Microsoft Windows ist nach wie vor das am weitesten verbreitete Desktop-Betriebssystem in Unternehmensumgebungen – und gleichzeitig mit am häufigsten von Angreifern ins Visier genommen. Unsichere Konfigurationen sind eine der Hauptursachen für Sicherheitsverletzungen [1][2][3] und werden häufig ausgenutzt, um sich ersten Zugriff zu verschaffen [TA0001], Berechtigungen zu erweitern [TA0004], Anmeldedaten zu stehlen [TA0006], dauerhaften Zugriff zu erlangen [TA0003] und sich innerhalb eines Netzwerks seitlich zu bewegen [TA0008]. Viele nationale Cybersicherheitsbehörden empfehlen Unternehmen weiterhin nachdrücklich, Richtlinien zur Stärkung der Basiskonfigurationen von Betriebssystemen (OS) zu erlassen [4][5][6][7][8].

Die Sicherung von Windows 11-Systemen erfordert mehr als nur das Patchen bekannter Schwachstellen. IT-Abteilungen sollten zunächst sicherheitsgehärtete Basis-Images von Windows bereitstellen und deren Konfiguration regelmäßig überprüfen. Dazu müssen viele versteckte oder oft übersehene Einstellungen von Microsoft Windows angepasst und einige Funktionen vollständig deaktiviert werden. Zu den gehärteten Sicherheitskontrollen gehören die Durchsetzung strenger Richtlinien für Passwörter und Kontosperrungen, die Deaktivierung unnötiger Systemdienste wie Remote Registry, die Anwendung von Anwendungskontrollregeln über AppLocker, die Konfiguration erweiterter Überwachungsrichtlinien zur Überwachung der Systemaktivitäten und vieles mehr. 

Im Einklang mit diesen IT-Sicherheitszielen für Unternehmen ist Greenbone stolz darauf, die Aufnahme des CIS Microsoft Windows 11 Enterprise Benchmark v3.0.0 Level 1 (L1) Audits in die Compliance-Funktionen bekannt zu geben. Mit dieser neuesten Erweiterung können unsere Enterprise-Feed-Kunden ihre Windows 11-Konfigurationen anhand des CIS-Compliance-Standards überprüfen. Damit erweitert Greenbone das wachsende Arsenal an CIS-Compliance-Richtlinien, darunter Google Chrome, Apache, IIS, NGINX, MongoDB, Oracle, PostgreSQL, Windows, Linux und Docker [1][2]. Hier die neuesten Funktionen zur Schwachstellenerkennung von Greenbone:

Greenbone erweitert CIS Microsoft Windows 11 Enterprise Benchmark

Der CIS Microsoft Windows 11 Enterprise Benchmark v3.0.0 L1 ist jetzt im Greenbone Enterprise Feed verfügbar. Dieser Benchmark definiert einen umfassenden Satz von Sicherheitskonfigurationen, die darauf ausgelegt sind, Windows 11 Enterprise gemäß den Best Practices der Branche zu sichern – angefangen bei Gruppenrichtlinien und Registrierungshärtung bis hin zu integrierten Funktionsbeschränkungen. Mit dieser neuen Ergänzung macht es Greenbone einfacher, Fehlkonfigurationen von Microsoft Windows zu identifizieren, bevor Angreifer sie ausnutzen können.

Unser Enterprise-Schwachstellen-Feed nutzt Compliance-Richtlinien, um Tests zur Überprüfung jeder automatisierbaren CIS L1-Anforderung durchzuführen. Diese Tests sind in Scan-Konfigurationen gruppiert, sodass Sicherheitsteams gezielte Untersuchungen für ihre gesamte Windows 11-Flotte durchführen können. Unabhängig davon, ob Sie interne Sicherheitsvorschriften oder gesetzliche Rahmenbedingungen einhalten müssen, bestätigt die Prüfung von Greenbone Ihre Windows 11 Enterprise-Einstellungen und stellt sicher, dass die Systeme gesperrt und veraltete oder riskante Funktionen deaktiviert sind.

Windows-Sicherheit: von größter Bedeutung

Microsoft Windows spielt eine wichtige Rolle in IT-Umgebungen von Unternehmen und dient als Rückgrat für Endgeräte, Server und Domäneninfrastrukturen. Diese Allgegenwärtigkeit macht es jedoch auch zu einem bevorzugten Ziel. Unsichere Windows-Konfigurationen können die Tür für Remote Code Execution (RCE), den Diebstahl von Anmeldedaten und die Ausweitung von Berechtigungen öffnen. Eine schwerwiegende Cybersicherheits-Verletzung kann zur vollständigen Kompromittierung der Domäne, zu Ransomware-Angriffen, zum Verlust des Kundenvertrauens, zu Bußgeldern und sogar zu kostspieligen rechtlichen Schritten wie Sammelklagen führen, wenn Benutzerdaten offengelegt werden.

In den letzten Jahren haben nationale Cybersicherheitsbehörden – darunter das deutsche BSI [9], die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) [10] und das Canadian Centre for Cyber Security [11] sowie weitere [12][13] – Warnungen herausgegeben, in denen sie die Notwendigkeit betonen, die Sicherheitskonfigurationen von Betriebssystemen zu verbessern und veraltete Funktionen zu deaktivieren, die von Angreifern regelmäßig ausgenutzt werden. Die zunehmende Häufigkeit und Raffinesse der Angriffe durch böswillige Akteure unterstreichen einmal mehr die Notwendigkeit einer proaktiven Windows-Sicherheit.

Fehlkonfigurationen in Windows können eine Kettenreaktion auslösen und sowohl das lokale System als auch das gesamte Netzwerk gefährden. Deshalb müssen Maßnahmen zur Absicherung über das Patchen von Schwachstellen hinausgehen und ein robustes Konfigurationsmanagement umfassen. Die neue CIS Windows 11 Enterprise-Compliance-Richtlinie von Greenbone bietet Verteidigern die Tools, die sie benötigen, um die Widerstandsfähigkeit gegen viele kritische IT-Sicherheitslücken zu stärken.

Wie verbessert der CIS Windows 11 Benchmark die Cybersicherheit?

Der CIS Microsoft Windows 11 Enterprise Benchmark bietet einen strukturierten Ansatz zur Sicherung von Microsoft Windows-Endpunkten. Er definiert Konfigurationseinstellungen, die für unbefugten Zugriff, Missbrauch von Berechtigungen und Systemkompromittierung verwendet werden könnten. Der Benchmark überprüft eine Vielzahl von Richtlinien, darunter Kontosicherheit, Systemdienste, Netzwerkkonfigurationen, Anwendungskontrollen und Verwaltungsvorlagen, um die Angriffsfläche zu verringern und die Systemintegrität zu verbessern.

Die wichtigsten Abschnitte des CIS Windows 11 Benchmarks:

  • Account Policies: Definiert Richtlinien für die Komplexität, den Verlauf und das Ablaufdatum von Passwörtern sowie für die Schwellenwerte für die Kontosperrung. Diese Einstellungen tragen zur Durchsetzung einer strengen Authentifizierungshygiene bei und schränken Brute-Force-Angriffe ein.
  • Lokale Richtlinien: Konzentriert sich auf die Durchsetzung einer Vielzahl von lokalen Zugriffskontrollen und Systemverhalten. Umfasst Audit-Einstellungen, Benutzerrechte (z. B. wer sich lokal anmelden oder das System herunterfahren darf) und Sicherheitsoptionen (z. B. Gastkontostatus, Zugriffstoken, Netzwerkzugriff, Gerätetreiber, Firmware-Optionen und Kryptografie-Anforderungen) und vieles mehr.
  • Systemdienste: Reduziert die Angriffsfläche durch Einschränkung aktiver Systemkomponenten. Empfiehlt die Deaktivierung oder Konfiguration von Windows-Diensten, die möglicherweise unnötig sind oder das System Risiken aussetzen (z. B. Remote-Registrierung, FTP, Bluetooth, OpenSSH, Geolocation-Service und mehr).
  • Windows Defender-Firewall mit erweiterter Sicherheit: Umfasst Firewall-Konfigurationen für Domain-Profile sowie private und öffentliche Profile. Enthält Regeln für die Protokollierung, Verbindungsbeschränkungen und das Blockieren unerwünscht eingehenden Datenverkehrs, um die Netzwerksegmentierung und Traffic-Kontrolle durchzusetzen.
  • Erweiterte Konfiguration der Überwachungsrichtlinien: Bietet detaillierte Überwachungseinstellungen für Kategorien wie Anmeldeereignisse, Objektzugriff und Richtlinienänderungen, um die Transparenz und Compliance zu verbessern.
  • Administrative Vorlagen (Computer): Umfasst Gruppenrichtlinieneinstellungen auf Computerebene, einschließlich UI-Einschränkungen, Steuerung älterer Protokolle, SMB-Hardening, UAC-Verhalten und Gerätekonfiguration.
  • Administrative Vorlagen (Benutzer): Konzentriert sich auf Richtlinien auf Benutzerebene, die sich auf Personalisierung, Datenschutz, Desktop-Verhalten, Windows-Komponenten, Telemetrie, Cloud-Inhalte, Suche und den Zugriff auf den Microsoft Store auswirken.

Greenbone ist Mitglied des CIS-Konsortiums

Als Mitglied des CIS-Konsortiums verpflichtet sich Greenbone, zusätzliche Scan-Konfigurationen hinzuzufügen, um CIS-Benchmarks zu bestätigen. Alle unsere CIS-Benchmark-Richtlinien entsprechen den CIS-Hardening-Richtlinien und sind von CIS zertifiziert, wodurch maximale Sicherheit für Systemaudits gewährleistet ist. Greenbone verfügt außerdem über eine spezielle Compliance-Ansicht für die Weboberfläche des Greenbone Security Assistant (GSA), um den Bewertungsprozess für Unternehmen zu optimieren.

Zusammenfassung

Die Sicherung von Microsoft Windows 11 Enterprise erfordert mehr als nur das Patchen von Schwachstellen – sie erfordert einen disziplinierten Ansatz für das Konfigurationsmanagement auf der Grundlage bewährter Best Practices. Durch die Absicherung versteckter Systemeinstellungen und die Deaktivierung unnötiger Funktionen können Sicherheitsteams Exploit-Pfade verhindern, die häufig von Angreifern genutzt werden, um Ransomware zu verbreiten, Daten zu herauszufiltern oder sich dauerhaft im Netzwerk einzunisten. 

Mit der zusätzlichen Unterstützung für den CIS Microsoft Windows 11 Enterprise Benchmark v3.0.0 stärkt Greenbone die Position als führender Anbieter proaktiver Cybersicherheit und bietet Unternehmen die Tools, die sie benötigen, um Risiken zu reduzieren, Compliance nachzuweisen und in einer zunehmend feindseligen digitalen Landschaft widerstandsfähig zu bleiben. Abonnenten des Enterprise Feed können nun ihre Windows 11-Konfigurationen präzise und zuverlässig überprüfen und verifizieren.

Sicherheitsexperten beobachten eine Besorgnis erregende Entwicklung: Die Time to Exploit (TTE), also die Zeit zwischen dem Bekanntwerden einer Sicherheitslücke und ihrem Ausnutzen durch böswillige Akteure, sinkt in der letzten Zeit massiv.

Gleichzeitig zeigen Angreifer immer größere Kompetenz beim Verbergen ihrer Anwesenheit in einem erfolgreich gehackten Netzwerk. Die Zeit, um sich einzunisten und sodann unbefugt auf Unternehmensressourcen zuzugreifen, bevor sie entdeckt (und entfernt) werden, nennen Experten „Dwell time“, also Verweildauer. Je kürzer diese ist, umso besser für die Angegriffenen. Auch der begabteste Hacker braucht Zeit und kann umso mehr (dauerhaften) Schaden anrichten, je länger er unbemerkt und unbeobachtet bleibt.

Der Feind hört mit – und ist vielleicht schon da

Erschreckenderweise erreicht die Dwell Time immer häufiger Monate oder gar Jahre, so wie bereits bei Sony oder im US-Office for Personal Management. Dort konnten Angreifer mehr als zwölf Monate ungestört agieren. Bei dem japanischen Technologiekonzern flossen in der Folge sogar über 10 Terabyte an Daten ab.

Die Angst vor verborgenen Eindringlingen ist groß, schließlich kann niemand mit Sicherheit sagen, ob sich nicht bereits ein bösartiger Zuhörer im eigenen Netzwerk befindet. Das kommt vor. Schon beim Bundestagshack 2015 zum Beispiel informierte nicht das eigene Monitoring, sondern ein „befreundeter“ Geheimdienst die deutschen Behörden über seltsame Aktivitäten Dritter (russische APT-Hackergruppen) im Bundestagsnetz. Wie lange und wie viele Akteure zu dem Zeitpunkt sich bereits im Netzwerk getummelt hatten, blieb offen. Klar war nur: Es waren mehr als einer, und die befreundeten Geheimdienste hatten schon länger zugeschaut.

Erkennung, Prävention und Reaktion immer kritischer

Umso wichtiger ist es, dafür Sorge zu tragen, dass die Angreifer erst gar nicht ins System gelangen. Das aber wird immer schwieriger: Wie unter anderen die Experten von Googles Mandiant berichten, ist in den letzten fünf Jahren die Reaktionszeit, die Unternehmen und Softwarebetreibern zwischen dem Bekanntwerden einer Schwachstelle und dem Exploit bleibt, in den letzten Jahren rapide gefallen: von 63 Tagen 2018 auf gut einen Monat.

Immer weniger Zeit zum Reagieren

2023 blieben Administratoren schon nur mehr fünf Tage im Durchschnitt, um Schwachstellen zu bemerken und zu schließen. Heute sind es bereits weniger als drei Tage.

Damit nicht genug. Früher wurden Sicherheitslücken häufiger erst ausgenutzt, nachdem Patches verfügbar waren, also nachdem sich erfahrene Administratoren bereits abgesichert und die aktuellen Patches eingespielt hatten. Eigentlich sollten diese so genannten „N-day Vulnerabilities“ also gar kein Problem sein, gibt es doch Fixes dafür.

Verbesserte Disziplin mit Nebenwirkungen: Angreifer lernen

Leider war in der Vergangenheit die Disziplin (und die Aufmerksamkeit) in vielen Unternehmen nicht so ausgeprägt, man vernachlässigte das Thema und sorgte so unfreiwillig auch für weitere Verbreitung von automatisierten Angriffsmethoden, etwa mithilfe von Würmern und Viren. Gerade hier gibt es auch gute Nachrichten: 2022 machten die Attacken über die N-Day-Schwachstellen noch 38 % aller Angriffe aus, 2023 nur noch 30 %.

Auf den ersten Blick klingt das gut, weil Administratoren bekannte Schwachstellen, für die es Patches gibt, schneller und besser finden und fixen. Nach Jahren mit eher schlecht ausgeprägter Disziplin und mangelnder Update- und Patch-Strategie haben sicher auch die großen und erfolgreichen Ransomware-Vorfälle dazu beigetragen, einer Mehrheit von Verantwortlichen die Tragweite und Bedeutung von ordentlichem Schwachstellenmanagement zu vermitteln.

Zwei Drittel sind mittlerweile Zero-Days

Aber die Zahlen haben auch eine Kehrseite: Mehr als zwei Drittel aller Angriffe basieren mittlerweile auf „Zero-Day“-Schwachstellen, also Sicherheitslücken, für die es noch keinen Patch gibt – 2023 waren das sogar schon 70 %. Die kriminellen Gruppen und Angreifer haben reagiert, gelernt und ihre Machenschaften professionalisiert, automatisiert und gewaltig beschleunigt.

Ohne Automatisierung und Standardisierung von Prozessen, ohne moderne, gepflegte und kontrollierte Open-Source-Software können Admins der Entwicklung kaum mehr Paroli gebieten. Wer kann schon behaupten, er sei in der Lage, binnen drei Tagen auf eine neue Bedrohung zu reagieren?

Machtlos? Nicht mit Greenbone

Wenn Angreifer schneller auf neue, bis dato unbekannte Schwachstellen reagieren können und sich dann auch noch besser zu verstecken gelernt haben, kann es nur eine Antwort geben: den Einsatz eines professionellen Schwachstellenmanagements. Mit Lösungen von Greenbone lässt sich das Netzwerk automatisiert testen. Mit Berichten über den Erfolg von Maßnahmen erhalten Administratoren damit einen schnellen Überblick über den aktuellen Sicherheitsstatus Ihres Unternehmens.

Erst im vergangenen Monat wurde die Schwachstelle CVE-2025-22457 (CVSS 9.8), die Ivanti Connect Secure, Policy Secure und ZTA Gateways betrifft, als Vektor für Ransomware erkannt. Jetzt wurden zwei neue CVEs zur wachsenden Liste der risikoreichen Ivanti-Schwachstellen hinzugefügt: CVE-2025-4427 und CVE-2025-4428, die Ivanti EPMM (Endpoint and Patch Management Mobile) betreffen, werden aktiv ausgenutzt.

Greenbone beinhaltet aktive Tests zur Prüfung und Versionserkennung, die sowohl die neuen CVEs als auch viele andere Schwachstellen in Ivanti-Produkten adressieren. So können Benutzer verwundbare Instanzen identifizieren, mit dem Patch-Prozess fortfahren und die Sicherheitskonformität überprüfen, sobald die Patches angewendet wurden. In diesem Blogbeitrag gehen wir auf die technischen Details der beiden neuen CVEs ein und bewerten die Rolle, die Ivanti im globalen Cyber-Risikokalkül gespielt hat.

CVEs in Ivanti EPMM für unautorisierten Zugriff

Zum Zeitpunkt der Offenlegung gab Ivanti zu, dass EPMM-Kunden mit inhouse installierten Lösungen bereits angegriffen wurden. Das Cloud-Sicherheitsunternehmen Wiz erklärt, dass jedoch auch selbst verwaltete Cloud-Instanzen von Angreifern effektiv ausgenutzt wurden. Eine vollständige technische Beschreibung der Angriffskette ist öffentlich zugänglich, was die Entwicklung von Exploits für Angreifer erleichtert und das Risiko weiter erhöht.

Hier eine kurze Zusammenfassung der einzelnen Schwachstellen:

  • CVE-2025-4427 (CVSS 5.3): Eine Umgehung der Authentifizierung in der API-Komponente von Ivanti EPMM 12.5.0.0 und früher ermöglicht Angreifern den Zugriff auf geschützte Ressourcen ohne entsprechende Anmeldeinformationen über die API.
  • CVE-2025-4428 (CVSS 7.2): Remote Code Execution (RCE) in der API-Komponente von Ivanti EPMM 12.5.0.0 und früher erlaubt authentifizierten Angreifern die Ausführung von beliebigem Code über manipulierte API-Requests.

Ivanti hat Patches veröffentlicht, um die Schwachstellen zu beheben. Benutzer sollten EPMM mindestens auf Version 11.12.0.5, 12.3.0.2, 12.4.0.2 oder 12.5.0.1 aktualisieren. Wenn ein sofortiges Patchen nicht möglich ist, empfiehlt Ivanti, den API-Zugriff entweder mit den integrierten Portal-ACLs (Access Control Lists mit dem Typ „API Connection“) oder einer externen WAF (Web Application Firewall) einzuschränken. Von netzwerkbasierten ACLs rät der Hersteller ab, da sie einige EPMM-Funktionen blockieren können. Diese Maßnahmen verringern zwar das Risiko, können aber die Funktionalität bestimmter EPMM-Integrationen, wie Microsoft Autopilot und Graph API, beeinträchtigen. Ivanti bietet auch eine RPM-Datei an, die zum Patchen von EPMM über den Command Line Access via SSH verwendet werden kann.

Die Invanti EPMM Exploit-Kette

Die Exploit-Kette in Ivanti EPMM beginnt mit CVE-2025-4427. Aufgrund einer unsicheren Konfiguration in der Datei security.xml in der Anwendung verarbeiten bestimmte Endpunkte (insbesondere /rs/api/v2/featureusage) die Anfragen teilweise, wenn der Parameter format angegeben wird. Diese Pre-Auth-Verarbeitung ermöglichte es nicht authentifizierten Anfragen, auf Funktionen zuzugreifen, die geschützt sein sollten. Dieser durch CVE-2025-4427 verursachte Fehler in der Zugriffskontrolle schafft die Voraussetzungen für RCE über CVE-2025-4428.

CVE-2025-4428 ermöglicht RCE mithilfe einer EL-Injection (Expression Language) in HTTP-Anfragen. Wenn der in einem Request übergebene Parameter format gemäß der EPMM-Spezifikation ungültig ist (weder „cve“ noch „json“), wird sein Wert ohne Bereinigung an eine Fehlermeldung angehängt und über die Message Templating Engine von Spring Framework protokolliert. Durch die Bereitstellung speziell gestalteter Werte im Format-Parameter können Angreifer beliebigen Java-Code ausführen, da die protokollierte Nachricht als EL-formatierter String gewertet wird.

Forscher haben darauf hingewiesen, dass diese Risiken im Zusammenhang mit Nachrichten-Templating-Engines gut dokumentiert sind, und haben die Behauptungen von Ivanti zurückgewiesen, dass die Schwachstelle auf einen Fehler in einer Bibliothek eines Drittanbieters zurückzuführen ist und nicht auf ein eigenes Versehen. Wenn Ihnen die Bedingungen, die zur Ausnutzung von CVE-2025-4428 führen, bekannt vorkommen, erinnern sie an die berüchtigte Log4Shell-Schwachstelle. Wie Log4Shell resultiert CVE-2025-4428 aus der Übergabe von unbereinigten Benutzereingaben an eine Expression Engine, die spezielle Befehle aus einer formatierten Zeichenfolge interpretiert. Im Fall von Log4Shell könnte eine böswillige String-Formatierung in JNDI-Lookups (z. B. ${jndi:ldap://…}) einen RCE auslösen.

Risikobewertung: Angreifer dringen über Ivanti-Lücken vor

Ivanti steht seit einigen Jahren in der Kritik. Angreifer haben häufig Schwachstellen in den Produkten von Ivanti ausgenutzt, um sich Zugang zu den Netzwerken ihrer Opfer zu verschaffen. Über alle Produktlinien hinweg hat der Anbieter seit Anfang 2023 61 CVEs mit kritischem Schweregrad (CVSS >= 9.0) erhalten. 30 davon wurden in den KEV-Katalog (Known Exploited Vulnerabilities) der CISA (Cybersecurity and Infrastructure Security Agency) aufgenommen, obwohl die tatsächliche Zahl der aktiv ausgenutzten Schwachstellen höher sein dürfte. Ivanti CVEs haben eine hohe Konversionsrate für die Verwendung in Ransomware-Angriffen. CISA verzeichnet acht CVEs in dieser Kategorie.

Anfang 2024 gaben die ENISA, CERT-EU und Europol eine gemeinsame Erklärung zur aktiven Ausnutzung der Produkte Ivanti Connect Secure und Policy Secure Gateway ab. In den USA wies die CISA alle zivilen Bundesbehörden an, diese Produkte vom Netz zu nehmen und davon auszugehen, dass sie missbraucht worden waren [1][2]. Die CISA, das FBI und Cybersicherheitsbehörden aus Großbritannien, Australien und Kanada gaben eine gemeinsame Meldung heraus, in der sie vor den laufenden Angriffen warnten. Ende 2024 warnte die CISA zusätzlich vor einer aktiven Ausnutzung der Ivanti Cloud Service Appliances (CSA) und wies darauf hin, dass sowohl staatlich finanzierte als auch finanziell motivierte Bedrohungsakteure erfolgreich auf nicht gepatchte Systeme abzielten.

Am 8. Januar 2025 warnte die CISA davor, dass die neu veröffentlichten Sicherheitskücken CVE-2025-0282 und CVE-2025-0283 in Ivanti Connect Secure, Policy Secure und ZTA Gateways ebenfalls aktiv ausgenutzt werden. Leider verwendeten Angreifer bis weit in das Jahr 2025 hinein neue Schwachstellen in Ivanti-Produkten, darunter CVE-2025-22457 [3][4] sowie jetzt die zwei neuen CVEs in EPMM (siehe oben).

Dennis Kozak hat Jeff Abbott mit Wirkung vom 1. Januar 2025 als CEO von Ivanti abgelöst, obwohl Jeff Abbott schon ab Mitte 2024 eine verbesserte Produktsicherheit zugesagt hatte. Es wurde keine öffentliche Erklärung abgegeben, in der die Nachfolge mit den Sicherheitsproblemen des Unternehmens aus Utah in Verbindung gebracht wurde, allerdings geschah dies nur wenige Wochen vor der Ablösung. Die Führungskräfte wurden nicht aufgefordert, vor dem US-Kongress auszusagen, wie es viele andere Führungskräfte im Bereich der Cybersicherheit nach hochriskanten Vorfällen getan haben, darunter Sudhakar Ramakrishna, CEO von SolarWinds, Brad Smith, Präsident von Microsoft, und George Kurtz, CEO von CrowdStrike.

Echos aus der Vergangenheit von EPMM: CVE-2023-35078 und CVE-2023-35082

Zusätzlich zu den oben beschriebenen Schwachstellen ermöglichten CVE-2023-35078 (CVSS 9.8) und CVE-2023-35082 (CVSS 9.8), die im Juli bzw. August 2023 veröffentlicht wurden, unauthentifizierte RCE für Ivanti EPMM. Die breite Ausnutzung begann fast unmittelbar nach ihrer Veröffentlichung im Jahr 2023.

CVE-2023-35078 wurde ausgenutzt, um in die norwegische Regierung einzudringen und die Daten von zwölf Ministerien zu kompromittieren [3][4]. Die CISA gab eine dringende Empfehlung (AA23-214A) heraus, in der sie auf die bestätigte Ausnutzung durch APT-Akteure (Advanced Persistent Threats) hinwies und allen Bundesbehörden riet, sofortige Maßnahmen zur Schadensbegrenzung zu ergreifen. Selbst im Jahr 2023 unterstrichen die Geschwindigkeit und das Ausmaß der Angriffe das wachsende Profil von Ivanti als Wiederholungstäter, der Spionage und finanziell motivierte Cyberkriminalität ermöglicht.

Zusammenfassung

Ivanti EPMM ist anfällig für zwei neue Schwachstellen: CVE-2025-4427 und CVE-2025-4428 können für unautorisierte RCE kombiniert werden. Sie werden derzeit aktiv ausgenutzt und unterstreichen ein beunruhigendes Muster von hochgradig gefährlichen Schwachstellen in Ivanti-Produkten. Ivanti hat Patches veröffentlicht, um die Schwachstellen zu beheben, und Benutzer sollten EPMM mindestens auf Version 11.12.0.5, 12.3.0.2, 12.4.0.2 oder 12.5.0.1 aktualisieren.

Die Fähigkeiten von Greenbone zur Erkennung von Schwachstellen umfassen auch Tests für CVE-2025-4427 und CVE-2025-4428, die es Ivanti EPMM-Benutzern ermöglichen, alle anfälligen Instanzen zu identifizieren und die Einhaltung der Sicherheitsvorschriften zu überprüfen, sobald die Patches angewendet wurden.

Cyberangriffe können in ihrem Ausmaß und ihren Auswirkungen dramatisch sein, wie die meisten Sicherheitsvorfälle. Sind die Verteidiger vorbereitet, kann ein Vorfall eingedämmt und der Schaden begrenzt werden, die Wiederherstellung erfolgt dann zügig. Wenn sie jedoch unvorbereitet sind, kann ein einziger Vorfall zu tage- oder wochenlangen Ausfallzeiten, Umsatzeinbußen, Rufschädigung, behördlichen Strafen oder Sammelklagen führen [1][2]. Im Mai 2024 prognostizierte Change Healthcare einen Verlust von 1,6 Milliarden Dollar. Im Januar 2025 beliefen sich die Gesamtkosten des Ransomware-Angriffs von Change Healthcare auf fast 3 Milliarden Dollar [3][4].

Die Gesamtheit der Schäden, die durch eine IT-Sicherheitsverletzung verursacht werden, der sogenannte „Blast Radius“, hängt von vielen Faktoren ab. Zu diesen Faktoren gehört, ob Schwachstellen verwaltet werden, ob ein „Defense-in-Depth“-Ansatz für die Cybersicherheit angewandt wurde, ob das Netzwerk segmentiert ist, ob es wirksame Backup-Strategien gibt und vieles mehr. Eine nachlässige Sicherheitshygiene ist eine offene Einladung für Angreifer, die zu kostspieligen Ergebnissen führt: etwa zu umfangreichem Datendiebstahl, Erpressung durch Ransomware und sogar zerstörerischen Wiper-Angriffen, die zur industriellen Sabotage eingesetzt werden. Ein kürzlich veröffentlichter Bericht hat ergeben, dass Angreifer, sobald sie in ein Netzwerk eingedrungen sind, Ransomware im Durchschnitt innerhalb von 48 Minuten einsetzen und CVE-Enthüllungen innerhalb von 18 Tagen in Exploits umgewandelt werden.

Dieser Artikel befasst sich mit dem Konzept des „Blast Radius“ von Cyberangriffen und der Rolle, die ein effektives Schwachstellenmanagement bei der Eindämmung der Folgen von Cyberangriffen spielt. Mit den richtigen Kontrollen kann der Schaden eines Cyberangriffs minimiert und die schlimmsten Konsequenzen verhindert werden.

Der „Blast Radius“ eines Cyberangriffs

Der Begriff „Blast Radius“ (Explosionsradius) stammt aus dem Militärjargon und bezieht sich auf das physische Umfeld, das durch eine explodierende Bombe beschädigt wird. Bei digitalen Systemen bezieht sich der Begriff in ähnlicher Weise auf das Ausmaß des durch einen Cyberangriff verursachten Schadens. Wie viele Systeme hat ein Angreifer kompromittiert? War er in der Lage, nach dem ersten Zugriff kritische Systeme zu kompromittieren? Wurden benachbarte Netze oder Cloud-Systeme angegriffen?

Weitreichende Schäden sind nicht von vornherein ausgeschlossen, wenn Hacker den ersten Zugang erhalten. Verteidiger können den Angriff in einem frühen Stadium wirksam abwehren und verhindern, dass böswillige Akteure ihre eigentlichen Ziele erreichen oder weitreichende Schäden verursachen.

Die Folgen eines größeren Schadens-Radius

Zwar ist es schlimm, wenn ein Gegner unbefugten Zugang erhält, aber es sind die nachfolgenden Phasen eines Angriffs, die IT-Sicherheitsmanager nachts wachhalten. Die letzten Phasen eines Cyberangriffs, wie zum Beispiel die Installation von Malware auf kritischen Anlagen, das Exfiltrieren sensibler Daten oder die Verschlüsselung von Dateien, haben die tiefgreifendsten Auswirkungen für Unternehmen. Je größer der Blast Radius ist, desto wahrscheinlicher ist es, dass ein Unternehmen erhebliche negative Auswirkungen zu spüren bekommt.

Ein größerer Schadens-Radius kann Folgendes nach sich ziehen:

  • Längere Verweildauer: Durch seitliche Bewegungen im Netzwerk und Persistenz-Techniken können Angreifer für längere Zeit unentdeckt bleiben, Informationen sammeln und weitere Angriffe vorbereiten.
  • Erhöhte finanzielle Verluste: Service-Unterbrechungen und Ransomware-Angriffe tragen zu höheren finanziellen Verlusten, entgangenen Einnahmen aufgrund von Ausfallzeiten, dem Risiko gesetzlicher Strafen und der Erosion von Geschäftsbeziehungen bei.
  • Erhöhte betriebliche Ausfallzeiten: Die Auswirkungen von Betriebsausfällen können sich auf das gesamte Unternehmen auswirken und zu Verzögerungen, Frustration und Desynchronisierung der Abläufe führen.
  • Verlust von sensiblen Daten: Angreifer versuchen, sensible Daten herauszufiltern, um Spionagekampagnen zu unterstützen oder Opfer zur Zahlung von Lösegeld zu erpressen.
  • Beeinträchtigtes Vertrauen: Unbefugter Zugriff auf Messaging-Systeme oder Vermögenswerte Dritter kann das Vertrauen der Beteiligten, einschließlich Kunden, Mitarbeiter und Geschäftspartner, untergraben.

Greenbone reduziert den „Blast Radius“ eines Cyberangriffs

Schwachstellenmanagement ist ein wichtiger Faktor bei der Reduzierung des so genannten „Blast Radius“. Durch die wirksame Beseitigung von Sicherheitslücken kann ein Angreifer keine leicht zugänglichen Mittel mehr finden, um seine anfängliche Position auszubauen. Schwachstellenmanagement lässt sich am effizientesten und effektivsten durch automatisches Scannen auf Sicherheitslücken in der gesamten Netzwerkinfrastruktur und die Behebung der Angriffsfläche umsetzen. Auf diese Weise können Unternehmen den potenziellen Wirkungskreis eines erfolgreichen Cyberangriffs erheblich reduzieren und auch die Wahrscheinlichkeit verringern, dass es überhaupt zu einem Einbruch kommt.

Threat Mapping hilft IT-Sicherheitsteams, ihre Angriffsflächen zu verstehen, also die Stellen, an denen Angreifer in ein Netzwerk eindringen können. Die Kernfunktionen von Greenbone unterstützen das Threat Mapping mit System- und Service-Discovery-Scans und durch das Scannen von Netzwerk- und Host-Angriffsflächen, wodurch Verteidiger ihre Angriffsfläche um 99 % reduzieren können. Darüber hinaus bietet Greenbone Reports und Warnungen in Echtzeit, um Sicherheitsteams über aufkommende Bedrohungen auf dem Laufenden zu halten und so eine proaktive Cybersicherheitshaltung und rechtzeitige Abhilfemaßnahmen zu ermöglichen. Dieser proaktive, mehrschichtige Ansatz zur Cybersicherheit reduziert den potenziellen Schadensumfang und führt zu besseren Sicherheitsergebnissen. Den Verteidigern bleibt mehr Zeit, die Präsenz eines Angreifers zu erkennen und ihn zu eliminieren, bevor katastrophale Schäden entstehen können.

Stärkste Verteidigung mit Greenbone Enterprise Feed

Der stärkste Schutz kommt aus dem branchenführenden Enterprise Vulnerability Feed von Greenbone. Insgesamt umfasst der Greenbone Enterprise Feed circa 180.000 Schwachstellentests (Tendenz steigend), die sowohl allgemeine Schwachstellen bei der Einhaltung von Sicherheitsvorschriften als auch anwendungsspezifische Schwachstellen aufdecken können. Unser Enterprise Feed fügt jede Woche hunderte von neuen Tests hinzu, um die neuesten Bedrohungen zu erkennen.

Hier eine Liste der IT-Assets, die Greenbone scannen kann:

  • Interne Netzwerkinfrastruktur: Scannen von internen Netzwerkgeräten mit jeder Art von offenem Dienst, wie Datenbanken, Dateifreigaben, SNMP-fähige Geräte, Firewalls, Router, VPN-Gateways und mehr.
  • Vor-Ort- und Cloud-Server: Überprüfung von Serverkonfigurationen, um die Einhaltung von Sicherheitsrichtlinien und -standards zu gewährleisten.
  • Workstations: Greenbone scannt Workstations und andere Endpunkte unter allen wichtigen Betriebssystemen (Windows, Linux und macOS), um das Vorhandensein bekannter Softwareschwachstellen zu identifizieren und die Einhaltung von Cybersicherheitsstandards wie CIS Benchmark-Controls zu bestätigen.
  • IoT- und Peripheriegeräte: IoT- und Peripheriegeräte, wie z. B. Drucker, verwenden dieselben Netzwerkprotokolle für die Kommunikation wie andere Netzwerkdienste. Dadurch können sie ähnlich wie andere Netzwerk-Endpunkte leicht auf geräte- und anwendungsspezifische Schwachstellen und häufige Fehlkonfigurationen gescannt werden.

Reduzierung der Angriffsfläche von Netzwerken

Die Angriffsfläche eines Netzwerks besteht aus exponierten Netzwerkdiensten, APIs und Websites innerhalb der internen Netzwerkumgebung eines Unternehmens und der öffentlichen Infrastruktur. Zum Scannen von Netzwerk-Angriffsflächen erstellt Greenbone ein Inventar von Endpunkten und Listening Services innerhalb eines oder mehrerer Ziel-IP-Bereiche oder eine Liste von Hostnamen und scannt dann nach bekannten Schwachstellen.

Die Netzwerk-Schwachstellen-Tests (NVTs) von Greenbone bestehen aus Versionsprüfungen und aktiven Prüfungen. Versionsprüfungen fragen den Dienst nach einer Versionszeichenfolge ab und vergleichen diese dann mit den entsprechenden CVEs. Aktive Checks verwenden Netzwerkprotokolle, um mit dem exponierten Dienst zu interagieren und zu überprüfen, ob bekannte Exploit-Techniken wirksam sind. Diese aktiven Prüfungen verwenden dieselben Netzwerkkommunikationstechniken wie reale Cyberangriffe, versuchen aber nicht, die Schwachstelle auszunutzen. Stattdessen teilen sie dem Sicherheitsteam lediglich mit, dass ein bestimmter Angriff möglich ist. Alles, was ein Angreifer über das Internet oder ein lokales Netzwerk erreichen kann, kann von Greenbone auf Schwachstellen untersucht werden.

Reduzierung der Angriffsfläche von Hosts

Die Host-Angriffsfläche besteht aus der Software und den Konfigurationen innerhalb einzelner Systeme, auf die nicht direkt über das Netz zugegriffen werden kann. Die Reduzierung der Host-Angriffsfläche minimiert, was ein Angreifer mit dem ersten Zugriff tun kann. Die authentifizierten Scans von Greenbone führen lokale Sicherheitsprüfungen (Local Security Checks, LSC) durch, um die internen Komponenten eines Systems auf bekannte Schwachstellen und nicht konforme Konfigurationen zu prüfen, die es Angreifern ermöglichen könnten, ihre Privilegien zu erweitern, auf sensible Informationen zuzugreifen, zusätzliche Malware zu installieren oder sich seitlich auf andere Systeme zu bewegen.

Greenbones Enterprise Feed umfasst LSC-Familien für alle wichtigen Betriebssysteme wie Ubuntu, Debian, Fedora, Red Hat, Huawei, SuSE Linux-Distributionen, Microsoft Windows, macOS und viele mehr.

Post-Breach-Taktiken: Die zweite Phase von Cyberangriffen

Sobald Angreifer im Netzwerk eines Opfers Fuß gefasst haben, wenden sie sekundäre Exploitation-Techniken an, um ihren Zugang zu vertiefen und ihre Ziele zu erreichen. Im modernen Ökosystem der Cyberkriminalität sind Initial Access Brokers (IABs) darauf spezialisiert, sich unerlaubten Zugang zu verschaffen. IABs verkaufen diesen Zugang dann an andere cyberkriminelle Gruppen, die sich auf Angriffstaktiken der zweiten Stufe spezialisiert haben, wie zum Beispiel den Einsatz von Ransomware oder Datendiebstahl. Ähnlich wie beim Durchbrechen der Mauern einer Festung wird das interne Netzwerk eines Unternehmens nach dem ersten Zugriff für Angreifer immer zugänglicher.

Zu den Taktiken, die in der zweiten Phase eines Cyberangriffs eingesetzt werden, gehören:

  • Eskalation von Privilegien [TA0004]: Angreifer suchen nach Möglichkeiten, ihre Zugriffsrechte auszuweiten, sodass sie Zugang zu sensibleren Daten erhalten oder administrative Aktionen ausführen können.
  • Seitliche Bewegung [TA0008]: Angreifer kompromittieren andere Systeme innerhalb des Netzwerks des Opfers und erweitern ihren Zugang zu hochwertigen Ressourcen.
  • Dauerhafter Fernzugriff [TA0028]: Durch die Erstellung neuer Konten, die Bereitstellung von Hintertüren oder die Verwendung kompromittierter Anmeldeinformationen versuchen Angreifer, ihren Zugang aufrechtzuerhalten, selbst wenn die ursprüngliche Schwachstelle behoben oder ihre Anwesenheit entdeckt wurde.
  • Diebstahl von Zugangsdaten [TA0006]: Gestohlene sensible Daten können offline von Angreifern verarbeitet werden, die versuchen, Passwörter zu knacken, in geschützte Ressourcen einzudringen oder Social-Engineering-Angriffe zu planen.
  • Zugriff auf Messaging-Systeme [T1636]: Der Zugriff auf Messaging-Plattformen oder Tools für die Zusammenarbeit in Unternehmen ermöglicht den Zugang zu sensiblen Informationen, die zur Durchführung von Social-Engineering-Angriffen wie Spear-Phishing genutzt werden können, die sich sogar gegen externe Partner oder Kunden richten.
  • Verschlüsselung mit Wirkung [T1486]: Finanziell motivierte Angreifer versuchen, die Auswirkungen zu maximieren, indem sie Ransomware einsetzen und das Opfer erpressen, damit es den Zugriff auf die verschlüsselten Daten zurückgibt.
  • Daten-Exfiltration [TA0010]: Das Herunterladen sensibler Daten eines Opfers kann für Spionagezwecke genutzt werden und gibt Angreifern außerdem ein Druckmittel in die Hand, um Opfer zu erpressen, damit sie für die Nichtveröffentlichung der Daten bezahlen.
  • Denial-of-Service-Angriffe [T0814]: Die Unterbrechung eines Services kann für weitere Erpressungen oder als Ablenkung für andere Angriffe im Netzwerk des Opfers genutzt werden.

Zusammenfassung

Der „Blast Radius“ bezieht sich auf den Umfang des Schadens, den ein Angreifer bei einem Cyberangriff verursacht. Je weiter die Angriffe fortschreiten, desto tiefer versuchen die Angreifer einzudringen und sich Zugang zu sensibleren Systemen und Daten zu verschaffen. Mangelnde Cyber-Hygiene lässt Angreifern freie Hand, um Daten zu stehlen, Ransomware einzusetzen und Service-Unterbrechungen zu verursachen und erschwert zudem die Erkennung und Wiederherstellung. Die Minimierung der Angriffsfläche ist entscheidend für die Verringerung der potenziellen Auswirkungen eines Cyberangriffs und trägt zu einem besseren Sicherheitsergebnis bei.

Der Hauptbeitrag von Greenbone zur Cybersicherheit besteht darin, die Sicherheitstransparenz in Echtzeit zu erhöhen, Verteidiger auf Schwachstellen aufmerksam zu machen und ihnen die Möglichkeit zu geben, Sicherheitslücken zu schließen und Hacker daran zu hindern, diese auszunutzen. Dies umfasst sowohl die Angriffsfläche des Netzwerks: öffentlich zugängliche Anlagen, interne Netzwerkinfrastruktur, Cloud-Anlagen, als auch die Angriffsfläche des Hosts: interne Softwareanwendungen, Pakete und häufige Fehlkonfigurationen.

Durch die branchenführende Erkennung von Schwachstellen ermöglicht Greenbone eine Echtzeit-Transparenz von Bedrohungen und versetzt Verteidiger in die Lage, proaktiv sicherzustellen, dass Angriffe entscheidend neutralisiert werden.

Die Greenbone AG engagiert sich seit Jahren konsequent für eine unabhängige und resiliente Versorgungskette bei der Bereitstellung von Schwachstellendaten. Vor dem Hintergrund aktueller Diskussionen zur Finanzierung und Zukunftsfähigkeit des CVE-Programms der US-amerikanischen Organisation MITRE möchten wir Sie über unsere Maßnahmen zur Sicherstellung der kontinuierlichen Versorgung mit wichtigen Informationen über Schwachstellen in IT-Systemen informieren.

Das CVE-System bildet seit 1999 die zentrale Grundlage zur eindeutigen Identifikation und Klassifikation von Sicherheitslücken in der IT. Die Finanzierung der zentralen CVE-Datenbank ist derzeit noch bis April 2026 durch die US-Regierung gesichert. Vor diesem Hintergrund hat Greenbone frühzeitig strukturelle Maßnahmen ergriffen, um von einzelnen Datenquellen unabhängiger zu werden.

Mit unserer Marke OPENVAS zählt Greenbone zu den global führenden Open-Source-Anbietern im IT-Security Ökosystem. Wir leisten einen aktiven Beitrag zur Entwicklung nachhaltiger, dezentraler Infrastrukturen für die Bereitstellung von Schwachstelleninformationen – und setzen heute bereits auf zukunftsfähige Konzepte, die unsere Kunden wirksam vor Sicherheitsrisiken schützen.

Unser souveräner Datenansatz umfasst unter anderem folgende Maßnahmen:

  • Breite Quellendiversifikation: Unsere Systeme und unsere Security-Researcher überwachen eine Vielzahl internationaler Informationsquellen, um unabhängig vom offiziellen CVE-Prozess schnell auf neue Bedrohungen reagieren zu können – auch dann, wenn es noch keinen offiziellen CVE-Eintrag gibt.
  • Integration alternativer Datenbanken: Wir binden unabhängige Schwachstellenkataloge wie die Europäische Schwachstellendatenbank (EUVD) in unsere Systeme ein, um eine stabile und geografisch diversifizierte Informationsgrundlage zu schaffen.
  • Förderung offener Standards: Wir unterstützen aktiv die Verbreitung des CSAF-Standards (Common Security Advisory Framework), der eine dezentrale und föderierte Verteilung von Schwachstelleninformationen ermöglicht.

Durch diese Maßnahmen stellen wir sicher, dass unsere Kunden auch bei Veränderungen im internationalen Datenökosystem uneingeschränkt Zugang zu aktuellen Schwachstelleninformationen behalten. So bleiben Ihre IT-Systeme auch künftig umfassend geschützt.

Greenbone steht für eine unabhängige, souveräne und zukunftssichere Versorgung mit wichtigen Informationen über Schwachstellen in IT-Systemen – auch in einem sich wandelnden geopolitischen Umfeld.

CVE-2025-31324 (CVSS 9.8), veröffentlicht am 24. April 2025, ermöglicht es nicht authentifizierten Angreifern, über die Komponente NetWeaver Visual Composer ausführbare Dateien [CWE-434] hochzuladen, was zu einer Remote Code Execution (RCE) führen kann. Die CVE stellt ein hohes Risiko dar. Es sind zahlreiche öffentlich zugängliche Proof-of-Concept-Exploits (PoC) [1][2][3][4][5] verfügbar, und mehrere Cybersecurity-Organisationen haben vor aktiven Angriffskampagnen gewarnt [6][7][8]. Obwohl CVE-2025-31324 ursprünglich als Zero-Day-Schwachstelle ausgenutzt wurde (vor der öffentlichen Bekanntgabe), enthält der Greenbone Enterprise Feed nun einen Erkennungstest, mit dem Unternehmen anfällige Instanzen von SAP NetWeaver in ihrer Umgebung identifizieren und Abhilfemaßnahmen ergreifen können.

In der Vergangenheit wurden kritische Sicherheitslücken in SAP NetWeaver wie CVE-2020-6287 (auch bekannt als RECON) von Initial Access Brokern (IAB) ausgenutzt, die dann den unbefugten Zugriff an Ransomware-Betreiber verkauften. Sehen wir uns die Umstände von CVE-2025-31324 genauer an.

Was ist SAP NetWeaver?

SAP NetWeaver ist als Software-Framework innerhalb der SAP-Suite für Unternehmen kategorisiert. Es dient als grundlegende Integrations- und Anwendungsplattform für verschiedene SAP-Lösungen, darunter SAP Enterprise Resource Planning (ERP), Customer Relationship Management (CRM), Supply Chain Management (SCM) und andere Geschäftsprozesse. SAP NetWeaver unterstützt eine Vielzahl von Anwendungsfällen, darunter die Ausführung der SAP ERP Central Component (ECC), die Entwicklung und Bereitstellung kundenspezifischer Anwendungen mit ABAP (der proprietären Programmiersprache von SAP) oder Java, die Integration von Geschäftsprozessen und Datenbanken aus SAP- und Nicht-SAP-Systemen sowie die Integration verteilter Dienste über Web-Services oder Remote Function Calls (RFCs).

Obwohl SAP NetWeaver mit rund 8.471 Unternehmen, die die Plattform nutzen, nur einen winzigen Bruchteil der globalen Software-Frameworks-Kategorie ausmacht, handelt es sich dabei um namhafte Unternehmen wie Accenture, Baker Hughes, Jabil, Rockwell Automation und Wolters Kluwer. 41 % der SAP NetWeaver-Kunden haben ihren Sitz in den Vereinigten Staaten, gefolgt von 7 % in Indien und 6 % in Deutschland. Zu den Wettbewerbern von SAP NetWeaver zählen Oracle Fusion Middleware, MuleSoft Anypoint Platform und IBM WebSphere.

Sicherheitslücken in SAP NetWeaver: Beliebte Ransomware-Ziele

CVE-2020-6287 (CVSS 10), bekannt als RECON, ist eine weitere hochrangige Sicherheitslücke in SAP NetWeaver, die 2020 bekannt wurde und von Ransomware-Akteuren aktiv ausgenutzt wurde. Nach der öffentlichen Bekanntgabe der RECON-Sicherheitslücke im Juli 2020 entwickelten und verbreiteten Angreifer rasch Exploit-Tools. Innerhalb eines Tages war ein PoC-Exploit verfügbar, und kurz darauf begannen massenhafte Scan-Aktivitäten. Berichten zufolge nutzten Initial Access Broker zunächst RECON aus und verkauften dann den Zugriff an Ransomware-Betreiber und Spione, was zur Insolvenz mindestens eines US-Unternehmens führte.

CVE-2025-31324: Technische Beschreibung

CVE-2025-31324 betrifft den Application Layer, insbesondere den Java-Stack von SAP NetWeaver innerhalb der Visual Composer-Entwicklungsumgebung. Die Ausnutzung von CVE-2025-31324 folgt einem typischen Angriffsmuster für Schwachstellen für nicht authentifiziertem Datei-Upload [CWE-434], um RCE zu erlangen: dem Hochladen einer Webshell. Angreifer wurden bereits beobachtet, wie sie nach SAP NetWeaver Java-Instanzen suchen, um das Vorhandensein des URL-Ziels /developmentserver/metadatauploader zu identifizieren. Wenn dieser gefunden wird, wird eine speziell gestaltete POST-Anfrage verwendet, um schädliche ausführbare Dateien (z. B. .jsp-Webshells) hochzuladen. Sobald die Webshell hochgeladen wurde, können Angreifer direkt über einen Webbrowser darauf zugreifen und beliebige Befehle auf dem System des Opfers mit den Berechtigungen des Betriebssystembenutzers <sid>adm ausführen.

Dies ermöglicht den Zugriff auf die zugrunde liegende Datenbank. Angreifer können die Geschäftslogik ändern und möglicherweise auf andere interne Systeme zugreifen, Ransomware einsetzen, Finanzdaten stehlen oder verändern oder sensible Geschäftsdaten herausfiltern. Aus den analysierten Angriffskampagnen geht außerdem hervor, dass Angreifer „Living off the Land“-Techniken (unter Verwendung nativer Betriebssystemfunktionen) einsetzen, um sich dauerhaften Zugriff zu verschaffen, ohne dass die hochgeladene Webshell erforderlich ist.

Wie Sie CVE-2025-31324 in SAP NetWeaver entschärfen

SAP hat in einer Ankündigung zum Sicherheitspatch vom April 2025 nur einen kurzen Hinweis auf CVE-2025-31324 gegeben. Der Hersteller folgt einem Standard-Patch-Zyklus für die Veröffentlichung von Updates, ähnlich dem monatlichen „Patch Tuesday“ von Microsoft. Um CVE-2025-31324 zu beheben, stellen Sie sicher, dass Ihr SAP NetWeaver-System auf das neueste Support-Paket aktualisiert ist. Wenn der Sicherheitspatch nicht sofort angewendet werden kann, sollten Sie die Visual Composer-Komponente vorübergehend deaktivieren, um eine Ausnutzung zu verhindern, bis die Updates installiert werden können.

Idealerweise sollten NetWeaver-Instanzen nicht direkt im öffentlichen Internet verfügbar sein. Dies birgt erhebliche Sicherheitsrisiken, darunter die Gefährdung durch RCE-Schwachstellen, die Umgehung der Authentifizierung und den unbefugten Datenzugriff. Zur Unterstützung von Remote-Arbeit, ausgelagerten Vorgängen oder Cloud-gehosteten Instanzen sollten angemessene Sicherheitsgateways konfiguriert werden, z. B. ein gesicherter Reverse-Proxy, VPN oder WAF-Kontrollen.

Es ist auch wichtig, nach Anzeichen für eine Kompromittierung (Indicators of Compromise, IoC) zu suchen, um sicherzustellen, dass Angreifer keine anfälligen NetWeaver-Instanzen bereits ausgenutzt haben. Forscher haben Webshells beobachtet, die Dateinamen wie „helper.jsp“, „cache.jsp“ oder andere zufällige Dateinamen verwenden. Weitere Maßnahmen zur Erkennung von Infektionen umfassen das Scannen von Systemen auf Malware oder andere unerwartete Dateien, die Analyse von Zugriffsprotokollen auf verdächtige POST-Anfragen an /developmentserver/metadatauploader und die Überprüfung von Verzeichnissen wie /irj/root, /irj/work und /irj/work/sync auf nicht autorisierte .jsp-, .java- oder .class-Dateien. Scannen Sie außerdem nach anderen IoCs, die mit der Aufrechterhaltung der Persistenz in Bezug auf Ihr SAP-Serverbetriebssystem (OS) zusammenhängen.

Zusammenfassung

CVE-2025-31324 ist eine kritische Sicherheitslücke in der Visual Composer-Komponente von SAP NetWeaver, die unauthentifizierte RCE über beliebige Datei-Uploads ermöglicht. Die Schwachstelle wurde als Zero-Day-Exploit ausgenutzt und in Angriffen verwendet, bei denen zunächst NetWeaver-Instanzen mit einer Webshell infiziert wurden, um anschließend das gesamte System zu kompromittieren, einschließlich lateraler Bewegungen innerhalb von Unternehmensnetzwerken

Unternehmen, die SAP NetWeaver verwenden, werden dringend aufgefordert, den Notfall-Patch von SAP zu installieren oder die Visual Composer-Komponente zu deaktivieren und ihre Systeme auf Anzeichen einer Kompromittierung zu überprüfen, um bestehende Kompromittierungen zu identifizieren und infizierte Systeme wiederherzustellen. Der Greenbone Enterprise Feed enthält einen Erkennungstest, mit dem Unternehmen anfällige Instanzen von SAP NetWeaver in ihrer Umgebung identifizieren und Abhilfemaßnahmen ergreifen können.

In den Anfängen der digitalen Welt ging es beim Hacken oft um Ruhm oder Streiche. Heute, im Jahr 2025, wird das Hacken in großem Umfang zu illegalen Zwecken eingesetzt. Prognosen zufolge wird die Cyberkriminalität die Weltwirtschaft im Jahr 2025 10,5 Billionen Dollar kosten. Weltweit zwingt der Trend zur zunehmenden Geokriminalität einzelne Länder und ganze Wirtschaftsregionen [1][2] dazu, sich stärker für die Cyberabwehr zu engagieren. Die zunehmende Bedrohungslage unterstreicht die Dringlichkeit proaktiver, gut ausgestatteter Cybersicherheitsstrategien in allen Sektoren und in allen Regionen der Welt.

Die kontinuierliche Flut kritischer Schwachstellen, neuartiger Angriffstechniken, aktiver Ransomware und Spionagekampagnen macht deutlich, dass umfassende Cybersicherheitsmaßnahmen erforderlich sind, um die katastrophalsten Folgen zu verhindern. Im Threat Report dieses Monats gehen wir auf die dringlichsten Bedrohungen in der Cybersicherheitslandschaft ein, die im April 2025 auftraten. Ohne Umschweife. Los geht‘s!

Auswirkungen beachten

Wer auf ausgeklügelte Cyberangriffe nicht vorbereitet ist, dem drohen fatale Konsequenzen. Ransomware wird weithin als die größte existenzielle Cyber-Bedrohung für Unternehmen angesehen, während die Klagen wegen Datenschutzverletzungen dramatisch zunehmen. Die Zahl der Sammelklagen im Zusammenhang mit Datenschutzverletzungen ist innerhalb von sechs Jahren um 1.265 % regelrecht explodiert, wobei die Zahl der Klagen in den USA von 604 im Jahr 2022 auf 1.320 im Jahr 2023 mehr als verdoppelt hat. Zuverlässige Backups können einem Opfer helfen, der Zahlung von Lösegeld zu entgehen, und ein gut ausgeführter Plan zur Reaktion auf einen Vorfall kann die Ausfallzeit minimieren. Jedoch haben die Opfer von Sicherheitsverletzungen kaum eine Möglichkeit, sich vor den Kosten für behördliche oder rechtliche Schritte zu schützen.

Die 2019 von Equifax geleisteten Zahlungen sind die höchsten in der Geschichte für einen Vorfall im Zusammenhang mit Cybersicherheit – die Gesamtkosten werden auf 1,5 Milliarden US-Dollar geschätzt. Das Versäumnis, die Sicherheitslücke CVE-2017-5638 in Apache Struts zu schließen, wurde als Hauptursache für den Sicherheitsverstoß genannt. Im April 2025 erklärte sich das US-Verteidigungsunternehmen Raytheon bereit, einen Vergleich in Höhe von 8,5 Millionen Dollar zu zahlen, weil es bei 29 Verträgen mit dem Verteidigungsministerium (DoD) die erforderlichen Sicherheitsmaßnahmen nicht umgesetzt hatte.

Dienstleister im Healthcare-Bereich sind besonders stark betroffen, da personenbezogene Gesundheitsdaten auf Darkweb-Marktplätzen rund 1.000 Dollar pro Datensatz erzielen, verglichen mit 5 Dollar pro Datensatz für Zahlungskartendaten, da sie effektiv zur Betrugsermittlung genutzt werden. Im Jahr 2023 meldete der US-Gesundheitssektor 725 Datenschutzverletzungen, bei denen über 133 Millionen Datensätze offengelegt wurden. Am 23. April 2025 gab das Office for Civil Rights (OCR) des U.S. Department of Health and Human Services einen Vergleich mit PIH Health Inc. in Höhe von 600.000 Dollar bekannt wegen unzureichender technischer Sicherheitsvorkehrungen. Die rechtlichen Konsequenzen von Cyberverletzungen betreffen jedoch Unternehmen aller Branchen. Bei Sammelklagen im Zusammenhang mit Datenschutzverletzungen wurden ebenfalls erhebliche Vergleiche geschlossen, wobei drei der zehn größten Vergleiche im Jahr 2024 geschlossen wurden und sich auf insgesamt 560 Millionen US-Dollar belaufen.

In Anbetracht der Konsequenzen sollten Unternehmen ihre Haltung zur Cyberhygiene sorgfältig prüfen und dabei besonders auf bewährte IT-Sicherheitspraktiken wie die Implementierung von Multifaktor-Authentifizierung (MFA), Schwachstellenmanagement und Netzwerksegmentierung achten.

Verizon: Mehr Schwachstellen für den ersten Zugriff

Der 2025 Data Breach Investigations Report (DBIR) von Verizon, der im April veröffentlicht wurde, meldete einen 34-prozentigen Anstieg von ausgenutzten Schwachstellen (CVEs) als Ursache für Cyberverletzungen, die zwischen Oktober 2023 und Dezember 2024 begangen wurden. Ausgenutzte Schwachstellen dienten bei 20 % der untersuchten Datenschutzverletzungen als erster Zugangsvektor. Der Bericht zeigt zwar, dass die Lösegeldzahlungen zurückgegangen sind – 64 % der Opferunternehmen haben kein Lösegeld gezahlt, verglichen mit 50 % vor zwei Jahren –, aber die Zahl der Ransomware-Angriffe ist um 37 % gestiegen.

Edge-Geräte und VPNs waren für 22 % der Angriffe verantwortlich – ein deutlicher Anstieg von nur 3 % im Vorjahr. Trotz der wachsenden Bedrohung haben Unternehmen nur 54 % dieser Schwachstellen vollständig behoben, wobei die durchschnittliche Zeit bis zur Behebung 32 Tage betrug. Darüber hinaus erreichte die Ausnutzung von Edge-Geräten für den Erstzugriff bei spionagemotivierten Sicherheitsverletzungen 70 %. Es gibt keine Anzeichen dafür, dass dieser Trend zur Ausnutzung von Edge-Geräten nachlässt. Ein proaktives Schwachstellenmanagement ist wichtiger denn je, um die Gefährdung zu verringern und die Auswirkungen von Sicherheitsverletzungen zu begrenzen.

Neue Bedrohungen an der Netzwerk-Edge

Die Botschaft aus den Berichten über die Cyberlandschaft ist eindeutig: Unternehmen müssen sich ihrer öffentlich zugänglichen Vermögenswerte genau bewusst sein. Erkennung und Behebung von Schwachstellen sind entscheidend. Nachfolgend finden Sie die Höhepunkte der aufkommenden Bedrohungen, die im April 2025 Netzwerk-Edge-Geräte betreffen. Greenbone ist in der Lage, alle unten genannten Bedrohungen und mehr zu erkennen.

  • SonicWall SMA100-Geräte: CVE-2023-44221 (CVSS 7.2) und CVE-2021-20035 (CVSS 6.5), beides OS Command Injection-Schwachstellen [CWE-78], wurden zu den Known Exploited Vulnerabilities (KEV) der Cybersecurity and Infrastructure Security Agency (CISA) hinzugefügt. Im April meldete SonicWall außerdem, dass PoC-Exploits (Proof of Concept) für eine weitere Schwachstelle jetzt öffentlich verfügbar sind: CVE-2024-53704 (CVSS 9.8).
  • Ivanti Connect Secure, Policy Secure und ZTA Gateways: CVE-2025-22457 (CVSS 9.8) ist eine Stack-basierte Buffer-Overflow-Schwachstelle [CWE-121], die derzeit aktiv ausgenutzt wird. Das Threat-Research-Team Mandiant von Google führt die Angriffe zurück auf UNC5221, einen chinesischen (staatlich geförderten) Bedrohungsakteur. Das Sicherheitsunternehmen GreyNoise beobachtete einen 9-fachen Anstieg der Bots, die nach ungeschützten Connect Secure-Endpunkten scannen.
  • Fortinet FortiOS und FortiProxy: CVE-2025-24472 (CVSS 9.8) ist ein Authentication Bypass [CWE-288], der es einem entfernten Angreifer ermöglichen könnte, über manipulierte CSF-Proxy-Anfragen Super-Admin-Rechte zu erlangen. Die CVE wird als aktiv ausgenutzt betrachtet. Fortinet hat außerdem neue Aktivitäten zur Ausnutzung älterer kritischer Schwachstellen in FortiGate-Geräten beschrieben, darunter CVE-2022-42475, CVE-2023-27997 und CVE-2024-21762 (alle CVSS 9.8).
  • Juniper Junos OS: CVE-2025-21590 (CVSS 6.7) ist eine aktiv ausgenutzte Schwachstelle, die es einem lokalen Angreifer mit privilegierten Rechten ermöglicht, die Integrität des Geräts zu beeinträchtigen. Ein lokaler Angreifer mit Zugriff auf die Juniper-CLI-Shell kann beliebigen Code einspeisen, um ein betroffenes Gerät zu kompromittieren. Die Schwachstelle wird als „Improper Isolation or Compartmentalization“ [CWE-653] eingestuft.
  • Mehrere Cisco-Schwachstellen werden ausgenutzt: Analysten bestätigen gezielte Angriffe auf ungepatchte Cisco-Infrastrukturen, insbesondere in TK-umgebungen [1][2]. Die vom chinesischen Staat gesponserte Gruppe Salt Typhoon nutzt weiterhin die Schwachstellen CVE-2018-0171 (CVSS 9.8) bei Smart Install RCE und CVE-2023-20198 (CVSS 10) bei Web UI Privilege Escalation aus.
  • DrayTek-Router: Drei CVEs wurden in bösartigen Kampagnen beobachtet, darunter CVE-2020-8515 (CVSS 9.8), CVE-2021-20123 (CVSS 7.5) und CVE-2021-20124 (CVSS 7.5).
  • Microsoft Remote Desktop Gateway-Dienst: CVE-2025-27480 ist eine „Use After Free“-Schwachstelle [CWE-416], die es einem nicht autorisierten Angreifer ermöglicht, Code über ein Netzwerk auszuführen. Obwohl noch keine aktiven Bedrohungen beobachtet wurden, verfolgt Microsoft die Schwachstelle mit dem Status „Exploitation More Likely“.
  • Erlang/OTP SSH hat öffentlichen PoC Exploit: Mehrere PoC-Exploits [1][2][3] sind jetzt öffentlich verfügbar für CVE-2025-32433 (CVSS 10), eine neue Schwachstelle mit maximalem Schweregrad im Erlang/OTP SSH-Server. Erlang/OTP ist eine weit verbreitete Plattform für den Aufbau skalierbarer und fehlertoleranter verteilter Systeme und wird unter anderem genutzt von großen Technologieunternehmen wie Ericsson, Cisco, Broadcom, EMQ Technologies und der Apache Software Foundation.
  • Broadcom Brocade Fabric OS (FOS): CVE-2025-1976 (CVSS 6.7) ist eine Code-Injection-Schwachstelle [CWE-94], die im April offengelegt und aktiv ausgenutzt wurde. FOS ist eine spezielle Firmware, die für die Verwaltung von Fibre-Channel-Switches in Storage Area Networks (SANs) entwickelt wurde. Die Schwachstelle erlaubt einem lokalen Benutzer mit administrativen Rechten die Ausführung von beliebigem Code mit vollen Root-Rechten.

Neue Sicherheitslücke im Windows Common Log File System

Eine neue, schwere Sicherheitslücke CVE-2025-29824 (CVSS 7.8) im Treiber des Microsoft Windows Common Log File System (CLFS) ermöglicht lokalen, authentifizierten Angreifern die Ausweitung ihrer Rechte und damit den Zugriff auf die SYSTEM-Ebene. Darüber hinaus wird die Schwachstelle weltweit bei Ransomware-Angriffen [1][2], insbesondere durch Storm-2460, ausgenutzt, um PipeMagic-Malware zu verteilen.

Der Windows CLFS-Treiber weist eine Reihe kritischer Schwachstellen für die Ausweitung von Berechtigungen auf, die sich über mehrere Jahre und Versionen erstrecken und ihn zu einem dauerhaften, hochwertigen Ziel für Angreifer machen. Acht CVEs aus den Jahren 2019 bis 2025 wurden in der KEV-Liste der CISA katalogisiert. Mindestens vier davon, CVE-2023-28252, CVE-2023-23376, CVE-2022-24521 und CVE-2025-29824, werden bekanntermaßen in Ransomware-Kampagnen ausgenutzt.

Aufgrund der aktiven Ausnutzung kritischer Schwachstellen in Microsoft-Produkten ist es für Unternehmen unerlässlich, zu überprüfen, ob die neuesten Microsoft-Sicherheitsupdates in ihrer IT-Infrastruktur installiert wurden, und die Systeme auf Anhaltspunkte für eine Gefährdung (Indicators of Compromise, IoC) zu überwachen. Greenbone kann Schwachstellen für alle oben genannten CLFS CVEs und fehlende Patch-Levels für Microsoft Windows 10 (32-bit & x64), Windows 11 (x64) und Windows Server 2012-2025 Endpunkte über authentifizierte Local Security Checks (LSC) erkennen.

RCE-Schwachstelle in Craft CMS

CVE-2025-32432 (CVSS 10) ist eine schwere Sicherheitslücke in Craft CMS (Content Management System), die sich leicht ausnutzen lässt und Remote Code Execution (RCE) ermöglicht. Craft CMS ist ein Framework zur Erstellung von Websites, das auf dem PHP-Framework Yii aufbaut. Die Sicherheitslücke wurde vom CSIRT von Orange Cyberdefense gemeldet, das sie während einer Reaktion auf einen Vorfall entdeckte. Die Schwachstelle wurde bereits in freier Wildbahn ausgenutzt. Außerdem sind technische Details und PoC-Exploits [1][2] einschließlich eines Metasploit-Moduls öffentlich verfügbar, was die Bedrohung erheblich erhöht. Craft CMS wird von namhaften Unternehmen verwendet wie der New York Times, Amazon, Intel, Tesla, NBC, Bloomberg und JPMorgan Chase für die Erstellung individueller E-Commerce- und inhaltsgesteuerter Websites.

Greenbone ist in der Lage, Webanwendungen, die für CVE-2025-32432 anfällig sind, mit einer aktiven Prüfung zu erkennen, bei der eine speziell gestaltete POST-Anfrage gesendet und die Antwort analysiert wird. Betroffen sind die Craft CMS-Versionen 3.x bis 3.9.14, 4.x bis 4.14.14 und 5.x bis 5.6.16. Benutzer sollten so bald wie möglich auf eine gepatchte Version aktualisieren. Wenn ein Upgrade nicht möglich ist, schlägt der Hersteller vor, Firewall-Regeln zu implementieren, um POST-Anfragen am Endpunkt „actions/assets/generate-transform“ zu blockieren oder die Craft CMS Security Patches Library zu installieren.

Dualing CVEs in CrushFTP werden von Ransomware ausgenutzt

CVE-2025-31161 (CVSS 9.8) stellt eine ernsthafte Bedrohung für CrushFTP-Benutzer dar. Bei dem Fehler handelt es sich um eine „Authentication Bypass”-Schwachstelle [CWE-287] im HTTP-Autorisierungs-Header, die es entfernten, nicht authentifizierten Angreifern ermöglicht, sich als ein beliebiges bestehendes Benutzerkonto (z. B. Crushadmin) zu authentifizieren. Die Schwachstelle wird unter anderem von den Akteuren der Kill-Gruppe in laufenden Ransomware-Angriffen ausgenutzt.

CVE-2025-31161 betrifft CrushFTP Versionen 10.0.0 bis 10.8.3 und 11.0.0 bis 11.3.0. Der Hersteller hat einen Hinweis mit aktualisierten Anweisungen veröffentlicht. Greenbone ist in der Lage, CVE-2025-31161 sowohl mit einer aktiven Prüfung als auch mit einem Versionserkennungstest zu erkennen.

Ursprünglich wurde diese Schwachstelle unter einer anderen Kennung (CVE-2025-2825) verfolgt. Als sie von einem Drittanbieter (CNA) veröffentlicht wurde, hatte CrushFTP die Gelegenheit, die Details zu bewerten. Die verfrühte Veröffentlichung zwang CrushFTP, öffentlich zu reagieren, bevor es einen Patch entwickelt hatte. Dieser Vorfall macht ein erhebliches Risiko deutlich: Da CrushFTP keine CVE Numbering Authority (CNA) war, fehlte dem Anbieter die Befugnis, seinen eigenen Produkten CVE-Kennungen zuzuweisen. Stattdessen musste sich CrushFTP auf die externen Forscher verlassen, die den Fehler entdeckt hatten, um die CVE-Veröffentlichung zu verwalten.

Im CVE-Programm kann eine CNA ihren Geltungsbereich so definieren, dass sie CVE-IDs den Schwachstellen zuweisen kann, die ihre eigenen Produkte betreffen, während sie dies anderen Parteien verwehrt. Wenn der Anbieter einer Anwendung eine registrierte CNA ist, müssen Security-Forscher von Drittanbietern ihre Erkenntnisse direkt dem Anbieter mitteilen, was eine bessere Kontrolle über den zeitlichen Ablauf und eine bessere strategische Offenlegung ermöglicht. In Anbetracht der Risiken sollten Software-Anbieter in Erwägung ziehen, sich als CNA beim CVE-Programm von MITRE registrieren zu lassen.

Zusammenfassung

Im April 2025 wurde auf aktuelle Bedrohungen durch Schwachstellen in Edge-Geräten, Ransomware-Aktivitäten und neu ausgenutzte Schwachstellen in weit verbreiteter Software wie Craft CMS, Microsoft CLFS und CrushFTP hingewiesen. Diese Entwicklungen unterstreichen die Notwendigkeit für Unternehmen, den Überblick über gefährdete Ressourcen zu behalten, rechtzeitig Patches zu installieren und wachsam gegenüber neuen Bedrohungen zu sein, die vom ersten Zugriff bis zur vollständigen Kompromittierung schnell eskalieren können.

CVE-2025-34028 (CVSS 10) ist eine Schwachstelle mit maximaler Schweregradbewertung in Commvault Command Center, einer beliebten Verwaltungskonsole für IT-Security-Services wie Datenschutz und Backups in Unternehmensumgebungen. Am 28. April meldete die Cybersecurity and Infrastructure Security Agency (CISA), dass sie aktiv ausgenutzt wird. CVE-2025-34028 stellt außerdem ein erhöhtes Risiko dar, da öffentlich zugänglicher PoC-Exploit-Code (Proof of Concept) existiert und Command Center die Backups und andere Sicherheitskonfigurationen vieler namhafter Unternehmen verwaltet.

Die Schwachstelle ermöglicht es nicht authentifizierten Angreifern, Remote Code Execution (RCE) durchzuführen und die vollständige Kontrolle über eine Command Center-Umgebung zu erlangen. Angesichts der Sensibilität und Kritikalität der von Commvault verwalteten IT-Aufgaben birgt der Verlust der vollständigen Kontrolle ein hohes Potenzial für katastrophale Auswirkungen. Wenn beispielsweise Backups deaktiviert werden, könnte ein Unternehmen seine Fähigkeit zur Wiederherstellung nach einem Ransomware-Angriff verlieren. Das macht CVE-2025-34028 zu einem attraktiven Eintrittspunkt für Ransomware-Betreiber und finanziell motivierte Angreifer.

Die von Sonny Macdonald von watchTowr Labs entdeckte Schwachstelle nutzt eine SSRF-Lücke (Server Side Request Forgery) [CWE-918] im Endpunkt deployWebpackage.do von Command Center aus. Bei einem erfolgreichen Angriff lädt ein Angreifer ein infiziertes ZIP-Archiv in einen öffentlich zugänglichen Pfad hoch. Die schädliche ZIP-Datei wird automatisch extrahiert, sodass Angreifer die Ausführung über eine HTTP-GET-Anfrage an die extrahierte Nutzlast auslösen können.

CVE-2025-34028 betrifft die Versionen 11.38.0 bis 11.38.19 auf Linux- und Windows-Plattformen. Greenbone kann CVE-2025-34028 mit einer aktiven Überprüfung erkennen, die eine speziell gestaltete HTTP-POST-Anfrage sendet und überprüft, ob das Ziel eine Verbindung zum Scanner-Host herstellt, was darauf hindeutet, dass es für eine Ausnutzung anfällig ist. Benutzer der betroffenen Versionen werden dringend gebeten, die Patches sofort zu installieren. Sehen wir uns das Risiko durch CVE-2025-34028 genauer an!

Was ist Commvault Command Center?

Commvault Command Center ist eine webbasierte Schnittstelle in Java, mit der Unternehmen Datensicherungs-, Backup- und Recovery-Maßnahmen in großen Umgebungen verwalten können. Commvault vermarktet sich als einzige Plattform mit modularen Komponenten wie Complete Backup & Recovery, HyperScale X und Disaster Recovery. Die meisten Produkte von Commvault nutzen das Command Center als primäre Verwaltungsschnittstelle. Daher wird es zur Konfiguration von Sicherungsaufträgen, Überwachung von Systemen, Wiederherstellung von Daten und zur Verwaltung von Benutzerrollen und Zugriffsrechten verwendet.

Im Jahr 2025 hält Commvault einen Marktanteil von rund 6,2 % bei Backup und Recovery und bedient weltweit über 10.000 Unternehmen aus verschiedenen Branchen wie Banken, Gesundheitswesen, Behörden und Technologie. Die meisten Kunden sind große Unternehmen, von denen 42 % mehr als 1.000 Mitarbeiter beschäftigen. Da Commvault in kritischen Bereichen wie dem Gesundheitswesen, der Regierung und Fortune-500-Unternehmen eingesetzt wird, sind die möglichen Auswirkungen dieser Schwachstelle weitreichend und erheblich.

Technische Beschreibung von CVE-2025-34028

Die Entdeckung und Offenlegung von CVE-2025-34028 wurde von einer vollständigen technischen Beschreibung und einem PoC-Code begleitet. Hier eine kurze Zusammenfassung der Ursache und des Angriffsvektors für CVE-2025-34028:

Die Ursache von CVE-2025-34028 wird als Server Side Request Forgery (SSRF) [CWE-918] klassifiziert. SSRF-Schwachstellen entstehen, wenn eine Anwendung dazu gebracht wird, auf eine Ressource remote zuzugreifen, ohne diese ordnungsgemäß zu validieren. Durch Ausnutzen von SSRF-Schwachstellen kann ein Angreifer möglicherweise Zugriffskontrollen [CWE-284] wie Firewalls umgehen, die den direkten Zugriff auf die URLs verhindern. Man kann sich das so vorstellen, als würde der Angreifer den Server als „Sprungbrett“ benutzen, um Sicherheitsmaßnahmen zu überlisten. Im Fall von CVE-2025-34028 ermöglicht die SSRF-Schwachstelle das uneingeschränkte Hochladen von gefährlichen Dateien [CWE-434].

So funktioniert der Exploit-Prozess für CVE-2025-34028:

Unter den Endpunkten der Command Center-Anwendung fanden die Forscher 58 APIs, die keinerlei Authentifizierung erfordern. Bei der Untersuchung dieser uneingeschränkt nutzbaren APIs entdeckten die Forscher, dass der Endpunkt deployWebpackage.do einen Parameter namens commcellName enthielt, der zur Definition des Hostnamens einer URL verwendet wurde und nicht nach dem Geltungsbereich gefiltert war. Ein weiterer Parameter, servicePack, definiert den lokalen Pfad, in dem die HTTP-Antwort auf diese URL gespeichert werden soll.

Mithilfe einer einfachen Directory-Traversal-Technik, d. h. durch Voranstellen des Parameters „servicePack“ mit „../../“, konnten die Forscher beliebige Dateien an einen benutzerdefinierten Zielort hochladen. Die Command Center-Anwendung verwendete einen fest definierten Dateinamen „dist-cc.zip“, was darauf hindeutete, dass das Programm ein ZIP-Archiv erwartete.

Bei der Bereitstellung einer ZIP-archivierten, ausführbaren Java-Datei (.jsp-Datei) und der Angabe einer nicht authentifizierten Route über den Parameter „servicePack“ wurde eine bösartige .jsp-Nutzlast hochgeladen, automatisch extrahiert und konnte direkt über eine HTTP-GET-Anfrage aufgerufen werden. Dies führte zur Ausführung der .jsp-Datei durch den Apache Tomcat-Webserver von Command Center und zu einer nicht authentifizierten, beliebigen RCE im Namen des Angreifers.

CVE-2025-34028 entschärfen

CVE-2025-34028 betrifft Commvault Command Center Versionen 11.38.0 bis 11.38.19 auf Linux- und Windows-Plattformen und wurde in den Versionen 11.38.20 und 11.38.25 behoben, wobei die Patches am 10. April 2025 veröffentlicht wurden. Für diejenigen, die nicht sofort aktualisieren können, empfiehlt Commvault als vorübergehende Abhilfemaßnahme, die Command Center-Installation vom externen Netzwerkzugriff zu isolieren.

Die Innovation-Releases von Commvault sind häufige, funktionsreiche Update-Tracks, die in der Regel automatisch vom System nach einem vordefinierten Zeitplan aktualisiert werden, ohne dass eine Aktion des Benutzers erforderlich ist. Dies steht im Gegensatz zu LTS-Versionen (Long Term Support), die manuelle Updates erfordern.

Zusammenfassung

CVE-2025-34028 ist eine kritische, nicht authentifizierte RCE-Sicherheitslücke in Commvault Command Center, die keine Benutzerinteraktion erfordert. Die Schwachstelle wurde von der CISA im April 2025 als aktiv ausgenutzt gemeldet. CVE-2025-34028 betrifft Command Center-Versionen 11.38.0 bis 11.38.19 und ermöglicht es Angreifern, die vollständige Kontrolle über Backup-Systeme zu erlangen. CommVault wird von vielen großen Unternehmen weltweit für wichtige Backup- und Wiederherstellungsfunktionen eingesetzt, was CVE-2025-34028 zu einem beliebten Ziel für Ransomware-Angreifer macht. Greenbone kann betroffene Command Center-Instanzen mit einem aktiven Test erkennen, der eine HTTP-POST-Anfrage verwendet, um die Schwachstelle zu überprüfen.

Unser neuentwickeltes Produkt OPENVAS REPORT integriert die Daten von praktisch beliebig vielen Greenbone Enterprise Appliances und bringt sie auf einem klar strukturierten Dashboard in einen übersichtlichen Zusammenhang. Die benutzerfreundliche und umfangreiche Oberfläche vereinfacht den Schutz und die Absicherung auch großer Netzwerke erheblich.

Die Greenbone AG entwickelt seit 2008 führende Open-Source-Technologien für automatisiertes Schwachstellen-Management. Mehr als 100.000 Installationen weltweit vertrauen auf die Greenbone-Community und Enterprise-Editionen, um ihre Cyber-Resilienz zu stärken.

„OPENVAS REPORT steht für Innovation vom Open Source Market Leader.“

Mit unserem neuen Produkt verkürzen wir entscheidend den Weg von aktuellen Sicherheitserkenntnissen zur Handlungsfähigkeit– schneller, übersichtlicher und flexibler als je zuvor“, erklärt Dr. Jan-Oliver Wagner, CEO der Greenbone AG.

Gefährdungslagen schneller und effektiver erkennen

Für den Schutz Ihrer digitalen Infrastrukturen ist es entscheidend, über sicherheitsrelevante Ereignisse stets auf dem Laufenden zu bleiben und die Reaktionszeit auf kritische Vorkommnisse so kurz wie möglich zu halten.

OPENVAS REPORT schafft einen tagesaktuellen, vollständigen Überblick über die Sicherheitssituation Ihrer IT-Infrastruktur – für alle Entscheidungsebenen.

Durch die verbundenen Greenbone Enterprise Appliances erkennt OPENVAS REPORT automatisch Rechner und Software im Unternehmen. Anwender können diese mit Schlagworten markieren und sie beliebig gruppieren und sortieren – so bleibt auch in sehr großen Netzen die Übersicht erhalten.

Modernes, benutzerfreundliches Dashboard

Das OPENVAS REPORT Dashboard bietet einen modernen, benutzerfreundlichen und hochgradig flexiblen Zugang für die Anwender, die tagtäglich damit arbeiten. So ist beispielsweise eine Filterung oder Sortierung nach dem allgemeinen Schweregrad oder des spezifischen Risikos der Schwachstellen möglich. Unternehmen können sich so maßgeschneiderte Ansichten selbst zusammenstellen, die ein stets aktuelles Bild der Gefährdungslage im Firmennetz zeigen.

Vollständiger Überblick

OPENVAS REPORT erlaubt es Ihnen, die Sicherheitslage Ihres Unternehmens mit einem Blick zu erfassen und zu bewerten. Dank der einfachen, klaren Benutzerführung bereitet es auch komplexeste Daten lesbar und verständlich auf und beschleunigt damit die Entscheidungsfindung in kritischen Situationen.

Mit flexiblen und individuell gestaltbaren Filtermöglichkeiten vereinfacht OPENVAS REPORT die alltägliche Arbeit von Administratoren und Sicherheitsbeauftragten erheblich.

Flexible Schnittstellen

Die umfangreichen Export-Funktionen erlauben es, OPENVAS REPORT noch tiefer in die Infrastruktur zu integrieren, beispielsweise um externe Daten mit OPENVAS REPORT zu verarbeiten.

Funktion Mehrwert für Ihr Unternehmen
Umfassende Asset-Sichtbarkeit Vollständiger Überblick über sämtliche IT-Assets und deren Schwachstellen in einer einzigen Oberfläche – für eine lückenlose Bewertung Ihrer aktuellen Sicherheitslage.
Benutzerfreundliche Dashboards Ein klar strukturiertes, interaktives Dashboard macht komplexe Schwachstelleninformationen auf einen Blick verständlich und beschleunigt fundierte Entscheidungen.
Flexible Datenverarbeitung Vielfältige Export-, API- und Automationsoptionen lassen sich nahtlos in bestehende Workflows integrieren und an individuelle Betriebsanforderungen anpassen.
Effiziente Datenkonsolidierung Aggregiert Ergebnisse aus mehreren Scannern und Standorten in einer zentralen Datenbank – reduziert administrativen Aufwand und verbessert die Reaktionsgeschwindigkeit.
Anpassbare Klassifizierung von Schwachstellen Die Schweregrade sowie frei definierbare Tags ermöglichen es, interne Compliance- und Risiko-Modelle exakt abzubilden.
Erweiterte Reporting-Funktionen Zielgruppengerechte Berichte (C-Level, Audit, Operations) auf Knopfdruck erstellbar: Filter und Drill-down-Links sorgen für fokussierte Einblicke in kritische Sicherheitsprobleme.

Mehr erfahren

Haben Sie Interesse an einer Demo oder einem Angebot? Kontaktieren Sie unser Vertriebsteam und erfahren Sie mehr über OPENVAS REPORT. Schreiben Sie uns: sales@greenbone.net oder kontaktieren uns direkt. Wir helfen Ihnen gerne weiter!

Trotz des Ausfalls der „National Vulnerability Database” (NVD) des amerikanischen „National Institute of Standards and Technology“ (NIST) ist die Greenbone-Engine zur Erkennung von Schwachstellen weiterhin voll funktionsfähig. Sie bietet zuverlässige Schwachstellen-Scans, ohne auf fehlende CVE-Anreicherungsdaten angewiesen zu sein.

Seit 1999 stellt die MITRE Corporation mit Common Vulnerabilities and Exposures (CVE) kostenlose öffentliche Informationen über Schwachstellen zur Verfügung, indem sie Informationen über Software-Schwachstellen veröffentlicht und verwaltet. Das NIST hat diese CVE-Berichte seit 2005 fleißig erweitert und mit Kontext angereichert, um die Bewertung von Cyberrisiken zu verbessern. Anfang 2024 wurde die Cybersecurity-Gemeinschaft überrascht, als die NIST-NVD zum Stillstand kam. Etwa ein Jahr später war der Ausfall noch immer nicht vollständig behoben [1][2]. Bei einer jährlich steigenden Zahl von CVE-Einreichungen haben die Schwierigkeiten des NIST dazu geführt, dass ein großer Prozentsatz ohne Kontext blieb, wie z. B. bei der Bewertung des Schweregrads (CVSS), den Listen betroffener Produkte (CPE) und den Einstufungen von Schwachstellen (CWE).

Die jüngsten von der Trump-Administration angestoßenen politischen Veränderungen haben die Unsicherheit über die Zukunft des Austauschs von Schwachstelleninformationen und der vielen Sicherheitsanbieter, die davon abhängig sind, vergrößert. Der Haushaltsplan für das Geschäftsjahr der CISA enthält bemerkenswerte Kürzungen in bestimmten Bereichen, wie z. B. 49,8 Millionen Dollar weniger für Beschaffung, Bau und Verbesserungen sowie 4,7 Millionen Dollar weniger für Forschung und Entwicklung. Als Reaktion auf die Finanzierungsprobleme hat die CISA Maßnahmen zur Kürzung der Ausgaben ergriffen, darunter Anpassungen bei Verträgen und Beschaffungsstrategien.

Um es klar zu sagen: Das CVE-Programm ist noch nicht ausgefallen. Am 16. April erließ die CISA in letzter Minute eine Anweisung, ihren Vertrag mit MITRE zu verlängern, um den Betrieb des CVE-Programms für weitere elf Monate sicherzustellen, nur wenige Stunden bevor der Vertrag auslaufen sollte. Niemand kann jedoch vorhersagen, wie sich die zukünftigen Ereignisse entwickeln werden. Die potenziellen Auswirkungen auf den Austausch von Informationen sind alarmierend und deuten vielleicht auf eine neue Dimension von „kaltem Cyberkrieg“ hin.

Dieser Artikel enthält einen kurzen Überblick über die Funktionsweise des CVE-Programms und darüber, wie die Erkennungsfunktionen von Greenbone auch während des NIST NVD-Ausfalls aufrechterhalten werden.

Ein Überblick über den Betrieb des CVE-Programms

Die MITRE Corporation ist eine gemeinnützige Organisation, die die Aufgabe hat, die innere Sicherheit der USA an mehreren Fronten zu unterstützen, einschließlich der Verteidigungsforschung zum Schutz kritischer Infrastrukturen und der Cybersicherheit. MITRE betreibt das CVE-Programm, fungiert als primäre CNA (CVE Numbering Authority) und unterhält die zentrale Infrastruktur für die CVE-ID-Zuweisung, die Veröffentlichung von Datensätzen, die Kommunikationsabläufe zwischen allen CNAs und ADPs (Authorized Data Publishers) sowie die Programmverwaltung. MITRE stellt der Öffentlichkeit CVE-Daten über die Website CVE.org und das GitHub-Repository cvelistV5 zur Verfügung, das alle CVE-Datensätze im strukturierten JSON-Format enthält. Das Ergebnis ist eine hocheffiziente, standardisierte Berichterstattung zu Schwachstellen und ein nahtloser Datenaustausch im gesamten Cybersicherheitsökosystem.

Nachdem eine Schwachstellen-Beschreibung von einem CNA an MITRE übermittelt wurde, hat das NIST in der Vergangenheit immer etwas hinzugefügt:

  • CVSS (Common Vulnerability Scoring System): Ein Schweregrad und ein detaillierter Vektorstring, der den Risikokontext für Angriffskomplexität (AC), die Auswirkungen auf Vertraulichkeit (C), Integrität (I) und Verfügbarkeit (A) sowie andere Faktoren enthält.
  • CPE (Common Platform Enumeration): Eine speziell formatierte Zeichenfolge, die zur Identifizierung betroffener Produkte dient, indem sie den Produktnamen, den Hersteller, die Versionen und andere architektonische Spezifikationen weitergibt.
  • CWE (Common Weakness Enumeration): Eine Ursachenklassifizierung nach der Art des betreffenden Softwarefehlers.

CVSS ermöglicht es Unternehmen, den Grad des Risikos einer bestimmten Schwachstelle leichter zu bestimmen und dementsprechend strategische Abhilfemaßnahmen zu ergreifen. Da die ersten CVE-Berichte nur eine nicht standardisierte Deklaration des betroffenen Produkts erfordern, ermöglicht es die Ergänzung von CPE durch NIST den Plattformen für das Schwachstellenmanagement, den CPE-Abgleich als schnelle, wenn auch etwas unzuverlässige Methode durchzuführen, um festzustellen, ob eine CVE in der Infrastruktur eines Unternehmens existiert oder nicht.

Einen detaillierteren Einblick in die Funktionsweise des Verfahrens zur Offenlegung von Schwachstellen und wie CSAF 2.0 eine dezentralisierte Alternative zum CVE-Programm von MITRE bietet, finden Sie in unserem Artikel: Wie CSAF 2.0 automatisiertes Schwachstellenmanagement vorantreibt. Als Nächstes wollen wir uns den NIST NVD-Ausfall genauer ansehen und verstehen, was Greenbones Erkennung gegen diesen Ausfall widerstandsfähig macht.

Der NIST-NVD-Ausfall: Was ist passiert?

Seit dem 12. Februar 2024 hat die NVD die Anreicherung von CVEs mit wichtigen Metadaten wie CVSS-, CPE- und CWE-Produktkennungen drastisch reduziert. Das Problem wurde zuerst vom VP of Security von Anchore erkannt. Im Mai 2024 waren etwa 93 % der nach dem 12. Februar hinzugefügten CVEs nicht angereichert. Im September 2024 hatte das NIST seine selbst gesetzte Frist nicht eingehalten; 72,4 % der CVEs und 46,7 % der neu hinzugefügten KEVs (Known Exploited Vulnerabilities) der CISA waren immer noch nicht angereichert [3].

Die Verlangsamung des NVD-Anreicherungsprozesses hatte erhebliche Auswirkungen auf die Cybersecurity-Gemeinschaft, nicht nur, weil angereicherte Daten für Verteidiger entscheidend sind, um Bedrohungen effektiv zu priorisieren, sondern auch, weil einige Schwachstellen-Scanner auf diese angereicherten Daten angewiesen sind, um ihre Erkennungstechniken einzusetzen.

Als Verteidiger der Cybersicherheit lohnt es sich zu fragen: War Greenbone vom Ausfall des NIST NVD betroffen? Die kurze Antwort lautet: Nein. Lesen Sie weiter, um herauszufinden, warum die Erkennungsfähigkeiten von Greenbone gegen den NIST NVD-Ausfall resistent sind.

Greenbone-Erkennungsrate trotz NVD-Ausfall hoch

Ohne angereicherte CVE-Daten werden einige Lösungen für das Schwachstellenmanagement unwirksam, da sie auf den CPE-Abgleich angewiesen sind, um festzustellen, ob eine Schwachstelle in der Infrastruktur eines Unternehmens vorhanden ist.  Greenbone ist jedoch gegen den Ausfall der NIST NVD gewappnet, da unsere Produkte nicht vom CPE-Abgleich abhängen. Die OPENVAS-Schwachstellentests von Greenbone können auf der Grundlage von nicht angereicherten CVE-Beschreibungen erstellt werden. Greenbone erkennt sogar bekannte Schwachstellen und Fehlkonfigurationen, für die es nicht einmal CVEs gibt, wie z. B. CIS-Compliance Benchmarks [4][5].

Für die Erstellung von Schwachstellentests (VT) beschäftigt Greenbone ein engagiertes Team von Software-Ingenieuren, die die zugrunde liegenden technischen Aspekte von Schwachstellen identifizieren. Greenbone verfügt über eine CVE-Scanner-Funktion, die einen herkömmlichen CPE-Abgleich ermöglicht. Im Gegensatz zu Lösungen, die sich ausschließlich auf die CPE-Daten der NIST NVD stützen, um Schwachstellen zu identifizieren, setzt Greenbone jedoch Erkennungstechniken ein, die weit über den grundlegenden CPE-Abgleich hinausgehen. Daher bleiben die Fähigkeiten von Greenbone zur Erkennung von Schwachstellen auch angesichts von Herausforderungen wie dem jüngsten Ausfall der NIST NVD robust.

Um eine hoch belastbare, branchenführende Schwachstellen-Erkennung  zu erreichen, interagiert die Greenbone-Komponente OPENVAS Scanner aktiv mit exponierten Netzwerkdiensten, um eine detaillierte Karte der Angriffsfläche eines Zielnetzwerks zu erstellen. Dies beinhaltet die Identifizierung von Diensten, die über Netzwerkverbindungen zugänglich sind, die Untersuchung dieser Dienste zur Ermittlung von Produkten und die Ausführung individueller Schwachstellentests (VT) für jede CVE- oder Nicht-CVE-Sicherheitslücke, um aktiv zu überprüfen, ob diese vorhanden sind. Der Enterprise Vulnerability Feed von Greenbone enthält über 180.000 VTs, die täglich aktualisiert werden, um die neuesten veröffentlichten Schwachstellen zu identifizieren und eine schnelle Erkennung der neuesten Bedrohungen zu gewährleisten.

Zusätzlich zu seinen aktiven Scan-Funktionen unterstützt Greenbone die agentenlose Datenerfassung über authentifizierte Scans. Greenbone sammelt detaillierte Informationen von den Endpunkten und bewertet die installierten Softwarepakete anhand der veröffentlichten CVEs. Diese Methode ermöglicht eine präzise Erkennung von Schwachstellen, ohne auf die angereicherten CPE-Daten der NVD angewiesen zu sein.

Wichtige Erkenntnisse:

  • Unabhängigkeit von angereicherten CVE-Daten: Die Schwachstellenerkennung von Greenbone ist nicht auf angereicherte CVE-Daten angewiesen, die von der NVD des NIST bereitgestellt werden, wodurch eine unterbrechungsfreie Leistung bei Ausfällen gewährleistet ist. Anhand einer grundlegenden Beschreibung einer Schwachstelle können die Ingenieure von Greenbone ein Erkennungsmodul entwickeln.
  • Erkennung über CPE-Abgleich hinaus: Obwohl Greenbone eine CVE-Scanner-Funktion für den CPE-Abgleich enthält, gehen die Erkennungsfähigkeiten weit über diesen grundlegenden Ansatz hinaus und nutzen mehrere Methoden, die aktiv mit Scan-Zielen interagieren.
  • Angriffsflächen-Mapping: Der OPENVAS-Scanner interagiert aktiv mit exponierten Diensten, um die Angriffsfläche des Netzwerks abzubilden und alle im Netzwerk erreichbaren Dienste zu identifizieren. Greenbone führt auch authentifizierte Scans durch, um Daten direkt von den Interna der Endpunkte zu sammeln. Diese Informationen werden verarbeitet, um verwundbare Pakete zu identifizieren. Angereicherte CVE-Daten wie CPE sind nicht erforderlich.
  • Widerstandsfähigkeit bei Ausfällen der NVD-Anreicherung: Die Erkennungsmethoden von Greenbone bleiben auch ohne NVD-Anreicherung wirksam, da sie die von CNAs bereitgestellten CVE-Beschreibungen nutzen, um genaue aktive Prüfungen und versionsbasierte Schwachstellenbewertungen zu erstellen.

Greenbones Ansatz: praktisch, wirksam und widerstandsfähig

Greenbone ist ein Beispiel für den Gold-Standard in Bezug auf Praktikabilität, Effektivität und Widerstandsfähigkeit und setzt damit einen Maßstab, den IT-Sicherheitsteams anstreben sollten. Durch den Einsatz von aktivem Netzwerk-Mapping, authentifizierten Scans und aktiver Interaktion mit der Zielinfrastruktur gewährleistet Greenbone zuverlässige, belastbare Erkennungsfunktionen in unterschiedlichen Umgebungen.

Dieser höhere Standard ermöglicht es Unternehmen, Schwachstellen selbst in komplexen und dynamischen Bedrohungslandschaften sicher zu erkennen. Auch ohne NVD-Anreicherung bleiben die Erkennungsmethoden von Greenbone effektiv. Mit nur einer allgemeinen Beschreibung können die VT-Ingenieure von Greenbone genaue aktive Prüfungen und produktversionsbasierte Schwachstellenbewertungen entwickeln.

Durch einen grundlegend robusten Ansatz zur Erkennung von Schwachstellen gewährleistet Greenbone ein zuverlässiges Schwachstellenmanagement und hebt sich damit von anderen Anbietern im Bereich der Cybersicherheit ab.

Alternativen zu NVD / NIST / MITRE

Die MITRE-Problematik ist ein Weckruf für die digitale Souveränität, und die EU hat bereits (und schnell) reagiert. Eine lang erwartete Alternative, die EuVD der ENISA, der Agentur der Europäischen Union für Cybersicherheit, ist nun verfügbar und wird in einem unserer nächsten Blogbeiträge vorgestellt.