September 2025 Threat Report: Neue Exploits, aktive Kampagnen und kritische CVEs

Insgesamt wurden im September knapp über 4.500 CVEs veröffentlicht – und damit neue Risiken für Verteidigungsteams aufgedeckt. Organisationen müssen ihre Systeme regelmäßig scannen, um eine widerstandsfähige IT-Infrastruktur aufrechtzuerhalten und versteckte Schwachstellen zu identifizieren, die den Geschäftsbetrieb beeinträchtigen könnten. Mit der kostenlosen Testversion von Greenbones OPENVAS BASIC können Sicherheitsverantwortliche die gesamte Unternehmensinfrastruktur auf aktuelle und beständige Bedrohungen prüfen, um stets den Überblick zu behalten. Diese Testversion gibt Ihnen Zugriff auf den OPENVAS ENTERPRISE FEED von Greenbone – eine branchenführende Datenquelle für CVEs und weitere IT-Sicherheitslücken.

Diesen September haben wir in unserem Blog bereits über drei neue Cybersecurity-Ereignisse berichtet: SessionReaper, eine nicht authentifizierte RCE-Schwachstelle in Adobe Commerce und Magento, eine CVSS-10-Sicherheitslücke in Fortra GoAnywhere MFT und eine ArcaneDoor-Spionagekampagne, die auf der aktiven Ausnutzung einer neuen Schwachstelle in Cisco ASA und FTD beruht. In diesem Threat Report werden wir nun auf einige weitere besonders risikoreiche Bedrohungen aus dem September 2025 eingehen.

Neue Bedrohungen für Linux-Systeme

Das Linux-Betriebssystem bildet das Rückgrat der globalen IT-Infrastruktur. Da Linux-Umgebungen zunehmen zu bevorzugten Angriffszielen werden, ist regelmäßiges Schwachstellenscanning entscheidend für die Aufrechterhaltung des IT-Betriebs und der operativen Resilienz. Hier sind die wichtigsten Linux-Schwachstellen vom September 2025.

Schwerwiegende Sudo-Schwachstelle jetzt aktiv ausgenutzt

Bereits im Juli hat Greenbones Threat Report auf eine neue Bedrohung hingewiesen: CVE-2025-32463 (CVSS 7.8) ermöglicht unautorisierte Rechteausweitung [TA0004] auf Root-Ebene, indem der Linux-sudo-Befehl (alle Versionen ≥ 1.9.14 und vor 1.9.17p) dazu gebracht wird, zu Angriffszwecken manipulierte Shared Libraries zu laden [T1129].

Diese Schwachstelle wird inzwischen aktiv ausgenutzt und wurde zu CISAs Katalog bekannter, ausgenutzter Schwachstellen (KEV, Known Exploited Vulnerabilities) hinzugefügt. Kanadas Cyber Centre hat eine neue CERT-Warnung herausgegeben, der sich in die Liste der bestehenden Warnungen einreiht [1][2][3]. Wer starte Widerstandsfähigkeit aufbauen möchte, kann nicht darauf warten, dass Schwachstellen aktiv ausgenutzt werden und damit in Berichte aufgenommen werden – eine proaktive Haltung ist essenziell. Greenbone hat im Juli 2025 augenblicklich Erkennungstests für CVE-2025-32463 zum OPENVAS ENTERPRISE FEED und COMMUNITY FEED hinzugefügt, was unserer Kundschaft entscheidende Vorteile in der Erkennung und Behebung gab.

CVE-2025-38352: POSIX-CPU-TOCTOU-Race im Linux-Kernel

CVE-2025-38352 (CVSS 7.4, EPSS ~70. Perzentil) beschreibt eine Time-of-Check-to-Time-of-Use (TOCTOU)-Schwachstelle [CWE-367] in den POSIX-CPU-Timern des Linux-Kernels. Diese Schwachstelle ermöglicht eine Denial-of-Service (DoS)-Attacke [T1499] auf betroffenen Systemen und wurde zu CISAs KEV-Katalog hinzugefügt. Obwohl derzeit kein öffentlicher Machbarkeitsnachweis (PoC, Proof-of-Concept) verfügbar ist, wurde bereits eine detaillierte technische Analyse veröffentlicht.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat zwei Sicherheitswarnungen zu CVE-2025-38352 herausgegeben – eine für den Linux-Kernel [1] und eine für Android [2]. Patch-Level-Checks für betroffene Linux-Distributionen sind in Greenbones OPENVAS ENTERPRISE FEED und COMMUNITY FEED enthalten.

Schwerwiegende Schwachstelle im Linux-UDisks-Daemon

CVE-2025-8067 (CVSS 8.5) ist eine lokale, nicht authentifizierte Rechteausweitung [TA0004] im UDisks-Daemon von Red Hat Enterprise Linux (RHEL). Der Udisks-Daemon ist ein Systemdienst, welcher der Verwaltung von Speichergeräten wie Festplatten, SSDs, USB-Sticks, optischer Medien und Partitionen dient.

Die Ursache der Schwachstelle liegt in der fehlerhaften Verarbeitung negativer Integer-Indizes, was zu einem Out-of-Bounds Memory Read [CWE-125] führen kann. Die Ausnutzung kann für DoS [T1499] oder lokaler Rechteausweitung [T1068] genutzt werden, indem ein Loop-Device einem privilegierten lokalen Datenobjekt zugeordnet wird [1].

Derzeit gibt es keine Hinweise auf aktive Ausnutzung, jedoch wurde bereits PoC-Code veröffentlicht [2][3]. Das deutsche BSI hat zudem eine Sicherheitsmeldung herausgegeben [4]. Der OPENVAS ENTERPRISE FEED und der COMMUNITY FEED enthalten paketbasierte Patch-Level-Checks für diverse Linux-Distributionen. Patching bleibt die einzig wirksame Gegenmaßnahme.

Neue ImageMagick CVEs bergen DoS- und RCE-Risiken

CVE-2025-53014 (CVSS 9.8), CVE-2025-53019 (CVSS 7.5), und CVE-2025-53101 (CVSS 9.8) resultieren aus einer fehlerhaften Verarbeitung von Bilddateinamen [CWE-66] in den ImageMagick-Paketen für Linux. Erfolgreiche Ausnutzung kann Berichten zufolge zu DoS [T1499] führen; im Fall von CVE-2025-53101 ist zudem eine beliebige Codeausführung [T1203] möglich.

Obwohl derzeit keine aktive Ausnutzung der Schwachstelle bekannt ist, wurde vom BSI eine CERT-Bund-Sicherheitswarnung [WID-SEC-2025-1537] veröffentlicht. OPENVAS ENTERPRISE FEED und COMMUNITY FEED enthalten bereits Erkennungstests für zahlreiche Linux-Distributionen.

Mehrere schwerwiegende Sicherheitslücken in Cisco-Produkten

Die Schwachstellen CVE-2025-20352 und CVE-2025-20312 (beide CVSS 7.7) markieren das Ende eines turbulenten Monats für Cisco. Beide CVEs wurden am 24. September 2025 veröffentlicht.

CVE-2025-20352 wurde von Cisco selbst während der Bearbeitung eines Support-Falls entdeckt. Fünf Tage darauf landete die Schwachstelle im CISA KEV-Katalog und mehrere nationale CERT-Organisationen haben seither Sicherheitswarnungen veröffentlicht [1][2][3][4][5][6][7]. Beide Schwachstellen betreffen das Simple Network Management Protocol (SNMP).

CVE-2025-202352 beruht auf einem Stack-Overflow [CWE-121] im SNMP-Subsystem betroffener Produkte: IOS/IOS XE (alle SNMP-Versionen) und Meraki MS390/Catalyst 9300 mit Meraki CS 17 oder älter. Eine Ausnutzung ermöglicht authentifizierte DoS-Angriffe und potenziell beliebige Codeausführung aus der Ferne (RCE, Remote-Code-Execution) auf Root-Ebene, abhängig von genutzten Zugangsdaten:

Eine DoS kann bereits mit einem SNMPv1/v2c-Community-String (Read-Only) oder gültigen SNMPv3-Anmeldedaten ausgelöst werden. Root-Level-RCE erfordert administrative Anmeldedaten (Privilege 15).

CVE-2025-20312 ermöglicht authentifizierte DoS-Angriffe aus der Ferne. Die Ursache ist eine schwache Fehlerbehandlung, die das System bei der Verarbeitung manipulierter SNMP-Anfragen in eine Endlosschleife führt [CWE-835]. Die Ausnutzung erfordert einen gültigen SNMP-Community-String mit Read-Write- oder Read-Only-Berechtigungen. Betroffen sind lediglich IOS XE Switches, bei denen SNMP aktiviert und WRED für MPLS EXT konfiguriert ist.

Für keine der beiden Schwachstellen existieren derzeit öffentliche Exploits. Wer nicht patchen kann, sollte die SNMP-Zugriffe auf vertrauenswürdige Netzwerkeinheiten einschränken und anfällige Object Identifiers (OIDs) deaktivieren. Cisco hat für beiden Schwachstellen separate Sicherheitsmeldungen herausgegeben [8][9]. Der OPENVAS ENTERPRISE FEED bietet sowohl authentifizierte als auch Remote-Versionserkennungstests für die aktiv ausgenutzte CVE-2025-20352 [10][11] und einen Remote-Versionserkennungstest für CVE-2025-20312 an [12].

Doppelt gepatchte Schwachstelle in SolarWinds Help Desk weiterhin angreifbar

CVE-2025-26399 (CVSS 9.8) ist eine nicht authentifizierte Remote-Code-Execution (RCE)-Schwachstelle in SolarWinds Web Help Desk bis einschließlich Version 12.8.7. Die CVE stellt eine Patch-Umgehung für CVE-2024-28988 dar – welche wiederum eine Umgehung für CVE-2024-28986 war. Die ursprüngliche CVE-2025-28986 wurde kurz nach ihrer Offenlegung zu CISAs KEV-Katalog hinzugefügt. Obwohl bisher noch keine aktive Ausnutzung nachgewiesen wurde, halten Sicherheitsprofis eine baldige Ausnutzung für wahrscheinlich. Die Ursache bleibt dieselbe: fehlerhafte Deserialisierung nicht vertrauenswürdiger Daten [CWE-502] in der AjaxProxy-Komponente des Produkts.

Nationale CERT-Sicherheitswarnungen wurden herausgegeben – unter anderem von Kanadas CCCS, CERT-FR und Spaniens INCIBE-CERT. Ein Remote-Banner-Versionscheck ist in Greenbones OPENVAS ENTERPRISE FEED enthalten, um Sicherheitsteams die Identifikation anfälliger Instanzen zu ermöglichen. In Anbetracht der kritischen Schwere und Vorgeschichte mehrfacher Ausnutzung wird das Einspielen von Web Help Desk 12.8.7 Hotfix 1 dringend empfohlen.

Sitecore XM, XP, und XC aktiv ausgenutzt

CVE-2025-53690 (CVSS 9.0, EPSS ~95. Perzentil) ist eine Deserialisierungs-Schwachstelle [CWE-502] in Bezug auf Sitecore Experience Manager (XM), Experience Platform (XP), Experience Commerce (CX) sowie bestimmter verwalteter Cloud-Instanzen. Sie ermöglicht nicht authentifizierte Angriffe mittels bösartig manipulierter __VIEWSTATE-Payloads, um RCE mit Admin-Rechten zu erlangen. Die Schwachstelle wird aktiv zu Angriffszwecken ausgenutzt und wurde dementsprechend bereits in CISAs KEV-Katalog aufgenommen, wo sie sich zu früheren ausgenutzten SiteCore-Schwachstellen gesellt.

CVE-2025-53690 wird in Angriffen genutzt, um neuartige Reconnaissance-Malware namens „WEEPSTEEL“ zu streuen. Die Malware führt Host- und Netzwerk-Scans [TA0043] durch, exfiltriert sensible Konfigurationsdateien [TA0010] und eskaliert Privilegien [TA0004], indem sie lokale Admin-Profile anlegt.

Bei beobachteten Angriffen wurden folgende Techniken erkannt:

• Einsatz von Earthworm [1][2][3] für Netzwerktunneling [T1572]
• DWAgent [4][5] für Command-and-Control (C2) Fernzugang [T1219]
• SharpHound [4][5] für Active Directory (AD)-Reconnaissance [T1106]
• GoTokenTheft zum Auslesen von SYSTEM/SAM-Hives zwecks Credential Harvesting [T1003]
• Ausnutzung des Windows Remote Desktop Protocol (RDP) [T1021] mit gestohlenen Anmeldedaten [T1078], um laterale Bewegung im Netzwerk zu ermöglichen [TA0008]

Der OPENVAS ENTERPRISE FEED enthält einen Remote-Banner-Versionscheck für die Erkennung anfälliger Sitecore-Produkte. Sitecores offizieller Sicherheitsbulletin empfiehlt dringend, Machine-Keys zu rotieren, ViewState MAC zu aktivieren, Kompromittierungsindikatoren (IoCs) zu prüfen und eine Sicherheitsauditierung durchzuführen.

„Exploitation More Likely“ für neun CVEs im Microsoft-Patchzyklus September 2025

Im September-Patchzyklus 2025 hat Microsoft insgesamt 97 Schwachstellen behoben – neun davon als „kritisch“ und ein Großteil als „wichtig“ eingestuft.

Betroffen waren unter anderem Windows-Betriebssysteme, SMB, NTFS, NTLM, Microsoft Office, Azure, SQL Server, Hyper-V, DirectX und weitere Produkte.

Die folgenden Schwachstellen wurden zudem als „Exploitation More Likely“ markiert, bergen also laut Microsoft ein erhöhtes Ausnutzungsrisiko:

• CVE-2025-55234
  (CVSS 9.8): Fehlerhafte Authentifizierung [CWE-287] in den SMB-Diensten von Windows ermöglicht das Wiederverwenden gestohlener Anmeldeinformationen, um unter bestimmten Voraussetzungen privilegierten Zugriff zu erlangen. Systeme ohne aktive SMB-Härtungsmaßnahmen (Hardening) sollten dringend geprüft werden. Die Aktivierung von SMB Server Signing oder Extended Protection for Authentication (EPA) wird von Microsoft empfohlen.
• CVE-2025-55319 (CVSS 9.8): Ein Befehlsinjektionsfehler [CWE-77] in Agentic AI-Integrationen für Visual Studio Code (Versionen 1.0.0 bis 1.103.x) ermöglicht nicht authentifizierte Remote-Code-Execution (RCE). Visual Studio Code-Anwendungen sollten dringend auf Version 1.104.0 oder höher aktualisiert werden [1].
• CVE-2025-54110 (CVSS 8.8): Eine Integer-Überlauf-, bzw. Wraparound-Schwachstelle [CWE-190] im Windows-Kernel ermöglicht die lokale Umgehung der AppContainer-Isolation, um SYSTEM_Rechte zu erlangen [2].
• CVE-2025-54918 (CVSS 8.8): Ein Authentifizierungsfehler [CWE-287] im NTLM-Protokoll ermöglicht im Rahmen eines authentifizierten Angriffs Rechteausweitung aus der Ferne bis auf SYSTEM-Ebene, was zu voller Kontrolle über das Windows-Hostsystem führen kann [3].
• CVE-2025-54916 (CVSS 7.8): Ein Pufferverarbeitungsfehler [CWE-120] im NTLM-Dateisystemtreiber kann durch spezielle Eingaben ausgelöst werden, was in lokalen Angriffen zu beliebiger Codeausführung führen kann [4].
• CVE-2025-54098 (CVSS 7.8): In Hyper-V wurde eine fehlerhafte Zugriffskontrolle [CWE-284] identifiziert, die einer bösartigen Gast-VM ermöglicht, auf den Host zu entkommen oder erhöhte Rechte innerhalb des Hypervisors zu erlangen [5].
• CVE-2025-54093 (CVSS 7.0): Eine TOCTOU-Race-Condition [CWE-367] im Windows TCP/IP-Stack ermöglicht lokale Rechteausweitung durch präzise Timing-Angriffe [6].
• CVE-2025-53803 (CVSS 5.5): Eine Schwachstelle im Windows-Kernel führt zu einem Informationsleck sensibler Daten [CWE-209] durch Fehlermeldungen, die in einem lokalen Angriff beispielsweise Speicheradressen im Kernel-Space preisgeben können [7].
• CVE-2025-53804 (CVSS 5.5): Eine weitere Information-Disclosure-Schwachstelle [CWE-200] im Windows-Kernel-Subsystem ermöglicht lokal das Auslesen sensibler Speicheradressen im Kernel-Space [8].

Unternehmen, die ihre Patch-Level nicht gezielt überwachen, laufen Gefahr, ausnutzbare Schwachstellen in ihrer Infrastruktur zu übersehen und machen sich somit zu einem leichten Angriffsziel. Greenbones OPENVAS ENTERPRISE FEED bietet regelmäßig aktualisierte Erkennungstests für Microsoft-Schwachstellen und unterstützt damit proaktive Schwachstellenauswertung über Systeme hinweg.

Zusammenfassung

Der September 2025 unterstreicht die zunehmenden Cyber-Risiken in verbreiteten Enterprise-Plattformen. Kritische Schwachstellen in Fortra GoAnywhere MFT, Cisco ASA/FTD und Sitecore prägten neben tausenden weiteren CVEs die Sicherheitslage. Aktive Cyberangriffskampagnen zeigen, dass reaktives Schwachstellenmanagement nicht mehr ausreicht. Nur wer proaktiv handelt und kontinuierliches Schwachstellen-Scanning betreibt, kann schnell genug auf neu entdeckte CVEs reagieren und Angriffsflächen wirksam minimieren.

Mit dem OPENVAS ENTERPRISE FEED bietet Greenbone täglich aktualisierte Prüfmechanismen für neue Schwachstellen. Sicherheitsverantwortliche können damit frühzeitig Risiken erkennen, priorisieren und beheben, bevor es zu einem Sicherheitsvorfall kommt. Für den schnellen Einstieg steht eine kostenlose Testversion von Greenbones OPENVAS BASIC zur Verfügung – und zwar mit voller ENTERPRISE FEED-Abdeckung. So bleibt Ihr Unternehmen informiert und resilient gegen aufkommende Cyberbedrohungen.