Joseph Lee

Januar 2026 Threat Report: Ein turbulenter Start – Teil 2

Bislang hat das Jahr 2026 turbulent begonnen. Angesichts der zahlreichen Aktivitäten im Bereich der Software-Sicherheitslücken sind die Bedenken globaler Führungskräfte, die in Teil 1 des Threat Reports Januar 2026 erörtert wurden, einfach nachzuvollziehen. Diese Volatilität unterstreicht auch den Wert der branchenführenden Erkennungsabdeckung von Greenbone. In Teil 2 des Threat Reports behandeln wir weitere kritische Sicherheitslücken, die im ersten Monat des Jahres 2026 aufgedeckt wurden.

Sicherheitsbeauftragte müssen umfassende und häufige Scans durchführen, um neue Bedrohungen in ihrer Infrastruktur zu erkennen und Maßnahmen zur Risikominderung entsprechend den potenziellen Auswirkungen auf den Geschäftsbetrieb, Datenschutzbestimmungen und andere Compliance-Verpflichtungen zu priorisieren. Sicherheitsbeauftragte, die nach Möglichkeiten zur Erkennung und zum Schutz suchen, können Greenbones Flaggschiffprodukt OPENVAS BASIC kostenlos testen, einschließlich einer zweiwöchigen kostenlosen Testversion des OPENVAS ENTERPRISE FEED.

CVE-2025-20393-cisco-spam-filter

CVE-2025-69258: TrendMicro Apex Central ermöglicht nicht authentifizierten RCE als SYSTEM

CVE-2025-69258 (CVSS 9.8) betrifft Trend Micro Apex Central On-Premises für Windows und ermöglicht nicht authentifizierten RCE mit SYSTEM-Rechten. Zwei weitere CVEs, CVE-2025-69259 und CVE-2025-69260 (beide CVSS 7.5), die zur gleichen Zeit veröffentlicht wurden, ermöglichen Denial-of-Service-Bedingungen (DoS). Die Ursache für CVE-2025-69258 ist ein Pufferüberlauf [CWE-120] aufgrund einer unsicheren Verwendung von LoadLibraryEx und einer unsachgemäßen Nachrichtenverarbeitung. Der Fehler führt zu DLL-Injektionen, NULL-Verarbeitungsfehlern und Lesevorgängen außerhalb des zulässigen Bereichs.

Apex Central ist ein zentrales Verwaltungssystem für die Administration und Überwachung von Trend Micro-Sicherheitsprodukten in einem Unternehmen und damit ein bevorzugtes Ziel für Angriffe. Lokale Windows-Builds unter 7190 sind anfällig. Apex Central verfügt über keinen automatischen Update-Mechanismus; Admins müssen Patches und Upgrades manuell installieren. In der offiziellen Sicherheitsempfehlung werden die erforderlichen Softwarevoraussetzungen (z. B. Service Packs) beschrieben, die möglicherweise installiert werden müssen, bevor das Critical Patch Build 7190 installiert werden kann.

Es gibt keine Bestätigung dafür, dass die CVEs aktiv ausgenutzt werden, aber für alle drei CVEs wurden vollständige technische Details und Proof-of-Concept-Exploits veröffentlicht, was ihr Risiko erheblich erhöht. Der OPENVAS ENTERPRISE FEED von Greenbone enthält eine lokale Registrierungsprüfung, um alle oben genannten CVEs zu erkennen.

Zwei neue aktiv ausgenutzte Ivanti EPMM-Sicherheitslücken

!

Update

11. Februar 2026

Die aktive Ausnutzung von CVE-2026-1281 und CVE-2026-1340 hat zu bestätigten Sicherheitsverletzungen bei Behörden in ganz Europa geführt. Die niederländische Datenschutzbehörde und der Rat für die Justiz haben Kompromittierungen offengelegt, und die zentrale mobile Infrastruktur der Europäischen Kommission wurde kompromittiert [1][2][3][4]. Shadowserver hat mindestens 86 kompromittierte EPMM-Instanzen anhand von Exploit-Artefakten identifiziert, und viele anfällige Instanzen sind weiterhin online. Forscher gehen davon aus, dass mehrere Bedrohungsakteure beteiligt sind.

Zahlreiche nationale Cyber-Behörden haben Warnungen zu den CVEs und deren anhaltender Ausnutzung herausgegeben [1][2][3][4][5][6][7][8][9][10][11]. Ivanti wurde hinsichtlich der Sicherheit seiner Produkte einer eingehenden Prüfung unterzogen, wobei CISA mehr als 30 Ivanti-Schwachstellen in seiner KEV-Liste zusammengestellt hat, von denen viele in unserem Blog behandelt werden. Greenbone bietet zahlreiche Schwachstellentests, die sich mit Sicherheitslücken von Ivanti befassen und es Benutzern ermöglichen, bekannte Schwachstellen zu identifizieren und ihre IT-Infrastruktur zu sichern.

Zwei neue Schwachstellen, die Ivanti Endpoint Manager Mobile (EPMM) betreffen, CVE-2026-1281 und CVE-2026-1340 (beide CVSS 9.8), wurden am 29. Januar 2026 veröffentlicht, und CVE-2026-1281 wurde noch am selben Tag in die KEV-Liste der CISA aufgenommen. Beide CVEs ermöglichen eine nicht authentifizierte RCE über Code-Injektion aufgrund einer unsachgemäßen Kontrolle von generierten Code [CWE-94]. Beide werden durch vorab authentifizierte Apache RewriteMap-Integrationen verursacht, die von Angreifenden kontrollierte HTTP-Parameter an ein Bash-Skript weiterleiten, das Befehlssubstitution und die Ausführung von Remote-Shell-Befehlen ermöglicht.

Sobald ein EPMM-Gerät kompromittiert wurde, besteht ein Risiko für den Einsatz von Backdoors [TA0011], laterale Bewegung innerhalb des Netzwerks des Opfers [TA0008] oder das Stehlen sensibler Informationen [T1005], die auf dem EPMM-Gerät gespeichert sind. Dazu können Adminanmeldedaten [TA0006] und Daten von Mobilgeräten gehören, darunter GPS-Standorte [T1430] und IMEI-Werte [T1426]. Die Ausnutzung ermöglicht auch die Manipulation von Konfigurationen [T1562] über die API oder die Webkonsole [T1102].

Eine detaillierte technische Analyse wurde von watchTowr Labs veröffentlicht, aber Push-Button-Exploit-Kits sind nicht öffentlich verfügbar. Darüber hinaus wurde die Ausnutzung bisher nicht mit Ransomware-Operationen in Verbindung gebracht. Der OPENVAS ENTERPRISE FEED von Greenbone enthält eine Remote-Banner-Versionsprüfung, um betroffene Instanzen zu identifizieren. Beide Schwachstellen betreffen lokale Instanzen von Ivanti EPMM. Weitere Informationen zu den betroffenen Versionen, den Schritten zur Installation der Patches und den bekannten Indikatoren für Kompromittierung (IoC) finden Sie in der offiziellen Empfehlung und den Analysehinweisen von Ivanti. Ivanti weist darauf hin, dass die einfache Installation des Patches als Abhilfemaßnahme nicht ausreicht. Sicherheitsverantwortliche sollten auch nach IoC suchen und bei einem Fund einen Incident-Response-Prozess einleiten, gefolgt von einer vollständigen Systemwiederherstellung.

CVE-2025-34026: Versa Concerto wird aktiv ausgenutzt

CVE-2025-34026 (CVSS 7.6, EPSS ≥ 98. Perzentil), veröffentlicht am 21. Mai 2025, wurde am 22. Januar 2026 in die KEV-Liste der CISA aufgenommen. Die Schwachstelle ermöglicht eine Umgehung der Authentifizierung, was zu einem Zugriff auf administrative Endpunkte in der SD-WAN-Orchestrierungsplattform Versa Concerto führt. Die Ursache ist eine unsachgemäße Bearbeitung von Anfragen im exponierten Traefik-Reverse-Proxy und im Spring Boot Actuator-Endpunkt. Durch Ausnutzen dieser Schwachstelle ist der Zugriff auf Heap-Dumps und Trace-Protokolle möglich, die Klartext-Anmeldedaten und Sitzungstoken enthalten können.

Andere Concerto-Schwachstellen, CVE-2025-34027 (CVSS 10, EPSS ≥ 87. Perzentil) und CVE-2025-34025 (CVSS 8.6), können ebenfalls zu einer vollständigen Kompromittierung des Systems führen, aber es gibt keine Berichte über ihre aktive Ausnutzung. Beide zusätzlichen CVEs wurden ebenfalls am 21. Mai 2025 veröffentlicht. Obwohl eine vollständige technische Analyse verfügbar ist, gibt es keine öffentlichen PoC-Exploits.

Der OPENVAS ENTERPRISE FEED enthält seit Mai 2025 eine aktive Überprüfung für CVE-2025-34026 und eine weitere für CVE-2025-34027, sodass Verteidigende frühzeitig informiert werden und Abwehrmaßnahmen ergreifen können. Diese Überprüfungen senden speziell gestaltete HTTP-Anfragen, um anfällige Instanzen zu identifizieren. Die Schwachstelle wurde in der am 16. April 2025 veröffentlichten Version 12.2.1 GA von Concerto behoben. Die Updates sollten dringend installiert werden.

Ni8Mare und die stetige Flut kritischer n8n-CVEs seit Ende 2025

!

Update

5. Februar 2026

Anfang Februar 2026 wurde eine neue kritische Sicherheitslücke in n8n entdeckt. CVE-2026-25049 (CVSS 9.9, EPSS ≥ 7. Pctl) ermöglicht es authentifizierten Usern mit Berechtigungen zum Erstellen oder Ändern von Workflows, manipulierte Ausdrücke in Workflow-Parametern auszunutzen. Die Sicherheitslücke ist auf eine unsachgemäße Kontrolle dynamisch verwalteter Code-Ressourcen zurückzuführen [CWE-913]. Die Ausnutzung könnte die Ausführung bösartiger Befehle auf dem Host auslösen. Betroffen sind n8n-Versionen vor 1.123.17 und 2.5.2.

Für CVE-2026-25049 sind mehrere technische Beschreibungen und PoC-Exploits verfügbar [1][2][3], was das Risiko einer böswilligen Ausnutzung erhöht. Es wurden mehrere nationale CERT-Warnungen herausgegeben [4][5][6][7]. Der OPENVAS ENTERPRISE FEED von Greenbone enthält eine Remote-Banner-Erkennung für CVE-2026-25049. Das Problem wurde in den Versionen 1.123.17 und 2.5.2 behoben. Eine gepatchte Version sollte schnellstmöglich installiert werden. Weitere Informationen finden Sie in der offiziellen Sicherheitsempfehlung.

CVE-2026-21858 (auch bekannt als Ni8Mare, CVSS 10, EPSS ≥ 90. Perzentil) ist die kritischste einer ganzen Reihe kritischer n8n-Schwachstellen, die seit Ende 2025 aufgetreten sind und die Versionen 1.x sowohl für selbst gehostete als auch für n8 Cloud-Instanzen betreffen. CVE-2026-21858 kann ohne Authentifizierung aus der Ferne ausgelöst werden und ermöglicht die vollständige Übernahme der Workflow-Automatisierungsplattform. Für CVE-2026-21858 sind mehrere technische Analysen verfügbar [1][2].

n8n ist eine Open-Source-Workflow-Automatisierungsplattform mit fairem Code, mit der Anwendungen, APIs und Dienste visuell zu automatisierten Prozessen verbunden werden können. Das Workflow-Repository von n8n umfasst über 7.800 veröffentlichte Workflows, was darauf hindeutet, dass die Anwendung weit verbreitet ist.

Weitere kritische und schwerwiegende Schwachstellen, die seit Ende 2025 in den n8n-Versionen 0.x und 1.x bekannt sind, umfassen:

  • CVE-2026-21877 (CVSS 9.9, EPSS ≥ Perzentil): Authentifizierte Angreifende können einen bösartigen Dateityp [CWE-434] in die n8n-Instanz hochladen, der RCE ermöglicht und möglicherweise zu einer vollständigen Kompromittierung des Systems führt. Admins können das Risiko verringern, indem sie den Git-Knoten deaktivieren und den Zugriff für nicht vertrauenswürdige User einschränken. Es wird jedoch ein Upgrade empfohlen. Dieses Problem wurde in Version 1.121.3 behoben. Weitere Informationen finden Sie in der Sicherheitsempfehlung.
  • CVE-2025-68668 (CVSS 9.9, EPSS ≥ 13. Perzentil): Eine Sandbox-Umgehungsschwachstelle [CWE-693] im Python-Code-Knoten, der Pyodide verwendet. Authentifizierte User mit Berechtigungen zum Erstellen oder Ändern von Workflows können beliebige Befehle auf dem Host mit n8n-Prozessrechten ausführen. Zu den Workarounds gehören: vollständige Deaktivierung des Code-Knotens, Deaktivierung der Python-Unterstützung im Code-Knoten und Konfiguration von n8n für die Verwendung der Python-Sandbox des Task-Runners. Eine vollständige Ursachenanalyse für CVE-2025-68668 ist verfügbar, wodurch sich das Risiko erhöht. Das Problem wurde in Version 2.0.0 behoben. Weitere Informationen finden Sie in der offiziellen Sicherheitsempfehlung.
  • CVE-2025-68613 (CVSS 8.8, EPSS ≥ 99. Perzentil): Eine RCE-Sicherheitslücke im Auswertesystem für n8n-Workflow-Ausdrücke, die es unter bestimmten Bedingungen ermöglicht, dass von authentifizierten Usern bereitgestellte Ausdrücke in einer nicht Ausführungsumgebung außerhalb der Sandbox [CWE-913] ausgewertet werden. So kann RCE mit n8n-Prozessrechten erreicht werden. Für CVE-2025-68613 sind mehrere PoC-Exploits [3][4][5] und ein Metasploit-Modul verfügbar, die das Risiko erhöhen. Dieses Problem wurde in den Versionen 1.120.4, 1.121.1 und 1.122.0 behoben. Weitere Informationen finden Sie in der Sicherheitsempfehlung.
  • CVE-2025-65964 (CVSS 8.8, EPSS ≥ 5. Pctl): Der Vorgang „Add Config” ermöglicht es Workflows, beliebige Git-Konfigurationswerte festzulegen, darunter core.hooksPath, der auf einen bösartigen Git-Hook verweisen kann. Dies könnte die Ausführung beliebiger Befehle auf dem n8n-Host während Git-Vorgängen ermöglichen. Eine vollständige technische Beschreibung und Exploit-Kette ist verfügbar. Die Ausnutzung erfordert n8n-Workflow-Rechte unter Verwendung des Git-Knotens. Zu den Workarounds gehören das Ausschließen des Git-Knotens und das Vermeiden des Klonens oder der Interaktion mit nicht vertrauenswürdigen Repositorys unter Verwendung des Git-Knotens. Dieses Problem wurde in Version 1.119.2 behoben. Weitere Informationen finden Sie in der offiziellen Sicherheitsempfehlung.

Weltweit wurden mehrere CERT-Hinweise zu einer oder mehreren der oben genannten CVEs veröffentlicht [6][7][8][9][10][11][12][13][14]. Aktive Angriffskampagnen, die diese CVEs ausnutzen, wurden nicht bekannt gegeben. Der OPENVAS ENTERPRISE FEED enthält mehrere Remote-Banner-Versionsprüfungen, um alle oben genannten Schwachstellen zu erkennen [15][16] [17][18][19] sowie die Erkennung vieler anderer CVEs, die n8n betreffen.

n8n Version 2.0 wurde im Dezember 2025 veröffentlicht und ist von den oben genannten CVEs nicht betroffen. n8n-Versionen 0.x und 1.x sollten so schnell wie möglich auf die neueste vollständig gepatchte Version aktualisieren.

CVE-2025-15467: Kritische OpenSSL 3 Schwachstelle

CVE-2025-15467 (CVSS 9,8, EPSS ≥ 71. Perzentil) ist die kritischste unter zwölf neuen Schwachstellen, die das weit verbreitete OpenSSL-Toolkit betreffen. Die Schwachstelle wird ausgenutzt, indem eine bösartige Cryptographic Message Syntax (CMS) [RFC5652] AuthEnvelopedData-Nachricht [RFC5083] unter Verwendung einer AEAD-Verschlüsselung (Authenticated Encryption with Associated Data, z. B. AES-GCM) übermittelt wird, um einen übergroßen ASN.1-codierten Initialisierungsvektor (IV) einzuschleusen.

OpenSSL kopiert den übergroßen IV ohne Längenprüfung in einen Stack-Puffer mit fester Größe [CWE-787]. Das Ergebnis ist ein Stack-Überlauf vor der Authentifizierung, der beliebige RCE und DoS ermöglicht.

CVE-2025-15467 hat keine Auswirkungen auf den täglichen SSL/TLS-Betrieb, da TLS den X.509-Zertifikatsstandard [RFC5280] verwendet. E-Mail-Clients oder Plugins, die S/MIME AuthEnvelopedData aus nicht vertrauenswürdigen eingehenden E-Mails unterstützen, sind jedoch ein Beispiel für eine potenzielle Angriffskette. Eine vollständige technische Beschreibung ist für CVE-2025-15467 verfügbar, was das Risiko der Entwicklung von Exploit-Kits erhöht. Weltweit wurden mehrere nationale CERT-Warnungen für CVE-2025-15467 herausgegeben [1][2][3][4][5][6].

Die zwölf CVEs, die vom Sicherheitsforscher Stanislav Fort veröffentlicht wurden, wurden Berichten zufolge durch eine KI-basierte Softwareanalyse entdeckt. Diese Errungenschaft kommt zu einer Zeit, in der andere Software-Maintainer und Sicherheitsforschende behaupten, dass von KI eingereichte Fehlerberichte (als „AI-Slop” bezeichnet) ihre Fehlerverfolgung effektiv stören [7][8][9][10] und in einigen Fällen sind KI-generierte CVE-Meldungen von vornherein keine gültigen Fehler.

Der OPENVAS ENTERPRISE FEED enthält mehrere Erkennungstests für verschiedene Linux-Distributionen und Windows-Installationen von OpenSSL für CVE-2025-15467 und elf weitere kürzlich bekannt gegebene CVEs. Alle zwölf CVEs betreffen die OpenSSL-Versionen 3.0, 3.3, 3.4, 3.5 und 3.6.0 (veröffentlicht am 1. Oktober 2025) und sind in den Versionen 3.0.19, 3.3.6, 3.4.4, 3.5.5 und 3.6.1 behoben.

Hypervisor-Risiko bleibt Anfang 2026 erhöht

Der letzte Threat Report für 2025 beschrieb einen Anstieg der Cyberangriffe auf Hypervisor-Plattformen Ende 2025. Dieser Trend dürfte sich auch 2026 fortsetzen. Im Januar wurden mehrere hochriskante Schwachstellen für beliebte Virtualisierungsplattformen veröffentlicht. Aufgrund der entscheidenden Rolle von Hypervisoren bei der sicheren Isolierung kritischer Workloads in der Netzwerkinfrastruktur von Unternehmen sollten Patches als oberste Priorität betrachtet werden.

CVE-2024-37079: Aktive Kampagnen gegen VMware-Hypervisoren

Im Threat Report vom Dezember 2025 haben wir einen neuen Intelligence-Bericht von Huntress diskutiert, in dem ein starker Anstieg von Cyberangriffen auf Hypervisoren beschrieben wird. Die Angriffe richteten sich gegen VMWare ESXi, Workstation und Fusion und nutzten CVE-2025-22224 (CVSS 8.2), CVE-2025-22225 (CVSS 8.2) und CVE-2025-22226 (CVSS 6.0) aus, indem sie Code als VMX-Prozess ausführten, aus der VMX-Sandbox entkamen und Speicher aus dem VMX-Prozess leckten. Greenbone enthält eine Vielzahl von Prüfungen zur Erkennung dieser aktiv ausgenutzten CVEs [1][2][3][4].

Im Januar 2026 wurde CVE-2024-37079 (CVSS 9.8), das VMware vCenter Server Versionen 7 und 8 betrifft, in die KEV-Liste der CISA aufgenommen. Die Mitte 2024 veröffentlichte Schwachstelle ermöglicht RCE ohne Authentifizierung, indem eine Heap-Überlauf-Schwachstelle ausgenutzt wird, um einen Speicherzugriff außerhalb der Grenzen auszulösen [CWE-787]. CVE-2024-37080 (CVSS 9.8) wurde zur gleichen Zeit veröffentlicht, wurde jedoch noch nicht in aktiven Angriffen beobachtet. Beide CVEs sind Fehler in der DCERPC-Protokollimplementierung (Distributed Computing Environment Remote Procedure Call) von vCenter. DCERPC ist eine Schlüsseltechnologie für die Fernsteuerung benachbarter Remote-Systeme.

Oracle behebt 11 schwerwiegende VirtualBox-Sicherheitslücken in der ersten Patch-Version von 2026

Die Sicherheitspatch-Version von Oracle vom Januar 2026 enthielt elf schwerwiegende CVEs, die VirtualBox Version 7.1.14 (veröffentlicht am 10. Oktober 2025) und Version 7.2.4 (veröffentlicht am 21. Oktober 2025) betrafen. Die meisten Schwachstellen erfordern lokalen Zugriff. Zu den schwerwiegenden Schwachstellen gehören:

  • CVE-2026-21955 (CVSS 8.2): Eine schwerwiegende Schwachstelle, die in der Kernkomponente von Oracle VirtualBox gefunden wurde. Die Schwachstelle ermöglicht es privilegierten lokalen Angreifenden, die Virtualisierungssoftware zu kompromittieren, was zu einer vollständigen Übernahme des VirtualBox-Systems und unbefugtem Zugriff auf kritische Daten führen kann.
  • CVE-2026-21956 (CVSS 8.2): Eine Schwachstelle in der Kernkomponente von Oracle VirtualBox, die es privilegierten Angreifenden mit Anmeldeberechtigungen ermöglicht, die Integrität von VirtualBox zu kompromittieren und erheblichen Einfluss auf weitere Produkte zu haben.

Die neuen VirtualBox-Schwachstellen werden nicht als aktiv ausgenutzt eingestuft, und es sind keine öffentlichen PoC-Exploits verfügbar. Weltweit wurden mehrere nationale CERT-Warnungen für das neueste Sicherheitsupdate von Oracle herausgegeben [1][2][3][4][5]. Der OPENVAS ENTERPRISE FEED von Greenbone erkennt alle neu bekannt gewordenen VirtualBox-Schwachstellen in Windows-, Linux- und macOS-Umgebungen [5][6][7]. Sie sollten ihre VirtualBox-Instanz so schnell wie möglich auf eine gepatchte Version aktualisieren.

Weitere bemerkenswerte CVEs mit hohem Risiko aus dem Januar 2026

Hier ist eine kurze Übersicht über weitere CVEs mit hohem Risiko, die im Januar 2026 veröffentlicht wurden:

  • BIND9 Denial of Service (CVE-2025-13878, CVSS 7.5): Ermöglicht nicht authentifizierten Angreifenden aus der Ferne, einen DoS in ISC BIND 9 zu verursachen. Es gibt keine Berichte über aktive Ausnutzung oder öffentliche PoC-Exploits. Das Problem betrifft sowohl autoritative Server als auch Resolver und wurde in BIND 9.18.44, 9.20.18 und 9.21.17 behoben [1]. Der OPENVAS ENTERPRISE FEED bietet Paket-Level-Erkennung für eine Vielzahl von Linux-Distributionen und eine Remote-Banner-Prüfung für Windows.
  • Kritische GitLab-Sicherheitslücke und mehr (CVE-2025-13761, CVSS 9.6): GitLab hat die Sicherheitsupdates7.1, 18.6.3 und 18.5.5 veröffentlicht, um mehrere Sicherheitslücken in selbstverwalteten Instanzen zu schließen. Der Update-Zyklus umfasste kritische, gespeicherte und reflektierte XSS, die die Ausführung beliebigen JavaScript-Codes in den Browsern der User ermöglichen könnten. Insgesamt könnten die Probleme die Integrität, Vertraulichkeit und Verfügbarkeit der meisten Bereitstellungstypen beeinträchtigen. Admins sollten sofort ein Upgrade durchführen und den schnelllebigen Patch-Zyklus von GitLab genau beobachten. Der OPENVAS ENTERPRISE FEED umfasst die Erkennung aller CVEs in diesem Batch.
  • Mehrere kritische CVEs, die CoolLabs Coolify betreffen:Elf neue Schwachstellen, die CoolLabs Coolify betreffen, wurden Anfang Januar 2026 als Gruppe veröffentlicht. Coolify ist ein Open-Source-Tool zur Verwaltung von Servern, Anwendungen und Datenbanken, das selbst gehostet werden kann. Das GitHub-Repository des Projekts weist ~50,5k Sterne, ~3,6k Forks und 575 Mitwirkende auf, was auf eine aktive Präsenz hindeutet. Weitere Details finden Sie auf der GitHub-Sicherheitsseite des Produkts. Der OPENVAS ENTERPRISE FEED bietet Erkennung für alle elf CVEs in der Veröffentlichung.
  • Nicht authentifizierter RCE in telnetd (CVE-2026-24061, CVSS 9.8): Die Telnet-Fernzugriffsanwendung gilt seit Jahrzehnten als kritisches Sicherheitsrisiko. Sie bietet keine Verschlüsselung für Daten während der Übertragung, wodurch Angriffe vom Typ „Adversary-in-the-Middle“ (AiTM) [T1157] trivial werden. CVE-2026-24061 deckt jedoch ein noch schwerwiegenderes Risiko auf, das bis zur Version 1.9.3 aus dem Mai 2015 zurückreicht.
  • CVE-2026-24061 ist eine Authentifizierungsumgehung inGNU InetUtils telnetd, die es Angreifenden ohne Anmeldedaten ermöglicht, aus der Ferne Root-Zugriff zu erlangen. Mehrere Beschreibungen [1][2] und PoC sind verfügbar [3][4][5], und weltweit wurden zahlreiche CERT-Warnungen herausgegeben [6][7][8][9][10]. Für User, die Legacy-Unterstützung vom Telnet-Dienst benötigen, wurden Patches herausgegeben. Andernfalls sollte sichergestellt werden, dass der Dienst deinstalliert wird, da er auch lokal für die Ausweitung von Berechtigungen ausgenutzt werden kann. Der OPENVAS ENTERPRISE FEED bietet eine Reihe von Paketversionsprüfungen für Linux und eine aktive Prüfung, die für alle Betriebssysteme wirksam ist [11].

Zusammenfassung

Angesichts der zahlreichen Aktivitäten im Bereich der Software-Sicherheitslücken sind die Bedenken globaler Führungskräfte, die in Teil 1 des Bedrohungsberichts vom Januar 2026 diskutiert wurden, nachvollziehbar. Diese Volatilität unterstreicht auch den Wert der branchenführenden Erkennungsabdeckung von Greenbone. Der Januar 2026 war so turbulent, dass er zwei Bedrohungsberichte verdient hat. In Teil 2 des Bedrohungsberichts vom Januar 2026 haben wir eine weitere Gruppe neu auftretender Software-Sicherheitslücken mit hohem Risiko untersucht. Verteidigungsteams, die nach Erkennungs- und Schutzmöglichkeiten suchen, können Greenbones Flaggschiffprodukt OPENVAS BASIC kostenlos testen, einschließlich einer zweiwöchigen kostenlosen Testversion von OPENVAS ENTERPRISE FEED.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht
/von
Joseph Lee

Januar 2026 Threat Report: Ein turbulenter Start

Bislang hat das Jahr 2026 turbulent begonnen. Die Zahl der kritischen Sicherheitslücken, die weit verbreitete Software betreffen, ist erschreckend hoch. Verteidigungsteams müssen umfassend und regelmäßig Scans durchführen, um neue Bedrohungen in ihrer Infrastruktur zu erkennen und Maßnahmen zur Risikominderung entsprechend den potenziellen Auswirkungen auf den Geschäftsbetrieb, Datenschutzbestimmungen und andere Compliance-Verpflichtungen zu priorisieren. Sicherheitsbeauftragte, die nach Erkennungs- und Schutzmöglichkeiten suchen, können Greenbones Flaggschiffprodukt OPENVAS BASIC kostenlos testen, einschließlich einer zweiwöchigen kostenlosen Testversion von OPENVAS ENTERPRISE FEED.

CVE-2025-20393-cisco-spam-filter

In diesem Monat wurde der Bericht „Global Cybersecurity Outlook 2026” des Weltwirtschaftsforums veröffentlicht. Der Jahresbericht untersucht die wichtigsten Anliegen von Führungskräften aus den Bereichen Cybersicherheit und Wirtschaft weltweit. In dieser Ausgabe wird berichtet, dass 58 % der befragten Führungskräfte für 2026 ein erhöhtes Risiko der Ausnutzung von Software-Schwachstellen sehen. Betrug, Ransomware und Störungen der Lieferkette wurden als die wichtigsten Auswirkungen eingestuft, während KI, Phishing und Software-Schwachstellen als die besorgniserregendsten Angriffsvektoren angesehen wurden. Befragte, die die Cyber-Resilienz ihrer Organisation als hoch einschätzten, stuften die Ausnutzung von Software-Schwachstellen als zweitgrößte Bedrohung ein, während Organisationen mit mittlerer und unzureichender Resilienz sie an dritter Stelle nannten.

Abbildung 1: Sich wandelnde Cyber-Risiko-Sorgen von CEOs und CISOs zwischen 2025 und 2026. (Quelle: WEF Global Cybersecurity Outlook 2026)

Abbildung 2: Wichtigste Cyberrisiken nach Cyberresilienzgrad. (Quelle: WEF Global Cybersecurity Outlook 2026)

An der Umfrage nahmen 873 Führungskräfte, Wissenschaftler, Vertreter der Zivilgesellschaft und Führungskräfte aus dem öffentlichen Sektor im Bereich Cybersicherheit aus 99 Ländern teil. Vor dem Hintergrund dieser Einschätzungen für 2026 wollen wir uns einige der risikoreichsten Software-Schwachstellen aus dem Januar ansehen.

Hohe Alarmstufe: Maximaler Schweregrad HPE OneView aktiv ausgenutzt

CVE-2025-37164 (CVSS 9,8, EPSS ≥ 99. Perzentil) wurde Mitte Dezember 2025 veröffentlicht und Anfang 2026 in die Liste der bekannten ausgenutzten Schwachstellen (KEV) der CISA aufgenommen. Die Schwachstelle ermöglicht unauthentifizierte Remote-Code-Ausführung (RCE) auf HPE OneView vor Version 11.00 und HPE Synergy Composer-Geräten, die OneView offenlegen. CVE-2025-37164 wird als Code-Injection-Schwachstelle [CWE-94] klassifiziert. Die Ursache ist ein REST-API-Endpunkt: /rest/id-pools/executeCommand. Übermittelte Befehle werden mit hohen Berechtigungen, jedoch ohne Authentifizierung ausgeführt.

HPE OneView ist eine Plattform für die zentralisierte Verwaltung der HPE-Rechenzentrumsinfrastruktur. Daher kann die Ausnutzung dieser Schwachstelle Eindringlingen die Kontrolle über die Netzwerkinfrastruktur, die Geräte-Firmware und das Lebenszyklusmanagement verschaffen. Es gibt vollständige technische Berichte und mehrere Proof-of-Concept-Exploits (PoC) [1][2][3], was das Risiko erhöht. Weltweit wurden zahlreiche nationale CERT-Warnungen herausgegeben [4][5][6][7][8][9][10][11]. Der OPENVAS ENTERPRISE FEED von Greenbone enthält eine Remote-Banner-Erkennung, mit der Sicherheitsverantwortliche betroffene Systeme identifizieren können. Der Sicherheits-Hotfix für HPE OneView-Versionen 5.20 bis 10.20 sollte dringend installiert werden.

Kritische Cisco Unified CM-Sicherheitslücke wird aktiv ausgenutzt

CVE-2026-20045 (CVSS 9.8, EPSS ≥ 75. Perzentil) ist eine nicht authentifizierte RCE-Sicherheitslücke, die mehrere Cisco-Produkte betrifft, darunter Unified Communications Manager (CM), Unified CM Session Management Edition (SME), Unified CM IM & Presence Service, Cisco Unity Connection und Webex Calling Dedicated Instance. Die Ursache ist eine unsachgemäße Validierung von benutzerdefinierten HTTP-Eingaben [CWE-20], die zu einer Code-Injektion [CWE-94] führt. Eine erfolgreiche Ausnutzung gewährt Zugriff auf Benutzerebene, gefolgt von einer Rechteausweitung auf Root, was zu einer vollständigen Übernahme des Systems führt.

Cisco geht davon aus, dass die Schwachstelle aktiv ausgenutzt wird, und sie wurde in die CISA KEV aufgenommen. Es wurden auch massive Scan-Aktivitäten gemeldet. Es ist kein PoC-Exploit öffentlich verfügbar, aber Cisco-Netzwerkgeräte sind häufig Ziel von hochkarätigen Hackerangriffen [1][2]. Weltweit wurden mehrere nationale CERT-Warnungen herausgegeben [3][4][5][6][7][8][9][10][11].

Der OPENVAS ENTERPRISE FEED von Greenbone enthält separate Schwachstellentests für Unified CM [12] und Unified CM IM&P [13]. Es gibt keine Workarounds, um diese Schwachstelle zu beheben. Eine Aktualisierung auf eine korrigierte Softwareversion oder die Anwendung eines Patches sind empfohlen. Weitere Informationen finden Sie in der Sicherheitsempfehlung des Herstellers.

Microsoft: Neu ausgenutzte und kritische Out-of-Band-Updates

Microsofts Patch-Release vom Januar 2026 veröffentlichte 124 CVEs, von denen acht als „Exploitation More Likely” (Ausnutzung eher wahrscheinlich) eingestuft wurden. Zwei der neuen CVEs wurden schnell als aktiv ausgenutzt markiert und zu CISA KEV [1][2] hinzugefügt. Microsoft veröffentlichte außerdem Out-of-Band-Sicherheitspatches (OOB) für Windows 11 und Windows Server [3][4]. Greenbones OPENVAS ENTERPRISE FEED veröffentlicht regelmäßig Erkennungstests für CVEs im monatlichen Patch-Zyklus von Microsoft und Out-of-Band-Sicherheitsupdates [5].

Zu den neuen CVEs mit hohem Risiko, die Microsoft-Produkte betreffen, gehören:

  • CVE-2026-20805 (CVSS 5.5): Eine Schwachstelle im Microsoft Windows Desktop Window Manager, die es einem autorisierten Bedrohungsakteur ermöglicht, sensible Speicherinformationen offenzulegen [CWE-200]. Die Ursache ist die Offenlegung von Speicheradressen im Benutzermodus über Advanced Local Procedure Call (ALPC). Die Schwachstelle ermöglicht das Auslesen kleiner, aber sicherheitsrelevanter Speicherfragmente, die mit anderen Schwachstellen verkettet werden können, um Schutzmaßnahmen wie ASLR zu umgehen. Die Ausnutzung dieser Schwachstelle kann zu einer vollständigen Kompromittierung des Systems führen. Die CISA hat die Schwachstelle in ihre KEV-Liste aufgenommen. Es wurden jedoch keine öffentlichen PoC- oder Ransomware-Aktivitäten gemeldet. Microsoft hat in seinen kumulativen Updates vom Januar 2026 einen Fix für CVE-2026-20805 bereitgestellt.
  • CVE-2026-21509 (CVSS 7.8): Die Sicherheitsfunktionen von Microsoft Office umgehen können lokal ohne Autorisierung umgangen werden, indem die Abhängigkeit von nicht vertrauenswürdigen Eingaben ausgenutzt wird [CWE-807]. Die Schwachstelle betrifft Microsoft 365 und Microsoft Office 2016, 2019 und 2021. Die CISA hat die Schwachstelle in ihre KEV-Liste aufgenommen, es ist jedoch kein öffentlicher PoC verfügbar. CVE-2026-21509 kann durch die Installation des Notfall-Patches oder die Implementierung von registrierungsbasierten Kontrollen [5][6] behoben werden.
  • CVE-2026-20952 und CVE-2026-20953 (beide CVSS 8.4): Beide Schwachstellen ermöglichen RCE über Social-Engineering-Angriffe unter Verwendung von trojanisierten Office-Dokumenten. Für die Ausnutzung muss das Opfer keine schädliche Datei öffnen; die Schwachstelle kann über das Vorschaufenster ausgelöst werden. Diese CVEs wurden nicht als aktiv ausgenutzt gemeldet, und es sind noch keine öffentlichen PoC-Exploits verfügbar. Patches sind in den kumulativen Updates von Microsoft für Januar 2026 verfügbar.

Adobe ColdFusion erfordert kritische Patches aufgrund aktiver Angriffskampagnen

Adobe hat einen kritischen RCE-Fehler in den ColdFusion-Versionen 2025 und 2023 gepatcht, der durch die Abhängigkeit von Apache Tikas CVE-2025-66516 (CVSS 9,8, EPSS ≥ 88. Perzentil) verursacht wurde. Die Schwachstelle in Apache Tika wurde im Dezember 2025 veröffentlicht. Greenbone bietet eine Remote-Banner-Prüfung für betroffene ColdFusion-Produkte sowie eine Erkennung für andere Unternehmenssoftwareprodukte, die von CVE-2025-66516 betroffen sind. Der OPENVAS ENTERPRISE FEED umfasst auch die Erkennung aller ColdFusion-CVEs, die in der Patch-Version von Adobe vom Dezember 2025 veröffentlicht wurden. Der ENTERPRISE FEED von Greenbone umfasst auch die Erkennung von 10 ColdFusion-CVEs, die in einer neuen Exploit-Kampagne enthalten sind, die während der Feiertage stattfand [1][2][3][4][5][6][7][8][9][10][11]. Der gemeldete Massen-Exploit richtete sich gegen ColdFusion und andere Unternehmenssoftwareanwendungen.

CVE-2025-68645: Zimbra Collaboration Suite (ZCS) erneut aktiv ausgenutzt

CVE-2025-68645 (CVSS 8.8, EPSS ≥ 96. Perzentil), das Auswirkungen auf die Zimbra Collaboration Suite (ZCS) hat und Ende Dezember 2025 veröffentlicht wurde, wird nun von der CISA als aktiv ausgenutzt angesehen. Die Schwachstelle ermöglicht es nicht authentifizierten Angreifenden, lokale Dateien gegen ZCS 10.0 und 10.1 einzuschleusen. Die Ursache ist eine unsachgemäße Behandlung von Anfrageparametern im RestFilter-Servlet der Webmail Classic UI. Dadurch können beliebige Dateien wie Web-Shells in das WebRoot-Verzeichnis hochgeladen werden, was möglicherweise zu einer beliebigen RCE führt.

CVE-2025-68645 wird in gezielten, auf Aufklärung ausgerichteten Angriffskampagnen verwendet. Ein öffentlicher PoC ist über die Google-Suche zu finden, scheint jedoch aus GitHub entfernt worden zu sein. ZCS hat eine lange Geschichte der Ausnutzung, häufig in Ransomware-Angriffen.

Der OPENVAS ENTERPRISE FEED von Greenbone hat bereits vor der Offenlegung von CVE-2025-68645 Remote-Banner-Prüfungen [1][2] enthalten und umfasst nun eine aktive Prüfung für betroffene ZSC-Installationen. Zu den bekannten betroffenen Versionen gehören Zimbra Collaboration Suite 10.0.0 bis 10.0.17 und 10.1.0 bis 10.1.12, wobei das Problem in den Versionen 10.0.18 und 10.1.13, die Anfang November 2025 veröffentlicht wurden, behoben wurde. Wer noch keinen Patch installiert hat, sollte dies umgehend tun.

Selbst gehosteter Git-Server Gogs Ziel massiver Exploit-Angriffe

CVE-2025-8110 (CVSS 8.8, EPSS ≥ 96. Perzentil) ist eine Path-Traversal-Sicherheitslücke [CWE-22], die es authentifizierten Angreifenden ermöglicht, RCE gegen den selbst gehosteten Git-Dienst Gogs zu erreichen. Die Ursache ist eine unsachgemäße Behandlung symbolischer Links in der Dateiaktualisierungs-API PutContents, die dazu genutzt werden kann, beliebige Dateien außerhalb des Ziel-Repositorys zu überschreiben. CVE-2025-8110 gilt als eine Umgehung von CVE-2024-55947 (CVSS 8.8) und erfordert nur geringe Berechtigungen, um ein Repository für die Ausnutzung zu erstellen. Gogs muss für die Ausnutzung nicht mit dem Internet verbunden sein. Böswillige Insider mit Zugriff auf Gogs-Instanzen, die in einem lokalen Netzwerk gehostet werden, stellen ebenfalls eine erhebliche Bedrohung dar.

CVE-2025-8110 wird aktiv ausgenutzt in automatisierten Massenausnutzungskampagnen und verfügt über eine vollständige technische Beschreibung und ein öffentliches PoC-Exploit-Kit. In der Vergangenheit hatte Gogs eine sehr hohe Rate an Exploit-Entwicklungen für veröffentlichte CVEs. Der Zeitplan für die Offenlegung und Behebung von CVE-2025-8110 umfasst 6 Monate aktiver Ausnutzung, während keine Patches verfügbar waren. Die Ausnutzung wurde erstmals Mitte 2025 beobachtet, und die Schwachstelle wurde am 17. Juli 2025 verantwortungsbewusst offengelegt. Die CVE wurde erst später, am 10. Dezember 2025, veröffentlicht, während noch kein Patch verfügbar war. Eine Überprüfung der Gogs-Version zeigt, dass Patches am 23. Januar 2026 in Gogs v0.13.4 verfügbar wurden. Der OPENVAS ENTERPRISE FEED hat seit der ersten Veröffentlichung eine Remote-Banner-Erkennung für anfällige Instanzen enthalten.

Fortinet erneut ausgenutzt: Neue Umgehung der FortiCloud-SSO-Administrator-Authentifizierung

CVE-2026-24858 (CVSS 9.8) ist eine neue aktiv ausgenutzte Schwachstelle, die FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb betrifft, wenn FortiCloud SSO aktiviert ist. Die Schwachstelle ermöglicht es einem durch FortiCloud authentifizierten Angreifenden, sich unbefugten administrativen Zugriff auf die Fortinet-Geräte anderer Mandanten zu verschaffen. Die Ursache ist ein fehlerhafter Authentifizierungsablauf [CWE-288] bei Verwendung von FortiCloud SSO.

Die frühe Ausnutzung von CVE-2026-24858 wurde aufgrund ähnlicher Angriffsmuster zunächst fälschlicherweise für eine Wiederholung der Dezember 2025 FortiCloud SSO-Umgehungsschwachstellen CVE-2025-59718 und CVE-2025-59719 (beide CVSS 9.8) gehalten. Für CVE-2026-24858 gibt es keine öffentlich zugänglichen Proof-of-Concept-Exploits, und es wurde keine Verbindung zu Ransomware-Angriffen festgestellt. Es wurde jedoch beobachtet, dass Angreifende vollständige Gerätekonfigurationsdateien [T1005] herunterladen und persistente lokale super_admin-Konten [T1136.001] erstellen.

Weltweit wurden zahlreiche nationale CERT-Warnungen herausgegeben [1][2][3][4][5][6][7][8][9][10]. Der OPENVAS ENTERPRISE FEED enthält eine Erkennung für CVE-2026-24858 für viele Fortinet-Produkte [11][12][13][14]. Updates sind noch nicht für alle betroffenen Produkte verfügbar. Nutzende sollten sich über die offizielle Empfehlung von Fortinet über aktualisierte Hinweise informieren. Laut dieser Empfehlung hat Fortinet die FortiCloud-SSO-Authentifizierung von anfälligen Geräten deaktiviert, um Abhilfe zu schaffen, und Indikatoren für Kompromittierungen (IoC) veröffentlicht, die bei Angriffen beobachtet wurden.

Neue hochriskante CVEs in SolarWinds Web Help Desk (WHD)

!

Update

11. Februar 2026

Sicherheitsforscher von Microsoft haben eine aktive, in freier Wildbahn stattfindende Ausnutzung von mit dem Internet verbundenen SolarWinds Web Help Desk (WHD)-Instanzen bestätigt, und CISA hat CVE-2025-40551 zu seiner KEV-Liste hinzugefügt. Laut Microsoft ereigneten sich die beobachteten Eindringversuche im Dezember 2025 und führten zu einer nicht authentifizierten RCE. Die genaue Schwachstelle, die bei den Angriffen ausgenutzt wurde, ist weiterhin unbestätigt, da die betroffenen Systeme für mehrere CVEs anfällig waren: CVE-2025-40551, CVE-2025-40536 und die zuvor offengelegte CVE-2025-26399.

Die Sicherheitsverletzungen folgten einer mehrstufigen Angriffskette: zunächst Kompromittierung über SolarWinds-WHD-Server, gefolgt von lateraler Bewegung [TA0008] in Richtung hochwertiger Assets und in mindestens einem Fall Eskalation zu DCSync-Aktivitäten [T1003.006] gegen einen Domänencontroller. Die Aktivitäten nach der Ausnutzung stützten sich stark auf Living-off-the-Land (LoTL)-Techniken [T1218] wie legitime Verwaltungstools, um die Erkennung zu verringern.

Sechs neue hochriskante Schwachstellen, die SolarWinds Web Help Desk (WHD) betreffen, wurden im Januar 2026 bekannt gegeben. WHD spielt weltweit eine wichtige Rolle im IT-Servicemanagement und bei der Verfolgung sensibler Assets. Frühere Ausnutzungen ähnlicher Fehler deuten darauf hin, dass Angreifende neu bekannt gegebene CVEs ins Visier nehmen werden.

Die neu bekannt gewordenen CVEs, die SolarWinds WHD betreffen, sind:

  • CVE-2025-40551 und CVE-2025-40553 (beide CVSS 9.8) Ermöglichen unauthentifizierte RCE auf anfälligen SolarWinds Web Help Desk-Servern. Beide Fehler sind auf die Deserialisierung nicht vertrauenswürdiger Daten zurückzuführen [CWE-502]. CISA hat CVE-2025-40551 am 3. Februar 2026 in seine KEV-Liste aufgenommen.
  • CVE-2025-40552 und CVE-2025-40554 (beide CVSS 9.8): Ermöglichen die Umgehung der Remote-Authentifizierung [CWE-1390], was zu unbefugtem Zugriff und möglicherweise zum Aufruf geschützter Aktionen führt.
  • CVE-2025-40536 (CVSS 8.1): Eine Sicherheitskontrollumgehung [CWE-693] ermöglicht nicht authentifizierten Angreifenden, Zugriff auf eingeschränkte Funktionen zu erhalten.
  • CVE-2025-40537 (CVSS 7.5): Eine Schwachstelle in fest codierten Anmeldedaten [CWE-798] ermöglicht den Zugriff auf Verwaltungsfunktionen.

Aktive Ausnutzung wurde nicht gemeldet, obwohl Horizon3.ai die technischen Details für mindestens eine potenzielle Angriffskette veröffentlicht hat. Alle Versionen von WHD vor 2026.1 sind betroffen. 

Der OPENVAS ENTERPRISE FEED von Greenbone enthält eine Remote-Banner-Versionsprüfung für sowie separate aktive Prüfungen für CVE-2025-40551 und CVE-2025-40536 [1] sowie CVE-2025-40537 [2] für alle oben genannten Schwachstellen in SolarWinds WHD. Nutzende sollten anfällige Instanzen in ihrer IT-Infrastruktur identifizieren und so schnell wie möglich ein Upgrade auf WHD 2026.1 durchführen.

CVE-2025-59470: Kritische RCE-Schwachstelle in Veeam Restoration and Backups

Vier neue CVEs, die Veeam Backup & Replication Version 13 Builds ≤ v13.0.1.180 betreffen, wurden im Januar-Sicherheitsupdate von Veeam veröffentlicht. Alle vier CVEs werden als kritisch eingestuft. Es gibt noch keine Berichte über aktive Ausnutzung und derzeit existiert kein öffentlicher PoC-Exploit. Weltweit wurden mehrere nationale CERT-Warnungen herausgegeben [1][2][3][4][5].

Die CVEs werden im Folgenden beschrieben:

  • CVE-2025-55125 (CVSS 9.8): Angreifende mit der Rolle „Backup- oder Bandoperator“ können durch Erstellen einer bösartigen Backup-Konfigurationsdatei RCE als Root erreichen. Die Ursache ist ein Befehlsinjektionsfehler aufgrund einer unsachgemäßen Bereinigung eingegebener Daten [CWE-77].
  • CVE-2025-59468 (CVSS 9.1): Angreifende mit der Rolle „Backup Administrator” können RCE als postgres-User ausführen, indem sie einen bösartigen Passwortparameter senden. Die Ursache ist ein Befehlsinjektionsfehler aufgrund einer unsachgemäßen Bereinigung der vom Benutzer eingegebenen Daten [CWE-77].
  • CVE-2025-59469 (CVSS 9.0): Angreifende mit der Rolle „Backup- oder Bandoperator“ können Dateien als Root schreiben. Obwohl dies vom NIST als Offenlegung sensibler Informationen [CWE-200] klassifiziert wird, ermöglicht es tatsächlich privilegierte Dateischreibvorgänge, die möglicherweise zu einer vollständigen Übernahme des Systems führen können.
  • CVE-2025-59470 (CVSS 9.0): Autorisierte Angreifende können als Postgres-User des Servers RCE ausführen. Die Ursache ist eine Befehlsinjektionslücke aufgrund einer unsachgemäßen Bereinigung eingegebener Daten [CWE-77].

Veeam gibt an, dass es 82 % der Fortune-500-Unternehmen bedient. Daher ist Veeam Backup & Replication ein hochkarätiges Ziel für Ransomware-Angriffe und wurde in der Vergangenheit bereits mehrfach von Ransomware-Gruppen ausgenutzt [7][8][9]. Während für die Ausnutzung die Rollen „Backup Operator“ oder „Tape Operator“ erforderlich sind, werden diese Konten in der Regel durch den Diebstahl von Anmeldedaten [TA0006] oder durch die Erstellung neuer privilegierter Konten [T1136] kompromittiert, sobald die Kontrolle über die Umgebung auf Adminebene erlangt wurde [6]. Der OPENVAS ENTERPRISE FEED enthält eine Remote-Banner-Erkennung für alle vier neuen CVEs, die Veeam Backup & Replication betreffen.

Neue Wireshark-CVEs können Denial-of-Service (DoS) auslösen

Mehrere Schwachstellen, die die Protokollanalyse-Logik von Wireshark betreffen, können zu einem Denial-of-Service (DoS) führen. Die Schwachstellen betreffen verschiedene Versionen von Wireshark zwischen 4.4.0 und 4.6.2. Die neuen CVEs können durch fehlerhaften Netzwerkverkehr ausgelöst werden.

  • CVE-2026-0959 (CVSS 6.5): Der IEEE 802.11-Protokoll-Dissector kann in Wireshark 4.6.0 bis 4.6.2 und 4.4.0 bis 4.4.12 abstürzen und einen DoS ermöglichen.
  • CVE-2026-0960 (CVSS 5.5): Der HTTP3-Protokoll-Dissector kann in Wireshark 4.6.0 bis 4.6.2 in eine Endlosschleife geraten, wodurch ein DoS möglich wird.
  • CVE-2026-0961 (CVSS 6.5): Ein BLF-Datei-Parser kann in Wireshark 4.6.0 bis 4.6.2 und 4.4.0 bis 4.4.12 abstürzen, wodurch ein DoS möglich wird.
  • CVE-2026-0962 (CVSS 6.5)): Der SOME/IP-SD-Protokoll-Dissector kann in Wireshark 4.6.0 bis 4.6.2 und 4.4.0 bis 4.4.12 abstürzen, was einen DoS-Angriff ermöglicht.

Da tshark dieselbe libwireshark-Dissection-Engine verwendet, wirken sich diese Fehler auch auf headless und CLI-basierte Workflows aus, was bedeutet, dass die automatisierte Verarbeitung von nicht vertrauenswürdigen PCAP-Dateien oder Live-Captures DoS-Bedingungen auslösen kann. Der Greenbone ENTERPRISE FEED enthält lokale Sicherheitsüberprüfungen für Windows-, Linux- und macOS-Umgebungen. Weitere Informationen finden Sie in der Mitteilung des Anbieters.

Zusammenfassung

Der Januar 2026 macht deutlich, dass die Ausnutzung von Software-Schwachstellen nach wie vor ein dominantes und anhaltendes Cybersicherheitsrisiko für praktisch alle Unternehmen weltweit darstellt. In diesem Monat gab es mehrere kritische und aktiv ausgenutzte Schwachstellen, die weit verbreitete Unternehmenssoftware betrafen. Netzwerkmanagementsysteme, Collaboration-Tools, Backup-Software und Sicherheitsanwendungen bleiben die Hauptziele für Angriffe. Nicht authentifizierte oder mit geringen Berechtigungen ausgestattete RCE können schwerwiegende Folgen haben, wie z. B. Ransomware oder Datendiebstahl, der zu Betrug führt.

Unternehmen sollten umfassende und regelmäßige Scans durchführen, um einen vollständigen Überblick über neue Bedrohungen innerhalb ihrer Infrastruktur zu behalten. Sicherheitsverantwortliche, die nach Möglichkeiten zur Erkennung und zum Schutz suchen, können Greenbones Flaggschiffprodukt OPENVAS BASIC kostenlos testen, einschließlich einer zweiwöchigen kostenlosen Testversion von OPENVAS ENTERPRISE FEED.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht
/von
Joseph Lee

CVE-2025-64155: In freier Wildbahn genutzte Sicherheitslücke in FortiSIEM für nicht authentifizierten Root-Level-RCE

Am 13. Januar 2026 hat Fortinet CVE-2025-64155 (CVSS 9.8) und fünf weitere Schwachstellen in seiner Produktlinie öffentlich bekannt gegeben und gepatcht [1][2][3][4][5]. Insbesondere CVE-2025-64155 stellt ein hohes Risiko dar; unmittelbar nach der Veröffentlichung wurde über aktive Ausnutzung berichtet. Die Schwachstelle wurde Fortinet vor fast sechs Monaten (August 2025) von Horizon3.ai verantwortungsbewusst gemeldet. Greenbone bietet eine Remote-Banner-Prüfung für CVE-2025-64155 in Ihrem Netzwerk, sowie Tests für drei weitere Fortinet-Sicherheitslücken, die im selben Patch-Zyklus veröffentlicht wurden [6][7][8].

Interessenten können OPENVAS BASIC, die virtuelle Einstiegs-Appliance von Greenbone, zwei Wochen lang kostenlos testen, um den OPENVAS ENTERPRISE FEED zu evaluieren. Unsere vollständige Produktpalette umfasst auch leistungsstarke physische und virtuelle Appliances für die Bereiche Unternehmen, Bildung und öffentlicher Sektor.

CVE-2025-64155 (CVSS 9.8) ist eine Sicherheitslücke bei der Befehlseingabe in Betriebssystemen [CWE-78], die die Remote-Code-Ausführung (RCE) mit Root-Rechten auf FortiSIEM-Endpunkten ermöglicht. Eine nicht authentifizierte beliebige RCE mit Root-Rechten ist die gefährlichste Kombination von Attributen, die eine CVE haben kann. Diese Kombination ermöglicht es fähigen Bedrohungsakteuren, aus der Ferne die vollständige Kontrolle über ein betroffenes Gerät zu übernehmen und möglicherweise Rootkit-Malware zu installieren. Bestehende Rootkits verfügen bekanntermaßen über fortschrittliche Umgehungsfunktionen, darunter die Umgehung von Endpoint Detection and Response [1][2][3], verdeckte Persistenzmechanismen, Manipulation von Protokollen, Manipulation von Firmware und Umgehung des Secure Boot [4][5][6].

Defused hat über Honeypot-Exploits berichtet, jedoch wurden keine konkreten Opfer identifiziert, und CVE-2025-64155 wurde noch nicht in die CISA-Datenbank „Known Exploited Vulnerabilities“ (KEV) aufgenommen. Fortinet-CVEs wurden jedoch 23 Mal in der CISA-KEV-Datenbank aufgeführt, davon stehen 13 im Zusammenhang mit Ransomware-Angriffen. Eine vollständige technische Beschreibung und ein Proof-of-Concept (PoC)-Exploit wurden von Horizon.3.ai veröffentlicht, dem Team, das die Schwachstelle zuerst entdeckt hat. Mehrere staatliche CERT-Behörden haben weltweit Warnungen herausgegeben [7][8][9][10][11][12][13]. Fortinet-User sollten alle aktuellen PSIRT-Hinweise lesen, um ihr Risiko zu bewerten.

Technische Beschreibung von CVE-2025-64155 in FortiSIEM

FortiSIEM-Geräte verwenden den phMonitor-Dienst für die Kommunikation und den Datenaustausch über TCP/IP. phMonitor stellt mehrere Befehlshandler auf dem TCP-Port 7900 bereit, die ohne Authentifizierung über die Funktion initEventHandler() ausgeführt werden. Die Weiterleitung der Handler wird durch die vom Client übergebenen Parameter bestimmt.

Die Ausnutzung von CVE-2025-64155 wurde durch Ausnutzen einer Argument-Injection-Schwachstelle [CWE-88] in phMonitor demonstriert, wobei das Schreiben beliebiger Dateien erreicht wurde. Ein Eindringling kann diese Schwachstelle für Root-Level-RCE nutzen, indem Nicht-Root-Dateien überschrieben werden, die von der Datei /etc/cron.d/fsm-crontab – dem Root-eigenen Cron-Scheduler von FortiSIEM – ausgeführt werden. Nicht-Root-RCE-Angriffsketten sind ebenfalls möglich, z. B. das Schreiben einer Bash-Reverse-Shell in die Datei /opt/phoenix/bin/phLicenseTool, die automatisch in regelmäßigen Abständen ausgeführt wird.

Wenn bestimmte Parameter an phMonitor übergeben werden, die die Funktion handleStorageRequest aufrufen, wird der User-kontrollierte Parameter <cluster_url> an ein Shell-Skript namens elastic_test_url.sh übergeben. Das Shell-Skript hängt den Parameter <cluster_url> an den curl-Befehl an und führt ihn aus. Da der Parameter jedoch nicht ordnungsgemäß bereinigt wird, kann curl missbraucht werden, um lokale Dateischreibvorgänge auf dem Ziel-FortiSIEM-Host auszulösen. Forschende von Horizon3.ai haben außerdem darauf hingewiesen, dass die fehlende Authentifizierung für die phMonitor-API von FortiSIEM in der Vergangenheit zu mehreren ausnutzbaren CVEs mit maximaler Schweregradbewertung beigetragen hat [1][2].

Behebung von CVE-2025-64155 in FortiSIEM-Geräten

Sicherheitsverantwortliche sollten die Update-Anweisungen befolgen, die in der offiziellen Empfehlung von Fortinet zu CVE-2025-64155 enthalten sind. Laut Fortinet betrifft die Schwachstelle nicht alle Knotentypen. Nur die Super- und Worker-Knoten sind betroffen. Wer kein Update durchführen kann, sollte laut Fortinet den Zugriff auf den phMonitor-Port 7900 zu beschränken. Die Sperrung des Zugriffs auf Port 7900 kann jedoch dazu führen, dass davon abhängige Dienste ausfallen.

Während der offizielle Hardening-Leitfaden von Fortinet empfiehlt, FortiSIEM „in einem geschützten Netzwerksegment” zu betreiben, sind sich Sicherheitsforschende bewusst, dass sensible Dienste trotz des hohen Risikos häufig dem Internet ausgesetzt sind. Selbst wenn ein FortiSIEM-Gerät nicht öffentlich zugänglich ist, könnten anfällige Instanzen für laterale Bewegungen und Persistenz innerhalb eines Zielnetzwerks genutzt werden. Diese Bedrohung besteht, wenn Eindringlinge bereits einen Zugang haben, wenn böswillige Insider vorhanden sind oder wenn Bedrohungsakteure in Zukunft unbefugten Zugriff auf das interne Netzwerk erhalten.

Die betroffenen FortiSIEM-Produkte und entsprechenden Abhilfemaßnahmen sind:

Produkt-Versionen Lösung
FortiSIEM Cloud Nicht betroffen
FortiSIEM 7.5 Nicht betroffen
FortiSIEM 7.4 Aktualisierung auf 7.4.1 oder höher
FortiSIEM 7.3 Aktualisierung auf 7.3.5 oder höher
FortiSIEM 7.2 Aktualisierung auf 7.2.7 oder höher
FortiSIEM 7.1 Aktualisierung auf 7.1.9 oder höher
FortiSIEM 7.0 Auf sichere Version migrieren
FortiSIEM 6.7 Auf sichere Version migrieren

Zusammenfassung

CVE-2025-64155 (CVSS 9.8) ist eine kritische, nicht authentifizierte Sicherheitslücke in FortiSIEM, die eine Remote-Codeausführung auf Root-Ebene ermöglicht und von Fortinet am 13. Januar 2026 offengelegt und gepatcht wurde. Fast unmittelbar nach der Offenlegung wurden Honeypot-Exploits beobachtet, wodurch sich das Risiko für alle exponierten oder erreichbaren FortiSIEM-Implementierungen erhöhte. Verteidigungsteams sollten sicherstellen, dass ihre FortiSIEM-Instanzen nicht öffentlich zugänglich sind und dass Zugriffskontrollen auch in internen Netzwerksegmenten strikt durchgesetzt werden.

Eine kostenlose zweiwöchige Testversion von OPENVAS BASIC, der virtuellen Einstiegs-Appliance von Greenbone, steht Interessenten zur Verfügung, um die branchenführende Abdeckung des OPENVAS ENTERPRISE FEED zu evaluieren. Unsere vollständige Produktpalette umfasst auch leistungsstarke physische und virtuelle Appliances für mittelständische und große Unternehmen, Bildungseinrichtungen und Kundschaft aus dem öffentlichen Sektor.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht
/von
Joseph Lee

Dezember 2025 Threat Report: Notfall-Patches zum Jahresende und neue Exploit-Kampagnen

Im Jahr 2025 erhöhte Greenbone die Gesamtzahl der Schwachstellentests im OPENVAS ENTERPRISE FEED auf über 227.000 und fügte fast 40.000 Schwachstellenprüfungen hinzu. Seit der Veröffentlichung der ersten CVE im Jahr 1999 wurden über 300.000 Software-Sicherheitslücken zum CVE-Repository von MITRE hinzugefügt. Die Zahl der CVE-Veröffentlichungen stieg weiter rasant an und lag etwa 21 % über dem Wert von 2024. Die CISA fügte ihrem Verzeichnis bekannter ausgenutzter Sicherheitslücken (KEV) 245 CVEs hinzu, von denen 24 als bekannte Ransomware-Vektoren bekannt sind. Sicherheitsbeauftragte, die Schwachstellen erkennen und Schutzmaßnahmen ergreifen möchten, können OPENVAS BASIC kostenlos testen, einschließlich einer zweiwöchigen kostenlosen Testversion des OPENVAS ENTERPRISE FEED.

CVE-2025-20393-cisco-spam-filter

Im Dezember 2025 wurden 5.519 neue CVEs veröffentlicht, was einen neuen Rekord für einen einzelnen Monat darstellt. Neue kritische Schwachstellen und Notfallmaßnahmen setzten sich während der gesamten Weihnachtszeit unvermindert fort. Der Greenbone-Blog hat bereits über zwei aktiv ausgenutzte CVSS-10-Schwachstellen berichtet, die im Dezember aufgetreten sind: CVE-2025-55182 mit dem Namen React2Shell und CVE-2025-20393, die Cisco AsyncOS Spam Quarantine betrifft. Im Threat Report für Dezember 2025 fassen wir die kritischsten neuen Bedrohungen für die IT-Sicherheit des Monats zusammen.

Ransomware-Angriffe auf Hypervisoren nahmen Ende 2025 sprungartig zu

Untersuchungen von Huntress zeigen, dass Hypervisoren als primäres Ziel für Ransomware zunehmend an Bedeutung gewinnen. Ihren Daten zufolge waren Hypervisoren in der ersten Hälfte des Jahres 2025 an 3 % der böswilligen Verschlüsselungsangriffe beteiligt, in der zweiten Hälfte stieg dieser Anteil auf 25 %. Sie gehen davon aus, dass dieser Anstieg auf die Ransomware-APT „Akira“ zurückzuführen ist, eine Gruppe, die dafür bekannt ist, Software-Schwachstellen aggressiv auszunutzen.

Um das Risiko für die Hypervisor-Infrastruktur zu verringern, sollten Verteidigungsteams umfassende Sicherheitskontrollen planen und implementieren, darunter

  • Regelmäßige Durchführung von Schwachstellenscans in der gesamten Hypervisor-Infrastruktur und Priorisierung aller entdeckten Schwachstellen zur Minderung
  • Deaktivierung oder Einschränkung unnötiger Hypervisoren und VM-Instanzen
  • Keine direkte Freigabe von Verwaltungsschnittstellen an das Internet
  • Beschränkung des Zugriffs auf Hypervisor-IP-Adressen und Verwaltungskonsolen mithilfe von Firewall-Regeln

MongoBleed verschenkt einen Notfall-Patch für die Feiertage

CVE-2025-14847 (CVSS 7.5, EPSS 98. Perzentil), der MongoDB betrifft, wurde am 19. Dezember 2025 veröffentlicht. Der Fehler ermöglicht es einem nicht authentifizierten Eindringling aus der Ferne, auf sensible Speicherorte zuzugreifen, indem fehlerhafte Pakete mit inkonsistenten Längenparametern gesendet werden [CWE-130]. Er wurde in Anlehnung an die informelle Konvention für Speicherleck-Schwachstellen wie HeartBleed [1][2] und CitrixBleed [3][4] „MongoBleed” getauft. Der Fehler liegt im zlib-Komprimierungsprozess der Netzwerk-Transportschicht von MongoDB. Bei einer Längeninkongruenz könnte der zlib-Nachrichtenkompressor eine zugewiesene Pufferlänge anstelle der tatsächlichen dekomprimierten Länge zurückgeben, wodurchnicht initialisierten Heap-Speicher gelesen werden könnten.

Ein Sicherheitsforscher schätzt, dass weltweit über 200.000 Instanzen im öffentlichen Internet exponiert sind. Die Shadowserver Foundation listet über 80.000 auf. Für CVE-2025-14847 wurde mindestens ein Proof-of-Concept-Exploit (PoC) veröffentlicht, der automatisch nach Geheimnissen wie DB-Passwörtern und Cloud-Schlüsseln suchen kann. Der PoC demonstriert, wie ein Eindringling den Heap-Speicher durchsuchen kann, um sensible Informationen zu exfiltrieren. CVE-2025-14847 wurde in den KEV-Katalog der CISA aufgenommen, und weltweit wurden zahlreiche nationale CERT-Warnungen herausgegeben [5][6][7][8][9][10][11][12][13]. Bislang wurden noch keine Ransomware-Angriffe gemeldet, die MongoBleed ausnutzen.

Der OPENVAS ENTERPRISE FEED von Greenbone umfasst Remote-Versionserkennungsprüfungen für Windows- und Linux-Instanzen von MongoDB Server [14][15] sowie eine aktive Prüfung für Windows und Linux [16]. Die offizielle Empfehlung von MongoDB enthält eine Liste der betroffenen Versionen und Patches. Benutzer sollten dringend ein Upgrade durchführen und MongoDB-Server auf Anzeichen einer Kompromittierung (IoC) überprüfen.

CVSS 10 SmarterMail-Sicherheitslücke ermöglicht nicht authentifizierte RCE

!

Update

11. Februar 2026

CVE-2026-24423 (CVSS 9.8) ist eine neue kritische Sicherheitslücke, die derzeit für Ransomware-Angriffe ausgenutzt wird und in die KEV-Liste der CISA aufgenommen wurde. Der Anbieter von SmarterMail, SmarterTools, ist nach einem Sicherheitsvorfall ebenfalls Opfer seines eigenen Softwareprodukts geworden. In einem Bericht hat ReliaQuest Angriffe, die auf CVE-2026-24423 abzielen, dem Warlock-Ransomware-Betreiber (auch bekannt als Storm-2603), einem in China ansässigen Bedrohungsakteur, zugeschrieben.

CVE-2026-24423 ist eine nicht authentifizierte RCE-Sicherheitslücke in der ConnectToHub-API-Methode. Mit einer bösartigen HTTP-Anfrage kann ein Angreifer eine SmarterMail-Instanz auf einen von ihm kontrollierten HTTP-fähigen Server verweisen und bösartige Betriebssystembefehle an SmarterMail übermitteln.

Ein PoC für die Schwachstelle ist in der Core Certified Exploit Library von Fortra verfügbar. Mehrere nationale CERT-Behörden haben Warnungen für CVE-2026-24423 herausgegeben [1][2][3][4][5][6]. Greenbones OPENVAS ENTERPRISE FEED enthält seit kurz nach der Bekanntgabe im Januar 2026 sowohl Versionserkennungs– als auch aktive Schwachstellentests für CVE-2026-24423. Benutzer sollten auf die neueste sichere Build-Version von SmarterMail aktualisieren.

!

Update

27. Januar 2026

Sowohl CVE-2025-52691 CVSS 10, veröffentlicht Ende Dezember 2025, als auch CVE-2026-23760 CVSS 9.3, eine neue Schwachstelle, veröffentlicht am 23. Januar 2026, wurden am 26. Januar 2026 zur KEV-Liste der CISA hinzugefügt, was auf eine aktive Ausnutzung hinweist. Beide Schwachstellen betreffen SmarterTools SmarterMail.

Die neuere Schwachstelle, CVE-2026-23760, ist eine Authentication-Bypass-Schwachstelle [CWE-288], die es einem nicht authentifizierten Angreifer ermöglicht, das Passwort des Admin-Benutzers zurückzusetzen. Wie unten beschrieben, liegt für CVE-2025-52691 eine vollständige technische Beschreibung vor. Auch für CVE-2026-23760 wurde eine vollständige technische Beschreibung veröffentlicht, was das Risiko erhöht.

Der OPENVAS ENTERPRISE FEED enthält Vulnerability-Tests für beide CVEs. Ein Remote-Banner-Check zur Erkennung von CVE-2026-23760 wurde am 23. Januar 2026 innerhalb von 24 Stunden nach Veröffentlichung der CVE und noch vor der Aufnahme in die CISA KEV publiziert.

Anwender sollten ihr Risiko neu bewerten und die offiziellen Release Notes von SmarterMail konsultieren, die darauf hinweisen, dass ein Upgrade auf den gepatchten Build 9518 erfolgen sollte.

CVE-2025-52691 (CVSS 10) ist eine neue Sicherheitslücke in SmarterTools SmarterMail, die eine nicht authentifizierte Remote-Code-Ausführung (RCE) ermöglicht und Build 9406 und frühere Versionen betrifft. Die Sicherheitslücke wird durch eine Schwachstelle beim Hochladen beliebiger Dateien [CWE-434] verursacht, die es Schadakteuren ermöglicht, Dateien an einen beliebigen Speicherort auf dem Zielserver hochzuladen. Diese hochgeladenen Dateien können potenziell als Web-Shells dienen oder als SYSTEM ausgeführt werden, wenn sie in sensiblen Verzeichnissen abgelegt werden.

SmarterMail läuft auf dem Windows/IIS/.NET-Stack und umfasst eine Webanwendung mit Webmail- und Synchronisierungsdiensten über HTTPS. Laut der offiziellen Dokumentation von SmarterMail gibt es über 15 Millionen User. Andere Quellen schätzen den Anteil von SmarterMail an allen identifizierbaren Webanwendungen auf weniger als 0,1 %. SmarterMail wird häufig in verwalteten Webhosting-Umgebungen verwendet, was den potenziellen Ausbreitungsradius im Falle einer Ausnutzung vergrößern könnte.

Die Cyber Security Agency (CSA) von Singapur veröffentlichte CVE-2025-52691 und warnte die Öffentlichkeit erstmals vor diesem Risiko. Aktive Ausnutzung in freier Wildbahn oder öffentliche PoC-Exploits wurden nicht bekannt gegeben, aber Forschende von penligent.ai haben technische Beschreibungen der Angriffskette veröffentlicht [1][2]. Andere nationale Sicherheitsbehörden haben ebenfalls Notfall-Cyberwarnungen herausgegeben [3][4].

Der OPENVAS ENTERPRISE FEED enthält eine Versionserkennungsprüfung für CVE-2025-52691. Die Schwachstelle wurde Anfang Oktober 2025 in Build 9413 von SmarterMail gepatcht. Es wird empfohlen, auf die neueste Version zu aktualisieren.

OSGeo GeoServer wird aktiv über XXE-Sicherheitslücke ausgenutzt

CVE-2025-58360 (CVSS 9,8, EPSS 99. Perzentil) ist eine nicht authentifizierte XML External Entity (XXE)-Sicherheitslücke [CWE-611] in OSGeo GeoServer. Die Schwachstelle ermöglicht es Schadakteuren aus der Ferne, beliebige Dateien zu lesen, Server-Side Request Forgery (SSRF) [CWE-918] auszulösen oder einen Denial-of-Service (DoS) zu verursachen. Die Ursache liegt in einer fehlerhaften Bereinigung der XML-Daten, die vom Endpunkt /geoserver/wms GetMap verarbeitet werden.

CVE-2025-58360 wurde am 11. Dezember zu CISA KEV hinzugefügt, und es gibt mehrere öffentliche PoC-Exploits [1][2][3]. Eine Verwendung in Ransomware-Angriffen oder Spionage wurde nicht bestätigt. Die Shadowserver Foundation hat 2.451 exponierte GeoServer-Instanzen verfolgt; Shodan meldet über 14.000, was auf ein erhebliches globales Risiko hinweist. Mehrere nationale CERT-Behörden haben Warnungen zu CVE-2025-58360 veröffentlicht [4][5][6][7][8]. Zuvor, im Jahr 2024, wurde CVE-2024-36401 (CVSS 9.8) in GeoServer aktiv ausgenutzt und führte zu einer bestätigten Sicherheitsverletzung bei einer nicht genannten US-Bundesbehörde. Dies deutet darauf hin, dass Cyber-Bedrohungen mit der Ausnutzung der GeoServer-Infrastruktur vertraut sind, was das Risiko erhöht.

Der OPENVAS ENTERPRISE FEED enthält eine Remote-Banner-Prüfung, um anfällige GeoServer-Instanzen zu erkennen. CVE-2025-58360 betrifft die Hauptanwendung OSGeo GeoServer, docker.osgeo.org/geoserver-Container, gs-web-app und gs-wms Maven-Pakete. Der vollständige Status der betroffenen Produkte ist in einer offiziellen Mitteilung verfügbar.

Living on the Edge: Neue Bedrohungen für Netzwerkperimeter im Dezember 2025

Unser monatlicher Threat Report hat über das Jahr 2025 Software-Schwachstellen, die sich auf den Netzwerkperimeter auswirken, genau verfolgt [1][2][3]. Im Dezember 2025 gab es tatsächlich eine weitere Welle neuer hochriskanter CVEs und aktiver Ausnutzung. Betrachten wir einige neue Risiken für Perimeter-Netzwerke genauer:

Mehrere Fortinet-Produkte werden aktiv über Authentifizierungsumgehung ausgenutzt

Am 9. Dezember 2025 wurden CVE-2025-59718 (CVSS 9,8, EPSS 90. Perzentil) und CVE-2025-59719 (CVSS 9,8) eine Woche nach ihrer Veröffentlichung in die KEV-Liste der CISA aufgenommen. CVE-2025-59718 betrifft Fortinet FortiOS, FortiProxy und FortiSwitchManager, während CVE-2025-59719 nur FortiWeb betrifft. Die neuen CVEs ermöglichen die Umgehung der Authentifizierung bei FortiCloud SSO-Admin-Anmeldungen aufgrund einer unsachgemäßen kryptografischen Signaturprüfung [CWE-347] von SAML-Nachrichten. Laut dem ersten Bericht über aktive Angriffe von Arctic Wolf kann die FortiCloud-SSO-Anmeldung standardmäßig aktiviert sein, wenn Geräte über die FortiCare-GUI registriert werden.

Mindestens ein PoC-Exploit ist öffentlich verfügbar [1]. Die neuen CVEs lösten weltweit eine breite Reaktion nationaler CERT-Behörden aus [1][2][3][4][5][6][7][8][9][10][11][12]. Greenbone bietet Erkennung für beide neuen CVEs mit kritischem Schweregrad. Eine vollständige Liste der betroffenen Produkte finden Sie in der offiziellen Mitteilung von Fortinet.

Privilegieneskalationsfehler in SonicWall SMA 1000-Appliances

CVE-2025-40602 (CVSS 6.6, EPSS 84. Perzentil) ist eine lokale Privilegieneskalationsschwachstelle, die die Appliance Management Console von SonicWall Secure Mobile Access (SMA) 1000-Appliances betrifft. Die Schwachstelle wird durch unzureichende oder fehlende Autorisierung verursacht [CWE-862]. Die Ausnutzung kann zur Ausführung von Befehlen auf Root-Ebene des Betriebssystems führen. CVE-2025-40602 steht nun auf der KEV-Liste der CISA und wird aktiv für unauthentifizierte RCE ausgenutzt, kombiniert mit CVE-2025-23006 (CVSS 9,8, EPSS 98. Perzentil), die im Januar 2025 veröffentlicht wurde und in unserem Threat Report vom Januar 2025 behandelt wird. CVE-2025-40602 kann jedoch auch allein mit lokalem Kontozugriff ausgenutzt werden.

Für beide CVEs sind keine detaillierten Angriffsanleitungen oder PoC-Exploits öffentlich verfügbar. Dies könnte darauf hindeuten, dass die laufenden Angriffe von staatlichen Akteuren oder anderen APT-Gruppen durchgeführt werden. Der OPENVAS ENTERPRISE FEED enthält Remote-Banner-Prüfungen für beide oben beschriebenen CVEs [1][2]. Betroffen sind SMA 1000 Series-Geräte (6200, 6210, 7200, 7210, 8000v, 8200v) der Versionen 12.4.3-03093 und früher sowie der Versionen 12.5.x bis 12.5.0-02002.

CVE-2025-14733: WatchGuard-VPNs erneut aktiv ausgenutzt

CVE-2025-14733 (CVSS 9,8, EPSS 97. Perzentil) ist eine nicht authentifizierte RCE-Sicherheitslücke, die mobile User-VPNs und Zweigstellen-VPNs von WatchGuard Firebox mit IKEv2 betrifft, wenn diese mit einem dynamischen Gateway-Peer konfiguriert sind. Die Ursache ist ein Softwarefehler, der das Beschreiben von Speicher außerhalb der Grenzen im iked IKEv2-Daemon ermöglicht, der für die Verwaltung von VPN-Sitzungen zuständig ist. Laut dem Bedrohungsbericht des Anbieters haben Eindringlinge Konfigurationsdateien und die Benutzerdatenbank aus kompromittierten VPN-Geräten exfiltriert [TA0010].

Die CVE wurde in die KEV-Datenbank der CISA aufgenommen, aber es sind noch keine Proof-of-Concept- oder detaillierten technischen Berichte verfügbar. Die Shadowserver Foundation meldet mehr als 100.000 betroffene Geräte, die im Internet exponiert sind. Ein ähnlicher Fehler beim Schreiben außerhalb des zulässigen Bereichs in WatchGuard-VPNs, CVE-2025-9242 (CVSS 9.8), wird seit September 2025 in freier Wildbahn ausgenutzt.

Der OPENVAS ENTERPRISE FEED von Greenbone enthält Remote-Prüfungen für die beiden oben genannten CVEs [1][2], sodass Sicherheitsverantwortliche betroffene Geräte schnell identifizieren können. Weitere Informationen, darunter die konkret betroffenen Versionen und Konfigurationsanforderungen für die Ausnutzung, Maßnahmen zur Schadensbegrenzung und Indikatoren für Kompromittierung (IoC), finden Sie in der offiziellen Empfehlung von WatchGuard.

Array Networks AG Series VPNs für RCE ausgenutzt

CVE-2025-66644 (CVSS 9.8, EPSS 86. Perzentil) ist eine Sicherheitslücke durch unbefugte Befehlsinjektion [CWE-78] in Array Networks ArrayOS AG Series VPNs mit aktivierter DesktopDirect-Fernzugriffsfunktion. Laut einem Anfang Dezember 2025 veröffentlichten Bericht wird CVE-2025-66644 seit mindestens August aktiv gegen Unternehmen in Japan ausgenutzt. Die Angriffskette umfasste die Installation von PHP-Webshells [T1505.003] und die Erstellung von betrügerischen Usern [T1136] zur Persistenz.

Die CVE wurde zur KEV-Liste der CISA hinzugefügt. Es ist jedoch kein öffentlicher PoC-Exploit verfügbar. Greenbone bietet eine Remote-Banner-Prüfung zur Erkennung anfälliger Geräte. Zur Risikominderung wird ein Upgrade auf ArrayOS Version 9.4.5.9 oder höher empfohlen.

Ivanti behebt neue Schwachstellen in EndPoint Manager (EPM)

Im Dezember 2025 wurden vier neue riskante CVEs veröffentlicht und gepatcht, die Ivanti EndPoint Manager (EPM) betreffen. Bislang wurden noch keine aktiven Exploits gemeldet, und keine der Schwachstellen hat zu hohen EPSS-Werten geführt. Sie sollten ein Upgrade auf Ivanti Endpoint Manager 2024 SU4 SR1 durchführen und sicherstellen, dass EPM nicht mit dem Internet verbunden ist. Der OPENVAS ENTERPRISE FEED enthält eine Remote-Erkennung für alle vier neuen Ivanti-Schwachstellen. Weitere Informationen finden Sie in der offiziellen Empfehlung von Ivanti.

Die vier neuen CVEs werden im Folgenden kurz beschrieben.

  • CVE-2025-13659 (CVSS 8.8) ermöglicht das Schreiben beliebiger Dateien auf dem Server ohne Authentifizierung, was aufgrund einer unsachgemäßen Kontrolle dynamisch verwalteter Code-Ressourcen [CWE-913] möglicherweise zur Ausführung von Remote-Code führen kann.
  • CVE-2025-13662 (CVSS 7.8) ermöglicht die Ausführung von nicht authentifiziertem Code durch unsachgemäße Signaturüberprüfung im Patch-Management-Prozess [CWE-347].
  • CVE-2025-13661 (CVSS 8.0) ist eine authentifizierte Pfadüberquerungsschwachstelle [CWE-22], die das Schreiben beliebiger Dateien ermöglicht.
  • CVE-2025-10573 (CVSS 6.1): Eine gespeicherte XSS-Sicherheitslücke [CWE-79], die die Ausführung von nicht authentifiziertem JavaScript in einer Admin-Sitzung in Ivanti Endpoint Manager Core und Remote-Konsolen ermöglicht.

Update: Neue CVEs erhöhen das Risiko durch Social Engineering

Social Engineering ist eine beliebte Angriffsmethode. Die Verwendung irreführender Kontexte, um Opfer zum Klicken auf Links und Dateien zu verleiten [T1566], hat sich als äußerst wirksames Mittel erwiesen, um sich unbefugten Zugriff und sogar RCE zu verschaffen. Hier sind einige neue Bedrohungen im Bereich Social Engineering, denen sich Sicherheitsteams entgegenstellen sollten:

Neue hochriskante 7-Zip-Sicherheitslücke hat öffentlichen PoC

CVE-2025-11001 (CVSS 7.8) ist eine Path-Traversal-Sicherheitslücke [CWE-22] in der 7-Zip-Anwendung für Windows, die durch die unsichere Verarbeitung von symbolischen Links im Linux-Stil in ZIP-Dateien verursacht wird. Ein böswillig erstelltes ZIP-Archiv kann potenziell RCE ermöglichen, indem es Dateien in sensible Verzeichnisse legt [T1574], oder andere Angriffe ermöglichen, wie z. B. das Platzieren von Malware an sichtbaren Stellen auf dem System des Opfers, in der Hoffnung, dass sie ausgeführt wird [T1204.002]. Unter Windows hängt die Ausnutzung davon ab, dass der lokale Useraccount über die Berechtigung SeCreateSymbolicLinkPrivilege oder andere Konfigurationen wie den Entwicklermodus verfügt oder 7-Zip als Admin ausführt.

CVE-2025-11001 wurde nicht in die KEV-Liste der CISA aufgenommen, aber der britische NHS hat einen öffentlichen PoC-Exploit gemeldet [1]. Mehrere nationale CERT-Behörden haben weltweit Warnungen herausgegeben [2][3][4][5][6][7][8]. CVE-2025-11002 wird oft zusammen mit CVE-2025-11001 genannt, bleibt aber offiziell im Status RESERVED. CVE-2025-11001 wurde in der Version 25.00 von 7-Zip gepatcht. Der OPENVAS ENTERPRISE FEED von Greenbone enthält Erkennungstests für die Windows-Anwendung 7-Zip und andere Plattformen, die anfällige Versionen von 7-Zip enthalten.

CISA fügt neue WinRAR-Sicherheitslücke zur Liste aktiv ausgenutzter Schwachstellen hinzu

CVE-2025-6218 (CVSS 7.8) ist eine Verzeichnisüberquerungsschwachstelle [CWE-22], die WinRAR-Versionen 7.11 und früher betrifft. Ähnlich wie bei der oben beschriebenen CVE-2025-11001 können Eindringlinge, die ein Opfer dazu verleiten, eine bösartige Archivdatei zu öffnen, Dateien an sensiblen Speicherorten auf dem Zielsystem ablegen, was möglicherweise zu einer Malware-Infektion führen kann. Im August 2025 wurde eine weitere WinRAR-Sicherheitslücke, CVE-2025-8088 (CVSS 8.8), in Spionagekampagnen ausgenutzt.

Es liegen mehrere technische Analysen zu CVE-2025-6218 vor [1][2]. Die chinesische Bedrohungsanalyse 360 Threat Intel hat die Angriffe der Gruppe APT-C-08 (auch bekannt als BITTER, Manlinghua, T-APT-17) zugeschrieben. Die Gruppe ist eine seit 2013 aktive Advanced Persistent Threat (APT) und bekannt dafür, dass sie Regierungs-, Energie-, Militär- und Verteidigungsindustrieunternehmen in Südasien ins Visier nimmt [3][4]. Am 9. Dezember 2025 hat die CISA CVE-2025-6218 in ihre KEV-Liste aufgenommen, und es wurden zahlreiche nationale CERT-Warnungen herausgegeben, die bis zum Zeitpunkt der ersten Offenlegung der CVE zurückreichen [5][6][7][8][9][10][11].

Der OPENVAS ENTERPRISE FEED enthält eine authentifizierte Sicherheitsüberprüfung, um das Vorhandensein von anfälligen WinRAR-Anwendungen auf Windows-Endpunkten zu erkennen. Es wird empfohlen, auf die neueste Version von WinRAR für Windows zu aktualisieren.

CVE-2025-66516: Neue Leitlinien für kritische Apache-Tika-Sicherheitslücke

CVE-2025-66516 (CVSS 9.8) ist eine neue CVE mit maximaler Schwere, die Apache Tika betrifft, ein Open-Source-Toolkit zur Analyse und Extraktion von Inhalten. Die Anwendung wird häufig in Such-, ETL- und Indizierungspipelines, bei der Verhinderung von Datenverlusten (DLP) und Compliance-Scans sowie in KI-RAG-Systemen verwendet, um verschlüsselte Dokumente (wie .pdf und .docx) in Klartext und Metadaten umzuwandeln.

CVE-2025-66516 ermöglicht es jedem Schadakteur, der eine böswillig erstellte XFA-fähige PDF-Datei an den Apache Tika-Prozessor übermitteln kann, eine XML-External-Entity-Injection [CWE-611] auszulösen. Die Ausnutzung ermöglicht aufgrund der unsicheren Verarbeitung externer Entitäten während der XFA-XML-Analyse die Offenlegung von Dateien, SSRF und DoS.

CVE-2025-66516 gilt als Erweiterung von CVE-2025-54988 (CVSS 8.4), veröffentlicht im August 2025. CVE-2025-54988 beschrieb die betroffenen Komponenten nicht korrekt; wurde das tika-parser-pdf-Modul aktualisiert, aber nicht tika-core, waren Systeme weiterhin anfällig. Das Patchen erfordert die Aktualisierung der gesamten Abhängigkeitskette auf eine korrigierte Version.

Obwohl Berichte keine aktive Ausnutzung oder Verwendung von Ransomware vermuten lassen, ist ein öffentlicher PoC-Exploit verfügbar. Die Schwachstelle ist aufgrund der weit verbreiteten Verwendung von Tika in automatisierten Dokumentenverarbeitungs-Pipelines mit einem hohen Risiko verbunden. Das belgische CERT.be und das koreanische KRCERT haben Warnungen herausgegeben. Der OPENVAS ENTERPRISE FEED von Greenbone enthält Erkennungstests für CVE-2025-66516, darunter betroffene Upstream-SaaS-Produkte von Atlassian, Elastic und anderen.

Zusammenfassung

Im Dezember 2025 tauchten während der Feiertage kritische CVEs auf, die Sicherheitsverantwortliche zu Notfall-Patches und einer schnellen Triage zwangen. Dieser Bericht behandelt neue, aktiv ausgenutzte Schwachstellen, darunter MongoBleed, einen nicht authentifizierten RCE von SmarterMail, OSGeo GeoServer und aktuelle Angriffe auf Edge-Geräte wie die von Fortinet SonicWall, WatchGuard und anderen. Sicherheitsbeauftragte, die ihre IT-Infrastruktur absichern möchten, können OPENVAS BASIC kostenlos testen, einschließlich einer zweiwöchigen kostenlosen Testversion von OPENVAS ENTERPRISE FEED.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht
/von