Insgesamt wurden im September knapp über 4.500 CVEs veröffentlicht – und damit neue Risiken für Verteidigungsteams aufgedeckt. Organisationen müssen ihre Systeme regelmäßig scannen, um eine widerstandsfähige IT-Infrastruktur aufrechtzuerhalten und versteckte Schwachstellen zu identifizieren, die den Geschäftsbetrieb beeinträchtigen könnten. Mit der kostenlosen Testversion von Greenbones OPENVAS BASIC können Sicherheitsverantwortliche die gesamte Unternehmensinfrastruktur auf aktuelle und beständige Bedrohungen prüfen, um stets den Überblick zu behalten. Diese Testversion gibt Ihnen Zugriff auf den OPENVAS ENTERPRISE FEED von Greenbone – eine branchenführende Datenquelle für CVEs und weitere IT-Sicherheitslücken.

Diesen September haben wir in unserem Blog bereits über drei neue Cybersecurity-Ereignisse berichtet: SessionReaper, eine nicht authentifizierte RCE-Schwachstelle in Adobe Commerce und Magento, eine CVSS-10-Sicherheitslücke in Fortra GoAnywhere MFT und eine ArcaneDoor-Spionagekampagne, die auf der aktiven Ausnutzung einer neuen Schwachstelle in Cisco ASA und FTD beruht. In diesem Threat Report werden wir nun auf einige weitere besonders risikoreiche Bedrohungen aus dem September 2025 eingehen.

Neue Bedrohungen für Linux-Systeme

Das Linux-Betriebssystem bildet das Rückgrat der globalen IT-Infrastruktur. Da Linux-Umgebungen zunehmen zu bevorzugten Angriffszielen werden, ist regelmäßiges Schwachstellenscanning entscheidend für die Aufrechterhaltung des IT-Betriebs und der operativen Resilienz. Hier sind die wichtigsten Linux-Schwachstellen vom September 2025.

Schwerwiegende Sudo-Schwachstelle jetzt aktiv ausgenutzt

Bereits im Juli hat Greenbones Threat Report auf eine neue Bedrohung hingewiesen: CVE-2025-32463 (CVSS 7.8) ermöglicht unautorisierte Rechteausweitung [TA0004] auf Root-Ebene, indem der Linux-sudo-Befehl (alle Versionen ≥ 1.9.14 und vor 1.9.17p) dazu gebracht wird, zu Angriffszwecken manipulierte Shared Libraries zu laden [T1129].

Diese Schwachstelle wird inzwischen aktiv ausgenutzt und wurde zu CISAs Katalog bekannter, ausgenutzter Schwachstellen (KEV, Known Exploited Vulnerabilities) hinzugefügt. Kanadas Cyber Centre hat eine neue CERT-Warnung herausgegeben, der sich in die Liste der bestehenden Warnungen einreiht [1][2][3]. Wer starte Widerstandsfähigkeit aufbauen möchte, kann nicht darauf warten, dass Schwachstellen aktiv ausgenutzt werden und damit in Berichte aufgenommen werden – eine proaktive Haltung ist essenziell. Greenbone hat im Juli 2025 augenblicklich Erkennungstests für CVE-2025-32463 zum OPENVAS ENTERPRISE FEED und COMMUNITY FEED hinzugefügt, was unserer Kundschaft entscheidende Vorteile in der Erkennung und Behebung gab.

CVE-2025-38352: POSIX-CPU-TOCTOU-Race im Linux-Kernel

CVE-2025-38352 (CVSS 7.4, EPSS ~70. Perzentil) beschreibt eine Time-of-Check-to-Time-of-Use (TOCTOU)-Schwachstelle [CWE-367] in den POSIX-CPU-Timern des Linux-Kernels. Diese Schwachstelle ermöglicht eine Denial-of-Service (DoS)-Attacke [T1499] auf betroffenen Systemen und wurde zu CISAs KEV-Katalog hinzugefügt. Obwohl derzeit kein öffentlicher Machbarkeitsnachweis (PoC, Proof-of-Concept) verfügbar ist, wurde bereits eine detaillierte technische Analyse veröffentlicht.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat zwei Sicherheitswarnungen zu CVE-2025-38352 herausgegeben – eine für den Linux-Kernel [1] und eine für Android [2]. Patch-Level-Checks für betroffene Linux-Distributionen sind in Greenbones OPENVAS ENTERPRISE FEED und COMMUNITY FEED enthalten.

Schwerwiegende Schwachstelle im Linux-UDisks-Daemon

CVE-2025-8067 (CVSS 8.5) ist eine lokale, nicht authentifizierte Rechteausweitung [TA0004] im UDisks-Daemon von Red Hat Enterprise Linux (RHEL). Der Udisks-Daemon ist ein Systemdienst, welcher der Verwaltung von Speichergeräten wie Festplatten, SSDs, USB-Sticks, optischer Medien und Partitionen dient.

Die Ursache der Schwachstelle liegt in der fehlerhaften Verarbeitung negativer Integer-Indizes, was zu einem Out-of-Bounds Memory Read [CWE-125] führen kann. Die Ausnutzung kann für DoS [T1499] oder lokaler Rechteausweitung [T1068] genutzt werden, indem ein Loop-Device einem privilegierten lokalen Datenobjekt zugeordnet wird [1].

Derzeit gibt es keine Hinweise auf aktive Ausnutzung, jedoch wurde bereits PoC-Code veröffentlicht [2][3]. Das deutsche BSI hat zudem eine Sicherheitsmeldung herausgegeben [4]. Der OPENVAS ENTERPRISE FEED und der COMMUNITY FEED enthalten paketbasierte Patch-Level-Checks für diverse Linux-Distributionen. Patching bleibt die einzig wirksame Gegenmaßnahme.

Neue ImageMagick CVEs bergen DoS- und RCE-Risiken

CVE-2025-53014 (CVSS 9.8), CVE-2025-53019 (CVSS 7.5), und CVE-2025-53101 (CVSS 9.8) resultieren aus einer fehlerhaften Verarbeitung von Bilddateinamen [CWE-66] in den ImageMagick-Paketen für Linux. Erfolgreiche Ausnutzung kann Berichten zufolge zu DoS [T1499] führen; im Fall von CVE-2025-53101 ist zudem eine beliebige Codeausführung [T1203] möglich.

Obwohl derzeit keine aktive Ausnutzung der Schwachstelle bekannt ist, wurde vom BSI eine CERT-Bund-Sicherheitswarnung [WID-SEC-2025-1537] veröffentlicht. OPENVAS ENTERPRISE FEED und COMMUNITY FEED enthalten bereits Erkennungstests für zahlreiche Linux-Distributionen.

Mehrere schwerwiegende Sicherheitslücken in Cisco-Produkten

Die Schwachstellen CVE-2025-20352 und CVE-2025-20312 (beide CVSS 7.7) markieren das Ende eines turbulenten Monats für Cisco. Beide CVEs wurden am 24. September 2025 veröffentlicht.

CVE-2025-20352 wurde von Cisco selbst während der Bearbeitung eines Support-Falls entdeckt. Fünf Tage darauf landete die Schwachstelle im CISA KEV-Katalog und mehrere nationale CERT-Organisationen haben seither Sicherheitswarnungen veröffentlicht [1][2][3][4][5][6][7]. Beide Schwachstellen betreffen das Simple Network Management Protocol (SNMP).

CVE-2025-202352 beruht auf einem Stack-Overflow [CWE-121] im SNMP-Subsystem betroffener Produkte: IOS/IOS XE (alle SNMP-Versionen) und Meraki MS390/Catalyst 9300 mit Meraki CS 17 oder älter. Eine Ausnutzung ermöglicht authentifizierte DoS-Angriffe und potenziell beliebige Codeausführung aus der Ferne (RCE, Remote-Code-Execution) auf Root-Ebene, abhängig von genutzten Zugangsdaten:

Eine DoS kann bereits mit einem SNMPv1/v2c-Community-String (Read-Only) oder gültigen SNMPv3-Anmeldedaten ausgelöst werden. Root-Level-RCE erfordert administrative Anmeldedaten (Privilege 15).

CVE-2025-20312 ermöglicht authentifizierte DoS-Angriffe aus der Ferne. Die Ursache ist eine schwache Fehlerbehandlung, die das System bei der Verarbeitung manipulierter SNMP-Anfragen in eine Endlosschleife führt [CWE-835]. Die Ausnutzung erfordert einen gültigen SNMP-Community-String mit Read-Write- oder Read-Only-Berechtigungen. Betroffen sind lediglich IOS XE Switches, bei denen SNMP aktiviert und WRED für MPLS EXT konfiguriert ist.

Für keine der beiden Schwachstellen existieren derzeit öffentliche Exploits. Wer nicht patchen kann, sollte die SNMP-Zugriffe auf vertrauenswürdige Netzwerkeinheiten einschränken und anfällige Object Identifiers (OIDs) deaktivieren. Cisco hat für beiden Schwachstellen separate Sicherheitsmeldungen herausgegeben [8][9]. Der OPENVAS ENTERPRISE FEED bietet sowohl authentifizierte als auch Remote-Versionserkennungstests für die aktiv ausgenutzte CVE-2025-20352 [10][11] und einen Remote-Versionserkennungstest für CVE-2025-20312 an [12].

Doppelt gepatchte Schwachstelle in SolarWinds Help Desk weiterhin angreifbar

CVE-2025-26399 (CVSS 9.8) ist eine nicht authentifizierte Remote-Code-Execution (RCE)-Schwachstelle in SolarWinds Web Help Desk bis einschließlich Version 12.8.7. Die CVE stellt eine Patch-Umgehung für CVE-2024-28988 dar – welche wiederum eine Umgehung für CVE-2024-28986 war. Die ursprüngliche CVE-2025-28986 wurde kurz nach ihrer Offenlegung zu CISAs KEV-Katalog hinzugefügt. Obwohl bisher noch keine aktive Ausnutzung nachgewiesen wurde, halten Sicherheitsprofis eine baldige Ausnutzung für wahrscheinlich. Die Ursache bleibt dieselbe: fehlerhafte Deserialisierung nicht vertrauenswürdiger Daten [CWE-502] in der AjaxProxy-Komponente des Produkts.

Nationale CERT-Sicherheitswarnungen wurden herausgegeben – unter anderem von Kanadas CCCS, CERT-FR und Spaniens INCIBE-CERT. Ein Remote-Banner-Versionscheck ist in Greenbones OPENVAS ENTERPRISE FEED enthalten, um Sicherheitsteams die Identifikation anfälliger Instanzen zu ermöglichen. In Anbetracht der kritischen Schwere und Vorgeschichte mehrfacher Ausnutzung wird das Einspielen von Web Help Desk 12.8.7 Hotfix 1 dringend empfohlen.

Sitecore XM, XP, und XC aktiv ausgenutzt

CVE-2025-53690 (CVSS 9.0, EPSS ~95. Perzentil) ist eine Deserialisierungs-Schwachstelle [CWE-502] in Bezug auf Sitecore Experience Manager (XM), Experience Platform (XP), Experience Commerce (CX) sowie bestimmter verwalteter Cloud-Instanzen. Sie ermöglicht nicht authentifizierte Angriffe mittels bösartig manipulierter __VIEWSTATE-Payloads, um RCE mit Admin-Rechten zu erlangen. Die Schwachstelle wird aktiv zu Angriffszwecken ausgenutzt und wurde dementsprechend bereits in CISAs KEV-Katalog aufgenommen, wo sie sich zu früheren ausgenutzten SiteCore-Schwachstellen gesellt.

CVE-2025-53690 wird in Angriffen genutzt, um neuartige Reconnaissance-Malware namens „WEEPSTEEL“ zu streuen. Die Malware führt Host- und Netzwerk-Scans [TA0043] durch, exfiltriert sensible Konfigurationsdateien [TA0010] und eskaliert Privilegien [TA0004], indem sie lokale Admin-Profile anlegt.

Bei beobachteten Angriffen wurden folgende Techniken erkannt:

  • Einsatz von Earthworm [1][2][3] für Netzwerktunneling [T1572]
  • DWAgent [4][5] für Command-and-Control (C2) Fernzugang [T1219]
  • SharpHound [4][5] für Active Directory (AD)-Reconnaissance [T1106]
  • GoTokenTheft zum Auslesen von SYSTEM/SAM-Hives zwecks Credential Harvesting [T1003]
  • Ausnutzung des Windows Remote Desktop Protocol (RDP) [T1021] mit gestohlenen Anmeldedaten [T1078], um laterale Bewegung im Netzwerk zu ermöglichen [TA0008]

Der OPENVAS ENTERPRISE FEED enthält einen Remote-Banner-Versionscheck für die Erkennung anfälliger Sitecore-Produkte. Sitecores offizieller Sicherheitsbulletin empfiehlt dringend, Machine-Keys zu rotieren, ViewState MAC zu aktivieren, Kompromittierungsindikatoren (IoCs) zu prüfen und eine Sicherheitsauditierung durchzuführen.

„Exploitation More Likely“ für neun CVEs im Microsoft-Patchzyklus September 2025

Im September-Patchzyklus 2025 hat Microsoft insgesamt 97 Schwachstellen behoben – neun davon als „kritisch“ und ein Großteil als „wichtig“ eingestuft.

Betroffen waren unter anderem Windows-Betriebssysteme, SMB, NTFS, NTLM, Microsoft Office, Azure, SQL Server, Hyper-V, DirectX und weitere Produkte.

Die folgenden Schwachstellen wurden zudem als „Exploitation More Likely“ markiert, bergen also laut Microsoft ein erhöhtes Ausnutzungsrisiko:

  • CVE-2025-55234 (CVSS 9.8): Fehlerhafte Authentifizierung [CWE-287] in den SMB-Diensten von Windows ermöglicht das Wiederverwenden gestohlener Anmeldeinformationen, um unter bestimmten Voraussetzungen privilegierten Zugriff zu erlangen. Systeme ohne aktive SMB-Härtungsmaßnahmen (Hardening) sollten dringend geprüft werden. Die Aktivierung von SMB Server Signing oder Extended Protection for Authentication (EPA) wird von Microsoft empfohlen.
  • CVE-2025-55319 (CVSS 9.8): Ein Befehlsinjektionsfehler [CWE-77] in Agentic AI-Integrationen für Visual Studio Code (Versionen 1.0.0 bis 1.103.x) ermöglicht nicht authentifizierte Remote-Code-Execution (RCE). Visual Studio Code-Anwendungen sollten dringend auf Version 1.104.0 oder höher aktualisiert werden [1].
  • CVE-2025-54110 (CVSS 8.8): Eine Integer-Überlauf-, bzw. Wraparound-Schwachstelle [CWE-190] im Windows-Kernel ermöglicht die lokale Umgehung der AppContainer-Isolation, um SYSTEM_Rechte zu erlangen [2].
  • CVE-2025-54918 (CVSS 8.8): Ein Authentifizierungsfehler [CWE-287] im NTLM-Protokoll ermöglicht im Rahmen eines authentifizierten Angriffs Rechteausweitung aus der Ferne bis auf SYSTEM-Ebene, was zu voller Kontrolle über das Windows-Hostsystem führen kann [3].
  • CVE-2025-54916 (CVSS 7.8): Ein Pufferverarbeitungsfehler [CWE-120] im NTLM-Dateisystemtreiber kann durch spezielle Eingaben ausgelöst werden, was in lokalen Angriffen zu beliebiger Codeausführung führen kann [4].
  • CVE-2025-54098 (CVSS 7.8): In Hyper-V wurde eine fehlerhafte Zugriffskontrolle [CWE-284] identifiziert, die einer bösartigen Gast-VM ermöglicht, auf den Host zu entkommen oder erhöhte Rechte innerhalb des Hypervisors zu erlangen [5].
  • CVE-2025-54093 (CVSS 7.0): Eine TOCTOU-Race-Condition [CWE-367] im Windows TCP/IP-Stack ermöglicht lokale Rechteausweitung durch präzise Timing-Angriffe [6].
  • CVE-2025-53803 (CVSS 5.5): Eine Schwachstelle im Windows-Kernel führt zu einem Informationsleck sensibler Daten [CWE-209] durch Fehlermeldungen, die in einem lokalen Angriff beispielsweise Speicheradressen im Kernel-Space preisgeben können [7].
  • CVE-2025-53804 (CVSS 5.5): Eine weitere Information-Disclosure-Schwachstelle [CWE-200] im Windows-Kernel-Subsystem ermöglicht lokal das Auslesen sensibler Speicheradressen im Kernel-Space [8].

Unternehmen, die ihre Patch-Level nicht gezielt überwachen, laufen Gefahr, ausnutzbare Schwachstellen in ihrer Infrastruktur zu übersehen und machen sich somit zu einem leichten Angriffsziel. Greenbones OPENVAS ENTERPRISE FEED bietet regelmäßig aktualisierte Erkennungstests für Microsoft-Schwachstellen und unterstützt damit proaktive Schwachstellenauswertung über Systeme hinweg.

Zusammenfassung

Der September 2025 unterstreicht die zunehmenden Cyber-Risiken in verbreiteten Enterprise-Plattformen. Kritische Schwachstellen in Fortra GoAnywhere MFT, Cisco ASA/FTD und Sitecore prägten neben tausenden weiteren CVEs die Sicherheitslage. Aktive Cyberangriffskampagnen zeigen, dass reaktives Schwachstellenmanagement nicht mehr ausreicht. Nur wer proaktiv handelt und kontinuierliches Schwachstellen-Scanning betreibt, kann schnell genug auf neu entdeckte CVEs reagieren und Angriffsflächen wirksam minimieren.

Mit dem OPENVAS ENTERPRISE FEED bietet Greenbone täglich aktualisierte Prüfmechanismen für neue Schwachstellen. Sicherheitsverantwortliche können damit frühzeitig Risiken erkennen, priorisieren und beheben, bevor es zu einem Sicherheitsvorfall kommt. Für den schnellen Einstieg steht eine kostenlose Testversion von Greenbones OPENVAS BASIC zur Verfügung – und zwar mit voller ENTERPRISE FEED-Abdeckung. So bleibt Ihr Unternehmen informiert und resilient gegen aufkommende Cyberbedrohungen.

Am 25. September 2025 schlugen drei neue CVEs im Zusammenhang mit Cisco-Netzwerkprodukten explosiv in die Cybersecurity-Landschaft ein. Zwei davon wurden bereits vor Offenlegung in Zero-Days aktiv ausgenutzt. Greenbone bietet Erkennungstests für alle drei neuen hochriskanten CVEs im OPENVAS ENTERPRISE FEED an.

arcanedoor spionage kampagne

CVE-2025-20333 (CVSS 9.9) und CVE-2025-20362 (CVSS 6.5) betreffen den VPN-Webserver der Plattformen Cisco Firewall Adaptive Security Appliance (ASA) und Firewall Threat Defense (FTD). Der VPN-Webserver ermöglicht entfernten Geräten Zugriff auf ein internes Netzwerk via eines SSL/TLS-basierten VPN. Diese CVEs können verkettet werden, um eine vollständige Systemübernahme ungepatchter Geräte zu ermöglichen. Berichten zufolge werden wie in ArcaneDoor-Spionagekampagnen ausgenutzt. CVE-2025-20363 (CVSS 9.0), bisher nicht als aktiv ausgenutzt gekennzeichnet, wurde in den meisten staatlichen Sicherheitswarnungen über die vorher genannten Schwachstellen mit aufgenommen. Neben CVE-2025-20362 schafft sie die nötigen Voraussetzungen zur Ausnutzung von CVE-2025-20333 für eine erweiterte Liste an Produkten: Neben Cisco ASA und FTD betrifft diese Schwachstelle Cisco IOS, IOS XE und IOS XR in bestimmten Konfigurationen.

Greenbones OPENVAS ENTERPRISE FEED beinhaltet eine Reihe an Erkennungstests für diese neuen Schwachstellen [1][2][3][4][5][6][7][8][9]. Mit unserer kostenlosen Testversion können Sie Ihre IT-Umgebung noch heute auf diese und weitere Cybersecurity-Schwachstellen scannen. Im Folgenden gehen wir auf verschiedene Aspekte der aktuellen Lage ein – darunter die Angriffskampagne, eine Beschreibung der Schwachstellen und Empfehlungen zur Risikominderung.

Kampagnen, die Cisco ASA 5500-X-Geräte ausnutzen

CVE-2025-20333 und CVE-2025-20362 wurden als Zero-Days aktiv gegen Cisco ASA 5500-X-Geräte ohne Secure Boot ausgenutzt. Verkettet ermöglichen sie die vollständige Übernahme kompromittierter Systeme durch nicht authentifizierte Angriffe. RayInitiator und LINE VIPER kamen bei bekannten Kampagnen, die diese Schwachstellen nutzen, zum Einsatz, um Persistenz zu erreichen [TA0003], Remote-Befehle auszuführen [TA0011] und Daten zu exfiltrieren [TA0010]. Die Angriffe werden der ArcaneDoor-Spionagekampagne zugeschrieben, die seit Anfang 2024 perimeternahe Netzwerkgeräte anvisiert und als hochgradig fortgeschritten eingestuft wird. Zu ihren hoch entwickelten Angriffstechniken gehören:

  • Manipulation auf ROMMON-Ebene (ROM Monitor) [004] und Pre-OS Bootkit [T1542.003] für verdeckte Persistenz über Neustarts hinweg
  • Abfangen der Kommandozeilenschnittstelle (CLI-Interception) [008]
  • Deaktivierung der Systemprotokollierung [001]
  • Netzwerk-Paketmitschnitt [T1040]
  • Umgehung von AAA-Authentifizierungs- und Autorisierungsmechanismen für Netzwerkgeräte [004]

Öffentliche Proof-of-Concept-Exploits (PoCs) sind zwar nicht verfügbar, aber CISA und CISCO haben die aktive Ausnutzung bereits bestätigt [1][2]. Während Angriffe, die CVE-2025-20363 ausnutzen, noch nicht bestätigt wurden, wird die Schwachstelle dennoch in mehreren nationalen CERT-Advisories erwähnt, die die ersten beiden CVEs abdecken [3][4][5][6][7][8][9][10]. Umfassende Malware-Analysen des UK NCSC [11] und IoC-Hunt-Anleitungen von CISA [12] sind verfügbar.

Technische Analyse der neuen kritischen Cisco CVEs

Allen drei CVEs liegt die unzureichende Validierung von User-Input in HTTPS-Anfragen zugrunde [CWE-20]. In Kombination erlauben CVE-2025-20333 und CVE-2025-20362 das Ausführen von beliebigem Code als root auf dem System des Opfers. CVE-2025-20333 ermöglicht diese RCE (Remote-Code-Execution), setzt jedoch gültige VPN-Anmeldedaten voraus. CVE-2025-20362 ermöglicht eine Umgehung der Authentifizierung. CVE-2025-20363 erlaubt ebenfalls nicht authentifizierten Zugriff auf geschützte URLs, betrifft jedoch breiter aufgestellte Produkte – darunter Cisco ASA und FTD, sowie bestimmte Konfigurationen von Cisco IOS, IOS XE und IOS XR.

Kurzbeschreibung der einzelnen Schwachstellen:

  • CVE-2025-20333 (CVSS 9.9): Manipulierte HTTPS-Anfragen an den VPN-Webserver können zu beliebiger Ausführung von Remote-Code (RCE) als root auf VPN-Webservern von Cisco ASA- und FTD-Geräten führen. Die Schwachstelle wird als Buffer-Overflow [CWE-122] eingestuft und benötigt gültige VPN-Zugangsdaten, um ausgenutzt zu werden.
  • CVE-2025-20362 (CVSS 6.5): Nicht authentifizierte Eindringlinge können den Authentifizierungsprozess umgehen und so auf geschützte URL-Endpunkte zugreifen. Grund ist fehlende Autorisierungsprüfung [CWE-862] für sensible HTTP-Pfadendpunkte
  • CVE-2025-20363 (CVSS 9.0): Nicht authentifizierte RCE als root auf dem VPN-Webserver von Cisco ASA- und FTD-Geräten. Bereits geringe Privilegien könnten zu RCE als root in Cisco IOS, Cisco IOS XE, und Cisco IOS XR führen. Bei der Schwachstelle handelt es sich um einen heap-basierten Buffer Overflow [CWE-122], ausgelöst durch unzureichende Validierung von Eingaben in HTTP-Anfragen.

Anweisungen zur Risikominderung für betroffene Geräte

Die CISA hat eine Emergency Directive zur sofortigen Behebung aller laufenden Bedrohungen für alle Bundesbehörden ausgegeben. Wer die Produkte im Einsatz hat, sollte umgehend Schritte zur Identifizierung, Analyse und Bereinigung betroffener Produkte beginnen. Für die Analyse sollten die Core-Dump- und Hunt-Anweisungen von CISA sowie Ciscos offizieller Detection Guide genutzt werden.

Wird ein Sicherheitsvorfall festgestellt, sollten kompromittierte Geräte zwar vom Netzwerk getrennt, jedoch nicht ausgeschaltet werden. Notfallpläne für Sicherheitsvorfälle (IRP, Incident Respone Plans) und Isolierungsprozesse sind augenblicklich einzuleiten. Opfer sollten umgehend zuständige regionale Behörden unterrichten und Speicherabbilder betroffener Systeme zur Analyse zur Verfügung stellen. Malware-Analysen für RayInitiator und LINE VIPER wurden von der UK NCSC [1] veröffentlicht. Konsultieren Sie Ciscos offizielle Anweisungen für genauere Informationen [2][3][4].

Betroffene Plattformen (CVE-2025-20333 und CVE-2025-20362):

ASA-Hardware, ASA-Service Module (ASA-SM), ASA Virtual (ASAv), und ASA-Firmware auf Firepower 2100/4100/9300.

Betroffene Cisco ASA-Softwareversionen:

  • 12 – < 9.12.4.72
  • 14 – < 9.14.4.28
  • 16 – < 9.16.4.85
  • 17 – < 9.17.1.45
  • 18 – < 9.18.4.67
  • 19 – < 9.19.1.42
  • 20 – < 9.20.4.10
  • 22 – < 9.22.2.14
  • 23 – < 9.23.1.19

Cisco FTD-Appliances:

  • 0 – < 7.0.8.1
  • 1 – alle Versionen
  • 2 – < 7.2.10.2
  • 3 – alle Versionen
  • 4 – < 7.4.2.4
  • 6 – < 7.6.2.1
  • 7 – < 7.7.10.1

CVE-2025-20363 betrifft die oben genannten ASA- und FTD-Produkte und alle Releases von Cisco IOS und Cisco IOS XE mit Remote Access SSL VPN und Cisco IOS XR Software-Versionen 6.8 und 6.9 (32-Bit auf ASR 9001) mit aktivem HTTP-Server.

Nicht betroffen sind:

  • Cisco NX-OS Software
  • 64-Bit IOS XR
  • IOS/IOS XE ohne aktives SSL VPN
  • ASA/FTD ohne konfigurierte WebVPN/SSL VPN-Funktion

Zusammenfassung

Die koordinierte Offenlegung von CVE-2025-20333, CVE-2025-20362 und CVE-2025-20363 hat globale Sicherheitsmaßnahmen ausgelöst. In Kombination können die CVEs potenziell zu vollständiger Systemübernahme von kompromittierten Cisco ASA- und FTD-Geräten führen. Selbiges gilt für Geräte mit Cisco IOS, IOS XE und IOS XR- unter bestimmten Konfigurationen. In einer laufenden ArcaneDoor-Spionagekampagne werden CVE-2025-20333 und CVE-2025-20362 gegen ältere ASA 5500-X-Geräte ausgenutzt.

Sicherheitsbehörden, darunter CISA und diverse nationale CERTs, haben Risikominderungsmaßnahmen bekanntgegeben, die zu sofortigem Patchen, forensischen Untersuchungen und der Aktivierung von Notfallplänen (IRP) raten.

Greenbone hat für alle drei Schwachstellen Erkennungstests im OPENVAS ENTERPRISE FEED veröffentlicht, um Organisationen dabei zu helfen, anfällige Systeme schnell zu erkennen und zu bereinigen. Starten Sie noch heute eine kostenlose Testversion, um Ihre IT-Umgebung auf diese und viele weitere Cybersecurity-Risiken zu prüfen.

Cybersicherheit hat sich in Italien in diesem Jahr von einem Schlagwort in Vorstandsetagen zu einer Realität auf den Titelseiten entwickelt. Betritt man irgendeinen Konferenzraum, nimmt an einem Summit teil oder verfolgt branchenspezifische Diskussionen, hört man immer die gleichen dringenden Gespräche: Unternehmen stehen unter Beschuss durch zunehmend ausgeklügelte Cyberbedrohungen. Doch gleichzeitig passiert etwas Neues: eine Welle von Innovation und Zusammenarbeit, die endlich dem Ausmaß der Herausforderung gerecht wird.

cybersecurity in italy key insights Kopie

Von abstrakten Risiken zu realen Lösungen

Das Jahr begann stark auf der ITASEC im Februar, wo etwas Erfrischendes geschah. Anstatt der üblichen düsteren Präsentationen über theoretische Schwachstellen standen endlich echte Lösungen im Mittelpunkt. Organisationen teilten praktische Strategien, wie Compliance-Anforderungen wie NIS2 mit der täglichen Realität von Cyberangriffen in Einklang gebracht werden können.

Die Sessions zu OPENVAS- und Enterprise-Lösungen zeigten eine entscheidende Verschiebung: Unternehmen bewegen sich weg von endlosen Tabellen mit Schwachstellen hin zu umsetzbaren Erkenntnissen. Die Botschaft war klar: nur informiert zu bleiben reicht nicht mehr. Organisationen brauchen konkrete Handlungsempfehlungen für die nächsten Schritte.

Doch unter dem Optimismus offenbarte sich eine ernüchternde Wahrheit: Italien bleibt eines der am stärksten angegriffenen Länder Europas. Harte Fragen wurden gestellt: Warum hinken unsere Abwehrmaßnahmen den Bedrohungen noch hinterher? Was wird wirklich nötig sein, um das Blatt zu wenden?

KI: Das zweischneidige Schwert

Im März fand in Mailand die CyberSec 2025 statt, auf der Künstliche Intelligenz jede Diskussion dominierte. Die Atmosphäre war zündend: gleichermaßen geprägt von Aufregung und Besorgnis. Alle waren sich einig, dass KI Sicherheitsprozesse revolutionieren kann, indem sie schneller und intelligenter werden. Doch es gibt einen Haken: KI schafft auch völlig neue Angriffsflächen.

Die Berücksichtigungen waren berechtigt. KI-Modelle können manipuliert oder gestohlen werden, wenn sie nicht richtig gesichert sind. Deshalb sind Ansätze wie die vollständige On-Premise-Nutzung und kontrollierte Updates der Modelle so entscheidend. Es geht darum, die Vorteile von Automatisierung und Intelligenz zu nutzen, ohne die Sicherheit zu gefährden.

Wie Dirk Boeing, Security Engineer bei Greenbone, im Interview betonte: „KI ist für uns nicht nur ein Schlagwort – sie ist ein praktisches Werkzeug, das, verantwortungsvoll eingesetzt, Organisationen hilft, Cyberangriffe abzuwehren.“

Die neue Realität des Schwachstellenmanagements

Der Security Summit Ende März unterstrich eine weitere fundamentale Veränderung: Gelegentliches Scannen reicht nicht mehr aus. Die heutige Bedrohungslandschaft verlangt kontinuierliche, robuste Überwachung. Wir sahen Organisationen lernen, kritische Schwachstellen zu priorisieren, Behebungsprozesse zu optimieren und Compliance von einer Last in einen Wettbewerbsvorteil zu verwandeln.

Bemerkenswert war die wachsende Erkenntnis, dass Enterprise-Lösungen etwas bieten, was Community-Editionen nicht erreichen: stabile Feeds, präzise Erkennung und sichere On-Premise-Bereitstellung, weit über die Grundfunktionen hinaus.

Zahlen, die keine Lügen erzählen

Diese Erkenntnisse gewinnen noch mehr Dringlichkeit, wenn man einen Blick auf die tatsächliche Lage in Italien wirft. Allein in der ersten Hälfte von 2025 gab es 1.549 Cybervorfälle – ein erschreckender Anstieg von 53 % gegenüber 2024. Noch besorgniserregender: 346 davon wurden als schwerwiegende Vorfälle mit bestätigtem Schaden eingestuft, ein Plus von 98 % im Jahresvergleich.

Die Angriffe unterscheiden nicht zwischen großen oder kleinen Zielen. Kritische Sektoren wie öffentliche Verwaltung, Gesundheitssektor und Energie wurden hart getroffen. Ein Beispiel: Der Angriff am 2. April auf Mobilità di Marca (MOM), Treviso’s öffentliches Verkehrsunternehmen, legte den elektronischen Ticket-Service tagelang lahm. Dies zeigt eindrücklich, wie Schwachstellen in der digitalen Infrastruktur den Alltag stören können.

Auch kleinere Unternehmen sind nicht sicher. Berichte aus dem April zeigen, dass der Telekommunikationssektor von gezielten Phishing-Angriffen heimgesucht wurde, wobei zahlreiche Organisationen erhebliche Sicherheitsverletzungen erlitten.

Was als Nächstes kommt: Proaktive Verteidigung ist die einzige Verteidigung

Profis auf jeder Konferenz sagt dasselbe: Kontinuierliche Überwachung und proaktives Schwachstellenmanagement sind keine „Nice-to-Have“ mehr. Sie sind lebensnotwendig. Die steigende Häufigkeit und Komplexität von Angriffen erfordert einen grundlegenden Wandel von reaktivem Krisenmanagement zu proaktiven Verteidigungsstrategien.

Save-the-Date: Oktober-Events, die man nicht verpassen sollte

Die Diskussion geht im Oktober weiter, mit drei großen Veranstaltungen, die Rom zum Zentrum der italienischen Cybersicherheit machen:

AFCEA TechNet Europe Rome 2025 (1. – 2. Oktober) bringt Verteidigungsexpertise, Branchenführung und Technologieinnovation zusammen, um aufkommende Bedrohungen und modernste Lösungen zu diskutieren.

Cybertech Europe (21. – 22. Oktober) bietet die Gelegenheit, mit führenden Cybersecurity-Profis in Kontakt zu treten, Live-Demonstrationen zu sehen und tief in die Herausforderungen und Lösungen einzutauchen, die Italiens digitale Resilienz prägen.

Richmond Cyber Resilience Forum (28. – 30. Oktober) wird zu ein Treffpunkt für Angebot und Nachfrager innovativer Lösungen. Hier können die italienischen Unternehmen mit Industrie-Fachgrößen zusammentreffen, um sich über die neuesten Trends und Strategien im Bereich Cybersicherheit zu informieren.

OPENVAS S.r.l. wird auf alle drei Events vertreten sein, Enterprise-Lösungen für Schwachstellenmanagement präsentieren, Einblicke in KI-gesteuerte Sicherheit geben und zeigen, wie Organisationen Compliance von einer reinen Pflichtübung in eine proaktive Verteidigungsstrategie verwandeln können.

Der Weg nach vorne

Das Jahr 2025 erweist sich als eine entscheidende Zeit für die Cybersicherheit in Italien. Die Bedrohungen sind real und wachsen, ebenso wie unsere kollektive Reaktion. Jede Konferenz, jede Zusammenarbeit und jede Innovation bringt uns einen Schritt näher daran, die Herausforderungen von heute in die Resilienz von morgen zu verwandeln.

Die Frage ist nicht, ob man einem Cyberangriff begegnen wirt, sondern ob man bereit ist, wenn er kommt. Warten Sie nicht auf den Weckruf. Jetzt ist die Zeit, Ihre Cyberabwehr zu stärken.

Bereit, Erkenntnisse in Maßnahmen umzusetzen? Treffen Sie uns bei den Events im Oktober oder kontaktieren Sie uns noch heute, um zu erfahren, wie Enterprise-Schwachstellenmanagement die Sicherheitslage Ihrer Organisation transformieren kann.

CVE-2025-10035 (CVSS 10.0) ist eine neue Schwachstelle kritischer Kritikalität in Fortra GoAnywhere MFT (Managed File Transfer). Diese CVE mit maximalem Risiko kann nicht authentifizierte Remote-Code-Ausführung (RCE, Remote Code Execution) ermöglichen. Greenbone kann anfällige Systeme identifizieren, das Einspielen aktueller Sicherheitsupdates ist dringend empfohlen. 

cvss 10 in fortra goanywhere - security vulnerability

GoAnywhere ist eine zentrale Managed File Transfer (MFT)-Plattform, die Dateiaustausch innerhalb eines Unternehmens sowie mit geschäftlichen Kontakten und Klientel ermöglicht. Die Anwendung erbringt ebenfalls Audit- und Compliance-Berichte, die die Einhaltung von Sicherheitsrichtlinien dokumentieren. 

Die Ursache der CVE liegt in einer Deserialisierungs-Schwachstelle [CWE-502] in Fortra GoAnywhere MFTs License Servlet. Diese Schwachstelle ermöglicht das Fälschen von Lizenzantworten, um beliebige Befehle einzuschleusen und auszuführen [CWE-77]. Reale Ausnutzung wurde bisher zwar noch nicht bestätigt, allerdings war Fortra in der Vergangenheit bereits ein attraktives Ziel für Ransomware-Angriffe. Im Jahr 2023 führte die Schwachstelle CVE-2023-0669 (CVSS 7.2) zu mehreren hochkarätigen Sicherheitsvorfällen durch Ransomware-Gruppe Clop. Machbarkeitsnachweise (PoC, Proof of Concept) für CVE-2025-10035 sind bisher nicht verfügbar, eine detaillierte technische Analyse allerdings schon. Diese Analyse beinhaltet jedoch nicht die vollständige Exploit-Kette – einige Details sind bislang ungeklärt.

CVE-2025-10035 hat bereits mehrere nationale CERT-Warnungen ausgelöst – darunter von Kanadas Canadian Centre for Cyber Security [1], dem niederländischen NCSC-NL [2] und Indiens CERT-In [3]. Das deutsche BSI hat eine Warnung [WID-SEC-2025-2090] veröffentlicht und einen CVSS Temporal Score von 8,7 vergeben. Dieser Wert spiegelt den nicht verifizierten Ausnutzungsstatus (E:U), Verfügbarkeit eines offiziellen Sicherheitsupdates (RL:O) und hohes Vertrauen in den Bericht (RC:C) wider.

Greenbone reagierte schnell mit einem remote Versionserkennungstest im OPENVAS ENTERPRISE FEED, der es Verteidigungsteams ermöglicht, anfällige Instanzen von Fortra GoAnywhere MFT zu erkennen und Sicherheitslücken zu schließen.

Risikobewertung für CVE-2025-10035 in Fortra GoAnywhere

Allein anhand der CVSS-Bewertung von 10 ist das Risiko durch CVE-2025-10035, sofern die Admin-Konsole von GoAnywhere öffentlich über das Internet zugänglich ist, extrem hoch. Die Angriffskomplexität wird als gering eingestuft, User-Interaktion ist nicht erforderlich und erfolgreiche Ausnutzung könnte vollständige Kontrolle über das System ermöglichen.

Öffentliche Zugänglichkeit ist jedoch kein zwingendes Kriterium für die Ausnutzung. Instanzen im privaten Netzwerk können ebenfalls ausgenutzt werden, beispielsweise durch sogenannte „böswillige Insider“-Bedrohungen oder sogar als vertrauenswürdig eingestuften Drittparteien [T1199]. Der Verizon Data Breach Investigations Report (DBIR) 2025 identifiziert Missbrauch von Berechtigungen (beschrieben als schädliche Aktionen von Insider-Bedrohungen) als Hauptursache für 8% der Sicherheitsvorfälle, die 2024 untersucht wurden. Diese Zahl überrascht und untergräbt die gängige Annahme, dass nur öffentliche Schwachstellen primäre Bedrohungen für die Cyber-Resilienz darstellen.

Technische Analysis von CVE-2025-10035 in Fortra GoAnywhere

Das License Servlet von GoAnywhere wird für die Aktivierung des GoAnywhere MFT-Lizenzpakets in Setup-, Verlängerungs- und Migrationsprozessen verwendet. Das License Servlet beinhaltet die Java-Deserialisierung des codierten „SignedObject“. Im Fall von CVE-2025-10035 kann dieser Deserialisierungsprozess Berichten zufolge zu Remote-Code-Ausführung (RCE) führen.

Die Analyse von Watchtorw zeigt eine Pre-Authentication-Schwachstelle, bei der ein für den weiteren Vorgang nötiges Authentifizierungstoken über die Unlicensed.xhtml-Seite zurückgegeben wird, selbst wenn eine Instanz bereits lizenziert ist. Eine fehlerhafte HTTP-GET-Anfrage an diesen Pfad, wie etwa /goanywhere/license/Unlicensed.xhtml/x?, generiert fälschlicherweise ein valides Lizenzanforderungs-Token und liefert dieses verschlüsselt in einem gebündelten Datenobjekt zurück. Grund hierfür ist, dass die Fehlerbehandlungsfunktion AdminErrorHandlerServlet, intern ein gültiges Lizenzanforderungs-Token erzeugt, dieses mit der nicht authentifizierten Sitzung verknüpft und in dem erwähnten serialisierten Objekt zurückgibt. Dieses Datenpaket ist mit einem hartkodierten Key verschlüsselt, der offline entschlüsselt werden kann, um ein gültiges GUID-Authentifizierungstoken in Klartext zu extrahieren.

Ist das GUID-Token wiederhergestellt, könnten nicht authentifizierte Angriffe über den License Servlet Endpunkt POST /goanywhere/lic/accept/<GUID> … bundle=<payload> bösartige serialisierte Payloads einschleusen. Der Angriffsmechanismus zur Deserialisierung des Payloads ist bisher jedoch unbekannt, da das Payloat mit Fortras eigenem gültigen privaten Key signiert werden muss. Die Sicherheitsforschung weist auf mögliche Mechanismen hin, wie zum Beispiel ein gestohlener privater Key oder die Existens bösartiger Payloads, die versehentlich mit Fortras privatem Key signiert wurden.

Risikominderung von CVE-2025-10035 in Fortra GoAnywhere

Fortra hat eine Sicherheitsmeldung [FI-2025-012] veröffentlicht, die Anweisungen zur Minderung von CVE-2025-10035 beinhalten. Die vollständige Behebung erfordert eine Aktualisierung auf eine korrigierte Version: entweder auf 7.8.4 (aktuell) oder 7.6.3 (Sustain). Vorübergehend kann das Risiko gesenkt werden, indem Zugang zur Admin-Konsole eingeschränkt wird.

Fortra fordert ebenfalls auf, nach Indikatoren für Kompromittierung (IoC, Indicators of Compromise) zu suchen, insbesondere Stack-Trace-Logs, die einen Fehler bei SignedObject.getObject zeigen. Dieser Eintrag deutet stark darauf hin, dass die Instanz bereits für einen Angriff ausgenutzt wurde. Gemäß Best Practices sollten Betroffene auch Status-Updates an ihre Kundschaft und Drittbeteiligte bereitstellen.

Zusammenfassung

CVE-2025-10035 eine Schwachstelle mit CVSS 10 und maximaler Schwere in der Deserialisierung von GoAnywhere MFT, die nicht authentifizierte RCE ermöglichen kann. 2023 wurde eine andere GoAnywhere MFT-CVE bereits umfangreich ausgenutzt und mehrere nationale CERTs haben Warnungen zu der Schwachstelle ausgegeben, was auf ein hohes Risiko hinweist. Der OPENVAS ENTERPRISE FEED beinhaltet einen Versionserkennungstest, um anfällige Instanzen sichtbar zu machen. Insbesondere öffentliche, aber auch lokale Instanzen sollten dringend identifiziert und aktualisiert werden.

Dr. Jan-Oliver Wagner

Nach vielen Jahren an der Spitze von Greenbone zieht sich unser Mitgründer Dr. Jan-Oliver Wagner aus der aktiven operativen Geschäftsführung zurück. Er bleibt dem Unternehmen jedoch weiterhin als Berater eng verbunden. Wir danken Dr. Wagner für sein außergewöhnliches Engagement und all das, was er für Greenbone seit der Gründung erreicht hat.

 

 

Elmar Geese

Neuer CEO ist Elmar Geese, seit 2019 Teil der Greenbone Geschäftsführung. Mit seinem Wechsel an die Spitze setzen wir auf Kontinuität und Stabilität – sowohl für unsere Kunden, Mitarbeiter als auch für unsere Gesellschafter.

CVE-2025-54236 (CVSS 9.1) ist eine Account-Takeover-Schwachstelle, die unter bestimmten Voraussetzungen zur Ausführung von Code aus der Ferne (Remote Code Execution, RCE) führen kann. CVE-2025-54236, bekannt unter dem Namen „SessionReaper“ betrifft Adobe Commerce, Adobe Commerce B2B und Magento Open Source Webanwendungen. Die Ursache ist unzureichende Eingabevalidierung CWE-20 in der REST API. Adobes offizieller Sicherheitshinweis beschreibt das Problem ohne weitere Erklärung als „Security Feature Bypass“.

Blog Banner: Session reaper CVE-2025 54236

Die Exploit-Kette von CVE-2025-54236 beginnt mit einer verschachtelten Deserialisierungs-Schwachstelle [CWE-502] und führt zu einer manipulierten Session für ein Kundenkonto. Sicherheitsforschende von Sansec behaupten, die Nutzung dateibasierter Session-Speicherung würde RCE ermöglichen. Überdies sei die Existenz weiterer Angriffsketten, z.B. RCE über Redis- oder Datenbank-Session-Speicherung denkbar. Blaklis wird die Entdeckung und verantwortliche Meldung von CVE-2025-54236 über die Plattform HackerOne zugeschrieben.

Eine vollständige technische Beschreibung, PoC (Proof-of-Concept, Machbarkeitsnachweis) oder gar Exploit-Kits sind bislang nicht öffentlich verfügbar. Dennoch gab Frankreichs CERT-FR bereits eine öffentliche Meldung über die Schwachstelle aus. Greenbone’s OPENVAS ENTERPRISE FEED stellt einen Remote-Banner-Check zur Identifizierung angreifbarer Systeme und Patch-Prüfung zur Verfügung.

Risikobewertung zu CVE-2025-54236 (aka „SessionReaper“)

Magento Open Source (veröffentlicht 2008) und das kommerzielle Gegenstück Adobe Commerce gehören zu den meist genutzten E-Commerce-Plattformen der Welt. Stand 2024 stützen sie schätzungsweise 200.000-250.000 aktive Shops, womit Magento zu den führenden E-Commerce-Systemen weltweit gehört. Diese Verbreitung mach Magento zu einem attraktiven Angriffsziel.

Frühere Magento-Schwachstellen wurden bereits wenige Stunden nach Veröffentlichung für massenhafte Angriffe ausgenutzt [1][2][3][4]. Im aktuellen Vorfall geriet Adobes Sicherheitsupdate versehentlich vorzeitig an die Öffentlichkeit, wodurch Angreifende einen Zeitvorteil für die Entwicklung von Exploit-Code gewinnen konnten. Bei erfolgreicher Ausnutzung könnten Angreifende Malware installieren [T1105] um den Versuch zu unternehmen, unbemerkt beständigen Zugang [TA0003] auf die Infrastruktur des Opfers zu erhalten. Dies könnte weitere Angriffe nach sich ziehen, beispielsweise Diebstahl von Kreditkarteninformationen für betrügerische Transaktionen [T1657], den Diebstahl anderer sensibler Daten [TA0010], Phishing-Angriffe [T1566] gegen Nutzende der Website, oder den Einsatz von Ransomware gegen das Opfer [T1486].

Abwehrmaßnahmen zu CVE-2025-54236 (aka „SessionReaper“)

CVE-2025-54236 betrifft Adobe Commerce, Adobe Commerce B2B und Magento Open Source über mehrere Versionen hinweg, sowie das Modul Custom Attributes Serializable auf allen Plattformen und Bereitstellungsarten [1]. Adobes Knowledge Base beschreibt Versionen 0.1.0 – 0.4.0 als betroffen, rät allerdings widersprüchlicherweise zu einem Update auf Version 0.4.0 oder höher.

Nutzende sind angewiesen, den von Adobe bereitgestellten Hotfix-Patch zu installieren, oder augenblicklich auf die neueste Version zu aktualisieren, um ihr Online-Business und ihren Kundenkreis zu schützen. Ebenfalls sollte genau geprüft werden, ob eine Instanz bereits kompromittiert wurde und im Falle einer Infektion die Schadsoftware beseitigt werden. Adobe hat außerdem einen Developer Guide veröffentlicht, um die notwendige Anpassung der REST-API zu erklären. Der OPENVAS ENTERPRISE FEED beinhaltet einen Remote Banner Check zur Identifizierung anfälliger Systeme.

Zusammenfassung

CVE-2025-54236 stellt ein kritisches Risiko für Nutzende von Magento und Adobe Commerce dar. Für Angreifende ermöglicht die Sicherheitslücke Account-Übernahme und potenziell unauthentifizierte RCE auf der Infrastruktur des Opfers. Verteidigungsteams sollten anfällige Systeme umgehend identifizieren und aktualisieren. Greenbones OPENVAS ENTERPRISE FEED hilft bei der Erkennung verwundbarer Systeme und Verifizierung des Risikostatus. IT-Sicherheitsteams sollten ihre Systeme auditieren, um mögliche Kompromittierungen zu entdecken und Infektionen zu entfernen, falls entsprechende Indikatoren (Indocators of Compromise, IoC) festgestellt werden sollten.

Der August 2025 Threat Report unterstreicht, wie schnell hochriskante Schwachstellen zu aktiven Bedrohungen werden. Schwachstellen von Citrix, Fortinet, N-able und Trend Micro wurden innerhalb weniger Tage ausgenutzt. Andere kritische Probleme traten in häufig anvisierter Software wie Microsoft Exchange auf. Mainstream Enterprise Anwendungen wie Docker Desktop, Git und Zoom waren diesen Monat ebenfalls neuen Schwachstellen ausgesetzt. Schauen wir uns nun einige der größten Cyber Bedrohungen an, die im August 2025 zum Vorschein kamen.Blogbanner Thread report August 2025

Trio hochriskanter Citrix NetScaler CVEs: Eine in aktiver Ausnutzung

Citrix wies auf die aktive Ausnutzung von CVE-2025-7775 und zwei weiterer Hochrisiko-CVEs hin. Das Trio betrifft NetScalerADC und NetScaler Gateway in diversen Konfigurationen. Bisher wurde lediglich CVE-2025-7775 in CISA’s Katalog bekannter, ausgenutzter Schwachstellen (Known Exploited Vulnerabilities, KEV) aufgenommen. Mehrere nationale CERT-Warnungen wurden weltweit erteilt [1][2][3][4][5][6][7]. Die Installation aktueller Patches wird dringend empfohlen.

  • CVE-2025-7775 (CVSS 9.8, EPSS ≥92. Perzentil): Ein Speicherüberlauf (Memory-Overflow) [CWE-119] ermöglicht Ausführung von Remote Code (Remote-Code-Execution, RCE) oder Denial of Service (DoS), wenn NetScaler als Gateway (VPN-Virtual-Server, ICA-Proxy, CVPN, RDP-Proxy) oder AAA-Virtual-Server konfiguriert ist.
  • CVE-2025-6543 (CVSS 9.8): Speicherüberlauf [CWE-119] führt zu unbeabsichtigtem Kontrollfluss und DoS, wenn NetScaler als Gateway (VPN-Virtual-Server, ICA-Proxy, CVPN, RDP-Proxy) oder AAA-Virtual-Server konfiguriert ist.
  • CVE-2025-7776 (CVSS 8.8): Speicherüberlauf [CWE-119] führt zu unvorhersehbarem Verhalten und DoS, wenn NetScaler als Gateway (VPN-Virtual-Server, ICA-Proxy, CVPN, RDP-Proxy) mit einem PC-over-IP (PcoIP)-Profil konfiguriert ist. PcoIP ist ein Remote-Display-Protokoll für den Zugriff auf virtuelle Desktops.

Erst im Juni 2025 wurde eine weitere, hochriskante Schwachstelle in NetScaler ADC und Gateway unter dem Namen „CitrixBleed 2“ bekannt, die kurz nach Bekanntgabe aktiv für Ransomware-Angriffe ausgenutzt wurde. Greenbones OPENVAS ENTERPRISE FEED beinhaltet einen remote Versionserkennungstest für die drei neuen CVEs sowie für CitrixBleed 2.

Notfall-Patch für Microsoft Exchange Hybridbereitstellung

CVE-2025-53786 (CVSS 8.0) ist eine hochriskante Post-Authentifizierungs-Schwachstelle zur Rechteausweitung in Microsoft Exchange Hybrid-Umgebungen. In einer Hybridbereitstellung wird eine lokale Active Directory (AD)-Domäne mit einer cloudbasierten Azure AD synchronisiert; beide erkennen Geräte und Dienste. Im Falle einer Ausnutzung von CVE-2025-53786 können Angreifende mit Admin-Zugang zu einem lokalen Exchange Server lateral auf Microsoft 365 Exchange Online zugreifen [CWE-287] und potenziell den Authentifizierungsprozess modifizieren, um Persistenz zu erreichen [T1556.007].

Ausnutzbarkeit, darunter Authentifizierungsumgehung, laterale Bewegung [TA0008] und Datenexfiltration [TA0010], wurde auf der Black Hat 2025 demonstriert. Obwohl keine reale Ausnutzung festgestellt wurde, wies Microsoft eine erhöhte Ausnutzungswahrscheinlichkeit zu. CISA gab eine Notfall-Direktive (ED 25-02) aus und warnte, CVE-2025-53786 könne zu vollständiger Kompromittierung von Domänen in Hybridumgebungen führen. Diverse staatliche CERT-Agenturen gaben ebenfalls Warnungen aus [1][2][3][4][5][6][7]. Der OPENVAS ENTERPRISE FEED beinhaltet zwei remote Versionserkennungstests zur Erkennung anfälliger Instanzen von Microsoft Exchange [8][9].

Dringende Sicherheitswarnung zu Cisco Secure Firewall Management Center

CVE-2025-20265 (CVSS 10) in eine RCE-Sicherheitslücke (Remote Code Ausführung) in physischen und virtuellen Appliances von Cisco Secure Firewall Management Center (FMC). Sie tritt auf, wenn eine Appliance mit RADIUS für web-basierte Authentifizierung oder Management-Zugang via SSH konfiguriert ist. Die Schwachstelle entsteht durch unangemessene Eingabeverarbeitung, was nachgelagert zu Befehls-Injektion im Authentifizierungsprozess führen kann [CWE-74]. Unauthentifizierte Angreifende können möglicherweise beliebige Shell-Befehle einschleusen und mit erhöhten Rechten ausführen lassen.

Frei zugänglicher Exploit-Code oder aktive Angriffe wurden bisher nicht gemeldet. Allerdings waren Cisco-Edge-Devices in der Vergangenheit bereits häufig Ziele für APT-Gruppen [1][2][3]. In Anbetracht der Tatsache, dass sich Cisco FMC häufig am Netzwerkrand befindet und CVE-2025-20265 ein CVSS-Wert von 10 zugewiesen wurde, besteht dringender Handlungsbedarf für betroffene Systeme.  Cisco hat Sicherheitsupdates veröffentlicht und gleichzeitig erklärt, dass keine Workarounds verfügbar seien, das Deaktivieren der RADIUS-Authentifizierung allerdings eine vorübergehende Risikominderung darstellen könne. Greenbones OPENVAS ENTERPRISE FEED beinhaltet einen remote Versionserkennungstest, um ungepatchte FMC-Geräte aufzuspüren.

FortiSIEM ausgenutzt und weitere Hochrisiko-CVEs in Fortinet-Produkten

Fortinet war im August das Subjekt mehrerer schwerwiegender Schwachstellen. Insgesamt wurden für Fortinet 14 CVEs veröffentlicht — davon sechs mit hoher bis kritischer CVSS-Stufe. Einige nationale CERT-Agenturen behandelten die drei schwerwiegendsten CVEs dieser Gruppe [1][2][3], während sich andere lediglich auf die gravierendste Schwachstelle konzentrierten — CVE-2025-25256 [4][5][6][7][8] — welche von Fortinet als aktiv ausgenutzt gemeldet wurde. Auch hier steht Greenbone mit Versionserkennungstests und aktiven Tests  im OPENVAS ENTERPRISE FEED zur Seite, um FortiSIEM-Geräte zu identifizieren, die für CVE-2025-25256 anfällig sind. Zudem sind eine Reihe spezialisierter Tests für Fortinet-Schwachstellen enthalten, unter anderem folgende:

  • CVE-2025-25256 (CVSS 9.8, EPSS ≥ 95. Perzentil): Fehlerhafte Neutralisierung spezieller Elemente in einem Betriebssystembefehl [CWE-78] ermöglicht unauthentifizierten Angreifenden aus der Ferne, über Anfragen an den phMonitor-Dienst auf TCP-Port 7900 unautorisierten Code auszuführen. Fortinet bestätigt aktive Ausnutzung. Eine vollständige technische Beschreibung sowie Proof-of-Concept (Machbarkeitsnachweis, PoC) sind verfügbar. FortiSIEM 5.4 und diverse Unterversionen von FortiSIEM 6 und 7 sind betroffen.
  • CVE-2024-26009 (CVSS 8.1): Eine Umgehung der Authentifizierung über alternative Pfade oder Kanäle [CWE-288] ermöglicht unauthentifizierten Angreifenden, die Kontrolle über verwaltete Geräte zu übernehmen. Dies geschieht durch den Einsatz spezieller FortiGate-to-FortiManager-Protokoll (FGFM)-Anfragen. Für einen erfolgreichen Angriff muss das FortiGate-Gerät durch einen Fortimanager verwaltet werden, dessen Seriennummer der angreifenden Person oder Gruppe bekannt ist. Mehrere Versionen von FortiOS, FortiPAM und FortiSwitchManager sind betroffen.
  • CVE-2025-52970 (CVSS 8.1): Eine fehlerhafte Parameterbehandlung [CWE-233] ermöglicht unauthentifizierten entfernten Angreifenden, die über vertrauliche Informationen zum Zielgerät und einen bestehenden User verfügen, sich mittels einer speziell präparierten HTTP-Anfrage als beliebige User anzumelden. Mehrere Unterversionen von FortiWeb 7 sind betroffen.

Zwei neue N-Able CVEs rasant aktiv ausgenutzt

Zwei neue CVEs bezüglich N-Ables N-central stellen ein hohes Risiko für Unternehmen dar, welche die Software verwenden. Beide CVEs wurden zu CISAs KEV-Katalog hinzugefügt und nationale CERT-Warnungen wurden von NCSC.nl [1], dem Kanadischen Cyber Centre [2] und Südkoreas K_CERT [3] ausgegeben. N-central ist eine Plattform für Monitoring und Management aus der Ferne (RMM), die großflächig eingesetzt wird um Netzwerke und Systeme zu überwachen und zu verwalten. Obwohl die Ausnutzung beider Schwachstellen eine Authentifizierung erfordern besteht erhöhtes Risiko durch gestohlene Zugangsdaten [TA0006], Passwort-Wiederverwendung [T1078], Insider-Bedrohungen und weiterer potenzieller Angriffsvektoren.

  • CVE-2025-8876 (CVSS 8.8, EPSS ≥ 95. Perzentil): Ungesäuberte Eingaben werden in OS-Shell-Befehle injiziert [CWE-78], was Remote-Code-Ausführung (RCE) mit den Rechten der N-Central-Anwendung ermöglicht.
  • CVE‑2025‑8875 (CVSS 7.8, EPSS ≥ 93. Perzentil): Unsichere Deserialisierung unkontrollierter Daten [CWE-502] kann es Angreifenden ermöglichen, sogenannte Objekt-“Gadget“-Ketten zu konstruieren, welche beliebige RCE oder unautorisierte Änderungen am Anwendungszustand ermöglichen.

N-central Versionen vor 2025.3.1 sind betroffen. Einen Tag nach Veröffentlichung der CVEs berichtete Shadowserver über ~1.000 ungepatchte N-central Server, die ans öffentliche Internet exponiert waren. Zwei Wochen später waren die meisten davon weiterhin nicht aktualisiert. Der OPENVAS ENTERPRISE FEED kann anfällige Versionen von N-central aus der Ferne erkennen, was Verteidigungsteams schnelle und gezielte Risikominderung ermöglicht.

Angriff auf neue kritische Trend Micro Apex One Schwachstelle

CVE-2025-54948 (CVSS 9.8, EPSS ≥ 94. Perzentil) und CVE-2025-54987 (CVSS 9.8, EPSS ≥ 63. Perzentil) sind nicht authentifizierte RCE-Schwachstellen, welche die lokale (on-premises) Trend Micro Apex One Management Konsole betreffen. Beide CVEs basieren auf der selben Sicherheitslücke, betreffen allerdings verschiedene CPU-Architekturen. Das zugrundeliegende Problem ist eine Schwachstelle, die es Angreifenden ermöglicht, durch das Hochladen präparierter Dateien vor der Authentifizierung Befehle ins Betriebssystem zu injizieren [CWE-78]. Ein kompromittiertes Gerät gibt Angreifenden direkten Zugriff auf die Sicherheitsinfrastruktur des angegriffenen Unternehmens. Erfolgreiche Ausnutzung erfordert Zugriff, entweder direkt oder aus der Ferne, was ans Internet exponierte Instanzen einem besonderen Risiko aussetzt. Lokale Instanzen könnten Angreifenden zusätzlich eine Gelegenheit für laterale Bewegung [TA0008] liefern, nachdem sie initial [TA0001] über das Netzwerk des Opfers Zugang erhalten haben.

Trend Micro zufolge, ist aktive Ausnutzung zu befürchten und CISA hat CVE-2025-54948 zum KEV-Katalog hinzugefügt, wo es sich zu vielen weiteren ausgenutzten Apex One Sicherheitslücken gesellt, die bis 2021 zurückreichen. Nationale CERT-Warnungen wurden von Regierungsbehörden weltweit ausgegeben [1][2][3][4][5]. Apex One (on-premises) 2019 (14.0) Version 14.0.0.14039 und darunter sind betroffen. Bitte beachten Sie die offizielle Sicherheitswarnung, welche ein Tool zur Deaktivierung der Remote Install Agent Funktion bereitstellt, für Anweisungen zu Gegenmaßnahmen. Greenbones OPENVAS ENTERPRISE FEED hilft Ihnen, betroffene Endpunkte lokal aufzuspüren.

Git-Repository-Kloning Schwachstelle aktiv ausgenutzt

CVE-2025-48384 (CVSS 8.0, EPSS ≥ 88. Perzentil), früh im Juli 2025 veröffentlicht, wurde zu CISAs KEV-Katalog hinzugefügt und die Ausnutzbarkeit wurde als trivial eingestuft. Die Schwachstelle beschreibt einen beliebigen Dateischreibvorgang beim Klonen eines speziell präparierten Repositories, das Submodule mit der ‚recursive‘ flag verwendet — beispielsweise git clone –recursive <repo> — eine Option, die Submodule beim Klonen automatisch mitlädt. Die Ursache der Schwachstelle liegt in der fehlerhaften Behandlung nachgestellter Wagenrücklaufzeichen (Carriage Return, CR) in Konfigurationswerten, was potenziell zu RCE führen kann. Zur Ausnutzung müssen Angreifende ihre Opfer dazu bringen, ein solches präpariertes Git-Repository zu klonen.

Eine vollständige technische Beschreibung und Exploits mit bösartigen .gitmodules-Dateien sind bereits online verfügbar [1][2][3].  INCIBE-CERT hat eine Warnung herausgegeben [4] und CISA hat die Schwachstelle auf die KEV-Liste gesetzt [5].  Betroffen sind diverse Versionen von Git bis 2.50.0. Der OPANVAS ENTERPRISE FEED und der OPENVAS COMMUITY FEED enthalten lokale Paket-Erkennungstests für CVE-2025-48384.

Container Escape in Docker Desktop für Windows und macOS

CVE-2025-9074 (CVSS 9.3) ist eine Container-Escape-Schwachstelle in Docker für Windows und macOS. Die Schwachstelle ermöglicht es Angreifenden, bei der Ausführung eines bösartigen Containers unautorisierten Zugriff auf das Host-System des Opfers zu erlangen. Wie sich herausstellte war die Docker Engine API ohne Authentifizierung via TCP/IP unter 192.168.65.7:2375 zugänglich. Dieser Kanal umgeht gängige Socket-Beschränkungen und macht somit Dockers Enhanced Container Isolation (ECI) wirkungslos. Unter Windows können Angreifende System-DLLs einhängen und überschreiben, um volle administrative Kontrolle zu erlangen. Auf macOS ist der Zugriff auf das Host-Dateisystem aufgrund von Schutzmechanismen des Betriebssystems stärker eingeschränkt. Linux-Instanzen sind nicht betroffen.

Proof-of-Concepts zeigen triviale Ausnutzbarkeit — bereits wenige Zeilen Python oder eine simple HTTP-Anfrage können anfällige Instanzen von Docker Desktop kompromittieren. Ein detaillierter technischer Bericht, die Existenz von mindestens einem öffentlichen Exploit und die verbreitete Nutzung von Docker erhöhen das Risiko von CVE-2025-9074. Ein Versionserkennungstest für Windows-Installationen ist im OPENVAS ENTERPRISE FEED enthalten.

Kritische Schwachstelle im Zoom Client für Windows ermöglicht unauthentifizierte RCE

CVE-2025-49457 (CVSS 9.6) betrifft mehrere Zoom-Produkte für Windows, darunter Zoom Workplace, VDI, Rooms, Rooms Controller und Meeting SDK vor Version 6.3.10. Grund für die Sicherheitslücke ist eine Unsichere-Suchpfad-Schwachstelle [CWE-426], die auf fehlerhafte Behandlung von DLL-Pfaden zurückgeht. Als „DLL-Side-Loading“ bekannt tritt diese Lücke auf, wenn die Windows-API-Funktion LoadLibrary() ohne einen vollständig qualifizierten Dateipfad aufgerufen wird. In diesem Fall folgt Windows der standardmäßigen DLL-Suchreihenfolge. Wenn Angreifende eine Datei in einem so durchsuchten Verzeichnis ablegen können, wird diese somit geladen und ausgeführt. Daher ist CVE-2025-49457 in Verbindung mit Social-Engineering-Angriffen [T1566] und Insider-Bedrohungen, die auch 2025 weiterhin verbreitet sind, besonders gefährlich. Ausnutzung ermöglicht Angreifenden Rechteausweitung und die Ausführung beliebigen Codes, potenziell auf Windows-SYSTEM-Level.

Malaysias MyCERT [1] und Hongkongs CERT-HK [2] gaben Sicherheitshinweise heraus. Das Problem ist in Zoom Versionen 6.3.10 und folgend behoben, Organisationen sollten dringend den Aktualisierungsstatus prüfen. Obwohl einige Desktop-Anwendungen, darunter auch Zoom, automatische Updates unterstützen, ist in ausgedehnten IT-Infrastrukturen die manuelle Prüfung durch Sicherheitsteams unabdingbar. Der OPENVAS ENTERPRISE FEED automatisiert dies mittels aktiver Prüfung auf anfällige Zoom-Anwendungen.

Zusammenfassung

Der August 2025 Threat Report beleuchtet neue hochriskante Schwachstellen über diverse, weit verbreitete Plattformen hinweg. Verteidigungsteams hatten letzten Monat alle Hände voll zu tun, um wehrhaft zu bleiben gegen die aktive Ausnutzung von Citrix NetScaler kurz nach CitrixBleed 2, einer dringenden Aktualisierung von Microsoft Exchange, einer maximal schweren Cisco Secure Firewall CVE und dem Auftreten von Fortinet, N-able und Trend Micro Exploits. Neue Docker Desktop, Git und Zoom Schwachstellen kamen hierbei erschwerend hinzu. Greenbones OPENVAS SECURITY INTELLIGENCE entlastet Verteidigungsteams durch schnelle Erkennung und Gewissheit über den Sicherheitsstatus Ihres Unternehmens.

Utrecht wird am 10. und 11. September 2025 zum Treffpunkt der Cybersecurity-Branche. OPENVAS B.V. ist erstmals mit einem Stand auf der Cybersec Netherlands vertreten – ein wichtiger Meilenstein, um nach der Gründung der Niederlassung für die Benelux-Staaten unsere lokale Präsenz auszubauen und den direkten Austausch mit geschäftlichen Kontakten zu fördern. Die Region zählt zu den innovativsten Standorten Europas im Bereich Digitalisierung und IT-Infrastruktur. Mit unserer Präsenz stärken wir diesen Innovationsgeist und stehen Unternehmen in der Region mit umfassender Expertise, praxisnahen Lösungen und einem klaren Verständnis für die Anforderungen des lokalen Marktes zur Seite.

Blog Banner Cybersec 2025

Ein starkes Signal für die Benelux-Region

„Nicht zuletzt durch regulatorische Anforderungen wie NIS2 erkennen viele Organisationen die Bedeutung einer proaktiven IT-Sicherheitsstrategie. Gleichzeitig wünschen sie sich den persönlichen Austausch über unsere Lösungen. Die Cybersec Netherlands bietet die ideale Plattform dafür“, erklärt Maurice Godschalk, Account Director bei OPENVAS B.V. Mit der niederländischen Tochtergesellschaft verstärkt Greenbone seine Präsenz in Europa und unterstützt lokale Institutionen dabei, Schwachstellen frühzeitig zu erkennen und Risiken effektiv zu reduzieren.

Aktuelle Herausforderungen im Fokus

Die Zahl ungeschlossener Sicherheitslücken in digitalen Infrastrukturen steigt weiter, während Cyberkriminelle bekannte Schwachstellen mithilfe neuer Technologien gezielt und immer schneller ausnutzen. Gleichzeitig erschwert die zunehmende Komplexität der IT-Umgebungen vielen Organisationen den vollständigen Überblick über ihre Systeme. Hier ist ein professionelles Schwachstellenmanagement unverzichtbar – es bildet den zentralen Baustein für stärkere Cyber-Resilienz.

Besuchen Sie uns in Utrecht!

Auf der Messe diskutieren Sicherheitskoryphäen konkrete Ansätze, wie Organisationen ihre Cyber-Resilienz nachhaltig stärken können. Interaktive Sessions, Live-Demonstrationen und Fachvorträge fördern den Austausch zwischen Unternehmen, Behörden und Sicherheitsprofis, und tragen so zu einer gemeinsamen Sicherheitskultur bei.

Erleben Sie OPENVAS B.V. live am Stand 11.E069 und informieren Sie sich über unsere Lösungen für skalierbares und effizientes Schwachstellenmanagement. Das lokale Team um Maurice Godschalk freut sich auf den persönlichen Dialog, individuelle Beratung und praxisnahe Einblicke in unsere Technologie.

Die Cybersec Netherlands eröffnet einen spannenden Event-Herbst: In den kommenden Wochen und Monaten werden Greenbone und die Tochtergesellschaften auf zahlreichen führenden Konferenzen vertreten sein – mit dem klaren Ziel, Organisationen weltweit sicherer zu machen.

Unternehmen und Behörden müssen ab August 2025 die ersten Regelungen des EU AI Acts umsetzen – eine neue Ära der Verantwortung im Umgang mit Künstlicher Intelligenz beginnt. Weil der AI Act der EU nicht nur technische Anpassungen verlangt, sondern ein grundsätzliches Umdenken in den Köpfen, muss KI künftig differenziert nach Risiko und Anwendungsfall betrachtet werden. Das gilt umso mehr, wenn sie in sensible Lebensbereiche eingreift oder mit personenbezogenen Daten arbeitet.

Für Organisationen bedeutet das: Sie müssen sich intensiv mit dem Ökosystem rund um ihre KI-Systeme auseinandersetzen, Risiken frühzeitig erkennen und gezielt adressieren. Transparenz über die Datengrundlage, nachvollziehbare Modelle und menschliche Aufsicht sind keine Option mehr, sondern Pflicht. Gleichzeitig bietet der AI Act ein wertvolles Rahmenwerk, um Vertrauen aufzubauen und KI langfristig sicher und verantwortungsvoll zu nutzen. Auch Schwachstellenmanagement und Cybersecurity sind davon nicht ausgenommen.

Cybersecurity-Experten im KI-Interview

Wir haben Kim Nguyen, Senior Vice President Innovation von der Bundesdruckerei und lange Jahre der Chef und das Gesicht der Trusted Services dort, in einem Interview zum Thema KI, Regulierungen und dem Einfluss auf die Cybersecurity befragt. Außerdem gibt uns Greenbone-CMO Elmar Geese einen Ausblick auf die Zukunft des Schwachstellenmanagements.

Kim Nguyen, Senior Vice President für Innovation bei der Bundesdruckerei

Greenbone: Kim, das Thema KI und Cybersecurity ist ja derzeit in aller Munde, auch auf Veranstaltungen wie der jüngsten Potsdamer Konferenz für Cybersecurity. Und Sie sind da „mittendrin“ im gesellschaftlichen Diskurs.

Nguyen: Ja, dass das Thema Künstliche Intelligenz mir sehr am Herzen liegt, kann ich nicht leugnen, das sieht man in meinen Veröffentlichungen und Keynotes dazu. Mein Ansatz unterscheidet sich dabei ein wenig von den meisten anderen. Er hat viel mit Vertrauen zu tun, und das hat verschiedene Dimensionen: Eine davon ist Wohlwollen. Das bedeutet, das Wohl der einzelnen Nutzenden muss im Mittelpunkt stehen. User sind sicher, das System operiert zu ihrem Nutzen und verfolgt keine ihnen nicht bekannte Agenda.

Greenbone: Was denken Sie, wird die Cybersecurity insgesamt mit KI sicherer oder eher gefährlicher?

Nguyen: Künstliche Intelligenz ist natürlich längst in der Cybersicherheit angekommen und zwar als Risiko wie als Chance: Sie vergrößert einerseits den Angriffsvektor, denn Cyberkriminelle können ihre Angriffe schneller, automatisierter und gezielter durchführen. Andererseits kann sie dabei helfen, die Verteidigung zu härten, etwa bei der Analyse von Echtzeitdaten aus verschiedenen Sicherheitsquellen, um Sicherheitsvorfälle automatisch zu identifizieren und entsprechend zu reagieren.

„Ein Katz- und Mausspiel“

Wer bei diesem Katz- und Mausspiel zwischen Angreifenden und Verteidigeneden mithalten will, muss heute auch auf KI setzen, gerade in der Verteidigung. Die staatliche Regulierung ist dabei zentral, denn ohne entsprechende Gesetze und technische Vorgaben kann niemand unterscheiden, was erlaubt und vertrauenswürdig ist und was nicht.

Außerdem müssen Gesetzgebende bei dieser überaus dynamischen technischen Entwicklung weiterhin aktiv eingreifen, um Handlungs- und Rechtssicherheit zu gewährleisten. Das richtige Maß zu finden und gleichzeitig genug Freiräume zu lassen, damit Innovationen möglich bleiben und KI ein Enabler sein kann, ist nicht einfach, aber immens wichtig.

Greenbone: Was sind für Sie die wichtigsten Fragen/Regulierungen im EU AI Act und den Verordnungen, denen sich Unternehmen stellen müssen? Was kommt da noch auf uns zu? Wie bereitet sich denn eine große Institution wie die Bundesdruckerei vor?

Nguyen: Mit dem AI Act müssen Unternehmen ihre KI-Systeme risikobasiert einordnen und je nach Klassifizierung unterschiedlich strenge Anforderungen an Transparenz, Daten

qualität, Governance und Sicherheit erfüllen – und das insbesondere bei Hochrisiko-Anwendungen.

Es geht jedoch nicht nur darum, Compliance sicherzustellen, sondern auch den regulatorischen Rahmen als strategischen Hebel für vertrauenswürdige Innovation und nachhaltige Wettbewerbsfähigkeit zu nutzen. Dafür reicht es nicht, den Fokus lediglich auf ein entsprechendes KI-Modell zu legen. Wichtig sind ebenfalls die Integration, das Training des Modells und die Schulung der Nutzenden. Umfangreiche Sicherheitsleitplanken – so genannte „Guard Rails“ – müssen eingezogen werden, um sicherzustellen, dass ein System keine unerlaubten Vorgänge unternehmen kann.

„Eingespielte Prozesse bringen Nachvollziehbarkeit, Robustheit und Transparenz in den Vordergrund“

Die Bundesdruckerei als Technologieunternehmen des Bundes ist seit vielen Jahren im Hochsicherheitsbereich tätig. Wir verfügen über eingespielte Prozesse und Strukturen, die Nachvollziehbarkeit, Robustheit und Transparenz in den Vordergrund stellen und damit auch Vertrauen in verschiedene KI-Lösungen für die Verwaltung bringen: Mit dem KI-Kompetenzcenter unterstützen wir etwa Bundesbehörden und Ministerien bei der Entwicklung von KI-Anwendungen. Mit dem Auswärtigen Amt haben wir die Plattform PLAIN geschaffen, die eine gemeinsame Infrastruktur für Daten und KI-Anwendungen bietet oder mit Assistent.iQ einen KI-Assistenten entwickelt, der die Anforderungen der Verwaltung an Datensicherheit, Nachvollziehbarkeit und Flexibilität erfüllt.

Greenbone: Opensource ist ja ein Mindestkriterium für Vertrauen in Software, IT und Cybersecurity – Geht das mit KI überhaupt, und in welchem Maße?

Nguyen: Open Source ist ein wichtiges Thema bei KI, denn sie kann durch Prüfung von Codes und Modellen für notwendiges Vertrauen sorgen. Dafür müssen die Ergebnisse genau geprüft und bestätigt werden können. In diesem Fall braucht man eine Community, die sich regelmäßig einbringt und kümmert.

Oft ist der Open-Source-Ansatz vieler Projekte ambitioniert und ehrenwert, doch später werden manche Projekte nicht mehr genügend gepflegt oder kommen ganz zum Erliegen. Ohnehin muss man beim Thema Open Source und KI genau hinschauen, anders ausgedrückt: Open Source ist nicht gleich Open Source. Wenn KI-Entwickelnde ihre Modelle unter einer Open-Source-Lizenz veröffentlichen, bedeutet das längst nicht, dass man auch eine Open-Source-KI bekommt.

Wichtig sind zum einen die Zahlenwerte, die sogenannten Gewichte des KI-Modells, die bestimmen, wie dieses Eingaben verarbeitet und Entscheidungen trifft. Und zum zweiten auch die Trainingsdaten – und gerade diese werden der Kundschaft und den Nutzenden häufig vorenthalten. Dabei kann man erst mit ihnen zu einer Einschätzung kommen, wie nachvollziehbar, vertrauenswürdig und reproduzierbar ein Open-Source-Modell wirklich ist. Erst wenn das gesamte Wissen hinter den verschiedenen Modellen frei verfügbar ist, können sich hierauf aufbauend tragfähige Ideen entwickeln und Innovationen entstehen.

Greenbone: Was fehlt denn, um KI sicher einzusetzen? Was müssen wir ändern?

Nguyen: Damit KI sicher eingesetzt werden kann, braucht es zusätzlich zur technischen Exzellenz ein entsprechendes Mindset in Entwicklung, Governance und Verantwortung. Konkret müssen wir Sicherheit nach dem Prinzip „Security by Design“ von Anfang an mitdenken. Das bedeutet: Entwickelnde müssen stets systematisch prüfen, was schiefgehen kann und diese Risiken frühzeitig in den Entwurf und die Architektur des Modells integrieren.

Ebenso wichtig ist Transparenz über die Grenzen von KI-Systemen hinweg: Sprachmodelle funktionieren bislang nur innerhalb bestimmter Kontexte zuverlässig – außerhalb dieser Trainingsdomäne liefern sie zwar plausible, aber potenziell fehlerhafte Ergebnisse. Die Entwickelnde sollten deshalb klar kommunizieren, wo das Modell zuverlässig funktioniert und wo nicht.

Mindset, Kontext und Urheberrecht

 Wenn wir keine massiven Vertrauens- und Compliance-Probleme erleben möchten, dürfen wir zudem die Fragen zu Urheberrechten bei Trainingsdaten nicht vernachlässigen. Dann braucht es noch klare Testdaten, geeignete Evaluierungsinfrastruktur und eine laufende Überprüfung von Bias und Fairness.

Eine ausgewogene Kombination aus gesetzlicher Regulierung, technischer Selbstverpflichtung und schnell reagierender Governance ist dabei der Schlüssel für eine KI, mit der man demokratische Werte schützt und technologische Verantwortung übernimmt.

Greenbone: Glauben Sie, die EU hat hier einen Wettbewerbsvorteil?

Nguyen: Ja, die EU hat im globalen KI-Wettbewerb einen echten Vorteil – und dieser liegt im Vertrauen.  Andere Regionen setzen vor allem auf Geschwindigkeit und Marktdominanz – und nehmen dafür, wie zuletzt in den USA geschehen, die Tech-Giganten weitestgehend aus der Verantwortung für gesellschaftliche Risiken. Dagegen etabliert Europa mit dem AI Act geradezu exemplarisch ein Modell, das auf Sicherheit, Datenschutz und menschenzentrierte Entwicklung setzt.

Gerade weil KI zunehmend in sensible Lebensbereiche vordringt, wird der Schutz persönlicher Daten und die Durchsetzung demokratischer Werte immer wichtiger. Die EU schafft mit ihrer Governance-Struktur verbindliche Standards, an denen sich viele Länder und Unternehmen weltweit orientieren. Dieser Fokus auf Werte wird sich langfristig für Europa auszahlen – und zwar für den Export von Technologien sowie die Stärkung des gesellschaftlichen Vertrauens in Demokratie und digitale Systeme vor Ort.

Besonders bei der Entwicklung menschenzentrierter KI ist Europa Vorreiter. Regulierung darf dabei jedoch nicht zum Innovationshemmnis werden: Vertrauen und Sicherheit müssen Hand in Hand gehen mit Investitionsbereitschaft, technologischer Offenheit und schneller Umsetzungsfähigkeit. Dann kann Europa Standards setzen – und eine eigene, wettbewerbsfähige KI-Identität aufbauen.

Greenbone-CEO Elmar Geese zu KI im Schwachstellenmanagement

Greenbone: Herr Geese, KI ist in aller Munde, welche Veränderungen bringt künstliche Intelligenz fürs Schwachstellenmanagement?

Geese: Ich denke, KI wird uns da viel Unterstützung bringen, aber ersetzen kann sie das Schwachstellenmanagement nicht. Zwar kann künstliche Intelligenz beispielsweise zeitaufwändige Routineaufgaben wie die Auswertung großer Datenmengen übernehmen, Muster erkennen und Vorschläge zur Priorisierung machen. Das Sicherheitsteam trifft aber stets die finalen Entscheidungen und hat volle Kontrolle, besonders bei komplexen oder kritischen Fällen, wo menschliches Kontextverständnis unverzichtbar ist.

Der gezielte Einsatz, mit „Augenmaß“ und Planung von KI im Schwachstellenmanagement, bringt zahlreiche Vorteile, ohne dass man die Kontrolle komplett aus der Hand geben muss. Wir setzen heute bereits KI ein, um unserer Kundschaft ein besseres Produkt bereitzustellen, ganz ohne dass dabei Kundendaten zu den Anbietenden der großen KI Dienste übertragen werden. Unsere „vertrauensvolle KI“ kommt komplett ohne Weitergabe und zentrales Sammeln von Daten aus.

Greenbone: Welche Risiken muss man da beachten?

Geese: Nach dem heutigen Stand der Technik beinhaltet der Einsatz von KI in sicherheitskritischen Bereichen einige Risiken, die es zu begrenzen gilt. Automatisierung bietet hier viele Chancen, aber auch Risiken wie Fehlentscheidungen, neue Angriffsflächen oder unerwünschte Systemeffekte. Eine KI „mit Augenmaß“ kombiniert menschliche und maschinelle Stärken, so dass technologische Vorteile wie Geschwindigkeit und Skalierbarkeit genutzt werden können, ohne das Fachpersonal zu entmachten oder Sicherheitsrisiken einzugehen.

Greenbone und KI

Greenbone setzt auf den gezielten Einsatz von Künstlicher Intelligenz, um Schwachstellen im IT-Bereich effizient zu erkennen und Prioritäten zu unterstützen. Dabei bleibt das Sicherheitsteam jederzeit in der Verantwortung und behält die Kontrolle, besonders bei sensiblen oder komplexen Entscheidungen. Datenschutz steht für uns an oberster Stelle: Kundendaten werden nicht an externe KI-Unternehmen weitergegeben.

Unser Ansatz verbindet die Vorteile moderner Technologien mit menschlichem Urteilsvermögen – für eine zeitgemäße und verantwortungsbewusste Cybersicherheit.

Gern stehen wir für weiterführende Informationen zur Verfügung.  

 

Am 27. August 2025, veröffentlichten mehr als 20 Sicherheitsbehörden eine Cybersicherheitsempfehlung mit dem Titel „Countering Chinese State-Sponsored Actors Compromise of Networks Worldwide to Feed Global Espionage System“

 

Zu den veröffentlichenden Behörden gehörten 

  • die Nationale Sicherheitsbehörde der Vereinigten Staaten (NSA)
  • Cybersecurity and Infrastructure Security Agency (CISA) der Vereinigten Staaten
  • Federal Bureau of Investigation (FBI) der Vereinigten Staaten
  • Bundesnachrichtendienst (BND) der Bundesrepublik Deutschland
  • Bundesamt für Verfassungsschutz (BfV) der Bundesrepublik Deutschland
  • Bundesamt für Sicherheit in der Informationstechnik (BSI) der Bundesrepublik Deutschland

und viele weitere.

Das sind schlechte Nachrichten. Die gute Nachricht ist, dass Greenbone Ihnen mittels der OPENVAS-Produkte helfen kann, alle Schwachstellen in diesem Angriff zu erkennen.

  1. CVE-2024-21887: Ivanti Connect Secure und Ivanti Policy Secure: Web-Komponenten-Command-Injection-Schwachstelle, die häufig in Kombination mit CVE-2023-46805 (Authentifizierungsumgehung) ausgenutzt wird.
  2. CVE-2024-3400: Palo Alto Networks PAN-OS GlobalProtect: Beliebige Dateierstellung führt zu Betriebssystem-Befehlsinjektion. Diese CVE ermöglicht die Ausführung von Remote-Code ohne Authentifizierung (RCE) auf Firewalls, wenn GlobalProtect auf bestimmten Versionen/Konfigurationen aktiviert ist.
  3. CVE-2023-20273: Schwachstelle im Cisco Internetworking Operating System (IOS) XE Software Web Management User Interface ermöglicht Post-Authentication Command Injection/Privilege Escalation [T1068], häufig verkettet mit CVE-2023-20198 für Erstzugang zur Ausführung von Code als Root.
  4. CVE-2023-20198: Cisco IOS XE Web User Interface Authentication Bypass Schwachstelle.
  5. CVE-2018-0171: Cisco IOS und IOS XE Smart Install Remote Code Execution Schwachstelle.

Wenn Sie unsere Produkte nutzen, empfehlen wir dringend, einen System-Scan durchzuführen und Patch-Anweisungen zu folgen, sollten Ihre Systeme betroffen sein.