller Quantor	„Für alle“ / „Für jeden“ ähnlich wie eine Programmierschleife
Π	Großes Pi	Eine „Produktnotation“ für wiederholte Multiplikation über eine Folge, ähnlich wie ∑ für wiederholte Addition steht.
∑	Großes Sigma	Ein Summenzeichen für die wiederholte Addition über eine Sequenz.
∈	Element von	„Ist ein Element von“ / „gehört zu“. Bezeichnet die Zugehörigkeit zu einer Menge.

Funktionsweise der LEV-Gleichungen

Die LEV-Metrik wird im „Cybersecurity White Paper 41” (CSWP 41) des NIST als eine untere Grenze der Wahrscheinlichkeit beschrieben, dass eine Schwachstelle ausgenutzt wurde. Sie berechnet die kumulative Wahrscheinlichkeit, dass eine Schwachstelle innerhalb eines bestimmten Zeitfensters mindestens einmal ausgenutzt wurde. Es gibt zwei ähnliche Gleichungen, LEV und LEV2. Die erste wurde optimiert, um die CPU-Last zu verringern.

In beiden Gleichungen, LEV und LEV2, steht jeder Term, der mit der Produktnotation Π multipliziert wird, für die Wahrscheinlichkeit, dass in diesem Zeitfenster keine Schwachstelle ausgenutzt wurde. Man erhält die kumulative Wahrscheinlichkeit, dass nie eine Ausnutzung stattgefunden hat. Subtrahiert man das Ergebnis von 1, erhält man die Wahrscheinlichkeit, dass mindestens eine Ausbeutung während des Zeitfensters stattgefunden hat.

Die beiden LEV-Gleichungen werden im Folgenden beschrieben:

Die leistungsoptimierte LEV-Gleichung

LEV verwendet die historischen EPSS-Werte eines CVE, die alle 30 Tage ermittelt werden (epss(v_i, d_i)), und eine ausgleichende Gewichtung für Beobachtungszeiträume unter 30 Tagen (d_n < 30)

Die im NIST CSWP 41 vorgeschlagene LEV-Gleichung

Die hochauflösende LEV2-Gleichung

LEV2 verwendet die gesamte historische EPSS-Zeitreihe, anstatt alle 30 Tage eine Stichprobe der Werte zu nehmen. LEV2 gewichtet die täglichen Werte, indem es diese durch die Dauer des EPSS-Fensters (30 Tage) teilt. LEV2 erhöht die zeitliche Auflösung und führt zu einer zuverlässigeren Bewertung, da kurze Ausbrüche hoher EPSS-Werte nicht wie bei der oben dargestellten LEV-Gleichung übersprungen werden können. Jeder tägliche EPSS-Wert wird mit 1/30 skaliert, um eine einheitliche Risikodichte über den gesamten Datumsbereich zu erhalten.

Die im NIST CSWP 41 vorgeschlagene LEV2-Gleichung

Die ergänzenden Gleichungen

Dieser Abschnitt stellt zusätzliche Gleichungen aus dem LEV-Whitepaper des NIST vor, samt Aufbau und möglichen Anwendungen.

Berechnung eines zusammengesetzten Risiko-Scores

Die im LEV-Whitepaper des NIST beschriebene ergänzende Metrik für die Wahrscheinlichkeit wählt einfach das stärkste verfügbare Signal aus den drei Ausnutzungsindikatoren EPSS, Einbeziehung in den KEV-Katalog der CISA (Cybersecurity and Infrastructure Security Agency) und LEV aus.

Die im NIST CSWP 41 vorgeschlagene Gleichung für die zusammengesetzte Wahrscheinlichkeit, den „Composite Risk Score“

Durch die Auswahl des aussagekräftigsten Signals unterstützt Composite Probability die Priorisierung von Schwachstellen und reduziert blinde Flecken, bei denen ein Signal unvollständig oder veraltet sein kann. Dies ist besonders wertvoll für die Priorisierung von Abhilfemaßnahmen in großen Unternehmens-Programmen zur Verwaltung von Schwachstellen, bei denen die Entscheidung, was zuerst behoben werden soll, eine kritische Herausforderung darstellt.

Schätzung der Gesamtzahl der ausgenutzten CVEs

Das Whitepaper des NIST schlägt auch eine Methode vor, um die Gesamtzahl der ausgenutzten CVEs während eines bestimmten Zeitfensters zu schätzen und wie man den Umfang eines Verzeichnisses bekannter ausgenutzter Schwachstellen abschätzen kann.

Die „Expected Exploited“-Berechnung

Die „Expected Exploited“-Metrik ist eine Schätzung der Anzahl der ausgenutzten CVEs innerhalb eines bestimmten Zeitfensters durch einfache Summierung aller LEV-Wahrscheinlichkeiten aus einem Satz von skalierten Schwachstellen. Die Gleichung „Expected Exploited“ wendet einfach die Summe (∑) aller LEV-Wahrscheinlichkeiten für einen Satz von CVEs an, um die Gesamtzahl der wahrscheinlichen Ereignisse zu schätzen. Obwohl sie im NIST CSWP 41 als untere (konservative) Schätzung beschrieben wird, ist es methodisch unüblich, diese einfache Technik als untere Grenze zu betrachten. In der Wahrscheinlichkeitstheorie ist es ein grundlegendes Prinzip, dass die erwartete Anzahl von Ereignissen gleich der Summe der einzelnen Ereigniswahrscheinlichkeiten ist.

Die im NIST CSWP 41 vorgeschlagene „Expected Exploited“-Gleichung

Die KEV Exploited-Berechnung

Die KEV Exploited-Metrik schätzt, wie viele Schwachstellen in einem KEV-Katalog wie dem CISA KEV fehlen. Die Quantifizierung der Lücke zwischen „Expected Exploited“ und „KEV Exploited“ gibt Aufschluss über die potenzielle Untererfassung einer KEV-Liste. Die Gleichung basiert wie die „Expected Exploited“-Berechnung auf der Summierung aller Wahrscheinlichkeiten.

Die in NIST CSWP 41 vorgeschlagene KEV Exploited-Gleichung

Anwendungsbeispiele von LEV

Folgende Beispiele zeigen, wie LEV Schwachstellenmanagement-Programme unterstützen kann. Die ergänzende Composite Probability-Gleichung eignet sich am besten, um den Beitrag von LEV zu einer umfassenderen CVE-Risikoanalyse zu veranschaulichen. Daher verwenden alle nachfolgenden statistischen Beobachtungen die zusammengesetzte Wahrscheinlichkeit, sofern nicht anders angegeben.

Die geschätzte Gesamtzahl der ausgenutzten CVEs

Wenn man alle CVEs seit etwa 1980 (273.979) betrachtet, zeigt die LEV-Metrik „Expected Exploited“, dass 14,6 % aller CVEs (39.925) wahrscheinlich real ausgenutzt wurden. Das impliziert, dass die überwiegende Mehrheit der Ausnutzungsaktivitäten in keiner bekannten KEV-Liste erfasst ist (z. B. enthielt CISA KEV zum Zeitpunkt der Berechnung 1.228). Allerdings berücksichtigt Expected Exploited nicht, wie viele einzelne CVEs bei verschiedenen EPSS-Schwellenwerten aufgedeckt werden können.

Die Anzahl der aufgedeckten Hochrisiko-CVEs

Um den Einfluss von LEV auf die Risikobewertung und Priorisierung in Organisationen zu beurteilen, ist es sinnvoll, die Anzahl der dadurch identifizierten Hochrisiko-CVEs zu betrachten. Das folgende Diagramm zeigt, wie viele CVEs in einer Risikoanalyse bei verschiedenen Schwellenwerten über 50 Prozent der zusammengesetzten Wahrscheinlichkeit sichtbar werden würden.

Die Anzahl der CVEs, die unter Verwendung der Metrik Composite Probability (Zusammengesetzte Wahrscheinlichkeit) auf verschiedenen Wahrscheinlichkeitsstufen auf ein hohes Risiko heraufgesetzt wurden

Visualisierung der Risikomigration mit Composite Probability

Das Sankey-Diagramm vergleicht, wie viele CVEs sich in jeder Risikostufe befinden, wenn die maximale EPSS (links) mit der zusammengesetzten Wahrscheinlichkeit von LEV (rechts) verglichen wird. Da die zusammengesetzte Wahrscheinlichkeit verwendet wird, wandern CVEs in der Regel nicht in niedrigere Risikostufen. Das Diagramm zeigt eine signifikante Migration vom niedrigsten Risikobereich zu höheren Bereichen und einen Anstieg für alle anderen Gruppen, wenn die Composite Probability zur Risikoabschätzung verwendet wird.

Sankey-Diagramm, das die Migration von CVEs zwischen Risikobereichen bei der Verwendung von EPSS und der LEV-Metrik „Composite Probability“ zeigt

Einschränkungen und Kritikpunkte an LEV

Die LEV-Metrik bietet zwar wertvolle Einblicke, dennoch sollten ihre Annahmen und potenziellen Schwächen kritisch betrachtet werden:

Das LEV-Whitepaper enthält keine empirische Validierung oder Vergleiche mit anderen statistischen Modellen. Ein frequentistischer Ansatz mit produktbasierter Wahrscheinlichkeit ist jedoch eine bewährte Methode zur Berechnung der kumulativen Wahrscheinlichkeit für eine Reihe unabhängiger Ereignisse.
LEV wird als eine untere Wahrscheinlichkeitsgrenze beschrieben. Es fehlen jedoch akademische Belege dafür, dass die im NIST CSWP 41 beschriebenen mathematischen Modelle tatsächlich konservative Schätzungen von Untergrenzen darstellen.
LEV ist an sich kein undurchsichtiges Vorhersagesystem, aber es basiert auf EPSS, das kein vollständig öffentliches Modell ist. LEV behebt zwar einige potenzielle Schwachstellen, ist aber von EPSS abhängig. In dem Maße, wie EPSS verbessert wird, wird auch LEV von diesen Verbesserungen profitieren. Zum Beispiel hat EPSS v4 Malware-Aktivitäten und Endpunkt-Erkennungen zu seiner „Grundwahrheit“ der realen Ausnutzung hinzugefügt. Dies reduziert die frühere Verzerrung zugunsten von netzwerkbasierten Schwachstellen.
Sicherheitsverantwortliche sollten sich bei der Priorisierung von Schwachstellen nicht zu sehr auf LEV, EPSS oder CVSS verlassen. Zwar sind Beweise für eine aktive Ausnutzung das stärkste Risikosignal, doch kommen diese Beweise oft erst im Nachhinein – zu spät um eine rechtzeitige Reaktion zu ermöglichen.

Zusammenfassung

LEV bietet einige Verbesserungen bei der Schwachstellen-Priorisierung, indem historische EPSS-Signale zu einer kumulativen Ausnutzungswahrscheinlichkeit zusammengefasst werden. Dieser Ansatz erhöht die Sichtbarkeit von CVEs mit einer historischen Dauer und moderaten EPSS-Werten. Die vielleicht nützlichste Kennzahl ist die vorgeschlagene zusammengesetzte Wahrscheinlichkeit, die das stärkste Signal aus LEV, EPSS und dem CISA KEV-Ausnutzungsstatus auswählt.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

7. Juli 2025/von Joseph Lee

Zwischen Vertrauen und Verantwortung: KI-Sicherheit neu gedacht

Blog

Künstliche Intelligenz (KI) – und damit die Sicherheit von und mit KI – ist keine Zukunftsmusik mehr. Sie ist unsere Gegenwart. Und sie ist längst fester Bestandteil unserer täglichen Arbeit für mehr IT-Sicherheit. Gleichzeitig bringt sie eine neue Qualität von Risiken mit sich, die wir in der Security-Branche sehr ernst nehmen müssen.

Von Bach zur künstlichen Intelligenz: eine Zeitreise

Mein erster Berührungspunkt mit KI liegt weit zurück. 1979 las ein Freund von mir in jeder freien Minute in einem dicken, weißen Buch: „Gödel, Escher, Bach“. Als Musiker interessierte mich zunächst nur der Bezug zu Johann Sebastian Bach. Bei meinen Versuchen mit „Das Wohltemperierte Klavier“ und seinen Fugen hat es leider nicht sehr geholfen. Aber dafür lernte ich KI kennen.

Der Autor Douglas R. Hofstadter beschreibt in dem Buch, wie komplexes, intelligentes Verhalten aus erstaunlich einfachen Systemen entstehen kann. Die Idee: auf sich selbst verweisende Schleifenstrukturen, die Bedeutungsebenen schaffen – ob in logischen Beweisen, Zeichnungen oder musikalischen Kompositionen.

Bachs Fugen enthalten immer wieder Melodien, die sich selbst enthalten und die dabei in Variationen gleichzeitig gespielt werden. Dadurch entsteht eine neue musikalische Ebene, in der die einzelne Melodie immer wieder scheinbar verschwindet, aber eigentlich immer da ist. Also ein wenig so wie es für uns auch bei großen Sprachmodellen und generativer KI ist: Das Einzelne verschwindet in einem neuen großen Ganzen.

Wenn komplexe Strukturen auf höherer Ebene Bedeutung erzeugen und wir das dann auch mit digitalen Werkzeugen abbilden können, nennen wir das Ganze künstliche Intelligenz. Bei Hofstadter sind es regelbasierte Systeme. Unsere aktuellen KI-Systeme tun dies in Form von neuronalen Netzen, die durch das Zusammenwirken von Milliarden Parametern scheinbar „intelligente“ Leistungen hervorbringen. Ähnlich wie bei Vogelschwärmen, in Ameisenkolonien oder an der Börse entsteht emergentes Verhalten: Wir nutzen Systeme, die wir selbst nicht mehr vollständig durchschauen, deren Ergebnisse uns aber plausibel und nützlich genug erscheinen, um sie einzusetzen.

Der Balanceakt zwischen Nützlichkeit und Kontrolle

Nach einer jahrzehntelangen Anlaufzeit ist der Einsatz künstlicher Intelligenz in den letzten Jahren sehr schnell sehr selbstverständlich geworden. Ob wir ihre tatsächliche Leistungsfähigkeit bereits weitgehend ausgeschöpft haben oder noch ganz am Anfang einer exponentiellen Kurve stehen, ist offen. Wir sind auf dem kritischen Pfad von einfachen Dialogfunktionen zu teilautonomen oder sogar autonomen Systemen. Hier begegnet technische Effizienz (z. B. Reaktionszeit oder Verlusttoleranz) in einem natürlichen Spannungsverhältnis den menschlichen Qualitäten wie Urteilsvermögen, Verantwortlichkeit und Fähigkeit zu begründbaren Entscheidungen. Und weil wir KI-Systeme immer mächtiger machen, stellt sich immer dringender die Frage: Wie sicher, wie angreifbar und wie vertrauenswürdig sind diese wirklich?

Vertrauen

Ebenso wie bei unseren Partnerinnen und Partnern, im Kreis von Kolleginnen und Kollegen und bei Menschen allgemein können wir auch bei der KI ihre internen Prozesse nicht gut nachvollziehen. Das macht KI nicht nur schwer prüfbar, sondern auch besonders anfällig für gezielte Manipulation, sei es durch adversariale Angriffe oder subtile Eingabeverzerrungen. Aber KI nicht zu nutzen ist natürlich auch keine Lösung. Es hilft alles nichts: Wir müssen damit klarkommen. Wir können nur vertrauenswürdige Werkzeuge und Prozesse etablieren, die uns gut genug schützen.

Es liegt dabei in der Natur der Sache, dass wir uns mit statistischen Wahrscheinlichkeiten anstelle von beweisbaren Wahrheiten, die wir nachvollziehen können, begnügen müssen. In der Praxis geht das meistens gut, aber halt nicht immer. Wo Vertrauen nicht durch Verstehen, sondern durch Gewöhnung entsteht, fehlt im Ernstfall die Grundlage für Kontrolle. Es kann dann zu Missverständnissen darüber kommen, was eine KI leisten kann und was nicht. Es entstehen dann ganz ernstgemeinte Vorschläge, in Ermangelung von verfügbarem Fachpersonal Atomkraftwerke einfach durch KI steuern zu lassen. Das machen wir dann doch lieber nicht.

Der mögliche technische Schutz von KI-Systemen ist vermutlich ausgereifter als der Schutz vor solchen Ideen. Wie sieht es denn überhaupt beim technischen Schutz von KI-Systemen aus? Ein paar Antworten dazu:

KI-Systeme sind auch nur Soft- und Hardware. Die klassische IT-Sicherheitsarchitektur bleibt relevant – auch für KI. Das ist einerseits etwas schrecklich, andererseits können wir wenigstens gut auf Sicherheit prüfen.
Es gibt erste KI-spezifische Schutzmechanismen, die zumindest einfache Angriffe wie Prompt Injection etwas entschärfen können. Content-Filtering und Moderationssysteme können vor toxischen oder unerwünschten Ausgaben schützen.
Mithilfe einer Kombination aus statistischen und regelbasierten Prüfungen lassen sich KI-Systeme überwachen.
Durch kleinere Modelle wie Small Language Models (SLMs) können wir die Angriffsfläche verringern. Große Modelle wie ChatGPT, Claude oder Gemini sind zwar mächtig, aber besonders schwer kontrollierbar und prüfbar. Und sie sind sehr groß, praktisch nicht transportabel, extrem energiehungrig und sehr teuer im Unterhalt. Dafür gibt es immer bessere und schlauere Lösungen.

Je spezifischer ich eine Aufgabe eingrenzen kann, desto weniger brauche ich ein Allzweck-LLM – und desto besser kann ein SLM eingesetzt werden: SLMs lassen sich besser überblicken, transparenter betreiben, lokal härten und effizienter absichern. Das sind keine Allheilmittel, aber wichtige Bausteine für einen verantwortungsvollen KI-Einsatz. Man könnte fragen: Warum kann sich diese KI, wenn sie schon so viel kann, nicht einfach selbst schützen? Warum bauen wir keine Sicherheits-KI für die KI?

Warum sich KI nicht einfach selbst absichern kann

Schon 1937 hat Alan Turing „On Computable Numbers“ veröffentlicht, eine mathematische Beschreibung dessen, was er eine universelle Maschine nannte, eine Abstraktion, die im Prinzip jedes mathematische Problem lösen kann, das ihr in symbolischer Form vorgelegt wird. Das Entscheidungsproblem zeigte jedoch schon ganz am Anfang die Grenzen des maschinellen Denkens auf. Turing bewies, dass es keine allgemeine Methode gibt, um das Verhalten beliebiger Programme vollständig vorherzusagen. Das gilt auch, oder sogar ganz besonders, für die KI von heute.

In jedem hinreichend mächtigen formalen System gibt es wahre Aussagen, die nicht beweisbar sind. Damit sind wir bei Gödel und seinem Unvollständigkeitssatz. KI kann und wird immer mächtiger werden, auch wenn sie nie vollständig vorhersagbar oder verstehbar sein wird. Natürlich hält uns das nicht davon ab, KI-Systeme zu nutzen.

Eine Superintelligenz jedoch wird es in absehbarer Zeit nicht geben. Wir können keine garantiert fehlerfreie KI bauen, und KI kann das auch nicht. Sie ist interessant und bisweilen faszinierend, aber sie ist weder ein Allheilmittel noch ein Mysterium. Unsere Aufgabe ist es daher nicht, Risiken auszuschließen, sondern sie zu erkennen, zu begrenzen und verantwortungsvoll zu tragen. Pragmatismus ist gefragt: Wir müssen die Chancen nutzen und gleichzeitig die Risiken managen.

Optimistische Stimmen sagen: Das kriegen wir hin.

Pessimistische Stimmen sagen: Das gibt eine Katastrophe.

Pragmatistische Stimmen sagen: Wir müssen da durch.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

25. Juni 2025/von Elmar Geese

TÜV-Studie zur Cybersicherheit: Unternehmen in Deutschland weiter unter Druck

Blog

Unternehmen wiegen sich in „trügerischer Sicherheit“, warnen BSI und TÜV – was angesichts anhaltender Bedrohungen wie eine überraschende Erkenntnis klingt, untermauert eine aktuelle Studie zur Cybersicherheit in Unternehmen.

Viele Firmen unterschätzen die Lage, überschätzen die eigenen Fähigkeiten und tun zu wenig zu ihrem eigenen Schutz. Zu diesem und anderen Ergebnissen kommen der TÜV-Verband (Technischer Überwachungsverein) und das Bundesamt für Sicherheit in der Informationstechnologie BSI. Nur die Hälfte der Befragten kenne NIS-2, was angesichts der davon neuerdings betroffenen 29000 zusätzlichen Betrieben ein Alarmsignal sei. Gleichzeitig halten über 90 Prozent die eigene Sicherheit für gut oder sehr gut, für ein Viertel spielt IT-Sicherheit erschreckenderweise nur eine Nebenrolle.

BSI-Chefin besorgt

BSI-Chefin Claudia Plattner zeigt sich dementsprechend besorgt und warnt, es liege offenbar noch viel Arbeit vor Deutschland. Sie verweist auch auf den Cyber Resilience Act der EU , der Mindestvoraussetzungen für vernetzte Produkte in Europa vorschreibe. Laut TÜV sei das Problembewusstsein zwar gestiegen, dennoch seien viele Unternehmen nicht ausreichend vorbereitet.

Dr. Michael Fübi, Präsident des TÜV-Verbands, und Claudia Plattner, BSI-Präsidentin bei der Vorstellung der Studie, Quelle: BSI

Dr. Michael Fübi, Präsident des TÜV-Verbands, und Claudia Plattner, BSI-Präsidentin bei der Vorstellung der Studie, Quelle: BSI

Vier Prozent mehr Opfer von Cyberangriffen

In der 58 Seiten umfassenden Studie finden sich zahlreiche besorgniserregende Erkenntnisse. Die Zahl der Unternehmen, die Opfer eines Cyberangriffs wurden, ist im vergangenen Jahr um vier Prozent gestiegen, sodass nun jedes siebte Unternehmen betroffen ist. In fast allen Fällen (84 %) erfolgte der Einbruch über Phishing. Mehr und mehr Angreifende nutzen KI-gestützte Angriffstechniken, während auf der Seite der Verteidigung kaum KI zum Einsatz kommt (51 % vs. 10 %). 7 von 10 Befragten halten Sicherheitsnormen für wichtig, aber nur ein Fünftel setzt sie selbst um.

„Cybersicherheit in deutschen Unternehmen“ – die TÜV Cybersecurity Studie 2025

Der TÜV-Verband fordert deshalb von der Politik, Cybersicherheit zu priorisieren und in die übergeordnete Sicherheitsstrategie aufzunehmen. Zudem sollten Kompetenzen klarer geregelt werden. NIS2 und CRA müssten entgegen allen bisherigen Verzögerungen „zügig auf den Weg“ gebracht werden.

Empfehlungen für Firmen

Unternehmen sollen, so der TÜV, Bedrohungen ernst nehmen und regelmäßig qualifizierte Risikoanalysen durchführen. Eine geeignete Cyberstrategie ist dabei unerlässlich, ebenso wie Sicherheitsrichtlinien mit messbaren Zielen, klaren Verantwortlichkeiten und Maßnahmenkatalogen.

Unterschiede zwischen großen und kleinen Unternehmen

Als auffällig erweist sich in der Studie der Unterschied je nach Unternehmensgröße. Während 95 Prozent der Firmen mit mehr als 250 Mitarbeitern der IT-Sicherheit einen hohen Stellenwert beimessen, tun dies nur zwei Drittel der Firmen bis 50 Mitarbeiter. Nur bei der Selbsteinschätzung sind sich groß und klein einig: über 90 % halten sich für gut geschützt, egal wie groß die Firma ist. Aber fast die Hälfte der großen Unternehmen (41 %) weiß um das große Risiko in der Lieferkette, während nur 21 Prozent der kleinen Firmen diese Einschätzung teilen. 78 Prozent der Unternehmen unter 50 Beschäftigten glaubt übrigens auch nicht, dass die Lieferkette ein Risiko für einen Cyberangriff darstellt.

Herkunft unbekannt

Die meisten Firmen fürchten Angriffe mit kriminellen oder staatlichen Hintergründen. Bedrohungen durch internes Personal werden hingegen vernachlässigt. Nur neun Prozent konnten Angriffe einer regionalen Quelle zuordnen. Von diesen stammten sechs Prozent aus China, erklärten die mehr als 500 Befragten.

Investitionen in Cybersicherheit

27 Prozent der Firmen haben auch im letzten Jahr das Budget für IT-Sicherheit erhöht, und 15 Prozent haben zusätzliches Fachpersonal eingestellt – etwas niedrigere Werte als im Vorjahr. Sowohl mehr als auch weniger Cloud-Nutzung wird in Unternehmen als Lösungsansatz ausprobiert (jeweils etwa 20 %). Auch Pentesting und Notfallübungen rangieren mit je um 25 % auf den hinteren Plätzen.

Überwiegend investiere man in Hardware-Updates, neue Software für Cybersecurity und Maßnahmen für vernetzte Systeme – Schwerpunkte, die auch durch die spezialisierten Lösungen von Greenbone adressiert werden.

Fazit: Unspezifische Bedrohung, bekannte Methoden, lasche Sicherheitsdisziplin

Wer die Ergebnisse der Studie betrachtet, kommt zu dem Ergebnis: Es ist zwar nicht klar, woher die Angriffe kommen, die erfolgreichen Methoden der Angriffe sind jedoch zu erkennen. Auch liegt eine Asymmetrie beim Technologieeinsatz vor, wie das Beispiel KI zeigt.

Dass knapp 80 Prozent der Befragten zugeben, Sicherheitsnormen nur bedingt umzusetzen, dürfte nicht nur für BSI, Politik und Sicherheitsexperten ein Warnsignal sein. Wenig überraschend leitet der TÜV-Verband daraus die Anforderung an die Bundesregierung ab, die Cybersicherheit voranzubringen und Regulierungen zügig umzusetzen. Das wünscht sich ja auch die Mehrheit der Befragten.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

25. Juni 2025/von Markus Feilner

Mai 2025 Threat Report: hacken, reinigen, wiederholen

Blog

Der Mai 2025 war ein ereignisreicher Monat für Cybersecurity-Nachrichten, darunter mehrere große Sicherheitsverletzungen und neue kritische Schwachstellen. Der Greenbone-Blog hat bereits über einige wichtige Ereignisse berichtet, z. B. über neue, aktiv ausgenutzte Sicherheitslücken in SAP Netweaver, Commvault Command Center und Ivanti EPMM. Insgesamt wurden dem CVE-Programm (Common Vulnerabilities and Exposures) von MITRE 4.014 neue Schwachstellen hinzugefügt. Greenbone fügte dem Enterprise Feed über 2.500 neue Schwachstellentests hinzu, von denen viele mehrere CVEs erkennen können.

Im Threat Report für Mai 2025 stellen wir einige der riskantesten neuen CVEs vor, die in diesem Monat veröffentlicht wurden. Außerdem gehen wir auf eine staatlich unterstützte Cyber-Kampagne ein, die sich auf Technologieunternehmen auf der ganzen Welt auswirkt, und untersuchen, wie KI das Cyber-Risiko durch intelligente Automatisierung auf allen Stufen der Cyber-Kill-Chain erhöhen kann.

Der unvermeidliche, KI-gestützte Angriffszyklus: hacken, reinigen, wiederholen

KI ist heute ein Multiplikator im Lebenszyklus von Cyberangriffen. Bedrohungsakteure nutzen KI auf zwei grundlegende Arten: Sie beschleunigen die Umwandlung von öffentlichem Wissen über Schwachstellen in Exploit-Tools und sie erstellen überzeugendere Social-Engineering-Inhalte. Forschende haben eine lange Liste weiterer Fähigkeiten vorgeschlagen, die KI weiter optimieren kann, darunter die Automatisierung von Angriffen beim ersten Zugang und Command-and-Control-Verfahren (C2).

Selbst ohne KI können erfahrene Hacker innerhalb weniger Minuten nach dem ersten Zugang sensible Informationen herausfiltern. Wenn LAN-seitig im Netzwerk eines Opfers erhebliche Schwachstellen bestehen, ist das manuelle Einbringen von Ransomware ein Kinderspiel. Im Jahr 2017 hat WannaCry gezeigt, dass Ransomware-Angriffe automatisiert und sogar wie Würmer genutzt werden können, die sich autonom zwischen Systemen bewegen.

Laut dem jüngsten Gen Threat Report von Norton hat der Datendiebstahl im ersten Quartal 2025 um 186 % zugenommen. Wie im Threat Report vom April 2025 beschrieben, sind die Sammelklagen im Zusammenhang mit Datendiebstahl innerhalb von sechs Jahren um 1.265 % rasant gestiegen. Wenn die Cyber-Hygiene eines Opfers nicht regelkonform ist, sind Vergleiche in Millionenhöhe die Regel. Allein die Top 10 der Sammelklagen wegen Datenschutzverletzungen beliefen sich im Jahr 2023 auf über 515 Millionen US-Dollar, wobei der größte Vergleich mit 350 Millionen US-Dollar T-Mobile betraf. Die gestohlenen Daten werden oft im Dark Web verkauft und dienen als Treibstoff für weitere Cyberangriffe. Wir müssen davon ausgehen, dass KI in naher Zukunft in allen Phasen der Cyber-Kill-Chain vollständige Autonomie erreichen wird, was zu einem autonomen Teufelskreis aus hacken, reinigen und wiederholen führen wird.

Russischer GRU nimmt Logistik- und Technologieunternehmen ins Visier

Die CISA (Cybersecurity and Infrastructure Security Agency) und Verteidigungseinrichtungen aus neun anderen Ländern haben vor einer auf Cyberspionage ausgerichteten Kampagne gewarnt, die vom 85. Main Special Service Center (85. GTsSS) des russischen Generalstabs (GRU), der militärischen Einheit 26165, durchgeführt wird. Diese ist unter verschiedenen Decknamen bekannt, darunter die bekannten FancyBear und APT28.

Der vollständige Bericht beschreibt detailliert die Taktiken, Techniken und Verfahren (TTP), die bei der Kampagne zum Einsatz kamen, darunter Reconnaissance [TA0043], Brute-Force-Angriffe [T1110.003] und Spearphishing zur Erlangung von Zugangsdaten sowie zur Verbreitung von Malware [T1566], die Ausnutzung von Vertrauensverhältnissen, um Zugang zu erlangen [T1199], Proxy-Angriffe über kompromittierte Geräte [T1665] und die Ausnutzung bekannter Softwareschwachstellen – sowohl für den Erstzugang [T1190], als auch für die Ausweitung von Berechtigungen [T1068]. Die schiere Vielfalt der Angriffstechniken deutet auf eine hochentwickelte Bedrohung hin.

Die Kampagne zielt auf eine breite Palette von SOHO-Geräten (Small Office/Home-Office), Microsoft Outlook, RoundCube Webmail und WinRAR sowie auf nicht veröffentlichte CVEs in anderen, vom Internet aus zugänglichen Infrastrukturen, einschließlich Unternehmens-VPNs und SQL-Injection-Fehlern. Greenbone enthält Erkennungstests für alle im Bericht genannten CVEs. Zu diesen CVEs gehören:

CVE-2023-23397 (CVSS 9.8): Eine Schwachstelle für die Ausweitung von Privilegien in Microsoft Outlook, die die Wiedergabe von erfassten Net-NTLMv2-Hashes ausnutzt.
CVE-2020-12641 (CVSS 9.8): Ermöglicht Angreifenden die Ausführung von beliebigem Code über Shell-Metazeichen in einer Roundcube-Webmail-Konfigurationseinstellung für `im_convert_path` oder `im_identify_path`.
CVE-2020-35730 (CVSS 5.0): Ein XSS-Fehler in Roundcube Webmail über eine einfache Text-E-Mail-Nachricht, die eine JavaScript-Link-Referenz enthält.
CVE-2021-44026 (CVSS 6.1): Eine SQL-Injection-Sicherheitslücke in Roundcube über die Suche oder `search_params`.
CVE-2023-38831 (CVSS 7.8): Ermöglicht Angreifenden die Ausführung von beliebigem Code, wenn Nutzende versuchen, eine gutartige Datei innerhalb eines ZIP-Archivs anzuzeigen.

DragonForce Ransomware breitet die Schwingen aus

DragonForce entstand Mitte 2023 und wandelte sich von einem Hacktivisten-Kollektiv zu einem finanziell motivierten RaaS-Unternehmen (Ransomware-as-a-Service). Im Jahr 2025 hat sich DragonForce als eine der größten Bedrohungen im Ransomware-Ökosystem etabliert.

DragonForce-Ransomware-Angriffe betrafen die folgenden Länder:

Vereinigten Staaten – 43 bestätigte Vorfälle
das Vereinigte Königreich – einschließlich der jüngsten Einbrüche bei Marks & Spencer, Co-op und Harrods im Mai 2025
Saudi-Arabien – ein Datenleck bei einer großen Baufirma in Riad
Australien – z. B. Yakult Australia
Singapur – Coca-Cola-Geschäfte
Palau – ein Einbruch in die Regierung im März 2024
Kanada – unter den fünf am häufigsten angegriffenen Ländern
Indien, das insbesondere im letzten Monat ebenfalls verstärkt ins Visier genommen wurde.

Zu den Kampagnen gehörte die Ausnutzung von SimpleHelp Remote Monitoring and Management (RMM) [1], Confluence Server und Data Center [2], Log4Shell (auch bekannt als Log4J), Microsoft Windows-Schwachstellen sowie verschiedener Schwachstellen in Ivanti-Produkten [3]. Greenbone bietet mehrere aktive Prüf- und Versionserkennungstests für alle in DragonForce-Kampagnen identifizierten CVEs.

Die Ausnutzung der folgenden Schwachstellen durch DragonForce sind bestätigt:

CVE-2024-57727, CVE-2024-57728 und CVE-2024-57726 mit Auswirkungen auf SimpleHelp RMM
CVE-2024-21887, CVE-2024-21893 und CVE-2023-46805 mit Auswirkungen auf Ivanti Connect Secure und Policy Secure
CVE-2024-21412 (CVSS 8.1) mit Auswirkungen auf das Betriebssystem Microsoft Windows
CVE-2022-26134 (CVSS 9.8) mit Auswirkungen auf Atlassian Confluence Server und Data Center
CVE-2021-44228 (CVSS 10) (Log4J, Log4Shell) mit Auswirkungen auf das Java-Paket `log4j-core`

Im Einklang mit der Angriffsstrategie anderer bekannter Ransomware-Akteure ist bekannt, dass DragonForce neben dem Ausnutzen von Schwachstellen, die für die Öffentlichkeit zugänglich sind, auch andere Techniken einsetzt. Dazu zählen unter anderem Phishing-E-Mails, Diebstahl von Credentials, Brute-Force- und Credential-Stuffing-Angriffe auf exponierte Dienste sowie Remote-Management-Tools (RMM) wie AnyDesk, Atera und TeamViewer für Persistenz und laterale Bewegungen. Daher benötigen Unternehmen umfassende Cybersicherheitsprogramme, die Schulungen zur Sensibilisierung der Nutzenden umfassen, um Social-Engineering-Angriffe zu verhindern sowie regelmäßige Penetrationstests, um reale gegnerische Aktivitäten zu simulieren.

CVE-2025-32756: Stack-basierte Buffer-Owerflow-Schwachstelle in mehreren Fortinet-Produkten

CVE-2025-32756 (CVSS 9.8), veröffentlicht am 13. Mai 2025, ist eine kritische, Stack-basierte Buffer-Overflow-Schwachstelle [CWE-12], die mehrere Fortinet-Produkte betrifft. Die Schwachstelle ermöglicht entfernten, nicht authentifizierten Angreifenden die Ausführung von beliebigem Code über manipulierte HTTP-Cookies. Sie wird aktiv ausgenutzt – in erster Linie gegen FortiVoice-Systeme – und steht in Verbindung mit Angriffen, bei denen Malware eingesetzt wird, Anmeldedaten mithilfe von Cron-Jobs gestohlen und Netzwerke ausgekundschaftet werden. Details zum Proof-of-Concept sind öffentlich verfügbar, und es wurde eine vollständige technische Analyse veröffentlicht, die den Risikofaktor erhöht.

Fortinet-Schwachstellen haben eine historisch hohe Konversionsrate für Ransomware-Angriffe. Seit Ende 2021 wurden insgesamt 18 Schwachstellen in Fortinet-Produkten in die KEV-Liste (Known Exploited Vulnerabilities) der CISA aufgenommen – 11 davon werden bekanntermaßen von Ransomware-Betreibern ausgenutzt. Neben der CISA haben auch mehrere andere nationale CERT-Einrichtungen Warnungen herausgegeben, darunter das CERT-EU, das Centre for Cybersecurity Belgium (CCB) und das deutsche CERT-BUND.

Die Ursache ist eine fehlende Längen-Überprüfung in der Funktion `cookieval_unwrap()` von libhttputil.so. Ein bösartiger AuthHash-Cookie kann den Speicher so beschädigen, dass die Rücksprungadresse kontrolliert werden kann, sodass ausführbare Dateien auf Prozessebene manipuliert werden können. Der Greenbone Enterprise Feed bietet einen Schwachstellentest zur Erkennung betroffener Produkte und fast 1.000 weitere Tests zur Erkennung anderer Schwachstellen in Fortinet-Produkten.

CVE-2025-32756 betrifft Dutzende von Firmware-Versionen diverser FortiNet Produkte, darunter:

FortiVoice (6.4.0 – 7.2.0)
FortiMail (7.0.0 – 7.6.2)
FortiNDR (1.1-7.6.0)
FortiRecorder (6.4.0 – 7.2.3)
alle Versionen von FortiCamera 1.1 und 2.0 sowie 2.1.0 – 2.1.3

Fortinet rät, sofort auf die neuesten korrigierten Versionen zu aktualisieren. Wenn ein Patch nicht möglich ist, sollten Nutzende die HTTP/HTTPS-Admin-Schnittstelle deaktivieren, um erfolgreiche Angriffe zu verhindern.

Drei SysAid-Schwachstellen jetzt mit CVEs und öffentlichen PoCs

Im Mai wurden drei Schwachstellen mit kritischem Schweregrad bekannt, die die On-Premises SysAid IT Service Management (ITSM)-Plattform betreffen und die so miteinander verkettet werden können, dass unauthentifizierte Remote Code Execution (RCE) möglich ist. Vollständige technische Details und ein Proof-of-Concept (PoC) wurden von watchTowr veröffentlicht. In Anbetracht der Tatsache, dass SysAid-Schwachstellen in der Vergangenheit bereits von Ransomware-Betreibern angegriffen wurden, sind diese Schwachstellen besonders risikoreich.

CVE-2025-2775, CVE-2025-2776 und CVE-2025-2777 (jeweils CVSS 9.3) sind nicht authentifizierte XML External Entity (XXE) [CWE-611]-Schwachstellen in den Funktionen Checkin, Server URL bzw. lshw. Sie alle ermöglichen die Übernahme eines Administrationskontos und das Lesen beliebiger Dateien auf dem System des Opfers. SysAid On-Prem Versionen ≤ 23.3.40 sind betroffen. Bemerkenswert ist, dass die Fehler vom Hersteller im März zwar gepatcht, aber keine CVE-IDs reserviert oder ausgegeben wurden. Diese Art von Szenario trägt zu einer undurchsichtigen Bedrohungslandschaft für Software-Anwendende bei, was die Transparenz verringert und das operative Schwachstellenmanagement erschwert. Greenbone bietet Erkennungstests für alle oben genannten CVEs.

SysAid ist weltweit vertreten mit über 10.000 Kunden in 140 Ländern, darunter Unternehmen wie Coca-Cola, Panasonic, Adobe und LG. Im Vergleich zu größeren Wettbewerbern wie ServiceNow oder Jira Service Management hat SysAid zwar einen geringeren Anteil am ITSM-Markt, bleibt aber dennoch eine beliebte Lösung für mittelständische Unternehmen.

CVSS 10 in Cisco IOS XE Wireless Controller

CVE-2025-20188 ist eine neue Sicherheitslücke mit kritischem Schweregrad (CVSS 10), die im Mai 2025 veröffentlicht wurde. Die Flaggschiff-Plattform von Cisco, die Catalyst 9800-Serie, ist von CVE-2025-20188 betroffen. Es ist zwar noch nicht bekannt, ob die Schwachstelle aktiv ausgenutzt wird, aber es ist schon jetzt ein vollständiger technischer Überblick verfügbar, der weniger erfahrenen Bedrohungsakteuren einen Vorsprung verschafft.

Die Hauptursache der Schwachstelle ist ein fest einprogrammiertes JSON-Web-Token (JWT), das es Angreifenden ermöglichen könnte, Dateien hochzuladen, Path-Traversal-Angriffe und beliebige Befehle mit Root-Privilegien über speziell gestaltete HTTP-Anfragen auszuführen. Insbesondere werden hartcodiertes Fallback-Secret – der String `notfound` – verwendet, um die Authentizität eines JWTs zu überprüfen, wenn `/tmp/nginx_jwt_key` nicht vorhanden ist.

Obwohl dieser Key zu bestimmten Zeiten generiert werden kann, z. B. wenn sich ein Administrator bei der Verwaltungskonsole anmeldet, kann er gelegentlich fehlen, z. B. unmittelbar nach einem Neustart des Geräts oder eines Dienstes.

Außerdem betrifft die Schwachstelle nicht alle HTTP-Endpunkte, sondern nur die Out-of-Band Access Point (AP) Image Download-Funktion der Cisco IOS XE Software für WLAN-Controller (WLCs). Während Cisco in einem Sicherheitshinweis behauptet, dass dieser Dienst nicht standardmäßig aktiviert ist, fanden Horizon.ai-Forschende heraus, dass er es doch war. Daher gibt es zwar mehrere Bedingungen, die für die Ausnutzbarkeit von CVE-2025-20188 benötigt werden, aber wenn diese Bedingungen gegeben sind, ist die Ausnutzung trivial und betrifft wahrscheinlich viele Unternehmen.

Cisco hat einen Sicherheitshinweis veröffentlicht, der den betroffenen Nutzenden rät, entweder auf die gepatchte Version zu aktualisieren oder den Out-of-Band AP Image Download zu deaktivieren. Der Greenbone Enterprise Feed enthält einen Versionserkennungstest zur Identifizierung betroffener Geräte und zur Überprüfung der Patch-Level.

Zusammenfassung

Der Mai 2025 brachte eine Flut von kritischen Schwachstellen, größeren Sicherheitsverletzungen und eskalierenden Aktivitäten von Nationalstaaten. Es ist wichtig, sich vor Augen zu halten, dass KI-gestützte Angriffszyklen zur Realität werden. Die chaotische und dringliche Cybersicherheitslandschaft wird sich in absehbarer Zeit nicht entspannen.

Neue, aktiv ausgenutzte Schwachstellen in Cisco-, Fortinet- und SysAid-Produkten zwingen die Unternehmen dazu, wachsam zu sein und kontinuierliche Erkennungsmaßnahmen mit anschließender Priorisierung und Schadensbegrenzung durchzuführen.

Die Greenbone-Abdeckung für Unternehmen hilft Sicherheitsteams, Schwachstellen zu erkennen, die Bedrohungsakteure finden können, um in einer sich schnell verändernden Bedrohungslandschaft die Nase vorn zu haben.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

16. Juni 2025/von Joseph Lee

Das EU-Gesetz zur Digitalen Operationalen Resilienz (DORA)

Der Umfang von DORA’s Einfluss auf IT-Sicherheit

Zusammenfassung

ToolShell Ereignisse im Zeitverlauf

Die ToolShell-CVEs in Microsoft SharePoint

Die ToolShell Angriffsstrategie

Risikominderung von ToolShell Angriffen auf Microsoft SharePoint

Zusammenfassung

Warum wir uns für OPENVAS entschieden haben

Was bedeutet das für Sie konkret?

Was bedeutet das für unsere bestehenden Appliance Produkte

Greenbone bleibt – OPENVAS wird neuer Markenname

Neue Welle von Wiper-Malware im Cybergefecht

Echte Risiken und „AI-Slop“: Linux-CVEs im Wandel

CVE-2025-49113: Eine kritische CVE in RoundCube Webmail

Neue kritische CVE in Cisco ISE Cloud mit PoC-Exploit

CitrixBleed 2 und eine weitere aktiv ausgenutzte Schwachstelle in Citrix NetScaler ADC und Gateway

Drei ausnutzbare Schwachstellen in Sitecore CMS

Umgehung von CVE-2025-23120 in Veeam-Backups

Zusammenfassung

CVE-2025-25257: RCE in FortiWeb Fabric Connector

Welche Rolle spielt der FortiWeb Fabric Connector?

Behebung der Sicherheitslücke CVE-2025-25257

Zusammenfassung

Unzureichend: Controlling und NIS2-Vorbereitung

Steigender Handlungsdruck

Über 180 Milliarden Euro Schaden jedes Jahr

Greenbones Schwachstellenmanagement hilft

Gerüstet für NIS2

Webinare helfen bei der Prävention – Jetzt ist die Zeit zum Handeln!

Der Grund für LEV (Likely Exploited Vulnerabilities)

Mathematische Variablen und Symbolreferenz

Variablen-Referenz

Symbol-Referenz

Funktionsweise der LEV-Gleichungen

Die leistungsoptimierte LEV-Gleichung

Die hochauflösende LEV2-Gleichung

Die ergänzenden Gleichungen

Berechnung eines zusammengesetzten Risiko-Scores

Schätzung der Gesamtzahl der ausgenutzten CVEs

Die „Expected Exploited“-Berechnung

Die KEV Exploited-Berechnung

Anwendungsbeispiele von LEV

Die geschätzte Gesamtzahl der ausgenutzten CVEs

Die Anzahl der aufgedeckten Hochrisiko-CVEs

Visualisierung der Risikomigration mit Composite Probability

Einschränkungen und Kritikpunkte an LEV

Zusammenfassung

Von Bach zur künstlichen Intelligenz: eine Zeitreise

Der Balanceakt zwischen Nützlichkeit und Kontrolle

Vertrauen

Warum sich KI nicht einfach selbst absichern kann

BSI-Chefin besorgt

Vier Prozent mehr Opfer von Cyberangriffen

Empfehlungen für Firmen

Unterschiede zwischen großen und kleinen Unternehmen

Herkunft unbekannt

Investitionen in Cybersicherheit

Fazit: Unspezifische Bedrohung, bekannte Methoden, lasche Sicherheitsdisziplin

Der unvermeidliche, KI-gestützte Angriffszyklus: hacken, reinigen, wiederholen

Russischer GRU nimmt Logistik- und Technologieunternehmen ins Visier

DragonForce Ransomware breitet die Schwingen aus

CVE-2025-32756: Stack-basierte Buffer-Owerflow-Schwachstelle in mehreren Fortinet-Produkten

Drei SysAid-Schwachstellen jetzt mit CVEs und öffentlichen PoCs

CVSS 10 in Cisco IOS XE Wireless Controller

Zusammenfassung

Produkte & Lösungen

Service & Support

Über uns

Kontakt mit uns

Community