Threat Report Juni 2025: Zermürbungsgefecht im Cyberraum

Der IOCTA-Bericht 2025 von Europol warnt davor, dass die Nachfrage nach Daten im Milieu der Cyberkriminalität stark ansteigt. Wie viele Daten wurden genau gestohlen? Genaue Zahlen lassen sich nicht ermitteln. Allerdings wurden bei einem einzigen Hackerangriff auf das US-amerikanische Gesundheitsunternehmen Change Healthcare die persönlichen Daten, unter anderem Sozialversicherungsnummern, von 190 Millionen Menschen gestohlen. Das ist mehr als die Hälfte der gesamten US-Bevölkerung, die von einem einzigen Vorfall betroffen war. Dieser Vorfall verblasst jedoch im Vergleich zum National Public Data Breach von 2024, bei dem 272 Millionen Sozialversicherungsnummern, 420 Millionen Adressen und 161 Millionen Telefonnummern in den USA gestohlen wurden. In den untersuchten Ländern des europäischen Wirtschaftsraums wurden 2024 täglich etwa 363 Datenschutzverletzungen gemeldet. Nun drohen neue Varianten zerstörerischer Wiper-Malware, die Betroffene von Datendiebstahl milde getroffen wirken lassen.

Cyber-Sicherheitsverantwortliche befinden sich in einem zermürbenden Kampf: Die Bewältigung der ständigen Flut neuer Bedrohungen ist eine gewaltige und entscheidende Aufgabe. Im Threat Report dieses Monats geben wir Einblicke in die neueste Welle von Wiper-Malware, neue aktiv ausgenutzte Schwachstellen und aufkommende Bedrohungen, die den globalen Cyberkonflikt prägen.

Neue Welle von Wiper-Malware im Cybergefecht

Kürzlich hat Cisco Talos eine bisher unbekannte Wiper-Malware namens „PathWiper“ beobachtet, die bei einem zerstörerischen Angriff auf kritische Infrastrukturen in der Ukraine eingesetzt wurde. Wiper wird meist im Rahmen von Cyber-Warfare-Kampagnen eingesetzt, bei denen finanzieller Gewinn nicht das primäre Motiv ist. Während Ransomware die Opfer zur Zahlung eines Lösegelds für die Rückgabe ihrer verschlüsselten Daten zwingt, zerstört Wiper diese einfach. Wiper wird seit Beginn des Krieges zwischen Russland und der Ukraine eingesetzt. 2022 wurde HermeticWiper gegen die Ukraine verwendet und legte Regierungsbehörden und kritische Dienste wenige Stunden vor dem ersten Einmarsch Russlands lahm.

Forschungsteams zur Cybersecurity haben kürzlich auch eine neue Ransomware-as-a-Service-Gruppe (RaaS) namens Anubis entdeckt, die ihre maßgeschneiderte Ransomware um eine Wiper-Option erweitert hat. Angesichts der verschärften geopolitischen Spannungen ist es plausibel, dass staatliche Akteure RaaS-Betreiber und Hacktivisten dazu anstiften werden, zerstörerische Angriffe mit großer Wirkung durchzuführen.

Wiper-Angriffe an sich sind nichts Neues. Shamoon, auch bekannt als Disttrack, entdeckt im Jahr 2012, war die erste große Wiper-Malware. Sie wurde vermutlich von iranischen Bedrohungsakteuren entwickelt und zum Angriff auf Saudi Aramco und andere Organisationen in den Golfstaaten eingesetzt. NotPetya, getarnt als Ransomware, war eine weitere prominente Wiper-Variante, die 2017 auftauchte – mit globalen Folgen.

Unternehmen, insbesondere im Bereich kritischer Infrastruktur, müssen die potenziellen Auswirkungen von Wiper-Malware auf ihre Widerstandsfähigkeit berücksichtigen. Was ist, wenn die Zahlung eines Lösegelds keine Option ist? Eine gut konzipierte Backup-Strategie kann eine vollständige oder teilweise Datenwiederherstellung ermöglichen. Jedoch haben Ausfallzeiten auch finanzielle Auswirkungen und können sogar Menschenleben kosten. Die Gewährleistung der Einhaltung der MTTR-Ziele (Mean Time to Recovery) ist für die Aufrechterhaltung des Betriebs von entscheidender Bedeutung. Natürlich ist auch die Sorgfalt bei der Schließung von Sicherheitslücken, bevor sie für Angriffe ausgenutzt werden können, für eine proaktive Cyberstrategie unerlässlich.

Echte Risiken und „AI-Slop“: Linux-CVEs im Wandel

Die Zeiten, in denen Linux weniger Cyberangriffe auf sich zog, sind längst vorbei. Linux-Systeme werden zunehmend zum Ziel raffinierter Angriffe. Im vergangenen Jahr explodierte auch die Zahl der Linux-Kernel-CVEs (Common Vulnerabilities and Exposures); die zentrale CNA (CVE Numbering Authority) wies im Jahr 2024 durchschnittlich 55 neue CVEs pro Woche zu. Dieser Anstieg wird manchmal darauf zurückgeführt, dass künstliche Intelligenz Fehler aufdeckt, die eigentlich keine Sicherheitsrisiken darstellen, sogenannten „AI-Slop“. Der Entwickler von Curl, Daniel Stenberg, veröffentlichte sogar einen Hinweis, in dem er Bug-Reports zu „AI-Slop“ verbot. In einer entsprechenden Diskussion zu einem Bug-Report wurde die Sorge geäußert, dass „ein Angriff auf unsere Ressourcen zur Bewältigung von Sicherheitsproblemen“ erfolgen könnte.

Was das Risiko- und Patch-Management angeht, haben viele Security-Teams nicht den Luxus, die technische Nutzbarkeit jeder CVE eingehend zu untersuchen. Die technische Bewertung und Analyse von Patching-Unterschieden (Patch-Diffs) nehmen enorm viel Zeit in Anspruch. Der daraus resultierende aufreibende Kampf zwingt die Sicherheitsteams zu einem Wettlauf gegen die Zeit. Beim Priorisieren von Behebungsmaßnahmen stützen sich Sicherheitsteams auf CVSS (Common Vulnerability Scoring System), EPSS (Exploit Prediction Scoring System), den Exploit-Status und Faktoren wie Compliance-Anforderungen und betriebliche Kritikalität. Sicherheitsverantwortliche wollen Beweise dafür sehen, dass kontinuierliche Fortschritte erzielt und Sicherheitslücken geschlossen werden. Dies ist der eigentliche Vorteil der Verwendung einer Schwachstellenmanagement-Plattform wie Greenbone.

Vor diesem Hintergrund sind hier einige neue CVEs mit hohem Risiko für Privilegien-Ausweitung auf Linux-Systemen, die in diesem Monat Aufmerksamkeit erregt haben:

CVE-2023-0386 (CVSS 7.8): Das OverlayFS-Subsystem des Linux-Kernels, das nun als aktiv ausgenutzt gilt, ermöglicht die Ausweitung auf die Root-Ebene, indem es die Art und Weise ausnutzt, wie Dateien mit besonderen Privilegien zwischen bestimmten gemounteten Dateisystemen kopiert werden.
CVE-2025-6019 (CVSS 7.0): Eine in Fedora- und SUSE-Distributionen gefundene Schwachstelle ermöglicht es Angreifenden ohne Root-Rechte in der Gruppe „allow_active“, privilegierte Festplattenoperationen wie das Mounten, Entsperren und Formatieren von Geräten über D-Bus-Aufrufe an „udisksd“ auszuführen. Die Schwachstelle gilt als leicht auszunutzen, und es ist ein öffentlicher PoC (Proof of Concept) verfügbar, was das Risiko erhöht.
CVE-2025-32462 und CVE-2025-32463: Zwei lokale Schwachstellen zur Rechteausweitung wurden in Sudo 1.9.17p1 behoben, das am 30. Juni 2025 veröffentlicht wurde. CVE-2025-32462 ermöglicht es, über lokale Geräte die Option „–host“ zu missbrauchen, um Berechtigungen auf zugelassenen Hosts zu erweitern, während CVE-2025-32463 unbefugten Root-Zugriff über die „–chroot“-Option ermöglicht, selbst wenn dies in der Sudo-Datei nicht ausdrücklich erlaubt ist.
CVE-2025-40908 (CVSS 9.1): Nicht authentifizierte Angreifende können vorhandene Dateien manipulieren, indem sie eine speziell gestaltete YAML-Datei als Eingabe verwenden, die zu einem missbräuchlichen Aufruf von „open“ mit zwei Argumenten führt. Zu den anfälligen Systemen gehören alle Perl-Anwendungen oder -Distributionen (wie Amazon Linux, SUSE, Red Hat, Debian), die YAML‑LibYAML vor Version 0.903.0 verwenden.

CVE-2025-49113: Eine kritische CVE in RoundCube Webmail

Eine kürzlich bekannt gewordene Sicherheitslücke mit der Kennung CVE-2025-49113 (CVSS 9.9) in RoundCube Webmail ermöglicht es bei authentifizierten Angriffen, beliebigen Code auf einem RoundCube-Server auszuführen. Eine schlecht konzipierte PHP-Deserialisierung [CWE-502] validiert Eingaben nicht ordnungsgemäß, sodass der Parameter „_from“ bösartigen serialisierten Code übertragen kann. Cyberkriminelle, die den Fehler erfolgreich ausnutzen, können möglicherweise die vollständige Kontrolle über den RoundCube-Server erlangen, um Daten zu stehlen und Command-and-Control-Tools (C2) für den dauerhaften Zugriff zu installieren.

Obwohl für die Ausnutzung von CVE-2025-49113 gültige Anmeldedaten erforderlich sind, sind keine Administratorrechte erforderlich. Technische Analysen [1][2], PoC-Exploits [3][4] und ein Metasploit-Modul sind verfügbar, was das potenzielle Risiko eines Missbrauchs erhöht. Ein EPSS-Score von 81 weist auf eine extrem hohe Wahrscheinlichkeit einer Ausnutzung in naher Zukunft hin. Der Forscher, der die Schwachstelle entdeckt hat, behauptet, dass Exploit-Kits bereits in Untergrundforen für Cyberkriminalität zum Verkauf angeboten werden. Zahlreiche nationale CERT-Behörden haben Warnungen zu dieser Schwachstelle herausgegeben [5][6][7][8][9], während Shadowserver Anfang Juni über 84.000 exponierte Roundcube-Dienste gemeldet hat.

Der Greenbone Enterprise Feed umfasst eine Remote-Versionserkennung [10][11] und Linux Local Security Checks (LSC) [12][13][14][15][16][17] zur Identifizierung anfälliger Instanzen von RoundCube Webmail (Versionen vor 1.5.10 und 1.6.11). Anwendenden wird dringend empfohlen, Updates umgehend zu installieren.

Neue kritische CVE in Cisco ISE Cloud mit PoC-Exploit

CVE-2025-20286 (CVSS 10) ist eine neue Schwachstelle, die Cloud-Bereitstellungen der Cisco Identity Services Engine (ISE) auf AWS, Azure und Oracle Cloud Infrastructure (OCI) betrifft. Der Fehler könnte nicht authentifizierten Angreifenden den Zugriff auf sensible Daten, die Ausführung einiger eingeschränkter Verwaltungsvorgänge, die Änderung von Systemkonfigurationen und die Störung von Diensten ermöglichen. Aufgrund eines mangelhaften Software-Designs werden identische Zugangsdaten [CWE-259] generiert und für alle verbundenen ISE-Instanzen mit derselben Version und Plattform freigegeben.

Cisco hat die Existenz eines öffentlich zugänglichen Exploits bestätigt. Das Unternehmen erklärte außerdem, dass die Schwachstelle nur ausgenutzt werden kann, wenn der primäre Administrationsknoten in der Cloud bereitgestellt ist. Lokale Bereitstellungen und mehrere Hybrid-/Cloud-VM-Lösungen sind nicht betroffen. Insgesamt stellt CVE-2025-20286 aufgrund der weit verbreiteten Nutzung von Cisco ISE in Unternehmensnetzwerken und der Verfügbarkeit von Exploit-Code eine hochriskante Schwachstelle für alle mit betroffenen Konfigurationen dar. Greenbone bietet einen Test zur Versionserkennung an, um potenziell gefährdete Instanzen zu identifizieren.

CitrixBleed 2 und eine weitere aktiv ausgenutzte Schwachstelle in Citrix NetScaler ADC und Gateway

CVE-2025-5777 (CVSS 9.3), auch „CitrixBleed 2“ genannt, ist eine Out-of-Bounds-Read-Sicherheitslücke [CWE-125], die Citrix NetScaler ADC und NetScaler Gateway betrifft und es bei nicht authentifizierten Angriffen ermöglicht, gültige Sitzungstoken aus dem Speicher zu stehlen, indem fehlerhafte HTTP-Anfragen gesendet werden. CVE-2025-5777 ist auf eine unzureichende Eingabevalidierung zurückzuführen, eine leider häufige, aber leicht zu vermeidende Ursache für Softwarefehler. Die Offenlegung von Sitzungstoken ermöglicht die Identitätsübernahme legitimer Benutzerinnen und Benutzer und damit unbefugten Zugriff. Sicherheitsverantwortliche gehen davon aus, dass eine Ausnutzung der Schwachstelle unmittelbar bevorsteht, und ziehen Parallelen zur ursprünglichen CitrixBleed-Sicherheitslücke (CVE-2023-4966), die von Ransomware-Gruppen bei schwerwiegenden Angriffen ausgenutzt wurde.

Eine weitere Schwachstelle, CVE-2025-6543 (CVSS 9.8), die ebenfalls Citrix NetScaler ADC und Gateway betrifft, wurde zum KEV-Katalog (Known Exploited Vulnerabilities) der CISA hinzugefügt, was darauf hindeutet, dass sie bereits aktiv ausgenutzt wird. CVE-2025-6543 ist eine Memory-Overflow-Schwachstelle [CWE-119]. Die Auswirkungen wurden offiziell als Denial of Service beschrieben, aber in Fachkreisen wird angenommen, dass sie auch die Ausführung von beliebigem Code oder die Übernahme von Geräten umfassen können, wie in ähnlichen Fällen in der Vergangenheit beobachtet wurde.

Beide Schwachstellen betreffen nur Geräte, die als Gateway (VPN-Virtual Server, ICA-Proxy, CVPN, RDP-Proxy) oder AAA (Authentifizierung, Autorisierung und Abrechnung) Virtual Server konfiguriert sind. Beide Schwachstellen sind Gegenstand weitreichender nationaler CERT-Hinweise [1][2][3][4][5][6][7]. Greenbone bietet eine Remote-Versionsprüfung zur Erkennung von CitrixBleed 2 sowie eine Remote-Versionsprüfung für CVE-2025-6543. Die Installation aktueller Sicherheitsupdates wird dringend empfohlen.

Drei ausnutzbare Schwachstellen in Sitecore CMS

Drei neue CVEs, die die Sitecore Experience Platform betreffen, können verkettet werden, um eine nicht authentifizierte Remote Code Execution (RCE) durchzuführen. Die Schwachstellen wurden mit einer vollständigen technischen Beschreibung und PoC-Anleitung veröffentlicht, wodurch ihre Ausnutzung sehr wahrscheinlich ist. In der Angriffskette ermöglicht CVE-2025-34509 den ersten authentifizierten Zugriff, während CVE-2025-34510 oder CVE-2025-34511 beide RCE-Schwachstellen nach der Authentifizierung sind. Angreifende können zunächst fest codierte Anmeldedaten ausnutzen, um ein gültiges Sitzungstoken zu generieren, dann eine bösartige „.aspx“-Webshell hochladen und anschließend beliebige Shell-Befehle auf dem System des Opfers ausführen. Alternativ könnte CVE-2025-34511 verwendet werden, um PowerShell-Befehle auszuführen, anstatt eine Webshell hochzuladen.

Hier eine kurze Beschreibung der einzelnen Schwachstellen:

CVE-2025-34509 (CVSS 8.2): Fest codierte Anmeldedaten [CWE-798] ermöglichen es Remote-Angreifenden, sich mit diesem Konto zu authentifizieren, um auf die Admin-API zuzugreifen.
CVE-2025-34510 (CVSS 8.8): Eine als „Zip Slip“ bekannte Schwachstelle beim Path Traversal mit relativen Pfaden [CWE-23] ermöglicht es Kriminellen über einen authentifizierten Angriff, schädliche Dateien aus einem ZIP-Archiv in das Webroot-Verzeichnis zu extrahieren, was über eine .aspx-Webshell zu RCE führen könnte.
CVE-2025-34511 (CVSS 8.8): Eine uneingeschränkte Datei-Upload-Sicherheitslücke [CWE-434] im PowerShell-Extensions-Modul ermöglicht es Angreifenden, beliebige Dateien, einschließlich ausführbarer Skripte, an einen beliebigen beschreibbaren Speicherort hochzuladen. Obwohl CVE-2025-34511 die Installation der Sitecore PowerShell Extension erfordert, wird dies als gängige Konfiguration angesehen.

Sitecore ist ein beliebtes Content-Management-System (CMS) für Unternehmen, das von großen globalen Organisationen in verschiedenen Branchen eingesetzt wird. Obwohl Sitecore schätzungsweise zwischen 0,45 % und 0,86 % des globalen CMS-Marktanteils ausmacht [1][2], besteht ihre Klientel aus hochwertigen Zielen. Greenbone ist in der Lage, anfällige Instanzen von Sitecore mit einer aktiven Überprüfung und einem Test zur Fernerkennung der Version zu erkennen. Patches wurden in Sitecore Version 10.4 veröffentlicht und auf frühere, unterstützte Versionen zurückportiert, sodass Benutzende ein Upgrade durchführen können.

Umgehung von CVE-2025-23120 in Veeam-Backups

CVE-2025-23121 (CVSS 9.9) ist eine Lücke in der Deserialisierung [CWE-502], die es den für die Domain authentifizierten Personen ermöglicht, beliebigen Code [CWE-94] auf Veeam Backup & Replication-Servern auszuführen. Die Schwachstelle entsteht durch unsichere Datenverarbeitung und stellt eine Umgehung einer zuvor gepatchten Schwachstelle, CVE-2025-23120, dar.

Derzeit ist kein öffentlicher PoC-Exploit verfügbar. Jedoch sind CVEs in Veeam Backup & Replication häufig das Ziel von Cyberkriminellen. Darüber hinaus betrifft die Sicherheitslücke nur Unternehmen, die Domain-gebundene Backup-Server verwenden. Angesichts der Bedeutung von Backups für die Wiederherstellung nach Ransomware-Angriffen stellt sie jedoch eine ernsthafte Bedrohung dar. Kriminelle können gültige Anmeldedaten stehlen oder Passwort-Spraying einsetzen, um wiederverwendete Zugangsdaten zu erlangen.

Greenbone kann remote betroffene Veeam-Produkte erkennen, und es wird dringend empfohlen, einen Patch auf Version 12.3.2.3617 zu installieren

Zusammenfassung

Im Juni 2025 tauchten mindestens zwei neue Wiper-Malware-Varianten auf, die kritische Infrastrukturen und Unternehmen bedrohen. Weitreichende massive Datenverletzungen nehmen zu und beeinträchtigen Unternehmen und Einzelpersonen, da gestohlene Daten für verschiedene böswillige Zwecke verwendet werden. In diesem Monat gab es auch eine Flut neu entdeckter, kritischer Sicherheitslücken in Produkten für Unternehmen, von denen die meisten nicht in diesem Bericht behandelt werden. Viele davon waren innerhalb weniger Stunden nach ihrer Bekanntgabe mit PoCs oder vollständigen Exploit-Kits verfügbar. Von RoundCube und Cisco ISE bis hin zu Citrix- und Linux-Systemen: Hochriskante digitale Schwachstellen, die Aufmerksamkeit erfordern, heizen die Zermürbungsschlacht im Cyberraum weltweit für die angegriffenen Unternehmen weiter an.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

23. Juli 2025/von Joseph Lee

Kritisch: CVE-2025-25257 mit unautorisierter Remote Code Execution in FortiWeb Fabric Connector

Blog

Die neue Schwachstelle CVE-2025-25257 (CVSS 9.6) in Fortinets FortiWeb Fabric Connector stellt weltweit ein hohes Risiko dar. Obwohl sie sich am 14. Juli 2025 noch im Status „Reserved“ befand, haben das CERT.be in Belgien und das Center for Internet Security (CIS) bereits eine CERT-Warnungen veröffentlicht. Weitere Warnungen dürften in Kürze folgen, sobald die CVE den Status „Published“ erreicht.

Es sind mehrere öffentliche PoC (Proof of Concept) Exploits [1][2] verfügbar, die das Risiko weiter erhöhen. Updates sollten dringend installiert werden. Greenbone hat kurz nach der Offenlegung der Schwachstelle einen Erkennungstest veröffentlicht, mit dem sich anfällige Systeme in den Netzwerken identifizieren lassen. Ein Blick auf die Details von CVE-2025-25257 zeigt, worum es sich dabei handelt.

CVE-2025-25257: RCE in FortiWeb Fabric Connector

CVE-2025-25257 (CVSS 9.6) ist eine Schwachstelle, die einen nicht authentifizierten Zugriff (Remote Code Execution; RCE) in Fortinet FortiWeb Fabric Connector erlaubt. Sie wurde mit einem kritischen Schweregrad von CVSS 9.6 klassifiziert, weil sie die Ausführung von SQL- und Python-Code auf dem System des Opfers aufgrund unsachgemäßer Filterung von HTTP-Headern ermöglicht. Erschreckenderweise besteht diese Schwachstelle, weil der Wert des HTTP-Headers „Authorization:Bearer” ohne Bereinigung in SQL-Abfragen eingefügt wird [CWE-89] – ein unverzeihlich schlechtes Software-Design. Vollständige technische Beschreibungen und Exploits [1][2][3] wurden von watchTowr Labs und anderen Sicherheitsforschenden veröffentlicht, sodass die Ausnutzung dieser Schwachstelle nun für Cyberkriminelle auf jedem Niveau als trivial anzusehen ist.

Zusätzlich zu allen typischen SQL-Injection-Angriffen, wie dem Aufzählen der Datenbanken oder dem Ändern von Daten, können RCE-Angriffe durchgeführt werden, indem durch SQL-Code der MySQL-Befehl „INTO OUTFILE“ ausgenutzt wird. Durch das Schreiben einer ausführbaren „.pth“-Datei in das Python-Verzeichnis „site-packages“ (im Fall von FortiWeb: „/usr/local/lib/python3.10/site-packages/“) wird diese jedes Mal ausgeführt, wenn ein Python-Skript gestartet wird. Denn beim Start des Interpreters wird der integrierte Initialisierungsmechanismus von Python („site.py“) ausgelöst. Die webbasierte Verwaltungskonsole von FortiWeb enthält überdies ein Python-basiertes CGI-Skript („ml-draw.py“), das ohne Authentifizierung ausgelöst werden kann, was die Exploit-Kette vervollständigt.

Obwohl die Schwachstelle bislang noch nicht in der Praxis ausgenutzt wurde, deuten ihr Status als Pre-Auth-RCE und frühere Angriffe auf Fortinet-Produkte darauf hin, dass eine leicht zu nutzende Schwachstelle wie CVE-2025-25257 wahrscheinlich bald nach ihrer Offenlegung Verwendung finden wird. FortiWeb Fabric Connector ist kein öffentlich erreichbarer Edge-Dienst, kann jedoch lokal ausgenutzt werden, um FortiWeb WAF-Konfigurationen zu ändern, sensible Informationen zu stehlen oder zusätzliche persistente Malware zu installieren.

Welche Rolle spielt der FortiWeb Fabric Connector?

FortiWeb selbst ist eine Web Application Firewall (WAF), die in diesem Zusammenhang als Sicherheitskomponente am Netzwerkrand (Edge) betrachtet werden kann. Fabric Connector ist eine Systemintegrationskomponente zur automatisierten Koordination zwischen der FortiWeb WAF und anderen Fortinet-Produkten wie FortiGate und FortiManager. Wenn andere Fortinet-Geräte Bedrohungsdaten generieren, kann der Fabric Connector daraus in Echtzeit Sicherheitsmaßnahmen innerhalb von FortiWeb generieren. Glücklicherweise ist der FortiWeb Fabric Connector kein Edge-Dienst und daher in der Regel nicht über das öffentliche Internet zugänglich. Als WAF haben FortiWeb-Geräte jedoch die Aufgabe, bösartigen Datenverkehr daran zu hindern, Webserver zu erreichen. Wenn Angreifende also in der Lage sind, die Konfiguration zu ändern, könnten sie sekundäre Angriffe auf webbasierte Ressourcen ermöglichen.

Behebung der Sicherheitslücke CVE-2025-25257

CVE-2025-25257 betrifft die FortiWeb-Versionen 7.0.0 bis 7.0.10, 7.2.0 bis 7.2.10, 7.4.0 bis 7.4.7 und 7.6.0 bis 7.6.3. Nutzende sollten umgehend ein Upgrade auf die Versionen 7.0.11, 7.2.11, 7.4.8 oder 7.6.4 oder höher durchführen. Wenn ein Update nicht möglich ist, empfiehlt Fortinet, das FortiWeb HTTP/HTTPS-Admin-Interface zu deaktivieren.

Zusammenfassung

CVE-2025-25257 ermöglicht RCE für nicht authentifizierte Angriffe über die Fabric Connector HTTP-API von Fortinet FortiWeb. Die Schwachstelle beruht auf einer SQL-Injection-Lücke, die bereits dazu verwendet wurde, Privilegien zu eskalieren und Python-Code auszuführen. Öffentliche PoCs und eine nationale CERT-Empfehlung von CERT.be unterstreichen die Dringlichkeit, einen Patch zu installieren oder andere Abhilfemaßnahmen zu ergreifen. Greenbone hat kurz nach Bekanntwerden dieser Schwachstelle einen Erkennungstest veröffentlicht, mit dem Sie anfällige Systeme in ihren Netzwerken identifizieren können.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

21. Juli 2025/von Joseph Lee

Bundesrechnungshof: Rechenzentren der Behörden haben massive Schwachstellen

Blog

Der Bundesrechnungshof übt scharfe Kritik am aktuellen Stand der Cybersicherheit in der Bundesverwaltung. Ein als vertraulich eingestuftes Dokument, das Der Spiegel zitiert, kommt zu dem Schluss, dass wesentliche Teile der staatlichen IT-Infrastruktur gravierende Sicherheitsmängel aufweisen und nicht den Mindestanforderungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) entsprechen.

Der Bundesrechnungshof (BRH) ist das oberste deutsche Kontrollorgan für die Haushalts- und Wirtschaftsführung des Bundes. Er prüft, ob Bundesbehörden, Ministerien, Bundesunternehmen und andere öffentliche Einrichtungen ordnungsgemäß, wirtschaftlich und sparsam mit Steuergeldern umgehen. Dabei ist er unabhängig, sowohl von der Bundesregierung als auch vom Bundestag.

In dem Bericht moniert er, dass es kein zentrales, ressortübergreifendes Informationssicherheitscontrolling gebe. Die bestehende Sicherheitsarchitektur müsse effizienter gestaltet werden.

Unzureichend: Controlling und NIS2-Vorbereitung

Ein weiterer Kritikpunkt kommt durch die Anforderungen der NIS2-Richtlinie hinzu [1] [2] [3]. Diese bringt erhebliche neue Pflichten für Bundesbehörden und KRITIS-nahe Organisationen mit sich – insbesondere in Bezug auf Prävention, Nachweispflichten und BSI-Kontrollen. Viele Einrichtungen sind darauf weder technisch noch organisatorisch ausreichend vorbereitet.

Der Rechnungshof bewertet zwar positiv, dass durch die Anpassung der Schuldenbremse gezielt in Cybersicherheit investiert werden kann. Die Investitionen sind jedoch an die nachweisbare Wirksamkeit der Maßnahmen gebunden. In der Praxis bedeutet dies: Nur wer belegen kann, dass geplante Sicherheitsmaßnahmen zu konkreten Verbesserungen führen, wird künftig Fördermittel erhalten.

Steigender Handlungsdruck

Der Bericht verdeutlicht den steigenden Handlungsdruck in der öffentlichen Verwaltung. Die Bedrohungslage verschärft sich weiter – mit jährlichen Schadenssummen in dreistelliger Milliardenhöhe. Der Bundesrechnungshof fordert ein Umdenken: hin zu einem strukturierten, datengestützten und nachhaltigen Sicherheitsmanagement. Alarmierend ist das flächendeckende Versagen: In fast allen Rechenzentren deutscher Behörden finden sich gravierende Schwachstellen – mit dramatischen Konsequenzen für Sicherheit, Resilienz und Vertrauenswürdigkeit der staatlichen IT-Infrastruktur. Behörden und KRITIS-Organisationen müssen jetzt aktiv werden und modernes Schwachstellenmanagement einführen.

Oft fehlt dabei sogar die Notstromversorgung, nicht einmal ein Zehntel der untersuchten Rechenzentren erfüllen die BSI-Mindeststandards für Hochverfügbarkeit. Das, so die Untersuchung, sei besorgniserregend: Fehlende Redundanz, veraltete Systeme, unzureichende Ausfallsicherheit: All das gefährdet die Funktionsfähigkeit kritischer Infrastruktur im Krisenfall.

Über 180 Milliarden Euro Schaden jedes Jahr

Dabei ist der Schaden bereits da: Laut aktueller Zahlen verursachen Cyberangriffe jedes Jahr Schäden von über 180 Milliarden Euro in Deutschland. Sabotageakte, hybride Angriffe und Blackout-Szenarien sind längst Realität – Tendenz steigend.

Laut Bundesrechnungshof fehlt es aber an vielen Stellen: an strukturierter Informationssicherheit und ressortübergreifendem, datenbasiertem IT-Risikomanagement und passendem Controlling. Es fehlen belastbare Informationen. Ohne diese lassen sich weder die Gefahrenlage noch etwaige Fortschritte im Einzelfall realistisch einschätzen – und schon gar nicht nachweisen.

Greenbones Schwachstellenmanagement hilft

Geht es darum, die richtigen Maßnahmen umzusetzen und ihre Wirksamkeit nachzuweisen, kommen Lösungen wie die von Greenbone ins Spiel. Modernes Schwachstellenmanagement bietet einen entscheidenden strategischen Vorteil: Es schafft eine verlässliche, belastbare Datenbasis für die Entscheidungen der Administratoren und des Managements.

OPENVAS von Greenbone erkennt, bewertet und priorisiert Schwachstellen automatisch, kontinuierlich und objektiv. So entsteht ein verlässliches Fundament für IT-Controlling-Strukturen – auch in Ministerien, Behörden und anderen öffentlichen Betrieben. Vulnerability Management schafft überdies in Zeiten wachsender Rechenschaftspflicht eine unverzichtbare Transparenz – und wird so vom „Nice to Have“ zum Pflichtbaustein.

Die Reports des Greenbone Vulnerability Managements enthalten Bewertungen durch die Metriken CVSS (Common Vulnerability Scoring System) und EPSS (Exploit Prediction Scoring System), Trendanalysen und Fortschrittsindikatoren. Damit können Behörden nicht nur intern dokumentieren, sondern gegenüber Rechnungshöfen und Ministerien auch messbare Verbesserungen belegen.

Gerüstet für NIS2

Die neue NIS2-Richtlinie verschärft Anforderungen für Betreiber kritischer Infrastrukturen, definiert neue Verantwortlichkeiten, weitet BSI-Kontrollen und Meldepflichten aus und konkretisiert einzusetzende Softwarekomponenten. Daher beschäftigen sich mehr und mehr Unternehmen mit der bevorstehenden deutschen Variante der Regelung.

Greenbones Lösungen unterstützen Behörden und KRITIS-nahe Organisationen aktiv bei der Vorbereitung auf regulatorische Prüfungen. Funktionen wie das automatisierte Schwachstellenmanagement, revisionssichere Reportings und Audit-Trails bieten Sicherheit, auch unter steigender behördlicher Kontrolle.

Webinare helfen bei der Prävention – Jetzt ist die Zeit zum Handeln!

Greenbones Kundschaft erhält konkrete Hilfe, wenn es darum geht, die BSI-Vorgaben im Rechenzentrum zu erfüllen, Audits vorzubereiten und das Schwachstellenmanagement als Bestandteil der Notfallvorsorge zu sehen. Denn Prävention ist immer günstiger und effektiver als die Krisenbewältigung.

Der Bericht des Bundesrechnungshofs ist ein Weckruf – und eine Chance. Und weil Cybersicherheit mit Sichtbarkeit beginnt, ist Greenbone die richtige Wahl. Kontaktieren sie uns oder besuchen sie unsere Webinare – ganz aktuell die Reihe für Behörden und KRITIS. Dort erhalten sie tiefgehenden Informationen zur Umsetzung der NIS-2-Richtlinie, Rechenzentrumshärtung und Georedundanz aber auch zum grundsätzlichen Aufbau eines Schwachstellen-Controllings. Termine, Inhalte und Anmeldung finden Sie auf der Website.

NIS2 oder NIS-2? Im text wird einheitlich NIS-2 genutzt, in den Überschriften NIS2.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

17. Juli 2025/von Markus Feilner

LEV: Die neuen Schwachstellen-Metriken in NIST CSWP 41 verständlich erklärt

Blog

Dieses Jahr werden die IT-Sicherheitsteams mit einer Flut neuer Sicherheitsrisiken überschwemmt. Bei der Behebung von Schwachstellen die Prioritäten richtig zu setzen, ist ein Dauerthema in der IT-Sicherheits- und Risikoanalyse. So müssen täglich neue Nadeln in einem Heuhaufen von Aufgaben gefunden werden. Zu den Faktoren, die dieses Problem noch verschärfen, gehören der Fachkräftemangel in der Cybersicherheit, neuartige Angriffstechniken und die zunehmende Offenlegung von CVEs (Common Vulnerabilities and Exposures).

Um diesem Bedarf an mehr Präzision und Effizienz gerecht zu werden, entstehen aktuell zahlreiche neue Priorisierungsmetriken. Nicht, dass mehr Risikoperspektiven etwas Schlechtes wären, aber die bereits überforderten Verteidigenden befinden sich in einer schwierigen Lage: Sie müssen sich entscheiden, ob sie weitermachen oder innehalten wollen, um den Wert neuer Metriken besser abzuschätzen.

Die im Mai 2025 vom NIST (National Institute of Standards and Technology) veröffentlichte Metrik Likely Exploited Vulnerabilities (LEV; Wahrscheinlich ausgenutzte Schwachstellen) konsolidiert historische Zeitreihen aus EPSS (Exploit Prediction Scoring System) und den Status der Ausnutzung in freier Wildbahn. Dadurch berechnet LEV um unter anderem eine aggregierte Risikobewertung. Dieser Artikel erläutert, was LEV ist und welche zusätzlichen Gleichungen in dem kürzlich veröffentlichten technischen Whitepaper des NIST (NIST CSWP 41) enthalten sind.

Der Grund für LEV (Likely Exploited Vulnerabilities)

LEV verwendet die historische EPSS-Zeitreihe einer CVE, um einen kumulativen Risikowert zu berechnen, der die Wahrscheinlichkeit darstellt, dass sie jemals aktiv ausgenutzt wurde. Aber worin unterscheidet sich dies von EPSS selbst? Ist EPSS, ein Modell aus dem Machine Learning (ML), das fast 1.500 Vorhersagemerkmale enthält, nicht gut genug?

Einige akademische Kritiken haben ergeben, dass EPSS kritische Schwachstellen übersehen kann. Die direkte Beobachtung historischer EPSS-Daten zeigt, dass die Werte für einen sehr kurzen Zeitraum (ein bis zwei Tage) in die Höhe schnellen können. Danach fallen sie meist wieder auf einen moderaten oder niedrigen Ausgangswert zurück. Das ist ein Problem für Sicherheitsverantwortliche, die EPSS einsetzen.

So spiegelt EPSS beispielsweise nicht wider, wie Cyberkriminelle vorgehen. Aus Branchenberichten geht hervor, dass sie Schwachstellen ausnutzen, wann und wo auch immer sie gefunden werden – sogar alte Schwachstellen. Mit anderen Worten: Angreifende verzichten nicht auf eine Schwachstelle, weil sie nicht aktuell ist. Die alleinige Nutzung aktueller EPSS-Werte kann riskant sein – selbst bei kürzlich entdeckten Schwachstellen. Verteidigende können dem begegnen, indem sie in ihrer Risikokalkulation immer den höchsten EPSS-Wert zugrunde legen: Aber eine weitere Schwachstelle bleibt bei den rohen EPSS-Werten bestehen: Statistisch gesehen sollte eine Ansammlung von mäßigen Wahrscheinlichkeitswerten auch eine hohe Wahrscheinlichkeit für das Eintreten eines Ereignisses bedeuten.

LEV behebt diese letzte Einschränkung durch die Berechnung einer kumulativen Wahrscheinlichkeit unter Verwendung der historischen EPSS-Daten der einzelnen CVEs. LEV wendet den üblichen produktbasierten Ansatz zur Berechnung der kumulativen Wahrscheinlichkeit des Eintretens mindestens eines Ereignisses unter mehreren unabhängigen Ereignissen an. Infolgedessen gelten CVEs, die selbst bei maximalem EPSS keine Warnungen ausgelöst haben, unter LEV nun als hochriskant.

Mathematische Variablen und Symbolreferenz

Diese Übersicht erklärt alle Variablen und mathematischen Symbole, die in den Gleichungen verwendet werden.

Variablen-Referenz

Symbol / Funktion	Beschreibung	Verwendet in
v	Eine Schwachstelle (z. B. ein CVE)	Alle Gleichungen
d	Ein Datum ohne Zeitkomponente	Alle Gleichungen
d₀	Erstes Datum mit EPSS-Daten für v	Alle Gleichungen
d_n	Das Analysedatum (normalerweise heute)	LEV, erwartete Ausnutzung, kombinierte Wahrscheinlichkeit
d_kev	Datum der letzten Aktualisierung der KEV-Liste (Known Exploited Vulnerabilities)	KEV Ausgenutzt
LEV (v,d₀,d_n)	Kumulative Wahrscheinlichkeit der Ausnutzung von Schwachstelle v im Zeitraum d₀bis d_n	Alle Gleichungen
EPSS (v,d_n)	EPSS-Punktzahl zum Zeitpunkt d_n	Komposit-Wahrscheinlichkeit
KEV (v,d_n)	1.0 wenn v in KEV-Liste am Datum d_n, sonst 0	Komposit-Wahrscheinlichkeit
scopedcves	CVEs mit d₍₀₎≤ d_kevfür KEV-Verfolgung	KEV Ausgenutzt
cves	CVEs im Geltungsbereich mit d₍₀₎≤ d_n	Erwartete Ausnutzung

Symbol-Referenz

Symbol	Bezeichnung	Bedeutung
∀	Universeller Quantor	„Für alle“ / „Für jeden“ ähnlich wie eine Programmierschleife
Π	Großes Pi	Eine „Produktnotation“ für wiederholte Multiplikation über eine Folge, ähnlich wie ∑ für wiederholte Addition steht.
∑	Großes Sigma	Ein Summenzeichen für die wiederholte Addition über eine Sequenz.
∈	Element von	„Ist ein Element von“ / „gehört zu“. Bezeichnet die Zugehörigkeit zu einer Menge.

Funktionsweise der LEV-Gleichungen

Die LEV-Metrik wird im „Cybersecurity White Paper 41” (CSWP 41) des NIST als eine untere Grenze der Wahrscheinlichkeit beschrieben, dass eine Schwachstelle ausgenutzt wurde. Sie berechnet die kumulative Wahrscheinlichkeit, dass eine Schwachstelle innerhalb eines bestimmten Zeitfensters mindestens einmal ausgenutzt wurde. Es gibt zwei ähnliche Gleichungen, LEV und LEV2. Die erste wurde optimiert, um die CPU-Last zu verringern.

In beiden Gleichungen, LEV und LEV2, steht jeder Term, der mit der Produktnotation Π multipliziert wird, für die Wahrscheinlichkeit, dass in diesem Zeitfenster keine Schwachstelle ausgenutzt wurde. Man erhält die kumulative Wahrscheinlichkeit, dass nie eine Ausnutzung stattgefunden hat. Subtrahiert man das Ergebnis von 1, erhält man die Wahrscheinlichkeit, dass mindestens eine Ausbeutung während des Zeitfensters stattgefunden hat.

Die beiden LEV-Gleichungen werden im Folgenden beschrieben:

Die leistungsoptimierte LEV-Gleichung

LEV verwendet die historischen EPSS-Werte eines CVE, die alle 30 Tage ermittelt werden (epss(v_i, d_i)), und eine ausgleichende Gewichtung für Beobachtungszeiträume unter 30 Tagen (d_n < 30)

Die im NIST CSWP 41 vorgeschlagene LEV-Gleichung

Die hochauflösende LEV2-Gleichung

LEV2 verwendet die gesamte historische EPSS-Zeitreihe, anstatt alle 30 Tage eine Stichprobe der Werte zu nehmen. LEV2 gewichtet die täglichen Werte, indem es diese durch die Dauer des EPSS-Fensters (30 Tage) teilt. LEV2 erhöht die zeitliche Auflösung und führt zu einer zuverlässigeren Bewertung, da kurze Ausbrüche hoher EPSS-Werte nicht wie bei der oben dargestellten LEV-Gleichung übersprungen werden können. Jeder tägliche EPSS-Wert wird mit 1/30 skaliert, um eine einheitliche Risikodichte über den gesamten Datumsbereich zu erhalten.

Die im NIST CSWP 41 vorgeschlagene LEV2-Gleichung

Die ergänzenden Gleichungen

Dieser Abschnitt stellt zusätzliche Gleichungen aus dem LEV-Whitepaper des NIST vor, samt Aufbau und möglichen Anwendungen.

Berechnung eines zusammengesetzten Risiko-Scores

Die im LEV-Whitepaper des NIST beschriebene ergänzende Metrik für die Wahrscheinlichkeit wählt einfach das stärkste verfügbare Signal aus den drei Ausnutzungsindikatoren EPSS, Einbeziehung in den KEV-Katalog der CISA (Cybersecurity and Infrastructure Security Agency) und LEV aus.

Die im NIST CSWP 41 vorgeschlagene Gleichung für die zusammengesetzte Wahrscheinlichkeit, den „Composite Risk Score“

Durch die Auswahl des aussagekräftigsten Signals unterstützt Composite Probability die Priorisierung von Schwachstellen und reduziert blinde Flecken, bei denen ein Signal unvollständig oder veraltet sein kann. Dies ist besonders wertvoll für die Priorisierung von Abhilfemaßnahmen in großen Unternehmens-Programmen zur Verwaltung von Schwachstellen, bei denen die Entscheidung, was zuerst behoben werden soll, eine kritische Herausforderung darstellt.

Schätzung der Gesamtzahl der ausgenutzten CVEs

Das Whitepaper des NIST schlägt auch eine Methode vor, um die Gesamtzahl der ausgenutzten CVEs während eines bestimmten Zeitfensters zu schätzen und wie man den Umfang eines Verzeichnisses bekannter ausgenutzter Schwachstellen abschätzen kann.

Die „Expected Exploited“-Berechnung

Die „Expected Exploited“-Metrik ist eine Schätzung der Anzahl der ausgenutzten CVEs innerhalb eines bestimmten Zeitfensters durch einfache Summierung aller LEV-Wahrscheinlichkeiten aus einem Satz von skalierten Schwachstellen. Die Gleichung „Expected Exploited“ wendet einfach die Summe (∑) aller LEV-Wahrscheinlichkeiten für einen Satz von CVEs an, um die Gesamtzahl der wahrscheinlichen Ereignisse zu schätzen. Obwohl sie im NIST CSWP 41 als untere (konservative) Schätzung beschrieben wird, ist es methodisch unüblich, diese einfache Technik als untere Grenze zu betrachten. In der Wahrscheinlichkeitstheorie ist es ein grundlegendes Prinzip, dass die erwartete Anzahl von Ereignissen gleich der Summe der einzelnen Ereigniswahrscheinlichkeiten ist.

Die im NIST CSWP 41 vorgeschlagene „Expected Exploited“-Gleichung

Die KEV Exploited-Berechnung

Die KEV Exploited-Metrik schätzt, wie viele Schwachstellen in einem KEV-Katalog wie dem CISA KEV fehlen. Die Quantifizierung der Lücke zwischen „Expected Exploited“ und „KEV Exploited“ gibt Aufschluss über die potenzielle Untererfassung einer KEV-Liste. Die Gleichung basiert wie die „Expected Exploited“-Berechnung auf der Summierung aller Wahrscheinlichkeiten.

Die in NIST CSWP 41 vorgeschlagene KEV Exploited-Gleichung

Anwendungsbeispiele von LEV

Folgende Beispiele zeigen, wie LEV Schwachstellenmanagement-Programme unterstützen kann. Die ergänzende Composite Probability-Gleichung eignet sich am besten, um den Beitrag von LEV zu einer umfassenderen CVE-Risikoanalyse zu veranschaulichen. Daher verwenden alle nachfolgenden statistischen Beobachtungen die zusammengesetzte Wahrscheinlichkeit, sofern nicht anders angegeben.

Die geschätzte Gesamtzahl der ausgenutzten CVEs

Wenn man alle CVEs seit etwa 1980 (273.979) betrachtet, zeigt die LEV-Metrik „Expected Exploited“, dass 14,6 % aller CVEs (39.925) wahrscheinlich real ausgenutzt wurden. Das impliziert, dass die überwiegende Mehrheit der Ausnutzungsaktivitäten in keiner bekannten KEV-Liste erfasst ist (z. B. enthielt CISA KEV zum Zeitpunkt der Berechnung 1.228). Allerdings berücksichtigt Expected Exploited nicht, wie viele einzelne CVEs bei verschiedenen EPSS-Schwellenwerten aufgedeckt werden können.

Die Anzahl der aufgedeckten Hochrisiko-CVEs

Um den Einfluss von LEV auf die Risikobewertung und Priorisierung in Organisationen zu beurteilen, ist es sinnvoll, die Anzahl der dadurch identifizierten Hochrisiko-CVEs zu betrachten. Das folgende Diagramm zeigt, wie viele CVEs in einer Risikoanalyse bei verschiedenen Schwellenwerten über 50 Prozent der zusammengesetzten Wahrscheinlichkeit sichtbar werden würden.

Die Anzahl der CVEs, die unter Verwendung der Metrik Composite Probability (Zusammengesetzte Wahrscheinlichkeit) auf verschiedenen Wahrscheinlichkeitsstufen auf ein hohes Risiko heraufgesetzt wurden

Visualisierung der Risikomigration mit Composite Probability

Das Sankey-Diagramm vergleicht, wie viele CVEs sich in jeder Risikostufe befinden, wenn die maximale EPSS (links) mit der zusammengesetzten Wahrscheinlichkeit von LEV (rechts) verglichen wird. Da die zusammengesetzte Wahrscheinlichkeit verwendet wird, wandern CVEs in der Regel nicht in niedrigere Risikostufen. Das Diagramm zeigt eine signifikante Migration vom niedrigsten Risikobereich zu höheren Bereichen und einen Anstieg für alle anderen Gruppen, wenn die Composite Probability zur Risikoabschätzung verwendet wird.

Sankey-Diagramm, das die Migration von CVEs zwischen Risikobereichen bei der Verwendung von EPSS und der LEV-Metrik „Composite Probability“ zeigt

Einschränkungen und Kritikpunkte an LEV

Die LEV-Metrik bietet zwar wertvolle Einblicke, dennoch sollten ihre Annahmen und potenziellen Schwächen kritisch betrachtet werden:

Das LEV-Whitepaper enthält keine empirische Validierung oder Vergleiche mit anderen statistischen Modellen. Ein frequentistischer Ansatz mit produktbasierter Wahrscheinlichkeit ist jedoch eine bewährte Methode zur Berechnung der kumulativen Wahrscheinlichkeit für eine Reihe unabhängiger Ereignisse.
LEV wird als eine untere Wahrscheinlichkeitsgrenze beschrieben. Es fehlen jedoch akademische Belege dafür, dass die im NIST CSWP 41 beschriebenen mathematischen Modelle tatsächlich konservative Schätzungen von Untergrenzen darstellen.
LEV ist an sich kein undurchsichtiges Vorhersagesystem, aber es basiert auf EPSS, das kein vollständig öffentliches Modell ist. LEV behebt zwar einige potenzielle Schwachstellen, ist aber von EPSS abhängig. In dem Maße, wie EPSS verbessert wird, wird auch LEV von diesen Verbesserungen profitieren. Zum Beispiel hat EPSS v4 Malware-Aktivitäten und Endpunkt-Erkennungen zu seiner „Grundwahrheit“ der realen Ausnutzung hinzugefügt. Dies reduziert die frühere Verzerrung zugunsten von netzwerkbasierten Schwachstellen.
Sicherheitsverantwortliche sollten sich bei der Priorisierung von Schwachstellen nicht zu sehr auf LEV, EPSS oder CVSS verlassen. Zwar sind Beweise für eine aktive Ausnutzung das stärkste Risikosignal, doch kommen diese Beweise oft erst im Nachhinein – zu spät um eine rechtzeitige Reaktion zu ermöglichen.

Zusammenfassung

LEV bietet einige Verbesserungen bei der Schwachstellen-Priorisierung, indem historische EPSS-Signale zu einer kumulativen Ausnutzungswahrscheinlichkeit zusammengefasst werden. Dieser Ansatz erhöht die Sichtbarkeit von CVEs mit einer historischen Dauer und moderaten EPSS-Werten. Die vielleicht nützlichste Kennzahl ist die vorgeschlagene zusammengesetzte Wahrscheinlichkeit, die das stärkste Signal aus LEV, EPSS und dem CISA KEV-Ausnutzungsstatus auswählt.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

7. Juli 2025/von Joseph Lee

Zwischen Vertrauen und Verantwortung: KI-Sicherheit neu gedacht

Blog

Künstliche Intelligenz (KI) – und damit die Sicherheit von und mit KI – ist keine Zukunftsmusik mehr. Sie ist unsere Gegenwart. Und sie ist längst fester Bestandteil unserer täglichen Arbeit für mehr IT-Sicherheit. Gleichzeitig bringt sie eine neue Qualität von Risiken mit sich, die wir in der Security-Branche sehr ernst nehmen müssen.

Von Bach zur künstlichen Intelligenz: eine Zeitreise

Mein erster Berührungspunkt mit KI liegt weit zurück. 1979 las ein Freund von mir in jeder freien Minute in einem dicken, weißen Buch: „Gödel, Escher, Bach“. Als Musiker interessierte mich zunächst nur der Bezug zu Johann Sebastian Bach. Bei meinen Versuchen mit „Das Wohltemperierte Klavier“ und seinen Fugen hat es leider nicht sehr geholfen. Aber dafür lernte ich KI kennen.

Der Autor Douglas R. Hofstadter beschreibt in dem Buch, wie komplexes, intelligentes Verhalten aus erstaunlich einfachen Systemen entstehen kann. Die Idee: auf sich selbst verweisende Schleifenstrukturen, die Bedeutungsebenen schaffen – ob in logischen Beweisen, Zeichnungen oder musikalischen Kompositionen.

Bachs Fugen enthalten immer wieder Melodien, die sich selbst enthalten und die dabei in Variationen gleichzeitig gespielt werden. Dadurch entsteht eine neue musikalische Ebene, in der die einzelne Melodie immer wieder scheinbar verschwindet, aber eigentlich immer da ist. Also ein wenig so wie es für uns auch bei großen Sprachmodellen und generativer KI ist: Das Einzelne verschwindet in einem neuen großen Ganzen.

Wenn komplexe Strukturen auf höherer Ebene Bedeutung erzeugen und wir das dann auch mit digitalen Werkzeugen abbilden können, nennen wir das Ganze künstliche Intelligenz. Bei Hofstadter sind es regelbasierte Systeme. Unsere aktuellen KI-Systeme tun dies in Form von neuronalen Netzen, die durch das Zusammenwirken von Milliarden Parametern scheinbar „intelligente“ Leistungen hervorbringen. Ähnlich wie bei Vogelschwärmen, in Ameisenkolonien oder an der Börse entsteht emergentes Verhalten: Wir nutzen Systeme, die wir selbst nicht mehr vollständig durchschauen, deren Ergebnisse uns aber plausibel und nützlich genug erscheinen, um sie einzusetzen.

Der Balanceakt zwischen Nützlichkeit und Kontrolle

Nach einer jahrzehntelangen Anlaufzeit ist der Einsatz künstlicher Intelligenz in den letzten Jahren sehr schnell sehr selbstverständlich geworden. Ob wir ihre tatsächliche Leistungsfähigkeit bereits weitgehend ausgeschöpft haben oder noch ganz am Anfang einer exponentiellen Kurve stehen, ist offen. Wir sind auf dem kritischen Pfad von einfachen Dialogfunktionen zu teilautonomen oder sogar autonomen Systemen. Hier begegnet technische Effizienz (z. B. Reaktionszeit oder Verlusttoleranz) in einem natürlichen Spannungsverhältnis den menschlichen Qualitäten wie Urteilsvermögen, Verantwortlichkeit und Fähigkeit zu begründbaren Entscheidungen. Und weil wir KI-Systeme immer mächtiger machen, stellt sich immer dringender die Frage: Wie sicher, wie angreifbar und wie vertrauenswürdig sind diese wirklich?

Vertrauen

Ebenso wie bei unseren Partnerinnen und Partnern, im Kreis von Kolleginnen und Kollegen und bei Menschen allgemein können wir auch bei der KI ihre internen Prozesse nicht gut nachvollziehen. Das macht KI nicht nur schwer prüfbar, sondern auch besonders anfällig für gezielte Manipulation, sei es durch adversariale Angriffe oder subtile Eingabeverzerrungen. Aber KI nicht zu nutzen ist natürlich auch keine Lösung. Es hilft alles nichts: Wir müssen damit klarkommen. Wir können nur vertrauenswürdige Werkzeuge und Prozesse etablieren, die uns gut genug schützen.

Es liegt dabei in der Natur der Sache, dass wir uns mit statistischen Wahrscheinlichkeiten anstelle von beweisbaren Wahrheiten, die wir nachvollziehen können, begnügen müssen. In der Praxis geht das meistens gut, aber halt nicht immer. Wo Vertrauen nicht durch Verstehen, sondern durch Gewöhnung entsteht, fehlt im Ernstfall die Grundlage für Kontrolle. Es kann dann zu Missverständnissen darüber kommen, was eine KI leisten kann und was nicht. Es entstehen dann ganz ernstgemeinte Vorschläge, in Ermangelung von verfügbarem Fachpersonal Atomkraftwerke einfach durch KI steuern zu lassen. Das machen wir dann doch lieber nicht.

Der mögliche technische Schutz von KI-Systemen ist vermutlich ausgereifter als der Schutz vor solchen Ideen. Wie sieht es denn überhaupt beim technischen Schutz von KI-Systemen aus? Ein paar Antworten dazu:

KI-Systeme sind auch nur Soft- und Hardware. Die klassische IT-Sicherheitsarchitektur bleibt relevant – auch für KI. Das ist einerseits etwas schrecklich, andererseits können wir wenigstens gut auf Sicherheit prüfen.
Es gibt erste KI-spezifische Schutzmechanismen, die zumindest einfache Angriffe wie Prompt Injection etwas entschärfen können. Content-Filtering und Moderationssysteme können vor toxischen oder unerwünschten Ausgaben schützen.
Mithilfe einer Kombination aus statistischen und regelbasierten Prüfungen lassen sich KI-Systeme überwachen.
Durch kleinere Modelle wie Small Language Models (SLMs) können wir die Angriffsfläche verringern. Große Modelle wie ChatGPT, Claude oder Gemini sind zwar mächtig, aber besonders schwer kontrollierbar und prüfbar. Und sie sind sehr groß, praktisch nicht transportabel, extrem energiehungrig und sehr teuer im Unterhalt. Dafür gibt es immer bessere und schlauere Lösungen.

Je spezifischer ich eine Aufgabe eingrenzen kann, desto weniger brauche ich ein Allzweck-LLM – und desto besser kann ein SLM eingesetzt werden: SLMs lassen sich besser überblicken, transparenter betreiben, lokal härten und effizienter absichern. Das sind keine Allheilmittel, aber wichtige Bausteine für einen verantwortungsvollen KI-Einsatz. Man könnte fragen: Warum kann sich diese KI, wenn sie schon so viel kann, nicht einfach selbst schützen? Warum bauen wir keine Sicherheits-KI für die KI?

Warum sich KI nicht einfach selbst absichern kann

Schon 1937 hat Alan Turing „On Computable Numbers“ veröffentlicht, eine mathematische Beschreibung dessen, was er eine universelle Maschine nannte, eine Abstraktion, die im Prinzip jedes mathematische Problem lösen kann, das ihr in symbolischer Form vorgelegt wird. Das Entscheidungsproblem zeigte jedoch schon ganz am Anfang die Grenzen des maschinellen Denkens auf. Turing bewies, dass es keine allgemeine Methode gibt, um das Verhalten beliebiger Programme vollständig vorherzusagen. Das gilt auch, oder sogar ganz besonders, für die KI von heute.

In jedem hinreichend mächtigen formalen System gibt es wahre Aussagen, die nicht beweisbar sind. Damit sind wir bei Gödel und seinem Unvollständigkeitssatz. KI kann und wird immer mächtiger werden, auch wenn sie nie vollständig vorhersagbar oder verstehbar sein wird. Natürlich hält uns das nicht davon ab, KI-Systeme zu nutzen.

Eine Superintelligenz jedoch wird es in absehbarer Zeit nicht geben. Wir können keine garantiert fehlerfreie KI bauen, und KI kann das auch nicht. Sie ist interessant und bisweilen faszinierend, aber sie ist weder ein Allheilmittel noch ein Mysterium. Unsere Aufgabe ist es daher nicht, Risiken auszuschließen, sondern sie zu erkennen, zu begrenzen und verantwortungsvoll zu tragen. Pragmatismus ist gefragt: Wir müssen die Chancen nutzen und gleichzeitig die Risiken managen.

Optimistische Stimmen sagen: Das kriegen wir hin.

Pessimistische Stimmen sagen: Das gibt eine Katastrophe.

Pragmatistische Stimmen sagen: Wir müssen da durch.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

25. Juni 2025/von Elmar Geese

TÜV-Studie zur Cybersicherheit: Unternehmen in Deutschland weiter unter Druck

Blog

Unternehmen wiegen sich in „trügerischer Sicherheit“, warnen BSI und TÜV – was angesichts anhaltender Bedrohungen wie eine überraschende Erkenntnis klingt, untermauert eine aktuelle Studie zur Cybersicherheit in Unternehmen.

Viele Firmen unterschätzen die Lage, überschätzen die eigenen Fähigkeiten und tun zu wenig zu ihrem eigenen Schutz. Zu diesem und anderen Ergebnissen kommen der TÜV-Verband (Technischer Überwachungsverein) und das Bundesamt für Sicherheit in der Informationstechnologie BSI. Nur die Hälfte der Befragten kenne NIS-2, was angesichts der davon neuerdings betroffenen 29000 zusätzlichen Betrieben ein Alarmsignal sei. Gleichzeitig halten über 90 Prozent die eigene Sicherheit für gut oder sehr gut, für ein Viertel spielt IT-Sicherheit erschreckenderweise nur eine Nebenrolle.

BSI-Chefin besorgt

BSI-Chefin Claudia Plattner zeigt sich dementsprechend besorgt und warnt, es liege offenbar noch viel Arbeit vor Deutschland. Sie verweist auch auf den Cyber Resilience Act der EU , der Mindestvoraussetzungen für vernetzte Produkte in Europa vorschreibe. Laut TÜV sei das Problembewusstsein zwar gestiegen, dennoch seien viele Unternehmen nicht ausreichend vorbereitet.

Dr. Michael Fübi, Präsident des TÜV-Verbands, und Claudia Plattner, BSI-Präsidentin bei der Vorstellung der Studie, Quelle: BSI

Dr. Michael Fübi, Präsident des TÜV-Verbands, und Claudia Plattner, BSI-Präsidentin bei der Vorstellung der Studie, Quelle: BSI

Vier Prozent mehr Opfer von Cyberangriffen

In der 58 Seiten umfassenden Studie finden sich zahlreiche besorgniserregende Erkenntnisse. Die Zahl der Unternehmen, die Opfer eines Cyberangriffs wurden, ist im vergangenen Jahr um vier Prozent gestiegen, sodass nun jedes siebte Unternehmen betroffen ist. In fast allen Fällen (84 %) erfolgte der Einbruch über Phishing. Mehr und mehr Angreifende nutzen KI-gestützte Angriffstechniken, während auf der Seite der Verteidigung kaum KI zum Einsatz kommt (51 % vs. 10 %). 7 von 10 Befragten halten Sicherheitsnormen für wichtig, aber nur ein Fünftel setzt sie selbst um.

„Cybersicherheit in deutschen Unternehmen“ – die TÜV Cybersecurity Studie 2025

Der TÜV-Verband fordert deshalb von der Politik, Cybersicherheit zu priorisieren und in die übergeordnete Sicherheitsstrategie aufzunehmen. Zudem sollten Kompetenzen klarer geregelt werden. NIS2 und CRA müssten entgegen allen bisherigen Verzögerungen „zügig auf den Weg“ gebracht werden.

Empfehlungen für Firmen

Unternehmen sollen, so der TÜV, Bedrohungen ernst nehmen und regelmäßig qualifizierte Risikoanalysen durchführen. Eine geeignete Cyberstrategie ist dabei unerlässlich, ebenso wie Sicherheitsrichtlinien mit messbaren Zielen, klaren Verantwortlichkeiten und Maßnahmenkatalogen.

Unterschiede zwischen großen und kleinen Unternehmen

Als auffällig erweist sich in der Studie der Unterschied je nach Unternehmensgröße. Während 95 Prozent der Firmen mit mehr als 250 Mitarbeitern der IT-Sicherheit einen hohen Stellenwert beimessen, tun dies nur zwei Drittel der Firmen bis 50 Mitarbeiter. Nur bei der Selbsteinschätzung sind sich groß und klein einig: über 90 % halten sich für gut geschützt, egal wie groß die Firma ist. Aber fast die Hälfte der großen Unternehmen (41 %) weiß um das große Risiko in der Lieferkette, während nur 21 Prozent der kleinen Firmen diese Einschätzung teilen. 78 Prozent der Unternehmen unter 50 Beschäftigten glaubt übrigens auch nicht, dass die Lieferkette ein Risiko für einen Cyberangriff darstellt.

Herkunft unbekannt

Die meisten Firmen fürchten Angriffe mit kriminellen oder staatlichen Hintergründen. Bedrohungen durch internes Personal werden hingegen vernachlässigt. Nur neun Prozent konnten Angriffe einer regionalen Quelle zuordnen. Von diesen stammten sechs Prozent aus China, erklärten die mehr als 500 Befragten.

Investitionen in Cybersicherheit

27 Prozent der Firmen haben auch im letzten Jahr das Budget für IT-Sicherheit erhöht, und 15 Prozent haben zusätzliches Fachpersonal eingestellt – etwas niedrigere Werte als im Vorjahr. Sowohl mehr als auch weniger Cloud-Nutzung wird in Unternehmen als Lösungsansatz ausprobiert (jeweils etwa 20 %). Auch Pentesting und Notfallübungen rangieren mit je um 25 % auf den hinteren Plätzen.

Überwiegend investiere man in Hardware-Updates, neue Software für Cybersecurity und Maßnahmen für vernetzte Systeme – Schwerpunkte, die auch durch die spezialisierten Lösungen von Greenbone adressiert werden.

Fazit: Unspezifische Bedrohung, bekannte Methoden, lasche Sicherheitsdisziplin

Wer die Ergebnisse der Studie betrachtet, kommt zu dem Ergebnis: Es ist zwar nicht klar, woher die Angriffe kommen, die erfolgreichen Methoden der Angriffe sind jedoch zu erkennen. Auch liegt eine Asymmetrie beim Technologieeinsatz vor, wie das Beispiel KI zeigt.

Dass knapp 80 Prozent der Befragten zugeben, Sicherheitsnormen nur bedingt umzusetzen, dürfte nicht nur für BSI, Politik und Sicherheitsexperten ein Warnsignal sein. Wenig überraschend leitet der TÜV-Verband daraus die Anforderung an die Bundesregierung ab, die Cybersicherheit voranzubringen und Regulierungen zügig umzusetzen. Das wünscht sich ja auch die Mehrheit der Befragten.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

25. Juni 2025/von Markus Feilner

Threat Report Mai 2025: hacken, reinigen, wiederholen

Blog

Der Mai 2025 war ein ereignisreicher Monat für Cybersecurity-Nachrichten, darunter mehrere große Sicherheitsverletzungen und neue kritische Schwachstellen. Der Greenbone-Blog hat bereits über einige wichtige Ereignisse berichtet, z. B. über neue, aktiv ausgenutzte Sicherheitslücken in SAP Netweaver, Commvault Command Center und Ivanti EPMM. Insgesamt wurden dem CVE-Programm (Common Vulnerabilities and Exposures) von MITRE 4.014 neue Schwachstellen hinzugefügt. Greenbone fügte dem Enterprise Feed über 2.500 neue Schwachstellentests hinzu, von denen viele mehrere CVEs erkennen können.

Im Threat Report für Mai 2025 stellen wir einige der riskantesten neuen CVEs vor, die in diesem Monat veröffentlicht wurden. Außerdem gehen wir auf eine staatlich unterstützte Cyber-Kampagne ein, die sich auf Technologieunternehmen auf der ganzen Welt auswirkt, und untersuchen, wie KI das Cyber-Risiko durch intelligente Automatisierung auf allen Stufen der Cyber-Kill-Chain erhöhen kann.

Der unvermeidliche, KI-gestützte Angriffszyklus: hacken, reinigen, wiederholen

KI ist heute ein Multiplikator im Lebenszyklus von Cyberangriffen. Bedrohungsakteure nutzen KI auf zwei grundlegende Arten: Sie beschleunigen die Umwandlung von öffentlichem Wissen über Schwachstellen in Exploit-Tools und sie erstellen überzeugendere Social-Engineering-Inhalte. Forschende haben eine lange Liste weiterer Fähigkeiten vorgeschlagen, die KI weiter optimieren kann, darunter die Automatisierung von Angriffen beim ersten Zugang und Command-and-Control-Verfahren (C2).

Selbst ohne KI können erfahrene Hacker innerhalb weniger Minuten nach dem ersten Zugang sensible Informationen herausfiltern. Wenn LAN-seitig im Netzwerk eines Opfers erhebliche Schwachstellen bestehen, ist das manuelle Einbringen von Ransomware ein Kinderspiel. Im Jahr 2017 hat WannaCry gezeigt, dass Ransomware-Angriffe automatisiert und sogar wie Würmer genutzt werden können, die sich autonom zwischen Systemen bewegen.

Laut dem jüngsten Gen Threat Report von Norton hat der Datendiebstahl im ersten Quartal 2025 um 186 % zugenommen. Wie im Threat Report vom April 2025 beschrieben, sind die Sammelklagen im Zusammenhang mit Datendiebstahl innerhalb von sechs Jahren um 1.265 % rasant gestiegen. Wenn die Cyber-Hygiene eines Opfers nicht regelkonform ist, sind Vergleiche in Millionenhöhe die Regel. Allein die Top 10 der Sammelklagen wegen Datenschutzverletzungen beliefen sich im Jahr 2023 auf über 515 Millionen US-Dollar, wobei der größte Vergleich mit 350 Millionen US-Dollar T-Mobile betraf. Die gestohlenen Daten werden oft im Dark Web verkauft und dienen als Treibstoff für weitere Cyberangriffe. Wir müssen davon ausgehen, dass KI in naher Zukunft in allen Phasen der Cyber-Kill-Chain vollständige Autonomie erreichen wird, was zu einem autonomen Teufelskreis aus hacken, reinigen und wiederholen führen wird.

Russischer GRU nimmt Logistik- und Technologieunternehmen ins Visier

Die CISA (Cybersecurity and Infrastructure Security Agency) und Verteidigungseinrichtungen aus neun anderen Ländern haben vor einer auf Cyberspionage ausgerichteten Kampagne gewarnt, die vom 85. Main Special Service Center (85. GTsSS) des russischen Generalstabs (GRU), der militärischen Einheit 26165, durchgeführt wird. Diese ist unter verschiedenen Decknamen bekannt, darunter die bekannten FancyBear und APT28.

Der vollständige Bericht beschreibt detailliert die Taktiken, Techniken und Verfahren (TTP), die bei der Kampagne zum Einsatz kamen, darunter Reconnaissance [TA0043], Brute-Force-Angriffe [T1110.003] und Spearphishing zur Erlangung von Zugangsdaten sowie zur Verbreitung von Malware [T1566], die Ausnutzung von Vertrauensverhältnissen, um Zugang zu erlangen [T1199], Proxy-Angriffe über kompromittierte Geräte [T1665] und die Ausnutzung bekannter Softwareschwachstellen – sowohl für den Erstzugang [T1190], als auch für die Ausweitung von Berechtigungen [T1068]. Die schiere Vielfalt der Angriffstechniken deutet auf eine hochentwickelte Bedrohung hin.

Die Kampagne zielt auf eine breite Palette von SOHO-Geräten (Small Office/Home-Office), Microsoft Outlook, RoundCube Webmail und WinRAR sowie auf nicht veröffentlichte CVEs in anderen, vom Internet aus zugänglichen Infrastrukturen, einschließlich Unternehmens-VPNs und SQL-Injection-Fehlern. Greenbone enthält Erkennungstests für alle im Bericht genannten CVEs. Zu diesen CVEs gehören:

CVE-2023-23397 (CVSS 9.8): Eine Schwachstelle für die Ausweitung von Privilegien in Microsoft Outlook, die die Wiedergabe von erfassten Net-NTLMv2-Hashes ausnutzt.
CVE-2020-12641 (CVSS 9.8): Ermöglicht Angreifenden die Ausführung von beliebigem Code über Shell-Metazeichen in einer Roundcube-Webmail-Konfigurationseinstellung für `im_convert_path` oder `im_identify_path`.
CVE-2020-35730 (CVSS 5.0): Ein XSS-Fehler in Roundcube Webmail über eine einfache Text-E-Mail-Nachricht, die eine JavaScript-Link-Referenz enthält.
CVE-2021-44026 (CVSS 6.1): Eine SQL-Injection-Sicherheitslücke in Roundcube über die Suche oder `search_params`.
CVE-2023-38831 (CVSS 7.8): Ermöglicht Angreifenden die Ausführung von beliebigem Code, wenn Nutzende versuchen, eine gutartige Datei innerhalb eines ZIP-Archivs anzuzeigen.

DragonForce Ransomware breitet die Schwingen aus

DragonForce entstand Mitte 2023 und wandelte sich von einem Hacktivisten-Kollektiv zu einem finanziell motivierten RaaS-Unternehmen (Ransomware-as-a-Service). Im Jahr 2025 hat sich DragonForce als eine der größten Bedrohungen im Ransomware-Ökosystem etabliert.

DragonForce-Ransomware-Angriffe betrafen die folgenden Länder:

Vereinigten Staaten – 43 bestätigte Vorfälle
das Vereinigte Königreich – einschließlich der jüngsten Einbrüche bei Marks & Spencer, Co-op und Harrods im Mai 2025
Saudi-Arabien – ein Datenleck bei einer großen Baufirma in Riad
Australien – z. B. Yakult Australia
Singapur – Coca-Cola-Geschäfte
Palau – ein Einbruch in die Regierung im März 2024
Kanada – unter den fünf am häufigsten angegriffenen Ländern
Indien, das insbesondere im letzten Monat ebenfalls verstärkt ins Visier genommen wurde.

Zu den Kampagnen gehörte die Ausnutzung von SimpleHelp Remote Monitoring and Management (RMM) [1], Confluence Server und Data Center [2], Log4Shell (auch bekannt als Log4J), Microsoft Windows-Schwachstellen sowie verschiedener Schwachstellen in Ivanti-Produkten [3]. Greenbone bietet mehrere aktive Prüf- und Versionserkennungstests für alle in DragonForce-Kampagnen identifizierten CVEs.

Die Ausnutzung der folgenden Schwachstellen durch DragonForce sind bestätigt:

CVE-2024-57727, CVE-2024-57728 und CVE-2024-57726 mit Auswirkungen auf SimpleHelp RMM
CVE-2024-21887, CVE-2024-21893 und CVE-2023-46805 mit Auswirkungen auf Ivanti Connect Secure und Policy Secure
CVE-2024-21412 (CVSS 8.1) mit Auswirkungen auf das Betriebssystem Microsoft Windows
CVE-2022-26134 (CVSS 9.8) mit Auswirkungen auf Atlassian Confluence Server und Data Center
CVE-2021-44228 (CVSS 10) (Log4J, Log4Shell) mit Auswirkungen auf das Java-Paket `log4j-core`

Im Einklang mit der Angriffsstrategie anderer bekannter Ransomware-Akteure ist bekannt, dass DragonForce neben dem Ausnutzen von Schwachstellen, die für die Öffentlichkeit zugänglich sind, auch andere Techniken einsetzt. Dazu zählen unter anderem Phishing-E-Mails, Diebstahl von Credentials, Brute-Force- und Credential-Stuffing-Angriffe auf exponierte Dienste sowie Remote-Management-Tools (RMM) wie AnyDesk, Atera und TeamViewer für Persistenz und laterale Bewegungen. Daher benötigen Unternehmen umfassende Cybersicherheitsprogramme, die Schulungen zur Sensibilisierung der Nutzenden umfassen, um Social-Engineering-Angriffe zu verhindern sowie regelmäßige Penetrationstests, um reale gegnerische Aktivitäten zu simulieren.

CVE-2025-32756: Stack-basierte Buffer-Owerflow-Schwachstelle in mehreren Fortinet-Produkten

CVE-2025-32756 (CVSS 9.8), veröffentlicht am 13. Mai 2025, ist eine kritische, Stack-basierte Buffer-Overflow-Schwachstelle [CWE-12], die mehrere Fortinet-Produkte betrifft. Die Schwachstelle ermöglicht entfernten, nicht authentifizierten Angreifenden die Ausführung von beliebigem Code über manipulierte HTTP-Cookies. Sie wird aktiv ausgenutzt – in erster Linie gegen FortiVoice-Systeme – und steht in Verbindung mit Angriffen, bei denen Malware eingesetzt wird, Anmeldedaten mithilfe von Cron-Jobs gestohlen und Netzwerke ausgekundschaftet werden. Details zum Proof-of-Concept sind öffentlich verfügbar, und es wurde eine vollständige technische Analyse veröffentlicht, die den Risikofaktor erhöht.

Fortinet-Schwachstellen haben eine historisch hohe Konversionsrate für Ransomware-Angriffe. Seit Ende 2021 wurden insgesamt 18 Schwachstellen in Fortinet-Produkten in die KEV-Liste (Known Exploited Vulnerabilities) der CISA aufgenommen – 11 davon werden bekanntermaßen von Ransomware-Betreibern ausgenutzt. Neben der CISA haben auch mehrere andere nationale CERT-Einrichtungen Warnungen herausgegeben, darunter das CERT-EU, das Centre for Cybersecurity Belgium (CCB) und das deutsche CERT-BUND.

Die Ursache ist eine fehlende Längen-Überprüfung in der Funktion `cookieval_unwrap()` von libhttputil.so. Ein bösartiger AuthHash-Cookie kann den Speicher so beschädigen, dass die Rücksprungadresse kontrolliert werden kann, sodass ausführbare Dateien auf Prozessebene manipuliert werden können. Der Greenbone Enterprise Feed bietet einen Schwachstellentest zur Erkennung betroffener Produkte und fast 1.000 weitere Tests zur Erkennung anderer Schwachstellen in Fortinet-Produkten.

CVE-2025-32756 betrifft Dutzende von Firmware-Versionen diverser FortiNet Produkte, darunter:

FortiVoice (6.4.0 – 7.2.0)
FortiMail (7.0.0 – 7.6.2)
FortiNDR (1.1-7.6.0)
FortiRecorder (6.4.0 – 7.2.3)
alle Versionen von FortiCamera 1.1 und 2.0 sowie 2.1.0 – 2.1.3

Fortinet rät, sofort auf die neuesten korrigierten Versionen zu aktualisieren. Wenn ein Patch nicht möglich ist, sollten Nutzende die HTTP/HTTPS-Admin-Schnittstelle deaktivieren, um erfolgreiche Angriffe zu verhindern.

Drei SysAid-Schwachstellen jetzt mit CVEs und öffentlichen PoCs

Im Mai wurden drei Schwachstellen mit kritischem Schweregrad bekannt, die die On-Premises SysAid IT Service Management (ITSM)-Plattform betreffen und die so miteinander verkettet werden können, dass unauthentifizierte Remote Code Execution (RCE) möglich ist. Vollständige technische Details und ein Proof-of-Concept (PoC) wurden von watchTowr veröffentlicht. In Anbetracht der Tatsache, dass SysAid-Schwachstellen in der Vergangenheit bereits von Ransomware-Betreibern angegriffen wurden, sind diese Schwachstellen besonders risikoreich.

CVE-2025-2775, CVE-2025-2776 und CVE-2025-2777 (jeweils CVSS 9.3) sind nicht authentifizierte XML External Entity (XXE) [CWE-611]-Schwachstellen in den Funktionen Checkin, Server URL bzw. lshw. Sie alle ermöglichen die Übernahme eines Administrationskontos und das Lesen beliebiger Dateien auf dem System des Opfers. SysAid On-Prem Versionen ≤ 23.3.40 sind betroffen. Bemerkenswert ist, dass die Fehler vom Hersteller im März zwar gepatcht, aber keine CVE-IDs reserviert oder ausgegeben wurden. Diese Art von Szenario trägt zu einer undurchsichtigen Bedrohungslandschaft für Software-Anwendende bei, was die Transparenz verringert und das operative Schwachstellenmanagement erschwert. Greenbone bietet Erkennungstests für alle oben genannten CVEs.

SysAid ist weltweit vertreten mit über 10.000 Kunden in 140 Ländern, darunter Unternehmen wie Coca-Cola, Panasonic, Adobe und LG. Im Vergleich zu größeren Wettbewerbern wie ServiceNow oder Jira Service Management hat SysAid zwar einen geringeren Anteil am ITSM-Markt, bleibt aber dennoch eine beliebte Lösung für mittelständische Unternehmen.

CVSS 10 in Cisco IOS XE Wireless Controller

CVE-2025-20188 ist eine neue Sicherheitslücke mit kritischem Schweregrad (CVSS 10), die im Mai 2025 veröffentlicht wurde. Die Flaggschiff-Plattform von Cisco, die Catalyst 9800-Serie, ist von CVE-2025-20188 betroffen. Es ist zwar noch nicht bekannt, ob die Schwachstelle aktiv ausgenutzt wird, aber es ist schon jetzt ein vollständiger technischer Überblick verfügbar, der weniger erfahrenen Bedrohungsakteuren einen Vorsprung verschafft.

Die Hauptursache der Schwachstelle ist ein fest einprogrammiertes JSON-Web-Token (JWT), das es Angreifenden ermöglichen könnte, Dateien hochzuladen, Path-Traversal-Angriffe und beliebige Befehle mit Root-Privilegien über speziell gestaltete HTTP-Anfragen auszuführen. Insbesondere werden hartcodiertes Fallback-Secret – der String `notfound` – verwendet, um die Authentizität eines JWTs zu überprüfen, wenn `/tmp/nginx_jwt_key` nicht vorhanden ist.

Obwohl dieser Key zu bestimmten Zeiten generiert werden kann, z. B. wenn sich ein Administrator bei der Verwaltungskonsole anmeldet, kann er gelegentlich fehlen, z. B. unmittelbar nach einem Neustart des Geräts oder eines Dienstes.

Außerdem betrifft die Schwachstelle nicht alle HTTP-Endpunkte, sondern nur die Out-of-Band Access Point (AP) Image Download-Funktion der Cisco IOS XE Software für WLAN-Controller (WLCs). Während Cisco in einem Sicherheitshinweis behauptet, dass dieser Dienst nicht standardmäßig aktiviert ist, fanden Horizon.ai-Forschende heraus, dass er es doch war. Daher gibt es zwar mehrere Bedingungen, die für die Ausnutzbarkeit von CVE-2025-20188 benötigt werden, aber wenn diese Bedingungen gegeben sind, ist die Ausnutzung trivial und betrifft wahrscheinlich viele Unternehmen.

Cisco hat einen Sicherheitshinweis veröffentlicht, der den betroffenen Nutzenden rät, entweder auf die gepatchte Version zu aktualisieren oder den Out-of-Band AP Image Download zu deaktivieren. Der Greenbone Enterprise Feed enthält einen Versionserkennungstest zur Identifizierung betroffener Geräte und zur Überprüfung der Patch-Level.

Zusammenfassung

Der Mai 2025 brachte eine Flut von kritischen Schwachstellen, größeren Sicherheitsverletzungen und eskalierenden Aktivitäten von Nationalstaaten. Es ist wichtig, sich vor Augen zu halten, dass KI-gestützte Angriffszyklen zur Realität werden. Die chaotische und dringliche Cybersicherheitslandschaft wird sich in absehbarer Zeit nicht entspannen.

Neue, aktiv ausgenutzte Schwachstellen in Cisco-, Fortinet- und SysAid-Produkten zwingen die Unternehmen dazu, wachsam zu sein und kontinuierliche Erkennungsmaßnahmen mit anschließender Priorisierung und Schadensbegrenzung durchzuführen.

Die Greenbone-Abdeckung für Unternehmen hilft Sicherheitsteams, Schwachstellen zu erkennen, die Bedrohungsakteure finden können, um in einer sich schnell verändernden Bedrohungslandschaft die Nase vorn zu haben.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

16. Juni 2025/von Joseph Lee

Greenbone testet jetzt auch auf CIS Windows 11 Benchmarks

Blog

Microsoft Windows ist nach wie vor das am weitesten verbreitete Desktop-Betriebssystem in Unternehmensumgebungen – und gleichzeitig mit am häufigsten von Angreifern ins Visier genommen. Unsichere Konfigurationen sind eine der Hauptursachen für Sicherheitsverletzungen [1][2][3] und werden häufig ausgenutzt, um sich ersten Zugriff zu verschaffen [TA0001], Berechtigungen zu erweitern [TA0004], Anmeldedaten zu stehlen [TA0006], dauerhaften Zugriff zu erlangen [TA0003] und sich innerhalb eines Netzwerks seitlich zu bewegen [TA0008]. Viele nationale Cybersicherheitsbehörden empfehlen Unternehmen weiterhin nachdrücklich, Richtlinien zur Stärkung der Basiskonfigurationen von Betriebssystemen (OS) zu erlassen [4][5][6][7][8].

Die Sicherung von Windows 11-Systemen erfordert mehr als nur das Patchen bekannter Schwachstellen. IT-Abteilungen sollten zunächst sicherheitsgehärtete Basis-Images von Windows bereitstellen und deren Konfiguration regelmäßig überprüfen. Dazu müssen viele versteckte oder oft übersehene Einstellungen von Microsoft Windows angepasst und einige Funktionen vollständig deaktiviert werden. Zu den gehärteten Sicherheitskontrollen gehören die Durchsetzung strenger Richtlinien für Passwörter und Kontosperrungen, die Deaktivierung unnötiger Systemdienste wie Remote Registry, die Anwendung von Anwendungskontrollregeln über AppLocker, die Konfiguration erweiterter Überwachungsrichtlinien zur Überwachung der Systemaktivitäten und vieles mehr.

Im Einklang mit diesen IT-Sicherheitszielen für Unternehmen ist Greenbone stolz darauf, die Aufnahme des CIS Microsoft Windows 11 Enterprise Benchmark v3.0.0 Level 1 (L1) Audits in die Compliance-Funktionen bekannt zu geben. Mit dieser neuesten Erweiterung können unsere Enterprise-Feed-Kunden ihre Windows 11-Konfigurationen anhand des CIS-Compliance-Standards überprüfen. Damit erweitert Greenbone das wachsende Arsenal an CIS-Compliance-Richtlinien, darunter Google Chrome, Apache, IIS, NGINX, MongoDB, Oracle, PostgreSQL, Windows, Linux und Docker [1][2]. Hier die neuesten Funktionen zur Schwachstellenerkennung von Greenbone:

Greenbone erweitert CIS Microsoft Windows 11 Enterprise Benchmark

Der CIS Microsoft Windows 11 Enterprise Benchmark v3.0.0 L1 ist jetzt im Greenbone Enterprise Feed verfügbar. Dieser Benchmark definiert einen umfassenden Satz von Sicherheitskonfigurationen, die darauf ausgelegt sind, Windows 11 Enterprise gemäß den Best Practices der Branche zu sichern – angefangen bei Gruppenrichtlinien und Registrierungshärtung bis hin zu integrierten Funktionsbeschränkungen. Mit dieser neuen Ergänzung macht es Greenbone einfacher, Fehlkonfigurationen von Microsoft Windows zu identifizieren, bevor Angreifer sie ausnutzen können.

Unser Enterprise-Schwachstellen-Feed nutzt Compliance-Richtlinien, um Tests zur Überprüfung jeder automatisierbaren CIS L1-Anforderung durchzuführen. Diese Tests sind in Scan-Konfigurationen gruppiert, sodass Sicherheitsteams gezielte Untersuchungen für ihre gesamte Windows 11-Flotte durchführen können. Unabhängig davon, ob Sie interne Sicherheitsvorschriften oder gesetzliche Rahmenbedingungen einhalten müssen, bestätigt die Prüfung von Greenbone Ihre Windows 11 Enterprise-Einstellungen und stellt sicher, dass die Systeme gesperrt und veraltete oder riskante Funktionen deaktiviert sind.

Windows-Sicherheit: von größter Bedeutung

Microsoft Windows spielt eine wichtige Rolle in IT-Umgebungen von Unternehmen und dient als Rückgrat für Endgeräte, Server und Domäneninfrastrukturen. Diese Allgegenwärtigkeit macht es jedoch auch zu einem bevorzugten Ziel. Unsichere Windows-Konfigurationen können die Tür für Remote Code Execution (RCE), den Diebstahl von Anmeldedaten und die Ausweitung von Berechtigungen öffnen. Eine schwerwiegende Cybersicherheits-Verletzung kann zur vollständigen Kompromittierung der Domäne, zu Ransomware-Angriffen, zum Verlust des Kundenvertrauens, zu Bußgeldern und sogar zu kostspieligen rechtlichen Schritten wie Sammelklagen führen, wenn Benutzerdaten offengelegt werden.

In den letzten Jahren haben nationale Cybersicherheitsbehörden – darunter das deutsche BSI [9], die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) [10] und das Canadian Centre for Cyber Security [11] sowie weitere [12][13] – Warnungen herausgegeben, in denen sie die Notwendigkeit betonen, die Sicherheitskonfigurationen von Betriebssystemen zu verbessern und veraltete Funktionen zu deaktivieren, die von Angreifern regelmäßig ausgenutzt werden. Die zunehmende Häufigkeit und Raffinesse der Angriffe durch böswillige Akteure unterstreichen einmal mehr die Notwendigkeit einer proaktiven Windows-Sicherheit.

Fehlkonfigurationen in Windows können eine Kettenreaktion auslösen und sowohl das lokale System als auch das gesamte Netzwerk gefährden. Deshalb müssen Maßnahmen zur Absicherung über das Patchen von Schwachstellen hinausgehen und ein robustes Konfigurationsmanagement umfassen. Die neue CIS Windows 11 Enterprise-Compliance-Richtlinie von Greenbone bietet Verteidigern die Tools, die sie benötigen, um die Widerstandsfähigkeit gegen viele kritische IT-Sicherheitslücken zu stärken.

Wie verbessert der CIS Windows 11 Benchmark die Cybersicherheit?

Der CIS Microsoft Windows 11 Enterprise Benchmark bietet einen strukturierten Ansatz zur Sicherung von Microsoft Windows-Endpunkten. Er definiert Konfigurationseinstellungen, die für unbefugten Zugriff, Missbrauch von Berechtigungen und Systemkompromittierung verwendet werden könnten. Der Benchmark überprüft eine Vielzahl von Richtlinien, darunter Kontosicherheit, Systemdienste, Netzwerkkonfigurationen, Anwendungskontrollen und Verwaltungsvorlagen, um die Angriffsfläche zu verringern und die Systemintegrität zu verbessern.

Die wichtigsten Abschnitte des CIS Windows 11 Benchmarks:

Account Policies: Definiert Richtlinien für die Komplexität, den Verlauf und das Ablaufdatum von Passwörtern sowie für die Schwellenwerte für die Kontosperrung. Diese Einstellungen tragen zur Durchsetzung einer strengen Authentifizierungshygiene bei und schränken Brute-Force-Angriffe ein.
Lokale Richtlinien: Konzentriert sich auf die Durchsetzung einer Vielzahl von lokalen Zugriffskontrollen und Systemverhalten. Umfasst Audit-Einstellungen, Benutzerrechte (z. B. wer sich lokal anmelden oder das System herunterfahren darf) und Sicherheitsoptionen (z. B. Gastkontostatus, Zugriffstoken, Netzwerkzugriff, Gerätetreiber, Firmware-Optionen und Kryptografie-Anforderungen) und vieles mehr.
Systemdienste: Reduziert die Angriffsfläche durch Einschränkung aktiver Systemkomponenten. Empfiehlt die Deaktivierung oder Konfiguration von Windows-Diensten, die möglicherweise unnötig sind oder das System Risiken aussetzen (z. B. Remote-Registrierung, FTP, Bluetooth, OpenSSH, Geolocation-Service und mehr).
Windows Defender-Firewall mit erweiterter Sicherheit: Umfasst Firewall-Konfigurationen für Domain-Profile sowie private und öffentliche Profile. Enthält Regeln für die Protokollierung, Verbindungsbeschränkungen und das Blockieren unerwünscht eingehenden Datenverkehrs, um die Netzwerksegmentierung und Traffic-Kontrolle durchzusetzen.
Erweiterte Konfiguration der Überwachungsrichtlinien: Bietet detaillierte Überwachungseinstellungen für Kategorien wie Anmeldeereignisse, Objektzugriff und Richtlinienänderungen, um die Transparenz und Compliance zu verbessern.
Administrative Vorlagen (Computer): Umfasst Gruppenrichtlinieneinstellungen auf Computerebene, einschließlich UI-Einschränkungen, Steuerung älterer Protokolle, SMB-Hardening, UAC-Verhalten und Gerätekonfiguration.
Administrative Vorlagen (Benutzer): Konzentriert sich auf Richtlinien auf Benutzerebene, die sich auf Personalisierung, Datenschutz, Desktop-Verhalten, Windows-Komponenten, Telemetrie, Cloud-Inhalte, Suche und den Zugriff auf den Microsoft Store auswirken.

Greenbone ist Mitglied des CIS-Konsortiums

Als Mitglied des CIS-Konsortiums verpflichtet sich Greenbone, zusätzliche Scan-Konfigurationen hinzuzufügen, um CIS-Benchmarks zu bestätigen. Alle unsere CIS-Benchmark-Richtlinien entsprechen den CIS-Hardening-Richtlinien und sind von CIS zertifiziert, wodurch maximale Sicherheit für Systemaudits gewährleistet ist. Greenbone verfügt außerdem über eine spezielle Compliance-Ansicht für die Weboberfläche des Greenbone Security Assistant (GSA), um den Bewertungsprozess für Unternehmen zu optimieren.

Zusammenfassung

Die Sicherung von Microsoft Windows 11 Enterprise erfordert mehr als nur das Patchen von Schwachstellen – sie erfordert einen disziplinierten Ansatz für das Konfigurationsmanagement auf der Grundlage bewährter Best Practices. Durch die Absicherung versteckter Systemeinstellungen und die Deaktivierung unnötiger Funktionen können Sicherheitsteams Exploit-Pfade verhindern, die häufig von Angreifern genutzt werden, um Ransomware zu verbreiten, Daten zu herauszufiltern oder sich dauerhaft im Netzwerk einzunisten.

Mit der zusätzlichen Unterstützung für den CIS Microsoft Windows 11 Enterprise Benchmark v3.0.0 stärkt Greenbone die Position als führender Anbieter proaktiver Cybersicherheit und bietet Unternehmen die Tools, die sie benötigen, um Risiken zu reduzieren, Compliance nachzuweisen und in einer zunehmend feindseligen digitalen Landschaft widerstandsfähig zu bleiben. Abonnenten des Enterprise Feed können nun ihre Windows 11-Konfigurationen präzise und zuverlässig überprüfen und verifizieren.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

2. Juni 2025/von Greenbone AG

Dwell Time: Angreifer schlagen schneller zu und tarnen sich immer besser

Blog

Sicherheitsexperten beobachten eine Besorgnis erregende Entwicklung: Die Time to Exploit (TTE), also die Zeit zwischen dem Bekanntwerden einer Sicherheitslücke und ihrem Ausnutzen durch böswillige Akteure, sinkt in der letzten Zeit massiv.

Gleichzeitig zeigen Angreifer immer größere Kompetenz beim Verbergen ihrer Anwesenheit in einem erfolgreich gehackten Netzwerk. Die Zeit, um sich einzunisten und sodann unbefugt auf Unternehmensressourcen zuzugreifen, bevor sie entdeckt (und entfernt) werden, nennen Experten „Dwell time“, also Verweildauer. Je kürzer diese ist, umso besser für die Angegriffenen. Auch der begabteste Hacker braucht Zeit und kann umso mehr (dauerhaften) Schaden anrichten, je länger er unbemerkt und unbeobachtet bleibt.

Der Feind hört mit – und ist vielleicht schon da

Erschreckenderweise erreicht die Dwell Time immer häufiger Monate oder gar Jahre, so wie bereits bei Sony oder im US-Office for Personal Management. Dort konnten Angreifer mehr als zwölf Monate ungestört agieren. Bei dem japanischen Technologiekonzern flossen in der Folge sogar über 10 Terabyte an Daten ab.

Die Angst vor verborgenen Eindringlingen ist groß, schließlich kann niemand mit Sicherheit sagen, ob sich nicht bereits ein bösartiger Zuhörer im eigenen Netzwerk befindet. Das kommt vor. Schon beim Bundestagshack 2015 zum Beispiel informierte nicht das eigene Monitoring, sondern ein „befreundeter“ Geheimdienst die deutschen Behörden über seltsame Aktivitäten Dritter (russische APT-Hackergruppen) im Bundestagsnetz. Wie lange und wie viele Akteure zu dem Zeitpunkt sich bereits im Netzwerk getummelt hatten, blieb offen. Klar war nur: Es waren mehr als einer, und die befreundeten Geheimdienste hatten schon länger zugeschaut.

Erkennung, Prävention und Reaktion immer kritischer

Umso wichtiger ist es, dafür Sorge zu tragen, dass die Angreifer erst gar nicht ins System gelangen. Das aber wird immer schwieriger: Wie unter anderen die Experten von Googles Mandiant berichten, ist in den letzten fünf Jahren die Reaktionszeit, die Unternehmen und Softwarebetreibern zwischen dem Bekanntwerden einer Schwachstelle und dem Exploit bleibt, in den letzten Jahren rapide gefallen: von 63 Tagen 2018 auf gut einen Monat.

Immer weniger Zeit zum Reagieren

2023 blieben Administratoren schon nur mehr fünf Tage im Durchschnitt, um Schwachstellen zu bemerken und zu schließen. Heute sind es bereits weniger als drei Tage.

Damit nicht genug. Früher wurden Sicherheitslücken häufiger erst ausgenutzt, nachdem Patches verfügbar waren, also nachdem sich erfahrene Administratoren bereits abgesichert und die aktuellen Patches eingespielt hatten. Eigentlich sollten diese so genannten „N-day Vulnerabilities“ also gar kein Problem sein, gibt es doch Fixes dafür.

Verbesserte Disziplin mit Nebenwirkungen: Angreifer lernen

Leider war in der Vergangenheit die Disziplin (und die Aufmerksamkeit) in vielen Unternehmen nicht so ausgeprägt, man vernachlässigte das Thema und sorgte so unfreiwillig auch für weitere Verbreitung von automatisierten Angriffsmethoden, etwa mithilfe von Würmern und Viren. Gerade hier gibt es auch gute Nachrichten: 2022 machten die Attacken über die N-Day-Schwachstellen noch 38 % aller Angriffe aus, 2023 nur noch 30 %.

Auf den ersten Blick klingt das gut, weil Administratoren bekannte Schwachstellen, für die es Patches gibt, schneller und besser finden und fixen. Nach Jahren mit eher schlecht ausgeprägter Disziplin und mangelnder Update- und Patch-Strategie haben sicher auch die großen und erfolgreichen Ransomware-Vorfälle dazu beigetragen, einer Mehrheit von Verantwortlichen die Tragweite und Bedeutung von ordentlichem Schwachstellenmanagement zu vermitteln.

Zwei Drittel sind mittlerweile Zero-Days

Aber die Zahlen haben auch eine Kehrseite: Mehr als zwei Drittel aller Angriffe basieren mittlerweile auf „Zero-Day“-Schwachstellen, also Sicherheitslücken, für die es noch keinen Patch gibt – 2023 waren das sogar schon 70 %. Die kriminellen Gruppen und Angreifer haben reagiert, gelernt und ihre Machenschaften professionalisiert, automatisiert und gewaltig beschleunigt.

Ohne Automatisierung und Standardisierung von Prozessen, ohne moderne, gepflegte und kontrollierte Open-Source-Software können Admins der Entwicklung kaum mehr Paroli gebieten. Wer kann schon behaupten, er sei in der Lage, binnen drei Tagen auf eine neue Bedrohung zu reagieren?

Machtlos? Nicht mit Greenbone

Wenn Angreifer schneller auf neue, bis dato unbekannte Schwachstellen reagieren können und sich dann auch noch besser zu verstecken gelernt haben, kann es nur eine Antwort geben: den Einsatz eines professionellen Schwachstellenmanagements. Mit Lösungen von Greenbone lässt sich das Netzwerk automatisiert testen. Mit Berichten über den Erfolg von Maßnahmen erhalten Administratoren damit einen schnellen Überblick über den aktuellen Sicherheitsstatus Ihres Unternehmens.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

2. Juni 2025/von Markus Feilner

Angreifer nutzen zwei neue Ivanti EPMM-Schwachstellen aus

Blog

Erst im vergangenen Monat wurde die Schwachstelle CVE-2025-22457 (CVSS 9.8), die Ivanti Connect Secure, Policy Secure und ZTA Gateways betrifft, als Vektor für Ransomware erkannt. Jetzt wurden zwei neue CVEs zur wachsenden Liste der risikoreichen Ivanti-Schwachstellen hinzugefügt: CVE-2025-4427 und CVE-2025-4428, die Ivanti EPMM (Endpoint and Patch Management Mobile) betreffen, werden aktiv ausgenutzt.

Greenbone beinhaltet aktive Tests zur Prüfung und Versionserkennung, die sowohl die neuen CVEs als auch viele andere Schwachstellen in Ivanti-Produkten adressieren. So können Benutzer verwundbare Instanzen identifizieren, mit dem Patch-Prozess fortfahren und die Sicherheitskonformität überprüfen, sobald die Patches angewendet wurden. In diesem Blogbeitrag gehen wir auf die technischen Details der beiden neuen CVEs ein und bewerten die Rolle, die Ivanti im globalen Cyber-Risikokalkül gespielt hat.

CVEs in Ivanti EPMM für unautorisierten Zugriff

Zum Zeitpunkt der Offenlegung gab Ivanti zu, dass EPMM-Kunden mit inhouse installierten Lösungen bereits angegriffen wurden. Das Cloud-Sicherheitsunternehmen Wiz erklärt, dass jedoch auch selbst verwaltete Cloud-Instanzen von Angreifern effektiv ausgenutzt wurden. Eine vollständige technische Beschreibung der Angriffskette ist öffentlich zugänglich, was die Entwicklung von Exploits für Angreifer erleichtert und das Risiko weiter erhöht.

Hier eine kurze Zusammenfassung der einzelnen Schwachstellen:

CVE-2025-4427 (CVSS 5.3): Eine Umgehung der Authentifizierung in der API-Komponente von Ivanti EPMM 12.5.0.0 und früher ermöglicht Angreifern den Zugriff auf geschützte Ressourcen ohne entsprechende Anmeldeinformationen über die API.
CVE-2025-4428 (CVSS 7.2): Remote Code Execution (RCE) in der API-Komponente von Ivanti EPMM 12.5.0.0 und früher erlaubt authentifizierten Angreifern die Ausführung von beliebigem Code über manipulierte API-Requests.

Ivanti hat Patches veröffentlicht, um die Schwachstellen zu beheben. Benutzer sollten EPMM mindestens auf Version 11.12.0.5, 12.3.0.2, 12.4.0.2 oder 12.5.0.1 aktualisieren. Wenn ein sofortiges Patchen nicht möglich ist, empfiehlt Ivanti, den API-Zugriff entweder mit den integrierten Portal-ACLs (Access Control Lists mit dem Typ „API Connection“) oder einer externen WAF (Web Application Firewall) einzuschränken. Von netzwerkbasierten ACLs rät der Hersteller ab, da sie einige EPMM-Funktionen blockieren können. Diese Maßnahmen verringern zwar das Risiko, können aber die Funktionalität bestimmter EPMM-Integrationen, wie Microsoft Autopilot und Graph API, beeinträchtigen. Ivanti bietet auch eine RPM-Datei an, die zum Patchen von EPMM über den Command Line Access via SSH verwendet werden kann.

Die Invanti EPMM Exploit-Kette

Die Exploit-Kette in Ivanti EPMM beginnt mit CVE-2025-4427. Aufgrund einer unsicheren Konfiguration in der Datei security.xml in der Anwendung verarbeiten bestimmte Endpunkte (insbesondere /rs/api/v2/featureusage) die Anfragen teilweise, wenn der Parameter format angegeben wird. Diese Pre-Auth-Verarbeitung ermöglichte es nicht authentifizierten Anfragen, auf Funktionen zuzugreifen, die geschützt sein sollten. Dieser durch CVE-2025-4427 verursachte Fehler in der Zugriffskontrolle schafft die Voraussetzungen für RCE über CVE-2025-4428.

CVE-2025-4428 ermöglicht RCE mithilfe einer EL-Injection (Expression Language) in HTTP-Anfragen. Wenn der in einem Request übergebene Parameter format gemäß der EPMM-Spezifikation ungültig ist (weder „cve“ noch „json“), wird sein Wert ohne Bereinigung an eine Fehlermeldung angehängt und über die Message Templating Engine von Spring Framework protokolliert. Durch die Bereitstellung speziell gestalteter Werte im Format-Parameter können Angreifer beliebigen Java-Code ausführen, da die protokollierte Nachricht als EL-formatierter String gewertet wird.

Forscher haben darauf hingewiesen, dass diese Risiken im Zusammenhang mit Nachrichten-Templating-Engines gut dokumentiert sind, und haben die Behauptungen von Ivanti zurückgewiesen, dass die Schwachstelle auf einen Fehler in einer Bibliothek eines Drittanbieters zurückzuführen ist und nicht auf ein eigenes Versehen. Wenn Ihnen die Bedingungen, die zur Ausnutzung von CVE-2025-4428 führen, bekannt vorkommen, erinnern sie an die berüchtigte Log4Shell-Schwachstelle. Wie Log4Shell resultiert CVE-2025-4428 aus der Übergabe von unbereinigten Benutzereingaben an eine Expression Engine, die spezielle Befehle aus einer formatierten Zeichenfolge interpretiert. Im Fall von Log4Shell könnte eine böswillige String-Formatierung in JNDI-Lookups (z. B. ${jndi:ldap://…}) einen RCE auslösen.

Risikobewertung: Angreifer dringen über Ivanti-Lücken vor

Ivanti steht seit einigen Jahren in der Kritik. Angreifer haben häufig Schwachstellen in den Produkten von Ivanti ausgenutzt, um sich Zugang zu den Netzwerken ihrer Opfer zu verschaffen. Über alle Produktlinien hinweg hat der Anbieter seit Anfang 2023 61 CVEs mit kritischem Schweregrad (CVSS >= 9.0) erhalten. 30 davon wurden in den KEV-Katalog (Known Exploited Vulnerabilities) der CISA (Cybersecurity and Infrastructure Security Agency) aufgenommen, obwohl die tatsächliche Zahl der aktiv ausgenutzten Schwachstellen höher sein dürfte. Ivanti CVEs haben eine hohe Konversionsrate für die Verwendung in Ransomware-Angriffen. CISA verzeichnet acht CVEs in dieser Kategorie.

Anfang 2024 gaben die ENISA, CERT-EU und Europol eine gemeinsame Erklärung zur aktiven Ausnutzung der Produkte Ivanti Connect Secure und Policy Secure Gateway ab. In den USA wies die CISA alle zivilen Bundesbehörden an, diese Produkte vom Netz zu nehmen und davon auszugehen, dass sie missbraucht worden waren [1][2]. Die CISA, das FBI und Cybersicherheitsbehörden aus Großbritannien, Australien und Kanada gaben eine gemeinsame Meldung heraus, in der sie vor den laufenden Angriffen warnten. Ende 2024 warnte die CISA zusätzlich vor einer aktiven Ausnutzung der Ivanti Cloud Service Appliances (CSA) und wies darauf hin, dass sowohl staatlich finanzierte als auch finanziell motivierte Bedrohungsakteure erfolgreich auf nicht gepatchte Systeme abzielten.

Am 8. Januar 2025 warnte die CISA davor, dass die neu veröffentlichten Sicherheitskücken CVE-2025-0282 und CVE-2025-0283 in Ivanti Connect Secure, Policy Secure und ZTA Gateways ebenfalls aktiv ausgenutzt werden. Leider verwendeten Angreifer bis weit in das Jahr 2025 hinein neue Schwachstellen in Ivanti-Produkten, darunter CVE-2025-22457 [3][4] sowie jetzt die zwei neuen CVEs in EPMM (siehe oben).

Dennis Kozak hat Jeff Abbott mit Wirkung vom 1. Januar 2025 als CEO von Ivanti abgelöst, obwohl Jeff Abbott schon ab Mitte 2024 eine verbesserte Produktsicherheit zugesagt hatte. Es wurde keine öffentliche Erklärung abgegeben, in der die Nachfolge mit den Sicherheitsproblemen des Unternehmens aus Utah in Verbindung gebracht wurde, allerdings geschah dies nur wenige Wochen vor der Ablösung. Die Führungskräfte wurden nicht aufgefordert, vor dem US-Kongress auszusagen, wie es viele andere Führungskräfte im Bereich der Cybersicherheit nach hochriskanten Vorfällen getan haben, darunter Sudhakar Ramakrishna, CEO von SolarWinds, Brad Smith, Präsident von Microsoft, und George Kurtz, CEO von CrowdStrike.

Echos aus der Vergangenheit von EPMM: CVE-2023-35078 und CVE-2023-35082

Zusätzlich zu den oben beschriebenen Schwachstellen ermöglichten CVE-2023-35078 (CVSS 9.8) und CVE-2023-35082 (CVSS 9.8), die im Juli bzw. August 2023 veröffentlicht wurden, unauthentifizierte RCE für Ivanti EPMM. Die breite Ausnutzung begann fast unmittelbar nach ihrer Veröffentlichung im Jahr 2023.

CVE-2023-35078 wurde ausgenutzt, um in die norwegische Regierung einzudringen und die Daten von zwölf Ministerien zu kompromittieren [3][4]. Die CISA gab eine dringende Empfehlung (AA23-214A) heraus, in der sie auf die bestätigte Ausnutzung durch APT-Akteure (Advanced Persistent Threats) hinwies und allen Bundesbehörden riet, sofortige Maßnahmen zur Schadensbegrenzung zu ergreifen. Selbst im Jahr 2023 unterstrichen die Geschwindigkeit und das Ausmaß der Angriffe das wachsende Profil von Ivanti als Wiederholungstäter, der Spionage und finanziell motivierte Cyberkriminalität ermöglicht.

Zusammenfassung

Ivanti EPMM ist anfällig für zwei neue Schwachstellen: CVE-2025-4427 und CVE-2025-4428 können für unautorisierte RCE kombiniert werden. Sie werden derzeit aktiv ausgenutzt und unterstreichen ein beunruhigendes Muster von hochgradig gefährlichen Schwachstellen in Ivanti-Produkten. Ivanti hat Patches veröffentlicht, um die Schwachstellen zu beheben, und Benutzer sollten EPMM mindestens auf Version 11.12.0.5, 12.3.0.2, 12.4.0.2 oder 12.5.0.1 aktualisieren.

Die Fähigkeiten von Greenbone zur Erkennung von Schwachstellen umfassen auch Tests für CVE-2025-4427 und CVE-2025-4428, die es Ivanti EPMM-Benutzern ermöglichen, alle anfälligen Instanzen zu identifizieren und die Einhaltung der Sicherheitsvorschriften zu überprüfen, sobald die Patches angewendet wurden.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

28. Mai 2025/von Joseph Lee

Neue Welle von Wiper-Malware im Cybergefecht

Echte Risiken und „AI-Slop“: Linux-CVEs im Wandel

CVE-2025-49113: Eine kritische CVE in RoundCube Webmail

Neue kritische CVE in Cisco ISE Cloud mit PoC-Exploit

CitrixBleed 2 und eine weitere aktiv ausgenutzte Schwachstelle in Citrix NetScaler ADC und Gateway

Drei ausnutzbare Schwachstellen in Sitecore CMS

Umgehung von CVE-2025-23120 in Veeam-Backups

Zusammenfassung

CVE-2025-25257: RCE in FortiWeb Fabric Connector

Welche Rolle spielt der FortiWeb Fabric Connector?

Behebung der Sicherheitslücke CVE-2025-25257

Zusammenfassung

Unzureichend: Controlling und NIS2-Vorbereitung

Steigender Handlungsdruck

Über 180 Milliarden Euro Schaden jedes Jahr

Greenbones Schwachstellenmanagement hilft

Gerüstet für NIS2

Webinare helfen bei der Prävention – Jetzt ist die Zeit zum Handeln!

Der Grund für LEV (Likely Exploited Vulnerabilities)

Mathematische Variablen und Symbolreferenz

Variablen-Referenz

Symbol-Referenz

Funktionsweise der LEV-Gleichungen

Die leistungsoptimierte LEV-Gleichung

Die hochauflösende LEV2-Gleichung

Die ergänzenden Gleichungen

Berechnung eines zusammengesetzten Risiko-Scores

Schätzung der Gesamtzahl der ausgenutzten CVEs

Die „Expected Exploited“-Berechnung

Die KEV Exploited-Berechnung

Anwendungsbeispiele von LEV

Die geschätzte Gesamtzahl der ausgenutzten CVEs

Die Anzahl der aufgedeckten Hochrisiko-CVEs

Visualisierung der Risikomigration mit Composite Probability

Einschränkungen und Kritikpunkte an LEV

Zusammenfassung

Von Bach zur künstlichen Intelligenz: eine Zeitreise

Der Balanceakt zwischen Nützlichkeit und Kontrolle

Vertrauen

Warum sich KI nicht einfach selbst absichern kann

BSI-Chefin besorgt

Vier Prozent mehr Opfer von Cyberangriffen

Empfehlungen für Firmen

Unterschiede zwischen großen und kleinen Unternehmen

Herkunft unbekannt

Investitionen in Cybersicherheit

Fazit: Unspezifische Bedrohung, bekannte Methoden, lasche Sicherheitsdisziplin

Der unvermeidliche, KI-gestützte Angriffszyklus: hacken, reinigen, wiederholen

Russischer GRU nimmt Logistik- und Technologieunternehmen ins Visier

DragonForce Ransomware breitet die Schwingen aus

CVE-2025-32756: Stack-basierte Buffer-Owerflow-Schwachstelle in mehreren Fortinet-Produkten

Drei SysAid-Schwachstellen jetzt mit CVEs und öffentlichen PoCs

CVSS 10 in Cisco IOS XE Wireless Controller

Zusammenfassung

Greenbone erweitert CIS Microsoft Windows 11 Enterprise Benchmark

Windows-Sicherheit: von größter Bedeutung

Wie verbessert der CIS Windows 11 Benchmark die Cybersicherheit?

Greenbone ist Mitglied des CIS-Konsortiums

Zusammenfassung

Der Feind hört mit – und ist vielleicht schon da

Erkennung, Prävention und Reaktion immer kritischer

Immer weniger Zeit zum Reagieren

Verbesserte Disziplin mit Nebenwirkungen: Angreifer lernen

Zwei Drittel sind mittlerweile Zero-Days

Machtlos? Nicht mit Greenbone

CVEs in Ivanti EPMM für unautorisierten Zugriff

Die Invanti EPMM Exploit-Kette

Risikobewertung: Angreifer dringen über Ivanti-Lücken vor

Echos aus der Vergangenheit von EPMM: CVE-2023-35078 und CVE-2023-35082

Zusammenfassung

Produkte & Lösungen

Service & Support

Über uns

Kontakt mit uns

Community