Am 25. September 2025 schlugen drei neue CVEs im Zusammenhang mit Cisco-Netzwerkprodukten explosiv in die Cybersecurity-Landschaft ein. Zwei davon wurden bereits vor Offenlegung in Zero-Days aktiv ausgenutzt. Greenbone bietet Erkennungstests für alle drei neuen hochriskanten CVEs im OPENVAS ENTERPRISE FEED an.

arcanedoor spionage kampagne

CVE-2025-20333 (CVSS 9.9) und CVE-2025-20362 (CVSS 6.5) betreffen den VPN-Webserver der Plattformen Cisco Firewall Adaptive Security Appliance (ASA) und Firewall Threat Defense (FTD). Der VPN-Webserver ermöglicht entfernten Geräten Zugriff auf ein internes Netzwerk via eines SSL/TLS-basierten VPN. Diese CVEs können verkettet werden, um eine vollständige Systemübernahme ungepatchter Geräte zu ermöglichen. Berichten zufolge werden wie in ArcaneDoor-Spionagekampagnen ausgenutzt. CVE-2025-20363 (CVSS 9.0), bisher nicht als aktiv ausgenutzt gekennzeichnet, wurde in den meisten staatlichen Sicherheitswarnungen über die vorher genannten Schwachstellen mit aufgenommen. Neben CVE-2025-20362 schafft sie die nötigen Voraussetzungen zur Ausnutzung von CVE-2025-20333 für eine erweiterte Liste an Produkten: Neben Cisco ASA und FTD betrifft diese Schwachstelle Cisco IOS, IOS XE und IOS XR in bestimmten Konfigurationen.

Greenbones OPENVAS ENTERPRISE FEED beinhaltet eine Reihe an Erkennungstests für diese neuen Schwachstellen [1][2][3][4][5][6][7][8][9]. Mit unserer kostenlosen Testversion können Sie Ihre IT-Umgebung noch heute auf diese und weitere Cybersecurity-Schwachstellen scannen. Im Folgenden gehen wir auf verschiedene Aspekte der aktuellen Lage ein – darunter die Angriffskampagne, eine Beschreibung der Schwachstellen und Empfehlungen zur Risikominderung.

Kampagnen, die Cisco ASA 5500-X-Geräte ausnutzen

CVE-2025-20333 und CVE-2025-20362 wurden als Zero-Days aktiv gegen Cisco ASA 5500-X-Geräte ohne Secure Boot ausgenutzt. Verkettet ermöglichen sie die vollständige Übernahme kompromittierter Systeme durch nicht authentifizierte Angriffe. RayInitiator und LINE VIPER kamen bei bekannten Kampagnen, die diese Schwachstellen nutzen, zum Einsatz, um Persistenz zu erreichen [TA0003], Remote-Befehle auszuführen [TA0011] und Daten zu exfiltrieren [TA0010]. Die Angriffe werden der ArcaneDoor-Spionagekampagne zugeschrieben, die seit Anfang 2024 perimeternahe Netzwerkgeräte anvisiert und als hochgradig fortgeschritten eingestuft wird. Zu ihren hoch entwickelten Angriffstechniken gehören:

  • Manipulation auf ROMMON-Ebene (ROM Monitor) [004] und Pre-OS Bootkit [T1542.003] für verdeckte Persistenz über Neustarts hinweg
  • Abfangen der Kommandozeilenschnittstelle (CLI-Interception) [008]
  • Deaktivierung der Systemprotokollierung [001]
  • Netzwerk-Paketmitschnitt [T1040]
  • Umgehung von AAA-Authentifizierungs- und Autorisierungsmechanismen für Netzwerkgeräte [004]

Öffentliche Proof-of-Concept-Exploits (PoCs) sind zwar nicht verfügbar, aber CISA und CISCO haben die aktive Ausnutzung bereits bestätigt [1][2]. Während Angriffe, die CVE-2025-20363 ausnutzen, noch nicht bestätigt wurden, wird die Schwachstelle dennoch in mehreren nationalen CERT-Advisories erwähnt, die die ersten beiden CVEs abdecken [3][4][5][6][7][8][9][10]. Umfassende Malware-Analysen des UK NCSC [11] und IoC-Hunt-Anleitungen von CISA [12] sind verfügbar.

Technische Analyse der neuen kritischen Cisco CVEs

Allen drei CVEs liegt die unzureichende Validierung von User-Input in HTTPS-Anfragen zugrunde [CWE-20]. In Kombination erlauben CVE-2025-20333 und CVE-2025-20362 das Ausführen von beliebigem Code als root auf dem System des Opfers. CVE-2025-20333 ermöglicht diese RCE (Remote-Code-Execution), setzt jedoch gültige VPN-Anmeldedaten voraus. CVE-2025-20362 ermöglicht eine Umgehung der Authentifizierung. CVE-2025-20363 erlaubt ebenfalls nicht authentifizierten Zugriff auf geschützte URLs, betrifft jedoch breiter aufgestellte Produkte – darunter Cisco ASA und FTD, sowie bestimmte Konfigurationen von Cisco IOS, IOS XE und IOS XR.

Kurzbeschreibung der einzelnen Schwachstellen:

  • CVE-2025-20333 (CVSS 9.9): Manipulierte HTTPS-Anfragen an den VPN-Webserver können zu beliebiger Ausführung von Remote-Code (RCE) als root auf VPN-Webservern von Cisco ASA- und FTD-Geräten führen. Die Schwachstelle wird als Buffer-Overflow [CWE-122] eingestuft und benötigt gültige VPN-Zugangsdaten, um ausgenutzt zu werden.
  • CVE-2025-20362 (CVSS 6.5): Nicht authentifizierte Eindringlinge können den Authentifizierungsprozess umgehen und so auf geschützte URL-Endpunkte zugreifen. Grund ist fehlende Autorisierungsprüfung [CWE-862] für sensible HTTP-Pfadendpunkte
  • CVE-2025-20363 (CVSS 9.0): Nicht authentifizierte RCE als root auf dem VPN-Webserver von Cisco ASA- und FTD-Geräten. Bereits geringe Privilegien könnten zu RCE als root in Cisco IOS, Cisco IOS XE, und Cisco IOS XR führen. Bei der Schwachstelle handelt es sich um einen heap-basierten Buffer Overflow [CWE-122], ausgelöst durch unzureichende Validierung von Eingaben in HTTP-Anfragen.

Anweisungen zur Risikominderung für betroffene Geräte

Die CISA hat eine Emergency Directive zur sofortigen Behebung aller laufenden Bedrohungen für alle Bundesbehörden ausgegeben. Wer die Produkte im Einsatz hat, sollte umgehend Schritte zur Identifizierung, Analyse und Bereinigung betroffener Produkte beginnen. Für die Analyse sollten die Core-Dump- und Hunt-Anweisungen von CISA sowie Ciscos offizieller Detection Guide genutzt werden.

Wird ein Sicherheitsvorfall festgestellt, sollten kompromittierte Geräte zwar vom Netzwerk getrennt, jedoch nicht ausgeschaltet werden. Notfallpläne für Sicherheitsvorfälle (IRP, Incident Respone Plans) und Isolierungsprozesse sind augenblicklich einzuleiten. Opfer sollten umgehend zuständige regionale Behörden unterrichten und Speicherabbilder betroffener Systeme zur Analyse zur Verfügung stellen. Malware-Analysen für RayInitiator und LINE VIPER wurden von der UK NCSC [1] veröffentlicht. Konsultieren Sie Ciscos offizielle Anweisungen für genauere Informationen [2][3][4].

Betroffene Plattformen (CVE-2025-20333 und CVE-2025-20362):

ASA-Hardware, ASA-Service Module (ASA-SM), ASA Virtual (ASAv), und ASA-Firmware auf Firepower 2100/4100/9300.

Betroffene Cisco ASA-Softwareversionen:

  • 12 – < 9.12.4.72
  • 14 – < 9.14.4.28
  • 16 – < 9.16.4.85
  • 17 – < 9.17.1.45
  • 18 – < 9.18.4.67
  • 19 – < 9.19.1.42
  • 20 – < 9.20.4.10
  • 22 – < 9.22.2.14
  • 23 – < 9.23.1.19

Cisco FTD-Appliances:

  • 0 – < 7.0.8.1
  • 1 – alle Versionen
  • 2 – < 7.2.10.2
  • 3 – alle Versionen
  • 4 – < 7.4.2.4
  • 6 – < 7.6.2.1
  • 7 – < 7.7.10.1

CVE-2025-20363 betrifft die oben genannten ASA- und FTD-Produkte und alle Releases von Cisco IOS und Cisco IOS XE mit Remote Access SSL VPN und Cisco IOS XR Software-Versionen 6.8 und 6.9 (32-Bit auf ASR 9001) mit aktivem HTTP-Server.

Nicht betroffen sind:

  • Cisco NX-OS Software
  • 64-Bit IOS XR
  • IOS/IOS XE ohne aktives SSL VPN
  • ASA/FTD ohne konfigurierte WebVPN/SSL VPN-Funktion

Zusammenfassung

Die koordinierte Offenlegung von CVE-2025-20333, CVE-2025-20362 und CVE-2025-20363 hat globale Sicherheitsmaßnahmen ausgelöst. In Kombination können die CVEs potenziell zu vollständiger Systemübernahme von kompromittierten Cisco ASA- und FTD-Geräten führen. Selbiges gilt für Geräte mit Cisco IOS, IOS XE und IOS XR- unter bestimmten Konfigurationen. In einer laufenden ArcaneDoor-Spionagekampagne werden CVE-2025-20333 und CVE-2025-20362 gegen ältere ASA 5500-X-Geräte ausgenutzt.

Sicherheitsbehörden, darunter CISA und diverse nationale CERTs, haben Risikominderungsmaßnahmen bekanntgegeben, die zu sofortigem Patchen, forensischen Untersuchungen und der Aktivierung von Notfallplänen (IRP) raten.

Greenbone hat für alle drei Schwachstellen Erkennungstests im OPENVAS ENTERPRISE FEED veröffentlicht, um Organisationen dabei zu helfen, anfällige Systeme schnell zu erkennen und zu bereinigen. Starten Sie noch heute eine kostenlose Testversion, um Ihre IT-Umgebung auf diese und viele weitere Cybersecurity-Risiken zu prüfen.

Cybersicherheit hat sich in Italien in diesem Jahr von einem Schlagwort in Vorstandsetagen zu einer Realität auf den Titelseiten entwickelt. Betritt man irgendeinen Konferenzraum, nimmt an einem Summit teil oder verfolgt branchenspezifische Diskussionen, hört man immer die gleichen dringenden Gespräche: Unternehmen stehen unter Beschuss durch zunehmend ausgeklügelte Cyberbedrohungen. Doch gleichzeitig passiert etwas Neues: eine Welle von Innovation und Zusammenarbeit, die endlich dem Ausmaß der Herausforderung gerecht wird.

cybersecurity in italy key insights Kopie

Von abstrakten Risiken zu realen Lösungen

Das Jahr begann stark auf der ITASEC im Februar, wo etwas Erfrischendes geschah. Anstatt der üblichen düsteren Präsentationen über theoretische Schwachstellen standen endlich echte Lösungen im Mittelpunkt. Organisationen teilten praktische Strategien, wie Compliance-Anforderungen wie NIS2 mit der täglichen Realität von Cyberangriffen in Einklang gebracht werden können.

Die Sessions zu OPENVAS- und Enterprise-Lösungen zeigten eine entscheidende Verschiebung: Unternehmen bewegen sich weg von endlosen Tabellen mit Schwachstellen hin zu umsetzbaren Erkenntnissen. Die Botschaft war klar: nur informiert zu bleiben reicht nicht mehr. Organisationen brauchen konkrete Handlungsempfehlungen für die nächsten Schritte.

Doch unter dem Optimismus offenbarte sich eine ernüchternde Wahrheit: Italien bleibt eines der am stärksten angegriffenen Länder Europas. Harte Fragen wurden gestellt: Warum hinken unsere Abwehrmaßnahmen den Bedrohungen noch hinterher? Was wird wirklich nötig sein, um das Blatt zu wenden?

KI: Das zweischneidige Schwert

Im März fand in Mailand die CyberSec 2025 statt, auf der Künstliche Intelligenz jede Diskussion dominierte. Die Atmosphäre war zündend: gleichermaßen geprägt von Aufregung und Besorgnis. Alle waren sich einig, dass KI Sicherheitsprozesse revolutionieren kann, indem sie schneller und intelligenter werden. Doch es gibt einen Haken: KI schafft auch völlig neue Angriffsflächen.

Die Berücksichtigungen waren berechtigt. KI-Modelle können manipuliert oder gestohlen werden, wenn sie nicht richtig gesichert sind. Deshalb sind Ansätze wie die vollständige On-Premise-Nutzung und kontrollierte Updates der Modelle so entscheidend. Es geht darum, die Vorteile von Automatisierung und Intelligenz zu nutzen, ohne die Sicherheit zu gefährden.

Wie Dirk Boeing, Security Engineer bei Greenbone, im Interview betonte: „KI ist für uns nicht nur ein Schlagwort – sie ist ein praktisches Werkzeug, das, verantwortungsvoll eingesetzt, Organisationen hilft, Cyberangriffe abzuwehren.“

Die neue Realität des Schwachstellenmanagements

Der Security Summit Ende März unterstrich eine weitere fundamentale Veränderung: Gelegentliches Scannen reicht nicht mehr aus. Die heutige Bedrohungslandschaft verlangt kontinuierliche, robuste Überwachung. Wir sahen Organisationen lernen, kritische Schwachstellen zu priorisieren, Behebungsprozesse zu optimieren und Compliance von einer Last in einen Wettbewerbsvorteil zu verwandeln.

Bemerkenswert war die wachsende Erkenntnis, dass Enterprise-Lösungen etwas bieten, was Community-Editionen nicht erreichen: stabile Feeds, präzise Erkennung und sichere On-Premise-Bereitstellung, weit über die Grundfunktionen hinaus.

Zahlen, die keine Lügen erzählen

Diese Erkenntnisse gewinnen noch mehr Dringlichkeit, wenn man einen Blick auf die tatsächliche Lage in Italien wirft. Allein in der ersten Hälfte von 2025 gab es 1.549 Cybervorfälle – ein erschreckender Anstieg von 53 % gegenüber 2024. Noch besorgniserregender: 346 davon wurden als schwerwiegende Vorfälle mit bestätigtem Schaden eingestuft, ein Plus von 98 % im Jahresvergleich.

Die Angriffe unterscheiden nicht zwischen großen oder kleinen Zielen. Kritische Sektoren wie öffentliche Verwaltung, Gesundheitssektor und Energie wurden hart getroffen. Ein Beispiel: Der Angriff am 2. April auf Mobilità di Marca (MOM), Treviso’s öffentliches Verkehrsunternehmen, legte den elektronischen Ticket-Service tagelang lahm. Dies zeigt eindrücklich, wie Schwachstellen in der digitalen Infrastruktur den Alltag stören können.

Auch kleinere Unternehmen sind nicht sicher. Berichte aus dem April zeigen, dass der Telekommunikationssektor von gezielten Phishing-Angriffen heimgesucht wurde, wobei zahlreiche Organisationen erhebliche Sicherheitsverletzungen erlitten.

Was als Nächstes kommt: Proaktive Verteidigung ist die einzige Verteidigung

Profis auf jeder Konferenz sagt dasselbe: Kontinuierliche Überwachung und proaktives Schwachstellenmanagement sind keine „Nice-to-Have“ mehr. Sie sind lebensnotwendig. Die steigende Häufigkeit und Komplexität von Angriffen erfordert einen grundlegenden Wandel von reaktivem Krisenmanagement zu proaktiven Verteidigungsstrategien.

Save-the-Date: Oktober-Events, die man nicht verpassen sollte

Die Diskussion geht im Oktober weiter, mit drei großen Veranstaltungen, die Rom zum Zentrum der italienischen Cybersicherheit machen:

AFCEA TechNet Europe Rome 2025 (1. – 2. Oktober) bringt Verteidigungsexpertise, Branchenführung und Technologieinnovation zusammen, um aufkommende Bedrohungen und modernste Lösungen zu diskutieren.

Cybertech Europe (21. – 22. Oktober) bietet die Gelegenheit, mit führenden Cybersecurity-Profis in Kontakt zu treten, Live-Demonstrationen zu sehen und tief in die Herausforderungen und Lösungen einzutauchen, die Italiens digitale Resilienz prägen.

Richmond Cyber Resilience Forum (28. – 30. Oktober) wird zu ein Treffpunkt für Angebot und Nachfrager innovativer Lösungen. Hier können die italienischen Unternehmen mit Industrie-Fachgrößen zusammentreffen, um sich über die neuesten Trends und Strategien im Bereich Cybersicherheit zu informieren.

OPENVAS S.r.l. wird auf alle drei Events vertreten sein, Enterprise-Lösungen für Schwachstellenmanagement präsentieren, Einblicke in KI-gesteuerte Sicherheit geben und zeigen, wie Organisationen Compliance von einer reinen Pflichtübung in eine proaktive Verteidigungsstrategie verwandeln können.

Der Weg nach vorne

Das Jahr 2025 erweist sich als eine entscheidende Zeit für die Cybersicherheit in Italien. Die Bedrohungen sind real und wachsen, ebenso wie unsere kollektive Reaktion. Jede Konferenz, jede Zusammenarbeit und jede Innovation bringt uns einen Schritt näher daran, die Herausforderungen von heute in die Resilienz von morgen zu verwandeln.

Die Frage ist nicht, ob man einem Cyberangriff begegnen wirt, sondern ob man bereit ist, wenn er kommt. Warten Sie nicht auf den Weckruf. Jetzt ist die Zeit, Ihre Cyberabwehr zu stärken.

Bereit, Erkenntnisse in Maßnahmen umzusetzen? Treffen Sie uns bei den Events im Oktober oder kontaktieren Sie uns noch heute, um zu erfahren, wie Enterprise-Schwachstellenmanagement die Sicherheitslage Ihrer Organisation transformieren kann.

CVE-2025-10035 (CVSS 10.0) ist eine neue Schwachstelle kritischer Kritikalität in Fortra GoAnywhere MFT (Managed File Transfer). Diese CVE mit maximalem Risiko kann nicht authentifizierte Remote-Code-Ausführung (RCE, Remote Code Execution) ermöglichen. Greenbone kann anfällige Systeme identifizieren, das Einspielen aktueller Sicherheitsupdates ist dringend empfohlen. 

cvss 10 in fortra goanywhere - security vulnerability

GoAnywhere ist eine zentrale Managed File Transfer (MFT)-Plattform, die Dateiaustausch innerhalb eines Unternehmens sowie mit geschäftlichen Kontakten und Klientel ermöglicht. Die Anwendung erbringt ebenfalls Audit- und Compliance-Berichte, die die Einhaltung von Sicherheitsrichtlinien dokumentieren. 

Die Ursache der CVE liegt in einer Deserialisierungs-Schwachstelle [CWE-502] in Fortra GoAnywhere MFTs License Servlet. Diese Schwachstelle ermöglicht das Fälschen von Lizenzantworten, um beliebige Befehle einzuschleusen und auszuführen [CWE-77]. Reale Ausnutzung wurde bisher zwar noch nicht bestätigt, allerdings war Fortra in der Vergangenheit bereits ein attraktives Ziel für Ransomware-Angriffe. Im Jahr 2023 führte die Schwachstelle CVE-2023-0669 (CVSS 7.2) zu mehreren hochkarätigen Sicherheitsvorfällen durch Ransomware-Gruppe Clop. Machbarkeitsnachweise (PoC, Proof of Concept) für CVE-2025-10035 sind bisher nicht verfügbar, eine detaillierte technische Analyse allerdings schon. Diese Analyse beinhaltet jedoch nicht die vollständige Exploit-Kette – einige Details sind bislang ungeklärt.

CVE-2025-10035 hat bereits mehrere nationale CERT-Warnungen ausgelöst – darunter von Kanadas Canadian Centre for Cyber Security [1], dem niederländischen NCSC-NL [2] und Indiens CERT-In [3]. Das deutsche BSI hat eine Warnung [WID-SEC-2025-2090] veröffentlicht und einen CVSS Temporal Score von 8,7 vergeben. Dieser Wert spiegelt den nicht verifizierten Ausnutzungsstatus (E:U), Verfügbarkeit eines offiziellen Sicherheitsupdates (RL:O) und hohes Vertrauen in den Bericht (RC:C) wider.

Greenbone reagierte schnell mit einem remote Versionserkennungstest im OPENVAS ENTERPRISE FEED, der es Verteidigungsteams ermöglicht, anfällige Instanzen von Fortra GoAnywhere MFT zu erkennen und Sicherheitslücken zu schließen.

Risikobewertung für CVE-2025-10035 in Fortra GoAnywhere

Allein anhand der CVSS-Bewertung von 10 ist das Risiko durch CVE-2025-10035, sofern die Admin-Konsole von GoAnywhere öffentlich über das Internet zugänglich ist, extrem hoch. Die Angriffskomplexität wird als gering eingestuft, User-Interaktion ist nicht erforderlich und erfolgreiche Ausnutzung könnte vollständige Kontrolle über das System ermöglichen.

Öffentliche Zugänglichkeit ist jedoch kein zwingendes Kriterium für die Ausnutzung. Instanzen im privaten Netzwerk können ebenfalls ausgenutzt werden, beispielsweise durch sogenannte „böswillige Insider“-Bedrohungen oder sogar als vertrauenswürdig eingestuften Drittparteien [T1199]. Der Verizon Data Breach Investigations Report (DBIR) 2025 identifiziert Missbrauch von Berechtigungen (beschrieben als schädliche Aktionen von Insider-Bedrohungen) als Hauptursache für 8% der Sicherheitsvorfälle, die 2024 untersucht wurden. Diese Zahl überrascht und untergräbt die gängige Annahme, dass nur öffentliche Schwachstellen primäre Bedrohungen für die Cyber-Resilienz darstellen.

Technische Analysis von CVE-2025-10035 in Fortra GoAnywhere

Das License Servlet von GoAnywhere wird für die Aktivierung des GoAnywhere MFT-Lizenzpakets in Setup-, Verlängerungs- und Migrationsprozessen verwendet. Das License Servlet beinhaltet die Java-Deserialisierung des codierten „SignedObject“. Im Fall von CVE-2025-10035 kann dieser Deserialisierungsprozess Berichten zufolge zu Remote-Code-Ausführung (RCE) führen.

Die Analyse von Watchtorw zeigt eine Pre-Authentication-Schwachstelle, bei der ein für den weiteren Vorgang nötiges Authentifizierungstoken über die Unlicensed.xhtml-Seite zurückgegeben wird, selbst wenn eine Instanz bereits lizenziert ist. Eine fehlerhafte HTTP-GET-Anfrage an diesen Pfad, wie etwa /goanywhere/license/Unlicensed.xhtml/x?, generiert fälschlicherweise ein valides Lizenzanforderungs-Token und liefert dieses verschlüsselt in einem gebündelten Datenobjekt zurück. Grund hierfür ist, dass die Fehlerbehandlungsfunktion AdminErrorHandlerServlet, intern ein gültiges Lizenzanforderungs-Token erzeugt, dieses mit der nicht authentifizierten Sitzung verknüpft und in dem erwähnten serialisierten Objekt zurückgibt. Dieses Datenpaket ist mit einem hartkodierten Key verschlüsselt, der offline entschlüsselt werden kann, um ein gültiges GUID-Authentifizierungstoken in Klartext zu extrahieren.

Ist das GUID-Token wiederhergestellt, könnten nicht authentifizierte Angriffe über den License Servlet Endpunkt POST /goanywhere/lic/accept/<GUID> … bundle=<payload> bösartige serialisierte Payloads einschleusen. Der Angriffsmechanismus zur Deserialisierung des Payloads ist bisher jedoch unbekannt, da das Payloat mit Fortras eigenem gültigen privaten Key signiert werden muss. Die Sicherheitsforschung weist auf mögliche Mechanismen hin, wie zum Beispiel ein gestohlener privater Key oder die Existens bösartiger Payloads, die versehentlich mit Fortras privatem Key signiert wurden.

Risikominderung von CVE-2025-10035 in Fortra GoAnywhere

Fortra hat eine Sicherheitsmeldung [FI-2025-012] veröffentlicht, die Anweisungen zur Minderung von CVE-2025-10035 beinhalten. Die vollständige Behebung erfordert eine Aktualisierung auf eine korrigierte Version: entweder auf 7.8.4 (aktuell) oder 7.6.3 (Sustain). Vorübergehend kann das Risiko gesenkt werden, indem Zugang zur Admin-Konsole eingeschränkt wird.

Fortra fordert ebenfalls auf, nach Indikatoren für Kompromittierung (IoC, Indicators of Compromise) zu suchen, insbesondere Stack-Trace-Logs, die einen Fehler bei SignedObject.getObject zeigen. Dieser Eintrag deutet stark darauf hin, dass die Instanz bereits für einen Angriff ausgenutzt wurde. Gemäß Best Practices sollten Betroffene auch Status-Updates an ihre Kundschaft und Drittbeteiligte bereitstellen.

Zusammenfassung

CVE-2025-10035 eine Schwachstelle mit CVSS 10 und maximaler Schwere in der Deserialisierung von GoAnywhere MFT, die nicht authentifizierte RCE ermöglichen kann. 2023 wurde eine andere GoAnywhere MFT-CVE bereits umfangreich ausgenutzt und mehrere nationale CERTs haben Warnungen zu der Schwachstelle ausgegeben, was auf ein hohes Risiko hinweist. Der OPENVAS ENTERPRISE FEED beinhaltet einen Versionserkennungstest, um anfällige Instanzen sichtbar zu machen. Insbesondere öffentliche, aber auch lokale Instanzen sollten dringend identifiziert und aktualisiert werden.

Dr. Jan-Oliver Wagner

Nach vielen Jahren an der Spitze von Greenbone zieht sich unser Mitgründer Dr. Jan-Oliver Wagner aus der aktiven operativen Geschäftsführung zurück. Er bleibt dem Unternehmen jedoch weiterhin als Berater eng verbunden. Wir danken Dr. Wagner für sein außergewöhnliches Engagement und all das, was er für Greenbone seit der Gründung erreicht hat.

 

 

Elmar Geese

Neuer CEO ist Elmar Geese, seit 2019 Teil der Greenbone Geschäftsführung. Mit seinem Wechsel an die Spitze setzen wir auf Kontinuität und Stabilität – sowohl für unsere Kunden, Mitarbeiter als auch für unsere Gesellschafter.

CVE-2025-54236 (CVSS 9.1) ist eine Account-Takeover-Schwachstelle, die unter bestimmten Voraussetzungen zur Ausführung von Code aus der Ferne (Remote Code Execution, RCE) führen kann. CVE-2025-54236, bekannt unter dem Namen „SessionReaper“ betrifft Adobe Commerce, Adobe Commerce B2B und Magento Open Source Webanwendungen. Die Ursache ist unzureichende Eingabevalidierung CWE-20 in der REST API. Adobes offizieller Sicherheitshinweis beschreibt das Problem ohne weitere Erklärung als „Security Feature Bypass“.

Blog Banner: Session reaper CVE-2025 54236

Die Exploit-Kette von CVE-2025-54236 beginnt mit einer verschachtelten Deserialisierungs-Schwachstelle [CWE-502] und führt zu einer manipulierten Session für ein Kundenkonto. Sicherheitsforschende von Sansec behaupten, die Nutzung dateibasierter Session-Speicherung würde RCE ermöglichen. Überdies sei die Existenz weiterer Angriffsketten, z.B. RCE über Redis- oder Datenbank-Session-Speicherung denkbar. Blaklis wird die Entdeckung und verantwortliche Meldung von CVE-2025-54236 über die Plattform HackerOne zugeschrieben.

Eine vollständige technische Beschreibung, PoC (Proof-of-Concept, Machbarkeitsnachweis) oder gar Exploit-Kits sind bislang nicht öffentlich verfügbar. Dennoch gab Frankreichs CERT-FR bereits eine öffentliche Meldung über die Schwachstelle aus. Greenbone’s OPENVAS ENTERPRISE FEED stellt einen Remote-Banner-Check zur Identifizierung angreifbarer Systeme und Patch-Prüfung zur Verfügung.

Risikobewertung zu CVE-2025-54236 (aka „SessionReaper“)

Magento Open Source (veröffentlicht 2008) und das kommerzielle Gegenstück Adobe Commerce gehören zu den meist genutzten E-Commerce-Plattformen der Welt. Stand 2024 stützen sie schätzungsweise 200.000-250.000 aktive Shops, womit Magento zu den führenden E-Commerce-Systemen weltweit gehört. Diese Verbreitung mach Magento zu einem attraktiven Angriffsziel.

Frühere Magento-Schwachstellen wurden bereits wenige Stunden nach Veröffentlichung für massenhafte Angriffe ausgenutzt [1][2][3][4]. Im aktuellen Vorfall geriet Adobes Sicherheitsupdate versehentlich vorzeitig an die Öffentlichkeit, wodurch Angreifende einen Zeitvorteil für die Entwicklung von Exploit-Code gewinnen konnten. Bei erfolgreicher Ausnutzung könnten Angreifende Malware installieren [T1105] um den Versuch zu unternehmen, unbemerkt beständigen Zugang [TA0003] auf die Infrastruktur des Opfers zu erhalten. Dies könnte weitere Angriffe nach sich ziehen, beispielsweise Diebstahl von Kreditkarteninformationen für betrügerische Transaktionen [T1657], den Diebstahl anderer sensibler Daten [TA0010], Phishing-Angriffe [T1566] gegen Nutzende der Website, oder den Einsatz von Ransomware gegen das Opfer [T1486].

Abwehrmaßnahmen zu CVE-2025-54236 (aka „SessionReaper“)

CVE-2025-54236 betrifft Adobe Commerce, Adobe Commerce B2B und Magento Open Source über mehrere Versionen hinweg, sowie das Modul Custom Attributes Serializable auf allen Plattformen und Bereitstellungsarten [1]. Adobes Knowledge Base beschreibt Versionen 0.1.0 – 0.4.0 als betroffen, rät allerdings widersprüchlicherweise zu einem Update auf Version 0.4.0 oder höher.

Nutzende sind angewiesen, den von Adobe bereitgestellten Hotfix-Patch zu installieren, oder augenblicklich auf die neueste Version zu aktualisieren, um ihr Online-Business und ihren Kundenkreis zu schützen. Ebenfalls sollte genau geprüft werden, ob eine Instanz bereits kompromittiert wurde und im Falle einer Infektion die Schadsoftware beseitigt werden. Adobe hat außerdem einen Developer Guide veröffentlicht, um die notwendige Anpassung der REST-API zu erklären. Der OPENVAS ENTERPRISE FEED beinhaltet einen Remote Banner Check zur Identifizierung anfälliger Systeme.

Zusammenfassung

CVE-2025-54236 stellt ein kritisches Risiko für Nutzende von Magento und Adobe Commerce dar. Für Angreifende ermöglicht die Sicherheitslücke Account-Übernahme und potenziell unauthentifizierte RCE auf der Infrastruktur des Opfers. Verteidigungsteams sollten anfällige Systeme umgehend identifizieren und aktualisieren. Greenbones OPENVAS ENTERPRISE FEED hilft bei der Erkennung verwundbarer Systeme und Verifizierung des Risikostatus. IT-Sicherheitsteams sollten ihre Systeme auditieren, um mögliche Kompromittierungen zu entdecken und Infektionen zu entfernen, falls entsprechende Indikatoren (Indocators of Compromise, IoC) festgestellt werden sollten.

Der August 2025 Threat Report unterstreicht, wie schnell hochriskante Schwachstellen zu aktiven Bedrohungen werden. Schwachstellen von Citrix, Fortinet, N-able und Trend Micro wurden innerhalb weniger Tage ausgenutzt. Andere kritische Probleme traten in häufig anvisierter Software wie Microsoft Exchange auf. Mainstream Enterprise Anwendungen wie Docker Desktop, Git und Zoom waren diesen Monat ebenfalls neuen Schwachstellen ausgesetzt. Schauen wir uns nun einige der größten Cyber Bedrohungen an, die im August 2025 zum Vorschein kamen.Blogbanner Thread report August 2025

Trio hochriskanter Citrix NetScaler CVEs: Eine in aktiver Ausnutzung

Citrix wies auf die aktive Ausnutzung von CVE-2025-7775 und zwei weiterer Hochrisiko-CVEs hin. Das Trio betrifft NetScalerADC und NetScaler Gateway in diversen Konfigurationen. Bisher wurde lediglich CVE-2025-7775 in CISA’s Katalog bekannter, ausgenutzter Schwachstellen (Known Exploited Vulnerabilities, KEV) aufgenommen. Mehrere nationale CERT-Warnungen wurden weltweit erteilt [1][2][3][4][5][6][7]. Die Installation aktueller Patches wird dringend empfohlen.

  • CVE-2025-7775 (CVSS 9.8, EPSS ≥92. Perzentil): Ein Speicherüberlauf (Memory-Overflow) [CWE-119] ermöglicht Ausführung von Remote Code (Remote-Code-Execution, RCE) oder Denial of Service (DoS), wenn NetScaler als Gateway (VPN-Virtual-Server, ICA-Proxy, CVPN, RDP-Proxy) oder AAA-Virtual-Server konfiguriert ist.
  • CVE-2025-6543 (CVSS 9.8): Speicherüberlauf [CWE-119] führt zu unbeabsichtigtem Kontrollfluss und DoS, wenn NetScaler als Gateway (VPN-Virtual-Server, ICA-Proxy, CVPN, RDP-Proxy) oder AAA-Virtual-Server konfiguriert ist.
  • CVE-2025-7776 (CVSS 8.8): Speicherüberlauf [CWE-119] führt zu unvorhersehbarem Verhalten und DoS, wenn NetScaler als Gateway (VPN-Virtual-Server, ICA-Proxy, CVPN, RDP-Proxy) mit einem PC-over-IP (PcoIP)-Profil konfiguriert ist. PcoIP ist ein Remote-Display-Protokoll für den Zugriff auf virtuelle Desktops.

Erst im Juni 2025 wurde eine weitere, hochriskante Schwachstelle in NetScaler ADC und Gateway unter dem Namen „CitrixBleed 2“ bekannt, die kurz nach Bekanntgabe aktiv für Ransomware-Angriffe ausgenutzt wurde. Greenbones OPENVAS ENTERPRISE FEED beinhaltet einen remote Versionserkennungstest für die drei neuen CVEs sowie für CitrixBleed 2.

Notfall-Patch für Microsoft Exchange Hybridbereitstellung

CVE-2025-53786 (CVSS 8.0) ist eine hochriskante Post-Authentifizierungs-Schwachstelle zur Rechteausweitung in Microsoft Exchange Hybrid-Umgebungen. In einer Hybridbereitstellung wird eine lokale Active Directory (AD)-Domäne mit einer cloudbasierten Azure AD synchronisiert; beide erkennen Geräte und Dienste. Im Falle einer Ausnutzung von CVE-2025-53786 können Angreifende mit Admin-Zugang zu einem lokalen Exchange Server lateral auf Microsoft 365 Exchange Online zugreifen [CWE-287] und potenziell den Authentifizierungsprozess modifizieren, um Persistenz zu erreichen [T1556.007].

Ausnutzbarkeit, darunter Authentifizierungsumgehung, laterale Bewegung [TA0008] und Datenexfiltration [TA0010], wurde auf der Black Hat 2025 demonstriert. Obwohl keine reale Ausnutzung festgestellt wurde, wies Microsoft eine erhöhte Ausnutzungswahrscheinlichkeit zu. CISA gab eine Notfall-Direktive (ED 25-02) aus und warnte, CVE-2025-53786 könne zu vollständiger Kompromittierung von Domänen in Hybridumgebungen führen. Diverse staatliche CERT-Agenturen gaben ebenfalls Warnungen aus [1][2][3][4][5][6][7]. Der OPENVAS ENTERPRISE FEED beinhaltet zwei remote Versionserkennungstests zur Erkennung anfälliger Instanzen von Microsoft Exchange [8][9].

Dringende Sicherheitswarnung zu Cisco Secure Firewall Management Center

CVE-2025-20265 (CVSS 10) in eine RCE-Sicherheitslücke (Remote Code Ausführung) in physischen und virtuellen Appliances von Cisco Secure Firewall Management Center (FMC). Sie tritt auf, wenn eine Appliance mit RADIUS für web-basierte Authentifizierung oder Management-Zugang via SSH konfiguriert ist. Die Schwachstelle entsteht durch unangemessene Eingabeverarbeitung, was nachgelagert zu Befehls-Injektion im Authentifizierungsprozess führen kann [CWE-74]. Unauthentifizierte Angreifende können möglicherweise beliebige Shell-Befehle einschleusen und mit erhöhten Rechten ausführen lassen.

Frei zugänglicher Exploit-Code oder aktive Angriffe wurden bisher nicht gemeldet. Allerdings waren Cisco-Edge-Devices in der Vergangenheit bereits häufig Ziele für APT-Gruppen [1][2][3]. In Anbetracht der Tatsache, dass sich Cisco FMC häufig am Netzwerkrand befindet und CVE-2025-20265 ein CVSS-Wert von 10 zugewiesen wurde, besteht dringender Handlungsbedarf für betroffene Systeme.  Cisco hat Sicherheitsupdates veröffentlicht und gleichzeitig erklärt, dass keine Workarounds verfügbar seien, das Deaktivieren der RADIUS-Authentifizierung allerdings eine vorübergehende Risikominderung darstellen könne. Greenbones OPENVAS ENTERPRISE FEED beinhaltet einen remote Versionserkennungstest, um ungepatchte FMC-Geräte aufzuspüren.

FortiSIEM ausgenutzt und weitere Hochrisiko-CVEs in Fortinet-Produkten

Fortinet war im August das Subjekt mehrerer schwerwiegender Schwachstellen. Insgesamt wurden für Fortinet 14 CVEs veröffentlicht — davon sechs mit hoher bis kritischer CVSS-Stufe. Einige nationale CERT-Agenturen behandelten die drei schwerwiegendsten CVEs dieser Gruppe [1][2][3], während sich andere lediglich auf die gravierendste Schwachstelle konzentrierten — CVE-2025-25256 [4][5][6][7][8] — welche von Fortinet als aktiv ausgenutzt gemeldet wurde. Auch hier steht Greenbone mit Versionserkennungstests und aktiven Tests  im OPENVAS ENTERPRISE FEED zur Seite, um FortiSIEM-Geräte zu identifizieren, die für CVE-2025-25256 anfällig sind. Zudem sind eine Reihe spezialisierter Tests für Fortinet-Schwachstellen enthalten, unter anderem folgende:

  • CVE-2025-25256 (CVSS 9.8, EPSS ≥ 95. Perzentil): Fehlerhafte Neutralisierung spezieller Elemente in einem Betriebssystembefehl [CWE-78] ermöglicht unauthentifizierten Angreifenden aus der Ferne, über Anfragen an den phMonitor-Dienst auf TCP-Port 7900 unautorisierten Code auszuführen. Fortinet bestätigt aktive Ausnutzung. Eine vollständige technische Beschreibung sowie Proof-of-Concept (Machbarkeitsnachweis, PoC) sind verfügbar. FortiSIEM 5.4 und diverse Unterversionen von FortiSIEM 6 und 7 sind betroffen.
  • CVE-2024-26009 (CVSS 8.1): Eine Umgehung der Authentifizierung über alternative Pfade oder Kanäle [CWE-288] ermöglicht unauthentifizierten Angreifenden, die Kontrolle über verwaltete Geräte zu übernehmen. Dies geschieht durch den Einsatz spezieller FortiGate-to-FortiManager-Protokoll (FGFM)-Anfragen. Für einen erfolgreichen Angriff muss das FortiGate-Gerät durch einen Fortimanager verwaltet werden, dessen Seriennummer der angreifenden Person oder Gruppe bekannt ist. Mehrere Versionen von FortiOS, FortiPAM und FortiSwitchManager sind betroffen.
  • CVE-2025-52970 (CVSS 8.1): Eine fehlerhafte Parameterbehandlung [CWE-233] ermöglicht unauthentifizierten entfernten Angreifenden, die über vertrauliche Informationen zum Zielgerät und einen bestehenden User verfügen, sich mittels einer speziell präparierten HTTP-Anfrage als beliebige User anzumelden. Mehrere Unterversionen von FortiWeb 7 sind betroffen.

Zwei neue N-Able CVEs rasant aktiv ausgenutzt

Zwei neue CVEs bezüglich N-Ables N-central stellen ein hohes Risiko für Unternehmen dar, welche die Software verwenden. Beide CVEs wurden zu CISAs KEV-Katalog hinzugefügt und nationale CERT-Warnungen wurden von NCSC.nl [1], dem Kanadischen Cyber Centre [2] und Südkoreas K_CERT [3] ausgegeben. N-central ist eine Plattform für Monitoring und Management aus der Ferne (RMM), die großflächig eingesetzt wird um Netzwerke und Systeme zu überwachen und zu verwalten. Obwohl die Ausnutzung beider Schwachstellen eine Authentifizierung erfordern besteht erhöhtes Risiko durch gestohlene Zugangsdaten [TA0006], Passwort-Wiederverwendung [T1078], Insider-Bedrohungen und weiterer potenzieller Angriffsvektoren.

  • CVE-2025-8876 (CVSS 8.8, EPSS ≥ 95. Perzentil): Ungesäuberte Eingaben werden in OS-Shell-Befehle injiziert [CWE-78], was Remote-Code-Ausführung (RCE) mit den Rechten der N-Central-Anwendung ermöglicht.
  • CVE‑2025‑8875 (CVSS 7.8, EPSS ≥ 93. Perzentil): Unsichere Deserialisierung unkontrollierter Daten [CWE-502] kann es Angreifenden ermöglichen, sogenannte Objekt-“Gadget“-Ketten zu konstruieren, welche beliebige RCE oder unautorisierte Änderungen am Anwendungszustand ermöglichen.

N-central Versionen vor 2025.3.1 sind betroffen. Einen Tag nach Veröffentlichung der CVEs berichtete Shadowserver über ~1.000 ungepatchte N-central Server, die ans öffentliche Internet exponiert waren. Zwei Wochen später waren die meisten davon weiterhin nicht aktualisiert. Der OPENVAS ENTERPRISE FEED kann anfällige Versionen von N-central aus der Ferne erkennen, was Verteidigungsteams schnelle und gezielte Risikominderung ermöglicht.

Angriff auf neue kritische Trend Micro Apex One Schwachstelle

CVE-2025-54948 (CVSS 9.8, EPSS ≥ 94. Perzentil) und CVE-2025-54987 (CVSS 9.8, EPSS ≥ 63. Perzentil) sind nicht authentifizierte RCE-Schwachstellen, welche die lokale (on-premises) Trend Micro Apex One Management Konsole betreffen. Beide CVEs basieren auf der selben Sicherheitslücke, betreffen allerdings verschiedene CPU-Architekturen. Das zugrundeliegende Problem ist eine Schwachstelle, die es Angreifenden ermöglicht, durch das Hochladen präparierter Dateien vor der Authentifizierung Befehle ins Betriebssystem zu injizieren [CWE-78]. Ein kompromittiertes Gerät gibt Angreifenden direkten Zugriff auf die Sicherheitsinfrastruktur des angegriffenen Unternehmens. Erfolgreiche Ausnutzung erfordert Zugriff, entweder direkt oder aus der Ferne, was ans Internet exponierte Instanzen einem besonderen Risiko aussetzt. Lokale Instanzen könnten Angreifenden zusätzlich eine Gelegenheit für laterale Bewegung [TA0008] liefern, nachdem sie initial [TA0001] über das Netzwerk des Opfers Zugang erhalten haben.

Trend Micro zufolge, ist aktive Ausnutzung zu befürchten und CISA hat CVE-2025-54948 zum KEV-Katalog hinzugefügt, wo es sich zu vielen weiteren ausgenutzten Apex One Sicherheitslücken gesellt, die bis 2021 zurückreichen. Nationale CERT-Warnungen wurden von Regierungsbehörden weltweit ausgegeben [1][2][3][4][5]. Apex One (on-premises) 2019 (14.0) Version 14.0.0.14039 und darunter sind betroffen. Bitte beachten Sie die offizielle Sicherheitswarnung, welche ein Tool zur Deaktivierung der Remote Install Agent Funktion bereitstellt, für Anweisungen zu Gegenmaßnahmen. Greenbones OPENVAS ENTERPRISE FEED hilft Ihnen, betroffene Endpunkte lokal aufzuspüren.

Git-Repository-Kloning Schwachstelle aktiv ausgenutzt

CVE-2025-48384 (CVSS 8.0, EPSS ≥ 88. Perzentil), früh im Juli 2025 veröffentlicht, wurde zu CISAs KEV-Katalog hinzugefügt und die Ausnutzbarkeit wurde als trivial eingestuft. Die Schwachstelle beschreibt einen beliebigen Dateischreibvorgang beim Klonen eines speziell präparierten Repositories, das Submodule mit der ‚recursive‘ flag verwendet — beispielsweise git clone –recursive <repo> — eine Option, die Submodule beim Klonen automatisch mitlädt. Die Ursache der Schwachstelle liegt in der fehlerhaften Behandlung nachgestellter Wagenrücklaufzeichen (Carriage Return, CR) in Konfigurationswerten, was potenziell zu RCE führen kann. Zur Ausnutzung müssen Angreifende ihre Opfer dazu bringen, ein solches präpariertes Git-Repository zu klonen.

Eine vollständige technische Beschreibung und Exploits mit bösartigen .gitmodules-Dateien sind bereits online verfügbar [1][2][3].  INCIBE-CERT hat eine Warnung herausgegeben [4] und CISA hat die Schwachstelle auf die KEV-Liste gesetzt [5].  Betroffen sind diverse Versionen von Git bis 2.50.0. Der OPANVAS ENTERPRISE FEED und der OPENVAS COMMUITY FEED enthalten lokale Paket-Erkennungstests für CVE-2025-48384.

Container Escape in Docker Desktop für Windows und macOS

CVE-2025-9074 (CVSS 9.3) ist eine Container-Escape-Schwachstelle in Docker für Windows und macOS. Die Schwachstelle ermöglicht es Angreifenden, bei der Ausführung eines bösartigen Containers unautorisierten Zugriff auf das Host-System des Opfers zu erlangen. Wie sich herausstellte war die Docker Engine API ohne Authentifizierung via TCP/IP unter 192.168.65.7:2375 zugänglich. Dieser Kanal umgeht gängige Socket-Beschränkungen und macht somit Dockers Enhanced Container Isolation (ECI) wirkungslos. Unter Windows können Angreifende System-DLLs einhängen und überschreiben, um volle administrative Kontrolle zu erlangen. Auf macOS ist der Zugriff auf das Host-Dateisystem aufgrund von Schutzmechanismen des Betriebssystems stärker eingeschränkt. Linux-Instanzen sind nicht betroffen.

Proof-of-Concepts zeigen triviale Ausnutzbarkeit — bereits wenige Zeilen Python oder eine simple HTTP-Anfrage können anfällige Instanzen von Docker Desktop kompromittieren. Ein detaillierter technischer Bericht, die Existenz von mindestens einem öffentlichen Exploit und die verbreitete Nutzung von Docker erhöhen das Risiko von CVE-2025-9074. Ein Versionserkennungstest für Windows-Installationen ist im OPENVAS ENTERPRISE FEED enthalten.

Kritische Schwachstelle im Zoom Client für Windows ermöglicht unauthentifizierte RCE

CVE-2025-49457 (CVSS 9.6) betrifft mehrere Zoom-Produkte für Windows, darunter Zoom Workplace, VDI, Rooms, Rooms Controller und Meeting SDK vor Version 6.3.10. Grund für die Sicherheitslücke ist eine Unsichere-Suchpfad-Schwachstelle [CWE-426], die auf fehlerhafte Behandlung von DLL-Pfaden zurückgeht. Als „DLL-Side-Loading“ bekannt tritt diese Lücke auf, wenn die Windows-API-Funktion LoadLibrary() ohne einen vollständig qualifizierten Dateipfad aufgerufen wird. In diesem Fall folgt Windows der standardmäßigen DLL-Suchreihenfolge. Wenn Angreifende eine Datei in einem so durchsuchten Verzeichnis ablegen können, wird diese somit geladen und ausgeführt. Daher ist CVE-2025-49457 in Verbindung mit Social-Engineering-Angriffen [T1566] und Insider-Bedrohungen, die auch 2025 weiterhin verbreitet sind, besonders gefährlich. Ausnutzung ermöglicht Angreifenden Rechteausweitung und die Ausführung beliebigen Codes, potenziell auf Windows-SYSTEM-Level.

Malaysias MyCERT [1] und Hongkongs CERT-HK [2] gaben Sicherheitshinweise heraus. Das Problem ist in Zoom Versionen 6.3.10 und folgend behoben, Organisationen sollten dringend den Aktualisierungsstatus prüfen. Obwohl einige Desktop-Anwendungen, darunter auch Zoom, automatische Updates unterstützen, ist in ausgedehnten IT-Infrastrukturen die manuelle Prüfung durch Sicherheitsteams unabdingbar. Der OPENVAS ENTERPRISE FEED automatisiert dies mittels aktiver Prüfung auf anfällige Zoom-Anwendungen.

Zusammenfassung

Der August 2025 Threat Report beleuchtet neue hochriskante Schwachstellen über diverse, weit verbreitete Plattformen hinweg. Verteidigungsteams hatten letzten Monat alle Hände voll zu tun, um wehrhaft zu bleiben gegen die aktive Ausnutzung von Citrix NetScaler kurz nach CitrixBleed 2, einer dringenden Aktualisierung von Microsoft Exchange, einer maximal schweren Cisco Secure Firewall CVE und dem Auftreten von Fortinet, N-able und Trend Micro Exploits. Neue Docker Desktop, Git und Zoom Schwachstellen kamen hierbei erschwerend hinzu. Greenbones OPENVAS SECURITY INTELLIGENCE entlastet Verteidigungsteams durch schnelle Erkennung und Gewissheit über den Sicherheitsstatus Ihres Unternehmens.

Utrecht wird am 10. und 11. September 2025 zum Treffpunkt der Cybersecurity-Branche. OPENVAS B.V. ist erstmals mit einem Stand auf der Cybersec Netherlands vertreten – ein wichtiger Meilenstein, um nach der Gründung der Niederlassung für die Benelux-Staaten unsere lokale Präsenz auszubauen und den direkten Austausch mit geschäftlichen Kontakten zu fördern. Die Region zählt zu den innovativsten Standorten Europas im Bereich Digitalisierung und IT-Infrastruktur. Mit unserer Präsenz stärken wir diesen Innovationsgeist und stehen Unternehmen in der Region mit umfassender Expertise, praxisnahen Lösungen und einem klaren Verständnis für die Anforderungen des lokalen Marktes zur Seite.

Blog Banner Cybersec 2025

Ein starkes Signal für die Benelux-Region

„Nicht zuletzt durch regulatorische Anforderungen wie NIS2 erkennen viele Organisationen die Bedeutung einer proaktiven IT-Sicherheitsstrategie. Gleichzeitig wünschen sie sich den persönlichen Austausch über unsere Lösungen. Die Cybersec Netherlands bietet die ideale Plattform dafür“, erklärt Maurice Godschalk, Account Director bei OPENVAS B.V. Mit der niederländischen Tochtergesellschaft verstärkt Greenbone seine Präsenz in Europa und unterstützt lokale Institutionen dabei, Schwachstellen frühzeitig zu erkennen und Risiken effektiv zu reduzieren.

Aktuelle Herausforderungen im Fokus

Die Zahl ungeschlossener Sicherheitslücken in digitalen Infrastrukturen steigt weiter, während Cyberkriminelle bekannte Schwachstellen mithilfe neuer Technologien gezielt und immer schneller ausnutzen. Gleichzeitig erschwert die zunehmende Komplexität der IT-Umgebungen vielen Organisationen den vollständigen Überblick über ihre Systeme. Hier ist ein professionelles Schwachstellenmanagement unverzichtbar – es bildet den zentralen Baustein für stärkere Cyber-Resilienz.

Besuchen Sie uns in Utrecht!

Auf der Messe diskutieren Sicherheitskoryphäen konkrete Ansätze, wie Organisationen ihre Cyber-Resilienz nachhaltig stärken können. Interaktive Sessions, Live-Demonstrationen und Fachvorträge fördern den Austausch zwischen Unternehmen, Behörden und Sicherheitsprofis, und tragen so zu einer gemeinsamen Sicherheitskultur bei.

Erleben Sie OPENVAS B.V. live am Stand 11.E069 und informieren Sie sich über unsere Lösungen für skalierbares und effizientes Schwachstellenmanagement. Das lokale Team um Maurice Godschalk freut sich auf den persönlichen Dialog, individuelle Beratung und praxisnahe Einblicke in unsere Technologie.

Die Cybersec Netherlands eröffnet einen spannenden Event-Herbst: In den kommenden Wochen und Monaten werden Greenbone und die Tochtergesellschaften auf zahlreichen führenden Konferenzen vertreten sein – mit dem klaren Ziel, Organisationen weltweit sicherer zu machen.

Unternehmen und Behörden müssen ab August 2025 die ersten Regelungen des EU AI Acts umsetzen – eine neue Ära der Verantwortung im Umgang mit Künstlicher Intelligenz beginnt. Weil der AI Act der EU nicht nur technische Anpassungen verlangt, sondern ein grundsätzliches Umdenken in den Köpfen, muss KI künftig differenziert nach Risiko und Anwendungsfall betrachtet werden. Das gilt umso mehr, wenn sie in sensible Lebensbereiche eingreift oder mit personenbezogenen Daten arbeitet.

Für Organisationen bedeutet das: Sie müssen sich intensiv mit dem Ökosystem rund um ihre KI-Systeme auseinandersetzen, Risiken frühzeitig erkennen und gezielt adressieren. Transparenz über die Datengrundlage, nachvollziehbare Modelle und menschliche Aufsicht sind keine Option mehr, sondern Pflicht. Gleichzeitig bietet der AI Act ein wertvolles Rahmenwerk, um Vertrauen aufzubauen und KI langfristig sicher und verantwortungsvoll zu nutzen. Auch Schwachstellenmanagement und Cybersecurity sind davon nicht ausgenommen.

Cybersecurity-Experten im KI-Interview

Wir haben Kim Nguyen, Senior Vice President Innovation von der Bundesdruckerei und lange Jahre der Chef und das Gesicht der Trusted Services dort, in einem Interview zum Thema KI, Regulierungen und dem Einfluss auf die Cybersecurity befragt. Außerdem gibt uns Greenbone-CMO Elmar Geese einen Ausblick auf die Zukunft des Schwachstellenmanagements.

Kim Nguyen, Senior Vice President für Innovation bei der Bundesdruckerei

Greenbone: Kim, das Thema KI und Cybersecurity ist ja derzeit in aller Munde, auch auf Veranstaltungen wie der jüngsten Potsdamer Konferenz für Cybersecurity. Und Sie sind da „mittendrin“ im gesellschaftlichen Diskurs.

Nguyen: Ja, dass das Thema Künstliche Intelligenz mir sehr am Herzen liegt, kann ich nicht leugnen, das sieht man in meinen Veröffentlichungen und Keynotes dazu. Mein Ansatz unterscheidet sich dabei ein wenig von den meisten anderen. Er hat viel mit Vertrauen zu tun, und das hat verschiedene Dimensionen: Eine davon ist Wohlwollen. Das bedeutet, das Wohl der einzelnen Nutzenden muss im Mittelpunkt stehen. User sind sicher, das System operiert zu ihrem Nutzen und verfolgt keine ihnen nicht bekannte Agenda.

Greenbone: Was denken Sie, wird die Cybersecurity insgesamt mit KI sicherer oder eher gefährlicher?

Nguyen: Künstliche Intelligenz ist natürlich längst in der Cybersicherheit angekommen und zwar als Risiko wie als Chance: Sie vergrößert einerseits den Angriffsvektor, denn Cyberkriminelle können ihre Angriffe schneller, automatisierter und gezielter durchführen. Andererseits kann sie dabei helfen, die Verteidigung zu härten, etwa bei der Analyse von Echtzeitdaten aus verschiedenen Sicherheitsquellen, um Sicherheitsvorfälle automatisch zu identifizieren und entsprechend zu reagieren.

„Ein Katz- und Mausspiel“

Wer bei diesem Katz- und Mausspiel zwischen Angreifenden und Verteidigeneden mithalten will, muss heute auch auf KI setzen, gerade in der Verteidigung. Die staatliche Regulierung ist dabei zentral, denn ohne entsprechende Gesetze und technische Vorgaben kann niemand unterscheiden, was erlaubt und vertrauenswürdig ist und was nicht.

Außerdem müssen Gesetzgebende bei dieser überaus dynamischen technischen Entwicklung weiterhin aktiv eingreifen, um Handlungs- und Rechtssicherheit zu gewährleisten. Das richtige Maß zu finden und gleichzeitig genug Freiräume zu lassen, damit Innovationen möglich bleiben und KI ein Enabler sein kann, ist nicht einfach, aber immens wichtig.

Greenbone: Was sind für Sie die wichtigsten Fragen/Regulierungen im EU AI Act und den Verordnungen, denen sich Unternehmen stellen müssen? Was kommt da noch auf uns zu? Wie bereitet sich denn eine große Institution wie die Bundesdruckerei vor?

Nguyen: Mit dem AI Act müssen Unternehmen ihre KI-Systeme risikobasiert einordnen und je nach Klassifizierung unterschiedlich strenge Anforderungen an Transparenz, Daten

qualität, Governance und Sicherheit erfüllen – und das insbesondere bei Hochrisiko-Anwendungen.

Es geht jedoch nicht nur darum, Compliance sicherzustellen, sondern auch den regulatorischen Rahmen als strategischen Hebel für vertrauenswürdige Innovation und nachhaltige Wettbewerbsfähigkeit zu nutzen. Dafür reicht es nicht, den Fokus lediglich auf ein entsprechendes KI-Modell zu legen. Wichtig sind ebenfalls die Integration, das Training des Modells und die Schulung der Nutzenden. Umfangreiche Sicherheitsleitplanken – so genannte „Guard Rails“ – müssen eingezogen werden, um sicherzustellen, dass ein System keine unerlaubten Vorgänge unternehmen kann.

„Eingespielte Prozesse bringen Nachvollziehbarkeit, Robustheit und Transparenz in den Vordergrund“

Die Bundesdruckerei als Technologieunternehmen des Bundes ist seit vielen Jahren im Hochsicherheitsbereich tätig. Wir verfügen über eingespielte Prozesse und Strukturen, die Nachvollziehbarkeit, Robustheit und Transparenz in den Vordergrund stellen und damit auch Vertrauen in verschiedene KI-Lösungen für die Verwaltung bringen: Mit dem KI-Kompetenzcenter unterstützen wir etwa Bundesbehörden und Ministerien bei der Entwicklung von KI-Anwendungen. Mit dem Auswärtigen Amt haben wir die Plattform PLAIN geschaffen, die eine gemeinsame Infrastruktur für Daten und KI-Anwendungen bietet oder mit Assistent.iQ einen KI-Assistenten entwickelt, der die Anforderungen der Verwaltung an Datensicherheit, Nachvollziehbarkeit und Flexibilität erfüllt.

Greenbone: Opensource ist ja ein Mindestkriterium für Vertrauen in Software, IT und Cybersecurity – Geht das mit KI überhaupt, und in welchem Maße?

Nguyen: Open Source ist ein wichtiges Thema bei KI, denn sie kann durch Prüfung von Codes und Modellen für notwendiges Vertrauen sorgen. Dafür müssen die Ergebnisse genau geprüft und bestätigt werden können. In diesem Fall braucht man eine Community, die sich regelmäßig einbringt und kümmert.

Oft ist der Open-Source-Ansatz vieler Projekte ambitioniert und ehrenwert, doch später werden manche Projekte nicht mehr genügend gepflegt oder kommen ganz zum Erliegen. Ohnehin muss man beim Thema Open Source und KI genau hinschauen, anders ausgedrückt: Open Source ist nicht gleich Open Source. Wenn KI-Entwickelnde ihre Modelle unter einer Open-Source-Lizenz veröffentlichen, bedeutet das längst nicht, dass man auch eine Open-Source-KI bekommt.

Wichtig sind zum einen die Zahlenwerte, die sogenannten Gewichte des KI-Modells, die bestimmen, wie dieses Eingaben verarbeitet und Entscheidungen trifft. Und zum zweiten auch die Trainingsdaten – und gerade diese werden der Kundschaft und den Nutzenden häufig vorenthalten. Dabei kann man erst mit ihnen zu einer Einschätzung kommen, wie nachvollziehbar, vertrauenswürdig und reproduzierbar ein Open-Source-Modell wirklich ist. Erst wenn das gesamte Wissen hinter den verschiedenen Modellen frei verfügbar ist, können sich hierauf aufbauend tragfähige Ideen entwickeln und Innovationen entstehen.

Greenbone: Was fehlt denn, um KI sicher einzusetzen? Was müssen wir ändern?

Nguyen: Damit KI sicher eingesetzt werden kann, braucht es zusätzlich zur technischen Exzellenz ein entsprechendes Mindset in Entwicklung, Governance und Verantwortung. Konkret müssen wir Sicherheit nach dem Prinzip „Security by Design“ von Anfang an mitdenken. Das bedeutet: Entwickelnde müssen stets systematisch prüfen, was schiefgehen kann und diese Risiken frühzeitig in den Entwurf und die Architektur des Modells integrieren.

Ebenso wichtig ist Transparenz über die Grenzen von KI-Systemen hinweg: Sprachmodelle funktionieren bislang nur innerhalb bestimmter Kontexte zuverlässig – außerhalb dieser Trainingsdomäne liefern sie zwar plausible, aber potenziell fehlerhafte Ergebnisse. Die Entwickelnde sollten deshalb klar kommunizieren, wo das Modell zuverlässig funktioniert und wo nicht.

Mindset, Kontext und Urheberrecht

 Wenn wir keine massiven Vertrauens- und Compliance-Probleme erleben möchten, dürfen wir zudem die Fragen zu Urheberrechten bei Trainingsdaten nicht vernachlässigen. Dann braucht es noch klare Testdaten, geeignete Evaluierungsinfrastruktur und eine laufende Überprüfung von Bias und Fairness.

Eine ausgewogene Kombination aus gesetzlicher Regulierung, technischer Selbstverpflichtung und schnell reagierender Governance ist dabei der Schlüssel für eine KI, mit der man demokratische Werte schützt und technologische Verantwortung übernimmt.

Greenbone: Glauben Sie, die EU hat hier einen Wettbewerbsvorteil?

Nguyen: Ja, die EU hat im globalen KI-Wettbewerb einen echten Vorteil – und dieser liegt im Vertrauen.  Andere Regionen setzen vor allem auf Geschwindigkeit und Marktdominanz – und nehmen dafür, wie zuletzt in den USA geschehen, die Tech-Giganten weitestgehend aus der Verantwortung für gesellschaftliche Risiken. Dagegen etabliert Europa mit dem AI Act geradezu exemplarisch ein Modell, das auf Sicherheit, Datenschutz und menschenzentrierte Entwicklung setzt.

Gerade weil KI zunehmend in sensible Lebensbereiche vordringt, wird der Schutz persönlicher Daten und die Durchsetzung demokratischer Werte immer wichtiger. Die EU schafft mit ihrer Governance-Struktur verbindliche Standards, an denen sich viele Länder und Unternehmen weltweit orientieren. Dieser Fokus auf Werte wird sich langfristig für Europa auszahlen – und zwar für den Export von Technologien sowie die Stärkung des gesellschaftlichen Vertrauens in Demokratie und digitale Systeme vor Ort.

Besonders bei der Entwicklung menschenzentrierter KI ist Europa Vorreiter. Regulierung darf dabei jedoch nicht zum Innovationshemmnis werden: Vertrauen und Sicherheit müssen Hand in Hand gehen mit Investitionsbereitschaft, technologischer Offenheit und schneller Umsetzungsfähigkeit. Dann kann Europa Standards setzen – und eine eigene, wettbewerbsfähige KI-Identität aufbauen.

Greenbone-CEO Elmar Geese zu KI im Schwachstellenmanagement

Greenbone: Herr Geese, KI ist in aller Munde, welche Veränderungen bringt künstliche Intelligenz fürs Schwachstellenmanagement?

Geese: Ich denke, KI wird uns da viel Unterstützung bringen, aber ersetzen kann sie das Schwachstellenmanagement nicht. Zwar kann künstliche Intelligenz beispielsweise zeitaufwändige Routineaufgaben wie die Auswertung großer Datenmengen übernehmen, Muster erkennen und Vorschläge zur Priorisierung machen. Das Sicherheitsteam trifft aber stets die finalen Entscheidungen und hat volle Kontrolle, besonders bei komplexen oder kritischen Fällen, wo menschliches Kontextverständnis unverzichtbar ist.

Der gezielte Einsatz, mit „Augenmaß“ und Planung von KI im Schwachstellenmanagement, bringt zahlreiche Vorteile, ohne dass man die Kontrolle komplett aus der Hand geben muss. Wir setzen heute bereits KI ein, um unserer Kundschaft ein besseres Produkt bereitzustellen, ganz ohne dass dabei Kundendaten zu den Anbietenden der großen KI Dienste übertragen werden. Unsere „vertrauensvolle KI“ kommt komplett ohne Weitergabe und zentrales Sammeln von Daten aus.

Greenbone: Welche Risiken muss man da beachten?

Geese: Nach dem heutigen Stand der Technik beinhaltet der Einsatz von KI in sicherheitskritischen Bereichen einige Risiken, die es zu begrenzen gilt. Automatisierung bietet hier viele Chancen, aber auch Risiken wie Fehlentscheidungen, neue Angriffsflächen oder unerwünschte Systemeffekte. Eine KI „mit Augenmaß“ kombiniert menschliche und maschinelle Stärken, so dass technologische Vorteile wie Geschwindigkeit und Skalierbarkeit genutzt werden können, ohne das Fachpersonal zu entmachten oder Sicherheitsrisiken einzugehen.

Greenbone und KI

Greenbone setzt auf den gezielten Einsatz von Künstlicher Intelligenz, um Schwachstellen im IT-Bereich effizient zu erkennen und Prioritäten zu unterstützen. Dabei bleibt das Sicherheitsteam jederzeit in der Verantwortung und behält die Kontrolle, besonders bei sensiblen oder komplexen Entscheidungen. Datenschutz steht für uns an oberster Stelle: Kundendaten werden nicht an externe KI-Unternehmen weitergegeben.

Unser Ansatz verbindet die Vorteile moderner Technologien mit menschlichem Urteilsvermögen – für eine zeitgemäße und verantwortungsbewusste Cybersicherheit.

Gern stehen wir für weiterführende Informationen zur Verfügung.  

 

Am 27. August 2025, veröffentlichten mehr als 20 Sicherheitsbehörden eine Cybersicherheitsempfehlung mit dem Titel „Countering Chinese State-Sponsored Actors Compromise of Networks Worldwide to Feed Global Espionage System“

 

Zu den veröffentlichenden Behörden gehörten 

  • die Nationale Sicherheitsbehörde der Vereinigten Staaten (NSA)
  • Cybersecurity and Infrastructure Security Agency (CISA) der Vereinigten Staaten
  • Federal Bureau of Investigation (FBI) der Vereinigten Staaten
  • Bundesnachrichtendienst (BND) der Bundesrepublik Deutschland
  • Bundesamt für Verfassungsschutz (BfV) der Bundesrepublik Deutschland
  • Bundesamt für Sicherheit in der Informationstechnik (BSI) der Bundesrepublik Deutschland

und viele weitere.

Das sind schlechte Nachrichten. Die gute Nachricht ist, dass Greenbone Ihnen mittels der OPENVAS-Produkte helfen kann, alle Schwachstellen in diesem Angriff zu erkennen.

  1. CVE-2024-21887: Ivanti Connect Secure und Ivanti Policy Secure: Web-Komponenten-Command-Injection-Schwachstelle, die häufig in Kombination mit CVE-2023-46805 (Authentifizierungsumgehung) ausgenutzt wird.
  2. CVE-2024-3400: Palo Alto Networks PAN-OS GlobalProtect: Beliebige Dateierstellung führt zu Betriebssystem-Befehlsinjektion. Diese CVE ermöglicht die Ausführung von Remote-Code ohne Authentifizierung (RCE) auf Firewalls, wenn GlobalProtect auf bestimmten Versionen/Konfigurationen aktiviert ist.
  3. CVE-2023-20273: Schwachstelle im Cisco Internetworking Operating System (IOS) XE Software Web Management User Interface ermöglicht Post-Authentication Command Injection/Privilege Escalation [T1068], häufig verkettet mit CVE-2023-20198 für Erstzugang zur Ausführung von Code als Root.
  4. CVE-2023-20198: Cisco IOS XE Web User Interface Authentication Bypass Schwachstelle.
  5. CVE-2018-0171: Cisco IOS und IOS XE Smart Install Remote Code Execution Schwachstelle.

Wenn Sie unsere Produkte nutzen, empfehlen wir dringend, einen System-Scan durchzuführen und Patch-Anweisungen zu folgen, sollten Ihre Systeme betroffen sein.

Der Juli 2025 Threat Report folgt einem breit angelegten Ansatz, um die top Cyber-Bedrohungen des Monats zu behandeln. Die Microsoft SharePoint Schwachstellen unter dem Namen “ToolShell” dominierten letzten Monat die Schlagzeilen; werfen sie einen Blick auf unseren ToolShell-Artikel für eine genaue Analyse. Im Juli wurden über 4.000 CVEs veröffentlicht, von denen beinahe 500 mit einem CVSS-Score von 9.0 oder höher als kritisch eingestuft wurden. Für Verteidigungsteams stellt das Volumen an Risiken ein wahres Zermürbungsgefecht dar. Greenbone stellte zur Unterstützung im Juli annähernd 5000 neue Erkennungstests bereit. Diese erlauben Verteidigungsteams, Software-Schwachstellen in ihrer IT-Umgebung zu erkennen, den Patch-Stand zu überprüfen und Angreifende davon abzuhalten, die Oberhand zu gewinnen.

Blog Banner Threat - report July 2025

Critische Cisco Schwachstelle ermöglicht unauthentifizierte Ausführung von Remote-Code (RCE) mit Root-Berechtigungen und mehr

Cisco hat die aktive Ausnutzung der Cisco Identity Services Engine (ISE) und Cisco ISE-PIC (Passive Identity Controller) Versionen 3.3 und 3.4 bestätigt. Die schwerwiegendsten Schwachstellen sind CVE-2025-20281, CVE-2025-20337, und CVE-2025-20282; alle CVSS 10. CVE-2025-20281 und CVE-2025-20337 wurden in den CISA KEV (Katalog bekannter, ausgenutzter Schwachstellen) aufgenommen. Jede dieser Schwachstellen kann durch das Übermitteln einer bösartigen API-Anfrage ausgenutzt werden, um Code mit Root-Privilegien auszuführen. Mehrere nationale CERT-Agenturen gaben Warnungen heraus: EU-CERT, CSA Singapore, NHS UK und NCSC Ireland. Cisco rät, umgehend Sicherheitsupdates zu installieren; funktionierende Workarounds sind nicht verfügbar. Der OPENVAS ENTERPRISE FEED enthält entsprechende Versionserkennungstest [1][2][3].

Anfang Juli schlug außerdem eine weitere kritische CVE in Cisco Unified Communications Manager Wellen. CVE-2025-20309 (CVSS 10) ermöglicht den Fernzugang mit Root-Berechtigungen via hart kodierten SSH Zugangsdaten. Belgiens CERT.be und NSSC Ireland gaben Warnungen heraus und die Schwachstelle wurde im AUSCERT-Wochenrückblick behandelt.

Aktive Angriffe treffen CrushFTP- und WingFTP-Server

Hochrisiko-CVEs in CrushFTP und WingFTP wurden kurz nach ihrer Veröffentlichung in den CISA KEV-Katalog aufgenommen, begleitet von globalen CERT-Warnungen [1][2][3]. FTP-Server sind häufig an das öffentliche Internet exponiert, allerdings können auch Instanzen in lokalen Netzwerken Hackenden Möglichkeiten für Persistenz und laterale Bewegung bieten [4]. FTP-Server speichern überdies häufig sensible Daten, was das Risiko für Ransomware-Angriffe erhöht.

  • CVE-2025-54309 (CVSS 9.8, EPSS ≥ 91. Perzentil): CrushFTP is anfällig für ungeschützte alternative Kanal-Schwachstellen [CWE-420], wenn das DMZ Proxy-Feature nicht genutzt wird. Die Software handhabt AS2-Validierung inkorrekt, was Remote-Administrationszugriff über HTTPS ermöglicht. Der OPENVAS ENTERPRISE FEED verfügt über einen Remote-Banner-Erkennungstest, um anfällige Instanzen zu erkennen. Nutzende sollten umgehend auf CrushFTP 10.8.5_12 (oder höher), beziehungsweise 11.3.4_23 (oder höher) aktualisieren.
  • CVE-2025-47812 (CVSS 10, EPSS ≥ 99. Perzentil): Nicht bereinigte Null-Byte-Zeichen in der Web-Oberfläche von WingFTP vor Version 7.4.4 erlauben die Ausführung von Remote-Lua-Code mit den Berechtigungen des FTP-Services (standardmäßig root oder SYSTEM). Greenbone liefert Aktive Prüfung und Versionsprüfung zur Identifizierung anfälliger Instanzen. Es wird dringend zu einem Update auf Version 7.4. oder höher geraten.

Patch-Umgehung ermöglicht Beliebigen Datei-Zugang in Node.js

CVE-2025-27210 (CVSS 7.5) ermöglicht die Umgehung von Sicherheitsmaßnahmen für CVE-2025-23084 (CVSS 5.6), einer bereits im januar 2025 adressierten Schwachstelle von Node.js auf Windows-Plattformen. Schätzungsweise 4.8% aller Web-Server weltweit und viele On-Premises und Cloud-native Anwendungen nutzen Node.js. Nationale CERT-Mitteilungen warnten vor hohen Risiken. [1][2] Mindestens ein Funktionsnachweis-Exploit (PoC, Proof of Concept) ist öffentlich verfügbar. [3] Sowohl der OPENVAS ENTERPRISE FEED als auch der COMMUNITY FEED enthalten einen Versionserkennungstest.

Die als Pfadmanipulation [CWE-22] (Path Traversal) klassifizierte Schwachstelle beruht auf den integrierten Funktionen path.join und path.normalize(), die nicht hinreichend auf Windows-Gerätenamen filtern, darunter reservierte Namen für spezielle Systemgeräte wie COM, PRN und AUX [4]. Dies kann aus der Ferne ausgenutzt werden, um Verzeichnisschutzmaßnahmen zu umgehen, wenn Eingaben von Nutzenden an die genannten Funktionen übergeben werden. Betroffen sind Node.js Versionen 20.x vor 20.19.4, sowie 22.x vor 22.17.1 und 24.x vor 24.4.1.

CVE-2025-37099: Vollständige Fernübernahme von HPE Insight Remote Support

Neue Schwachstellen in HPE Insight Remote Support stellen ein enormes Risiko für vollständige Systemübernahme innerhalb von Unternehmensinfrastrukturen dar. IRS wird in lokalen Unternehmensnetzwerken eingesetzt, um Hardware-Gesundheitsprüfungen, Infrastruktur-Monitoring und die Erstellung von Support-Tickets zu automatisieren.

CVE-2025-37099 (CVSS 9.8) ermöglicht die unauthentifizierte Ausführung von Remote-Code (RCE) auf SYSTEM-Ebene durch unzureichende Eingabevalidierung [CWE-20] in der processAttatchmentDataStream-Logik. Dadurch können bösartige Payloads als Code ausgeführt werden [CWE‑94][1]. Angreifende können somit Schadsoftware auf verwalteten Systemen ausführen. Auch wenn entsprechende Vorfälle nicht explizit dokumentiert sind, könnte der Zugang auf SYSTEM-Ebene ebenfalls genutzt werden, um Überwachungsprotokolle zu manipulieren oder zu löschen und damit Aktivitäten zu verschleiern. Da der betroffene Dienst häufig mit Geräten wie Servern und iLO-Controllern interagiert, könnte die Kompromittierung laterale Bewegung ermöglichen. [2]

HPE IRS sollte umgehend auf Version 7.15.0.646 oder höher aktualisiert werden. Die koordinierte Offenlegung beinhaltete überdies zwei weitere CVEs: CVE-2025-37098 und CVE-2025-37097, beide mit CVSS 7.5. Ein Versionserkennungstest zur Identifizierung anfälliger Instanzen und zur Verifizierung des Patch-Status zwecks Compliance ist im OPENVAS ENTERPRISE FEED enthalten.

Kritische Sicherheitsupdates für DELL-CVEs mit erhöhten EPSS-Werten

Kumulative Sicherheitsupdates für eine beträchtliche Menge an Dell-Produkten wurden veröffentlicht, um Sicherheitslücken in diversen Komponenten zu schließen. Der kanadische Cyber-Sicherheitsdienst CSE gab im Juli bezüglich dieser Updates drei Benachrichtigung heraus [1][2][3]. Folgend finden Sie einige der kritischen CVEs aus diesem Batch, die alle mit dem OPENVAS ENTERPRISE FEED erkannt werden können [1][2][3][4][5]:

  • CVE-2024-53677 (CVSS 9.8, EPSS 99. Perzentil): Dell Avamar Data Store und Avamar Virtual Edition erhielten Updates bezüglich einer Schwachstelle in Apache Struts. Alternative Gegenmaßnahmen oder Workarounds sind nicht verfügbar. Eine Liste betroffener Produkte ist in Dells Sicherheitsbulletin zu finden.
  • CVE-2025-24813 (CVSS 9.8, EPSS 99. Perzentil): Dell Secure Connect Gateway vor Version 5.30.0.14 ist von einer Apache Tomcat-Schwachstelle und weiteren kritischen CVEs betroffen. Das Update ist laut Dell von kritischer Wichtigkeit.
  • CVE-2004-0597 (CVSS 10, EPSS 99. Perzentil): Dell Networker birgt kritische Pufferüberlauf-Schwachstellen (Buffer Overflow) in libpng, die Angreifenden unter anderem die Ausführung von Remote-Code aus der Ferne durch den Einsatz bösartig manipulierter PNG-Dateien ermöglichen. Mehr Informationen dazu in Dells Sicherheitsbulletins [1][2][3][4].
  • CVE-2016-2842 (CVSS 9.8, EPSS ≥ 98. Perzentil): Dell Data Protection Advisor ist von Schwachstellen in diversen Komponenten betroffen, darunter CVE-2016-2841 in OpenSSL, das die Speicherzuweisung nicht korrekt kontrolliert und somit DoS (Denial of Service) und unter Umständen RCE (Ausführung von Remote-Code) ermöglicht. Weitere Informationen sind im Sicherheitsbulletin zu finden.
  • CVE-2025-30477 (CVSS 4.4): Dell PowerScale nutzt einen unsicheren kryptografischen Algorithmus. Die Folge ist mögliche, unbefugte Informationsfreigabe. Kritische PowerScale-Schwachstellen wurden im Juni 2025 behoben. Mehr Informationen in den Sicherheitsbulletins [1][2].

Eine Kumulative Zusammenfassung von 2025 D-LINK-Schwachstellen

Der OPENVAS ENTERPRISE FEED und der COMMUNITY FEED decken mit aktuell 27 Schwachstellentests den Großteil der D-Link-Produkte betreffenden CVEs ab, die 2025 veröffentlicht wurden. In Anbetracht der Relevanz von Sicherheit am Netzwerkrand (network edge security) sollten Schwachstellen in Routern und anderen Gateway-Geräten einen besonderen Stellenwert für Sicherheitsteams innehaben. Nach der Beilegung einer US-Regulierungsmaßnahme zwischen D-Link und der Federal Trade Commission erklärte sich D-Link 2019 bereit, ein umfassendes Sicherheitsprogramm umzusetzen. Es bleibt jedoch in Frage zu stellen, ob diese Maßnahmen weitreichend genug sind. Ivanti-Produkte zum Beispiel waren in den letzten Jahren von zahlreichen Schwachstellen hoher Kritikalität betroffen [1][2][3][4][5], von denen einige in Ransomware-Angriffen ausgenutzt wurden.

Adobe schließt kritische Sicherheitslücken in ColdFusion

Sicherheitsupdates für ColdFusion 2025, 2023, und 2021 behandeln 13 neue CVEs; fünf kritische Schwachstellen, darunter XEE (CVE-2025-49535, CVSS 9.3), hart codierte Zugangsdaten (CVE-2025-49551, CVSS 8.8), OS-Befehlsinjektion, XML-Injektion und SSRF. 2023 wurde die ColdFusion-Schwachstelle CVE‑2023‑26360 (CVSS 9.8) von Bedrohungsakteuren genutzt, um sich initialen Zugriff auf US-amerikanische zivile Bundesbehörden zu verschaffen.

Eine Remote-Versionsprüfung zum Erkennen ungepatchter Instanzen ist im OPENVAS ENTERPRISE FEED enthalten. Umgehende Aktualisierungen auf Update 3 (ColdFusion 2025), Update 15 (2023) oder Update 21 (2021) sind dringend empfohlen.

Splunk Enterprise aktualisiert Komponenten mit kritischer Kritikalität

Kumulative Updates für Splunk Enterprise betreffen diverse Komponenten von Dritten, unter anderem golang, postgres, aws-sdk-java und idna. Einige Komponenten wiesen eine kritische CVSS-Kritikalität auf, wie beispielsweise CVE-2024-45337 (CVSS 9.1) mit einem EPSS-Perzentil von ≥ 97%, was auf eine hohe Wahrscheinlichkeit von Exploit-Aktivität hinweist. CERT-FR und der kanadische Cyber CSE haben Warnungen zu den Splunk-Bulletins vom Juli veröffentlicht. Der Patch-Stand kann mit einem Versionstest aus dem OPENVAS ENTERPRISE FEED geprüft werden. Schwachstellentests für frühere Splunk-Sicherheitsbulletins und CVEs sind ebenfalls enthalten.

Oracle behebt eine Reihe hoch kritischer VirtualBox Schwachstellen

Mitte Juli wurden mehrere CVEs im Zusammenhang mit Oracle VM VirtualBox Version 7.1.10 veröffentlicht. Diese ermöglichen lokal privilegierten Angreifenden (mit Zugang zur Host-Infrastruktur oder auf die Ausführungsumgebung der Gast-VM), VirtualBox zu kompromittieren, was Privilegieneskalation oder die volle Kontrolle über die Kernkomponente des Hypervisors ermöglicht. Der Integer-Overflow-Bug CVE‑2025‑53024 (CVSS 8.2) im VMSVGA virtual device kommt durch unzureichende validierung von Eingaben zustande und führt zu Speicherkorruption mit Potenzial für komplette Kompromittierung des Hypervisors. [1] OPENVAS ENTERPRISE FEED  und COMMUNITY FEED enthalten Versionserkennungstests für Windows, Linux, und macOS.

Schwachstelle nach Authentifizierung ermöglicht RCE in SonicWall SMA100

CVE-2025-40599 (CVSS 9.1) ist eine Schwachstelle für beliebiges Hochladen von Dateien nach Authentifizierung in SonicWall SMA 100-Appliances. Sie ermöglicht Remote-Angreifenden mit Administrationsrechten die Ausführung von beliebigem Code sowie persistenten Zugriff. Schwache oder gestohlene Zugangsdaten erhöhen das Risiko dieser Schwachstelle. Betroffen sind die Modelle SMA 210, 410 und 500v, Versionen 10.2.1.15-81sv und darunter. SonicWalls Sicherheitsbulletin zufolge gibt es keinen wirksamen Workaround. Der OPENVAS ENTERPRISE FEED beinhaltet einen Remote-Versionstest zur Identifizierung anfälliger Geräte.

Neue MySQL CVEs ermöglichen Authentifizierte DoS-Attacken

Inmitten der Vielzahl von Schwachstellen, die unautorisierte RCE ermöglichen, sind solche, die lediglich einen Denial of Service (DoS) verursachen, leicht zu übersehen. Im Juli wurden zahlreiche DoS-Schwachstellen und zugehörige Sicherheitsupdates für MySQL 8 und 9 veröffentlicht [1]. Diese Sicherheitslücken erfordern für eine Ausnutzung zwar privilegierten Zugriff, jedoch bieten Managed Service Provider (MSP) gemeinsames MySQL-hosting für kleine und mittlere Unternehmen (KMU), Behörden und Non-Profit-Organisationen an, die den Aufwand für das Betreiben einer eigenen Datenbankinfrastruktur vermeiden möchten. In einem solchen Szenario erhalten Nutzende Zugriff zu separaten Datenbanken auf derselben MySQL-Serverinstanz. Ist eine solche Serverinstanz nicht gepatcht, ist es möglich, andere Organisationen auf derselben Instanz zu beeinträchtigen. Diese Schwachstellen unterstreichen die Wichtigkeit starker Zugangsdaten und der Verteidigung gegen Brute-Force- und Password-Spraying-Angriffe.

Remote Versionserkennungstests für alle untenstehenden CVEs sind verfügbar. Diese sind sowohl im OPENVAS ENTERPRISE FEED, als auch im COMMUNITY FEED zu finden. Sie decken Linux und Windows MySQL Installationen ab.

CVE ID

Betroffene Versionen

Auswirkung

Zugriffsvektor

Patch Status

CVE-2025-50078

(CVSS 6.5)

8.0.0–8.0.42, 8.4.0–8.4.5, 9.0.0–9.3.0

DoS (hang/crash)

Authentifizierter Fernzugriff

Gepatcht (July 2025)

CVE-2025-50082

(CVSS 6.5)

8.0.0–8.0.42, 8.4.0–8.4.5, 9.0.0–9.3.0

DoS (crash)

Authentifizierter Fernzugriff

Gepatcht (July 2025)

CVE-2025-50083

(CVSS 6.5)

8.0.0–8.0.42, 8.4.0–8.4.5, 9.0.0–9.3.0

DoS (crash)

Authentifizierter Fernzugriff

Gapatcht (July 2025)