Schlagwortarchiv für: CVE 2025

Joseph Lee

Threat Report Juni 2025: Zermürbungsgefecht im Cyberraum

Der IOCTA-Bericht 2025 von Europol warnt davor, dass die Nachfrage nach Daten im Milieu der Cyberkriminalität stark ansteigt. Wie viele Daten wurden genau gestohlen? Genaue Zahlen lassen sich nicht ermitteln. Allerdings wurden bei einem einzigen Hackerangriff auf das US-amerikanische Gesundheitsunternehmen Change Healthcare die persönlichen Daten, unter anderem Sozialversicherungsnummern, von 190 Millionen Menschen gestohlen. Das ist mehr als die Hälfte der gesamten US-Bevölkerung, die von einem einzigen Vorfall betroffen war. Dieser Vorfall verblasst jedoch im Vergleich zum National Public Data Breach von 2024, bei dem 272 Millionen Sozialversicherungsnummern, 420 Millionen Adressen und 161 Millionen Telefonnummern in den USA gestohlen wurden. In den untersuchten Ländern des europäischen Wirtschaftsraums wurden 2024 täglich etwa 363 Datenschutzverletzungen gemeldet. Nun drohen neue Varianten zerstörerischer Wiper-Malware, die Betroffene von Datendiebstahl milde getroffen wirken lassen.

Cyber-Sicherheitsverantwortliche befinden sich in einem zermürbenden Kampf: Die Bewältigung der ständigen Flut neuer Bedrohungen ist eine gewaltige und entscheidende Aufgabe. Im Threat Report dieses Monats geben wir Einblicke in die neueste Welle von Wiper-Malware, neue aktiv ausgenutzte Schwachstellen und aufkommende Bedrohungen, die den globalen Cyberkonflikt prägen.

Neue Welle von Wiper-Malware im Cybergefecht

Kürzlich hat Cisco Talos eine bisher unbekannte Wiper-Malware namens „PathWiper“ beobachtet, die bei einem zerstörerischen Angriff auf kritische Infrastrukturen in der Ukraine eingesetzt wurde. Wiper wird meist im Rahmen von Cyber-Warfare-Kampagnen eingesetzt, bei denen finanzieller Gewinn nicht das primäre Motiv ist. Während Ransomware die Opfer zur Zahlung eines Lösegelds für die Rückgabe ihrer verschlüsselten Daten zwingt, zerstört Wiper diese einfach. Wiper wird seit Beginn des Krieges zwischen Russland und der Ukraine eingesetzt. 2022 wurde HermeticWiper gegen die Ukraine verwendet und legte Regierungsbehörden und kritische Dienste wenige Stunden vor dem ersten Einmarsch Russlands lahm.

Forschungsteams zur Cybersecurity haben kürzlich auch eine neue Ransomware-as-a-Service-Gruppe (RaaS) namens Anubis entdeckt, die ihre maßgeschneiderte Ransomware um eine Wiper-Option erweitert hat. Angesichts der verschärften geopolitischen Spannungen ist es plausibel, dass staatliche Akteure RaaS-Betreiber und Hacktivisten dazu anstiften werden, zerstörerische Angriffe mit großer Wirkung durchzuführen.

Wiper-Angriffe an sich sind nichts Neues. Shamoon, auch bekannt als Disttrack, entdeckt im Jahr 2012, war die erste große Wiper-Malware. Sie wurde vermutlich von iranischen Bedrohungsakteuren entwickelt und zum Angriff auf Saudi Aramco und andere Organisationen in den Golfstaaten eingesetzt. NotPetya, getarnt als Ransomware, war eine weitere prominente Wiper-Variante, die 2017 auftauchte – mit globalen Folgen.

Unternehmen, insbesondere im Bereich kritischer Infrastruktur, müssen die potenziellen Auswirkungen von Wiper-Malware auf ihre Widerstandsfähigkeit berücksichtigen. Was ist, wenn die Zahlung eines Lösegelds keine Option ist? Eine gut konzipierte Backup-Strategie kann eine vollständige oder teilweise Datenwiederherstellung ermöglichen. Jedoch haben Ausfallzeiten auch finanzielle Auswirkungen und können sogar Menschenleben kosten. Die Gewährleistung der Einhaltung der MTTR-Ziele (Mean Time to Recovery) ist für die Aufrechterhaltung des Betriebs von entscheidender Bedeutung. Natürlich ist auch die Sorgfalt bei der Schließung von Sicherheitslücken, bevor sie für Angriffe ausgenutzt werden können, für eine proaktive Cyberstrategie unerlässlich.

Echte Risiken und „AI-Slop“: Linux-CVEs im Wandel

Die Zeiten, in denen Linux weniger Cyberangriffe auf sich zog, sind längst vorbei. Linux-Systeme werden zunehmend zum Ziel raffinierter Angriffe. Im vergangenen Jahr explodierte auch die Zahl der Linux-Kernel-CVEs (Common Vulnerabilities and Exposures); die zentrale CNA (CVE Numbering Authority) wies im Jahr 2024 durchschnittlich 55 neue CVEs pro Woche zu. Dieser Anstieg wird manchmal darauf zurückgeführt, dass künstliche Intelligenz Fehler aufdeckt, die eigentlich keine Sicherheitsrisiken darstellen, sogenannten „AI-Slop“. Der Entwickler von Curl, Daniel Stenberg, veröffentlichte sogar einen Hinweis, in dem er Bug-Reports zu „AI-Slop“ verbot. In einer entsprechenden Diskussion zu einem Bug-Report wurde die Sorge geäußert, dass „ein Angriff auf unsere Ressourcen zur Bewältigung von Sicherheitsproblemen“ erfolgen könnte.

Was das Risiko- und Patch-Management angeht, haben viele Security-Teams nicht den Luxus, die technische Nutzbarkeit jeder CVE eingehend zu untersuchen. Die technische Bewertung und Analyse von Patching-Unterschieden (Patch-Diffs) nehmen enorm viel Zeit in Anspruch. Der daraus resultierende aufreibende Kampf zwingt die Sicherheitsteams zu einem Wettlauf gegen die Zeit. Beim Priorisieren von Behebungsmaßnahmen stützen sich Sicherheitsteams auf CVSS (Common Vulnerability Scoring System), EPSS (Exploit Prediction Scoring System), den Exploit-Status und Faktoren wie Compliance-Anforderungen und betriebliche Kritikalität. Sicherheitsverantwortliche wollen Beweise dafür sehen, dass kontinuierliche Fortschritte erzielt und Sicherheitslücken geschlossen werden. Dies ist der eigentliche Vorteil der Verwendung einer Schwachstellenmanagement-Plattform wie Greenbone.

Vor diesem Hintergrund sind hier einige neue CVEs mit hohem Risiko für Privilegien-Ausweitung auf Linux-Systemen, die in diesem Monat Aufmerksamkeit erregt haben:

  • CVE-2023-0386 (CVSS 7.8): Das OverlayFS-Subsystem des Linux-Kernels, das nun als aktiv ausgenutzt gilt, ermöglicht die Ausweitung auf die Root-Ebene, indem es die Art und Weise ausnutzt, wie Dateien mit besonderen Privilegien zwischen bestimmten gemounteten Dateisystemen kopiert werden.
  • CVE-2025-6019 (CVSS 7.0): Eine in Fedora- und SUSE-Distributionen gefundene Schwachstelle ermöglicht es Angreifenden ohne Root-Rechte in der Gruppe „allow_active“, privilegierte Festplattenoperationen wie das Mounten, Entsperren und Formatieren von Geräten über D-Bus-Aufrufe an „udisksd“ auszuführen. Die Schwachstelle gilt als leicht auszunutzen, und es ist ein öffentlicher PoC (Proof of Concept) verfügbar, was das Risiko erhöht.
  • CVE-2025-32462 und CVE-2025-32463: Zwei lokale Schwachstellen zur Rechteausweitung wurden in Sudo 1.9.17p1 behoben, das am 30. Juni 2025 veröffentlicht wurde. CVE-2025-32462 ermöglicht es, über lokale Geräte die Option „–host“ zu missbrauchen, um Berechtigungen auf zugelassenen Hosts zu erweitern, während CVE-2025-32463 unbefugten Root-Zugriff über die „–chroot“-Option ermöglicht, selbst wenn dies in der Sudo-Datei nicht ausdrücklich erlaubt ist.
  • CVE-2025-40908 (CVSS 9.1): Nicht authentifizierte Angreifende können vorhandene Dateien manipulieren, indem sie eine speziell gestaltete YAML-Datei als Eingabe verwenden, die zu einem missbräuchlichen Aufruf von „open“ mit zwei Argumenten führt. Zu den anfälligen Systemen gehören alle Perl-Anwendungen oder -Distributionen (wie Amazon Linux, SUSE, Red Hat, Debian), die YAML‑LibYAML vor Version 0.903.0 verwenden.

CVE-2025-49113: Eine kritische CVE in RoundCube Webmail

Eine kürzlich bekannt gewordene Sicherheitslücke mit der Kennung CVE-2025-49113 (CVSS 9.9) in RoundCube Webmail ermöglicht es bei authentifizierten Angriffen, beliebigen Code auf einem RoundCube-Server auszuführen. Eine schlecht konzipierte PHP-Deserialisierung [CWE-502] validiert Eingaben nicht ordnungsgemäß, sodass der Parameter „_from“ bösartigen serialisierten Code übertragen kann. Cyberkriminelle, die den Fehler erfolgreich ausnutzen, können möglicherweise die vollständige Kontrolle über den RoundCube-Server erlangen, um Daten zu stehlen und Command-and-Control-Tools (C2) für den dauerhaften Zugriff zu installieren.

Obwohl für die Ausnutzung von CVE-2025-49113 gültige Anmeldedaten erforderlich sind, sind keine Administratorrechte erforderlich. Technische Analysen [1][2], PoC-Exploits [3][4] und ein Metasploit-Modul sind verfügbar, was das potenzielle Risiko eines Missbrauchs erhöht. Ein EPSS-Score von 81 weist auf eine extrem hohe Wahrscheinlichkeit einer Ausnutzung in naher Zukunft hin. Der Forscher, der die Schwachstelle entdeckt hat, behauptet, dass Exploit-Kits bereits in Untergrundforen für Cyberkriminalität zum Verkauf angeboten werden. Zahlreiche nationale CERT-Behörden haben Warnungen zu dieser Schwachstelle herausgegeben [5][6][7][8][9], während Shadowserver Anfang Juni über 84.000 exponierte Roundcube-Dienste gemeldet hat.

Der Greenbone Enterprise Feed umfasst eine Remote-Versionserkennung [10][11] und Linux Local Security Checks (LSC) [12][13][14][15][16][17] zur Identifizierung anfälliger Instanzen von RoundCube Webmail (Versionen vor 1.5.10 und 1.6.11). Anwendenden wird dringend empfohlen, Updates umgehend zu installieren.

Neue kritische CVE in Cisco ISE Cloud mit PoC-Exploit

CVE-2025-20286 (CVSS 10) ist eine neue Schwachstelle, die Cloud-Bereitstellungen der Cisco Identity Services Engine (ISE) auf AWS, Azure und Oracle Cloud Infrastructure (OCI) betrifft. Der Fehler könnte nicht authentifizierten Angreifenden den Zugriff auf sensible Daten, die Ausführung einiger eingeschränkter Verwaltungsvorgänge, die Änderung von Systemkonfigurationen und die Störung von Diensten ermöglichen. Aufgrund eines mangelhaften Software-Designs werden identische Zugangsdaten [CWE-259] generiert und für alle verbundenen ISE-Instanzen mit derselben Version und Plattform freigegeben.

Cisco hat die Existenz eines öffentlich zugänglichen Exploits bestätigt. Das Unternehmen erklärte außerdem, dass die Schwachstelle nur ausgenutzt werden kann, wenn der primäre Administrationsknoten in der Cloud bereitgestellt ist. Lokale Bereitstellungen und mehrere Hybrid-/Cloud-VM-Lösungen sind nicht betroffen. Insgesamt stellt CVE-2025-20286 aufgrund der weit verbreiteten Nutzung von Cisco ISE in Unternehmensnetzwerken und der Verfügbarkeit von Exploit-Code eine hochriskante Schwachstelle für alle mit betroffenen Konfigurationen dar. Greenbone bietet einen Test zur Versionserkennung an, um potenziell gefährdete Instanzen zu identifizieren.

CitrixBleed 2 und eine weitere aktiv ausgenutzte Schwachstelle in Citrix NetScaler ADC und Gateway

CVE-2025-5777 (CVSS 9.3), auch „CitrixBleed 2“ genannt, ist eine Out-of-Bounds-Read-Sicherheitslücke [CWE-125], die Citrix NetScaler ADC und NetScaler Gateway betrifft und es bei nicht authentifizierten Angriffen ermöglicht, gültige Sitzungstoken aus dem Speicher zu stehlen, indem fehlerhafte HTTP-Anfragen gesendet werden. CVE-2025-5777 ist auf eine unzureichende Eingabevalidierung zurückzuführen, eine leider häufige, aber leicht zu vermeidende Ursache für Softwarefehler. Die Offenlegung von Sitzungstoken ermöglicht die Identitätsübernahme legitimer Benutzerinnen und Benutzer und damit unbefugten Zugriff. Sicherheitsverantwortliche gehen davon aus, dass eine Ausnutzung der Schwachstelle unmittelbar bevorsteht, und ziehen Parallelen zur ursprünglichen CitrixBleed-Sicherheitslücke (CVE-2023-4966), die von Ransomware-Gruppen bei schwerwiegenden Angriffen ausgenutzt wurde.

Eine weitere Schwachstelle, CVE-2025-6543 (CVSS 9.8), die ebenfalls Citrix NetScaler ADC und Gateway betrifft, wurde zum KEV-Katalog (Known Exploited Vulnerabilities) der CISA hinzugefügt, was darauf hindeutet, dass sie bereits aktiv ausgenutzt wird. CVE-2025-6543 ist eine Memory-Overflow-Schwachstelle [CWE-119]. Die Auswirkungen wurden offiziell als Denial of Service beschrieben, aber in Fachkreisen wird angenommen, dass sie auch die Ausführung von beliebigem Code oder die Übernahme von Geräten umfassen können, wie in ähnlichen Fällen in der Vergangenheit beobachtet wurde.

Beide Schwachstellen betreffen nur Geräte, die als Gateway (VPN-Virtual Server, ICA-Proxy, CVPN, RDP-Proxy) oder AAA (Authentifizierung, Autorisierung und Abrechnung) Virtual Server konfiguriert sind. Beide Schwachstellen sind Gegenstand weitreichender nationaler CERT-Hinweise [1][2][3][4][5][6][7]. Greenbone bietet eine Remote-Versionsprüfung zur Erkennung von CitrixBleed 2 sowie eine Remote-Versionsprüfung für CVE-2025-6543. Die Installation aktueller Sicherheitsupdates wird dringend empfohlen.

Drei ausnutzbare Schwachstellen in Sitecore CMS

Drei neue CVEs, die die Sitecore Experience Platform betreffen, können verkettet werden, um eine nicht authentifizierte Remote Code Execution (RCE) durchzuführen. Die Schwachstellen wurden mit einer vollständigen technischen Beschreibung und PoC-Anleitung veröffentlicht, wodurch ihre Ausnutzung sehr wahrscheinlich ist. In der Angriffskette ermöglicht CVE-2025-34509 den ersten authentifizierten Zugriff, während CVE-2025-34510 oder CVE-2025-34511 beide RCE-Schwachstellen nach der Authentifizierung sind. Angreifende können zunächst fest codierte Anmeldedaten ausnutzen, um ein gültiges Sitzungstoken zu generieren, dann eine bösartige „.aspx“-Webshell hochladen und anschließend beliebige Shell-Befehle auf dem System des Opfers ausführen. Alternativ könnte CVE-2025-34511 verwendet werden, um PowerShell-Befehle auszuführen, anstatt eine Webshell hochzuladen.

Hier eine kurze Beschreibung der einzelnen Schwachstellen:

  • CVE-2025-34509 (CVSS 8.2): Fest codierte Anmeldedaten [CWE-798] ermöglichen es Remote-Angreifenden, sich mit diesem Konto zu authentifizieren, um auf die Admin-API zuzugreifen.
  • CVE-2025-34510 (CVSS 8.8): Eine als „Zip Slip“ bekannte Schwachstelle beim Path Traversal mit relativen Pfaden [CWE-23] ermöglicht es Kriminellen über einen authentifizierten Angriff, schädliche Dateien aus einem ZIP-Archiv in das Webroot-Verzeichnis zu extrahieren, was über eine .aspx-Webshell zu RCE führen könnte.
  • CVE-2025-34511 (CVSS 8.8): Eine uneingeschränkte Datei-Upload-Sicherheitslücke [CWE-434] im PowerShell-Extensions-Modul ermöglicht es Angreifenden, beliebige Dateien, einschließlich ausführbarer Skripte, an einen beliebigen beschreibbaren Speicherort hochzuladen. Obwohl CVE-2025-34511 die Installation der Sitecore PowerShell Extension erfordert, wird dies als gängige Konfiguration angesehen.

Sitecore ist ein beliebtes Content-Management-System (CMS) für Unternehmen, das von großen globalen Organisationen in verschiedenen Branchen eingesetzt wird. Obwohl Sitecore schätzungsweise zwischen 0,45 % und 0,86 % des globalen CMS-Marktanteils ausmacht [1][2], besteht ihre Klientel aus hochwertigen Zielen. Greenbone ist in der Lage, anfällige Instanzen von Sitecore mit einer aktiven Überprüfung und einem Test zur Fernerkennung der Version zu erkennen. Patches wurden in Sitecore Version 10.4 veröffentlicht und auf frühere, unterstützte Versionen zurückportiert, sodass Benutzende ein Upgrade durchführen können.

Umgehung von CVE-2025-23120 in Veeam-Backups

CVE-2025-23121 (CVSS 9.9) ist eine Lücke in der Deserialisierung [CWE-502], die es den für die Domain authentifizierten Personen ermöglicht, beliebigen Code [CWE-94] auf Veeam Backup & Replication-Servern auszuführen. Die Schwachstelle entsteht durch unsichere Datenverarbeitung und stellt eine Umgehung einer zuvor gepatchten Schwachstelle, CVE-2025-23120, dar.

Derzeit ist kein öffentlicher PoC-Exploit verfügbar. Jedoch sind CVEs in Veeam Backup & Replication häufig das Ziel von Cyberkriminellen. Darüber hinaus betrifft die Sicherheitslücke nur Unternehmen, die Domain-gebundene Backup-Server verwenden. Angesichts der Bedeutung von Backups für die Wiederherstellung nach Ransomware-Angriffen stellt sie jedoch eine ernsthafte Bedrohung dar. Kriminelle können gültige Anmeldedaten stehlen oder Passwort-Spraying einsetzen, um wiederverwendete Zugangsdaten zu erlangen.

Greenbone kann remote betroffene Veeam-Produkte erkennen, und es wird dringend empfohlen, einen Patch auf Version 12.3.2.3617 zu installieren

Zusammenfassung

Im Juni 2025 tauchten mindestens zwei neue Wiper-Malware-Varianten auf, die kritische Infrastrukturen und Unternehmen bedrohen. Weitreichende massive Datenverletzungen nehmen zu und beeinträchtigen Unternehmen und Einzelpersonen, da gestohlene Daten für verschiedene böswillige Zwecke verwendet werden. In diesem Monat gab es auch eine Flut neu entdeckter, kritischer Sicherheitslücken in Produkten für Unternehmen, von denen die meisten nicht in diesem Bericht behandelt werden. Viele davon waren innerhalb weniger Stunden nach ihrer Bekanntgabe mit PoCs oder vollständigen Exploit-Kits verfügbar. Von RoundCube und Cisco ISE bis hin zu Citrix- und Linux-Systemen: Hochriskante digitale Schwachstellen, die Aufmerksamkeit erfordern, heizen die Zermürbungsschlacht im Cyberraum weltweit für die angegriffenen Unternehmen weiter an.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Joseph Lee

Threat Report Mai 2025: hacken, reinigen, wiederholen

Der Mai 2025 war ein ereignisreicher Monat für Cybersecurity-Nachrichten, darunter mehrere große Sicherheitsverletzungen und neue kritische Schwachstellen. Der Greenbone-Blog hat bereits über einige wichtige Ereignisse berichtet, z. B. über neue, aktiv ausgenutzte Sicherheitslücken in SAP Netweaver, Commvault Command Center und Ivanti EPMM. Insgesamt wurden dem CVE-Programm (Common Vulnerabilities and Exposures) von MITRE 4.014 neue Schwachstellen hinzugefügt. Greenbone fügte dem Enterprise Feed über 2.500 neue Schwachstellentests hinzu, von denen viele mehrere CVEs erkennen können.

Im Threat Report für Mai 2025 stellen wir einige der riskantesten neuen CVEs vor, die in diesem Monat veröffentlicht wurden. Außerdem gehen wir auf eine staatlich unterstützte Cyber-Kampagne ein, die sich auf Technologieunternehmen auf der ganzen Welt auswirkt, und untersuchen, wie KI das Cyber-Risiko durch intelligente Automatisierung auf allen Stufen der Cyber-Kill-Chain erhöhen kann.

Der unvermeidliche, KI-gestützte Angriffszyklus: hacken, reinigen, wiederholen

KI ist heute ein Multiplikator im Lebenszyklus von Cyberangriffen. Bedrohungsakteure nutzen KI auf zwei grundlegende Arten: Sie beschleunigen die Umwandlung von öffentlichem Wissen über Schwachstellen in Exploit-Tools und sie erstellen überzeugendere Social-Engineering-Inhalte. Forschende haben eine lange Liste weiterer Fähigkeiten vorgeschlagen, die KI weiter optimieren kann, darunter die Automatisierung von Angriffen beim ersten Zugang und Command-and-Control-Verfahren (C2).

Selbst ohne KI können erfahrene Hacker innerhalb weniger Minuten nach dem ersten Zugang sensible Informationen herausfiltern. Wenn LAN-seitig im Netzwerk eines Opfers erhebliche Schwachstellen bestehen, ist das manuelle Einbringen von Ransomware ein Kinderspiel. Im Jahr 2017 hat WannaCry gezeigt, dass Ransomware-Angriffe automatisiert und sogar wie Würmer genutzt werden können, die sich autonom zwischen Systemen bewegen.

Laut dem jüngsten Gen Threat Report von Norton hat der Datendiebstahl im ersten Quartal 2025 um 186 % zugenommen. Wie im Threat Report vom April 2025 beschrieben, sind die Sammelklagen im Zusammenhang mit Datendiebstahl innerhalb von sechs Jahren um 1.265 % rasant gestiegen. Wenn die Cyber-Hygiene eines Opfers nicht regelkonform ist, sind Vergleiche in Millionenhöhe die Regel. Allein die Top 10 der Sammelklagen wegen Datenschutzverletzungen beliefen sich im Jahr 2023 auf über 515 Millionen US-Dollar, wobei der größte Vergleich mit 350 Millionen US-Dollar T-Mobile betraf. Die gestohlenen Daten werden oft im Dark Web verkauft und dienen als Treibstoff für weitere Cyberangriffe. Wir müssen davon ausgehen, dass KI in naher Zukunft in allen Phasen der Cyber-Kill-Chain vollständige Autonomie erreichen wird, was zu einem autonomen Teufelskreis aus hacken, reinigen und wiederholen führen wird.

Russischer GRU nimmt Logistik- und Technologieunternehmen ins Visier

Die CISA (Cybersecurity and Infrastructure Security Agency) und Verteidigungseinrichtungen aus neun anderen Ländern haben vor einer auf Cyberspionage ausgerichteten Kampagne gewarnt, die vom 85. Main Special Service Center (85. GTsSS) des russischen Generalstabs (GRU), der militärischen Einheit 26165, durchgeführt wird. Diese ist unter verschiedenen Decknamen bekannt, darunter die bekannten FancyBear und APT28.

Der vollständige Bericht beschreibt detailliert die Taktiken, Techniken und Verfahren (TTP), die bei der Kampagne zum Einsatz kamen, darunter Reconnaissance [TA0043], Brute-Force-Angriffe [T1110.003] und Spearphishing zur Erlangung von Zugangsdaten sowie zur Verbreitung von Malware [T1566], die Ausnutzung von Vertrauensverhältnissen, um Zugang zu erlangen [T1199], Proxy-Angriffe über kompromittierte Geräte [T1665] und die Ausnutzung bekannter Softwareschwachstellen – sowohl für den Erstzugang [T1190], als auch für die Ausweitung von Berechtigungen [T1068]. Die schiere Vielfalt der Angriffstechniken deutet auf eine hochentwickelte Bedrohung hin.

Die Kampagne zielt auf eine breite Palette von SOHO-Geräten (Small Office/Home-Office), Microsoft Outlook, RoundCube Webmail und WinRAR sowie auf nicht veröffentlichte CVEs in anderen, vom Internet aus zugänglichen Infrastrukturen, einschließlich Unternehmens-VPNs und SQL-Injection-Fehlern. Greenbone enthält Erkennungstests für alle im Bericht genannten CVEs. Zu diesen CVEs gehören:

  • CVE-2023-23397 (CVSS 9.8): Eine Schwachstelle für die Ausweitung von Privilegien in Microsoft Outlook, die die Wiedergabe von erfassten Net-NTLMv2-Hashes ausnutzt.
  • CVE-2020-12641 (CVSS 9.8): Ermöglicht Angreifenden die Ausführung von beliebigem Code über Shell-Metazeichen in einer Roundcube-Webmail-Konfigurationseinstellung für `im_convert_path` oder `im_identify_path`.
  • CVE-2020-35730 (CVSS 5.0): Ein XSS-Fehler in Roundcube Webmail über eine einfache Text-E-Mail-Nachricht, die eine JavaScript-Link-Referenz enthält.
  • CVE-2021-44026 (CVSS 6.1): Eine SQL-Injection-Sicherheitslücke in Roundcube über die Suche oder `search_params`.
  • CVE-2023-38831 (CVSS 7.8): Ermöglicht Angreifenden die Ausführung von beliebigem Code, wenn Nutzende versuchen, eine gutartige Datei innerhalb eines ZIP-Archivs anzuzeigen.

DragonForce Ransomware breitet die Schwingen aus

DragonForce entstand Mitte 2023 und wandelte sich von einem Hacktivisten-Kollektiv zu einem finanziell motivierten RaaS-Unternehmen (Ransomware-as-a-Service). Im Jahr 2025 hat sich DragonForce als eine der größten Bedrohungen im Ransomware-Ökosystem etabliert.

DragonForce-Ransomware-Angriffe betrafen die folgenden Länder:

  • Vereinigten Staaten – 43 bestätigte Vorfälle
  • das Vereinigte Königreich – einschließlich der jüngsten Einbrüche bei Marks & Spencer, Co-op und Harrods im Mai 2025
  • Saudi-Arabien – ein Datenleck bei einer großen Baufirma in Riad
  • Australien – z. B. Yakult Australia
  • Singapur – Coca-Cola-Geschäfte
  • Palau – ein Einbruch in die Regierung im März 2024
  • Kanada – unter den fünf am häufigsten angegriffenen Ländern
  • Indien, das insbesondere im letzten Monat ebenfalls verstärkt ins Visier genommen wurde.

Zu den Kampagnen gehörte die Ausnutzung von SimpleHelp Remote Monitoring and Management (RMM) [1], Confluence Server und Data Center [2], Log4Shell (auch bekannt als Log4J), Microsoft Windows-Schwachstellen sowie verschiedener Schwachstellen in Ivanti-Produkten [3]. Greenbone bietet mehrere aktive Prüf- und Versionserkennungstests für alle in DragonForce-Kampagnen identifizierten CVEs.

Die Ausnutzung der folgenden Schwachstellen durch DragonForce sind bestätigt:

Im Einklang mit der Angriffsstrategie anderer bekannter Ransomware-Akteure ist bekannt, dass DragonForce neben dem Ausnutzen von Schwachstellen, die für die Öffentlichkeit zugänglich sind, auch andere Techniken einsetzt. Dazu zählen unter anderem Phishing-E-Mails, Diebstahl von Credentials, Brute-Force- und Credential-Stuffing-Angriffe auf exponierte Dienste sowie Remote-Management-Tools (RMM) wie AnyDesk, Atera und TeamViewer für Persistenz und laterale Bewegungen. Daher benötigen Unternehmen umfassende Cybersicherheitsprogramme, die Schulungen zur Sensibilisierung der Nutzenden umfassen, um Social-Engineering-Angriffe zu verhindern sowie regelmäßige Penetrationstests, um reale gegnerische Aktivitäten zu simulieren.

CVE-2025-32756: Stack-basierte Buffer-Owerflow-Schwachstelle in mehreren Fortinet-Produkten

CVE-2025-32756 (CVSS 9.8), veröffentlicht am 13. Mai 2025, ist eine kritische, Stack-basierte Buffer-Overflow-Schwachstelle [CWE-12], die mehrere Fortinet-Produkte betrifft. Die Schwachstelle ermöglicht entfernten, nicht authentifizierten Angreifenden die Ausführung von beliebigem Code über manipulierte HTTP-Cookies. Sie wird aktiv ausgenutzt – in erster Linie gegen FortiVoice-Systeme – und steht in Verbindung mit Angriffen, bei denen Malware eingesetzt wird, Anmeldedaten mithilfe von Cron-Jobs gestohlen und Netzwerke ausgekundschaftet werden. Details zum Proof-of-Concept sind öffentlich verfügbar, und es wurde eine vollständige technische Analyse veröffentlicht, die den Risikofaktor erhöht.

Fortinet-Schwachstellen haben eine historisch hohe Konversionsrate für Ransomware-Angriffe. Seit Ende 2021 wurden insgesamt 18 Schwachstellen in Fortinet-Produkten in die KEV-Liste (Known Exploited Vulnerabilities) der CISA aufgenommen – 11 davon werden bekanntermaßen von Ransomware-Betreibern ausgenutzt. Neben der CISA haben auch mehrere andere nationale CERT-Einrichtungen Warnungen herausgegeben, darunter das CERT-EU, das Centre for Cybersecurity Belgium (CCB) und das deutsche CERT-BUND.

Die Ursache ist eine fehlende Längen-Überprüfung in der Funktion `cookieval_unwrap()` von libhttputil.so. Ein bösartiger AuthHash-Cookie kann den Speicher so beschädigen, dass die Rücksprungadresse kontrolliert werden kann, sodass ausführbare Dateien auf Prozessebene manipuliert werden können. Der Greenbone Enterprise Feed bietet einen Schwachstellentest zur Erkennung betroffener Produkte und fast 1.000 weitere Tests zur Erkennung anderer Schwachstellen in Fortinet-Produkten.

CVE-2025-32756 betrifft Dutzende von Firmware-Versionen diverser FortiNet Produkte, darunter:

  • FortiVoice (6.4.0 – 7.2.0)
  • FortiMail (7.0.0 – 7.6.2)
  • FortiNDR (1.1-7.6.0)
  • FortiRecorder (6.4.0 – 7.2.3)
  • alle Versionen von FortiCamera 1.1 und 2.0 sowie 2.1.0 – 2.1.3

Fortinet rät, sofort auf die neuesten korrigierten Versionen zu aktualisieren. Wenn ein Patch nicht möglich ist, sollten Nutzende die HTTP/HTTPS-Admin-Schnittstelle deaktivieren, um erfolgreiche Angriffe zu verhindern.

Drei SysAid-Schwachstellen jetzt mit CVEs und öffentlichen PoCs

Im Mai wurden drei Schwachstellen mit kritischem Schweregrad bekannt, die die On-Premises SysAid IT Service Management (ITSM)-Plattform betreffen und die so miteinander verkettet werden können, dass unauthentifizierte Remote Code Execution (RCE) möglich ist. Vollständige technische Details und ein Proof-of-Concept (PoC) wurden von watchTowr veröffentlicht. In Anbetracht der Tatsache, dass SysAid-Schwachstellen in der Vergangenheit bereits von Ransomware-Betreibern angegriffen wurden, sind diese Schwachstellen besonders risikoreich.

CVE-2025-2775, CVE-2025-2776 und CVE-2025-2777 (jeweils CVSS 9.3) sind nicht authentifizierte XML External Entity (XXE) [CWE-611]-Schwachstellen in den Funktionen Checkin, Server URL bzw. lshw. Sie alle ermöglichen die Übernahme eines Administrationskontos und das Lesen beliebiger Dateien auf dem System des Opfers. SysAid On-Prem Versionen ≤ 23.3.40 sind betroffen. Bemerkenswert ist, dass die Fehler vom Hersteller im März zwar gepatcht, aber keine CVE-IDs reserviert oder ausgegeben wurden. Diese Art von Szenario trägt zu einer undurchsichtigen Bedrohungslandschaft für Software-Anwendende bei, was die Transparenz verringert und das operative Schwachstellenmanagement erschwert. Greenbone bietet Erkennungstests für alle oben genannten CVEs.

SysAid ist weltweit vertreten mit über 10.000 Kunden in 140 Ländern, darunter Unternehmen wie Coca-Cola, Panasonic, Adobe und LG. Im Vergleich zu größeren Wettbewerbern wie ServiceNow oder Jira Service Management hat SysAid zwar einen geringeren Anteil am ITSM-Markt, bleibt aber dennoch eine beliebte Lösung für mittelständische Unternehmen.

CVSS 10 in Cisco IOS XE Wireless Controller

CVE-2025-20188 ist eine neue Sicherheitslücke mit kritischem Schweregrad (CVSS 10), die im Mai 2025 veröffentlicht wurde. Die Flaggschiff-Plattform von Cisco, die Catalyst 9800-Serie, ist von CVE-2025-20188 betroffen. Es ist zwar noch nicht bekannt, ob die Schwachstelle aktiv ausgenutzt wird, aber es ist schon jetzt ein vollständiger technischer Überblick verfügbar, der weniger erfahrenen Bedrohungsakteuren einen Vorsprung verschafft.

Die Hauptursache der Schwachstelle ist ein fest einprogrammiertes JSON-Web-Token (JWT), das es Angreifenden ermöglichen könnte, Dateien hochzuladen, Path-Traversal-Angriffe und beliebige Befehle mit Root-Privilegien über speziell gestaltete HTTP-Anfragen auszuführen. Insbesondere werden hartcodiertes Fallback-Secret – der String `notfound` – verwendet, um die Authentizität eines JWTs zu überprüfen, wenn `/tmp/nginx_jwt_key` nicht vorhanden ist.

Obwohl dieser Key zu bestimmten Zeiten generiert werden kann, z. B. wenn sich ein Administrator bei der Verwaltungskonsole anmeldet, kann er gelegentlich fehlen, z. B. unmittelbar nach einem Neustart des Geräts oder eines Dienstes.

Außerdem betrifft die Schwachstelle nicht alle HTTP-Endpunkte, sondern nur die Out-of-Band Access Point (AP) Image Download-Funktion der Cisco IOS XE Software für WLAN-Controller (WLCs). Während Cisco in einem Sicherheitshinweis behauptet, dass dieser Dienst nicht standardmäßig aktiviert ist, fanden Horizon.ai-Forschende heraus, dass er es doch war. Daher gibt es zwar mehrere Bedingungen, die für die Ausnutzbarkeit von CVE-2025-20188 benötigt werden, aber wenn diese Bedingungen gegeben sind, ist die Ausnutzung trivial und betrifft wahrscheinlich viele Unternehmen.

Cisco hat einen Sicherheitshinweis veröffentlicht, der den betroffenen Nutzenden rät, entweder auf die gepatchte Version zu aktualisieren oder den Out-of-Band AP Image Download zu deaktivieren. Der Greenbone Enterprise Feed enthält einen Versionserkennungstest zur Identifizierung betroffener Geräte und zur Überprüfung der Patch-Level.

Zusammenfassung

Der Mai 2025 brachte eine Flut von kritischen Schwachstellen, größeren Sicherheitsverletzungen und eskalierenden Aktivitäten von Nationalstaaten. Es ist wichtig, sich vor Augen zu halten, dass KI-gestützte Angriffszyklen zur Realität werden. Die chaotische und dringliche Cybersicherheitslandschaft wird sich in absehbarer Zeit nicht entspannen.

Neue, aktiv ausgenutzte Schwachstellen in Cisco-, Fortinet- und SysAid-Produkten zwingen die Unternehmen dazu, wachsam zu sein und kontinuierliche Erkennungsmaßnahmen mit anschließender Priorisierung und Schadensbegrenzung durchzuführen.

Die Greenbone-Abdeckung für Unternehmen hilft Sicherheitsteams, Schwachstellen zu erkennen, die Bedrohungsakteure finden können, um in einer sich schnell verändernden Bedrohungslandschaft die Nase vorn zu haben.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Joseph Lee

Januar 2025 Threat Report: Der Lohn der Vorbereitung

In diesem Jahr werden viele große Unternehmen weltweit gezwungen sein, sich mit der Ursache von Cyberangriffen auseinanderzusetzen. Viele bekannte Schwachstellen sind ein offenes Einfallstor für eingeschränkte Netzwerkressourcen. In unserem ersten Threat Report des Jahres 2025 gehen wir auf einige katastrophale Sicherheitsverletzungen aus 2024 ein und befassen uns mit Sicherheitslücken, die im letzten Monat gefährlich wurden.

Die hier besprochenen Schwachstellen kratzen jedoch nur an der Oberfläche. Im Januar 2025 wurden über 4.000 neue CVEs (Common Vulnerabilities and Exposures) veröffentlicht, 22 mit der maximalen CVSS-Punktzahl von 10 und 375 mit kritischem Schweregrad. Die Flut von kritischen Schwachstellen in Edge-Networking-Geräten ist noch nicht abgeebbt. Neu angegriffene Schwachstellen in Produkten von globalen Tech-Giganten wie Microsoft, Apple, Cisco, Fortinet, Palo Alto Networks, Ivanti, Oracle und anderen wurden in den KEV-Katalog (Known Exploited Vulnerabilities) der CISA (Cybersecurity and Infrastructure Security Agency) aufgenommen.

Software-Lieferkette: Die Verantwortung der User

Wir alle arbeiten mit Software, die wir nicht selbst entwickelt haben. Daher spielt Vertrauen eine große Rolle. Wo das Vertrauen wackelt, sei es aus Angst vor mangelnder Sorgfalt, Böswilligkeit oder menschlichem Versagen, liegt die Verantwortung für die Cybersicherheit immer noch beim Endbenutzer. Die Absicherung gegen Risiken hängt in hohem Maß von technischem Wissen und gemeinsamen Anstrengungen ab. Verteidiger müssen sich im Jahr 2025 dessen bewusst sein.

Wenn die Sicherheit der Lieferkette versagt, fragen Sie nach den Gründen! Hat der Softwareanbieter die erforderlichen Tools zur Verfügung gestellt, damit Sie die Kontrolle über die Ergebnisse Ihrer Sicherheitsbemühungen übernehmen können? Führt Ihr Security-Team eine sorgfältige Erkennung und Behebung von Schwachstellen durch? Sind Ihre Ressourcen mit starken Zugangskontrollen segmentiert? Wurden die Mitarbeiter darin geschult, Phishing-Angriffe zu erkennen? Wurden noch andere, angemessene Cybersicherheitsmaßnahmen ergriffen? Unternehmen müssen ihre Resilienz gegen Ransomware stärken, das heißt, sie müssen regelmäßig die Schwachstellen bewerten und das Patchmanagement priorisieren. Darüber hinaus sollten sie überprüfen, ob zuverlässige Backup-Strategien bestehen, die die Recovery-Ziele erfüllen, und andere grundlegende Sicherheitskontrollen etablieren, um sensible Daten zu schützen und Ausfallzeiten zu vermeiden.

Erfolg durch Vorbereitung

Der Jahresbericht 2024 des britischen NCSC (National Cyber Security Center) zeichnet ein düsteres Bild: Die Zahl der bedeutenden Cyberangriffe hat sich im Vergleich zu 2023 verdreifacht. Aus der Vogelperspektive hat das CSIS (Center for International Strategic & International Studies) eine umfangreiche Liste der wichtigsten Cybervorfälle des Jahres 2024 veröffentlicht. Die Bedrohungslandschaft wurde durch den Russland-Ukraine-Konflikt geprägt und den weltweit beschleunigten Umschwung weg von der Globalisierung hin zur Feindseligkeit.

Check Point Research fand heraus, dass 96 % aller Schwachstellen, die 2024 ausgenutzt wurden, über ein Jahr alt waren. Dies sind positive Erkenntnisse für proaktive Verteidiger. Unternehmen, die ein Schwachstellenmanagement betreiben, sind wesentlich besser gegen gezielte Ransomware und Massenangriffe gewappnet. Klar ist: Proaktive Cybersicherheit reduziert die Kosten einer Sicherheitsverletzung.

Sehen wir uns zwei der wichtigsten Sicherheitsverletzungen aus dem Jahr 2024 an:

  • Das Change Healthcare Datenleck: Im Jahr 2024 gingen die Sicherheitsverletzungen im Gesundheitswesen gegenüber dem Rekordjahr 2023 insgesamt zurück. Der Ransomware-Angriff auf Change Healthcare stellte jedoch mit 190 Millionen betroffenen Personen einen neuen Rekord auf, wobei sich die Gesamtkosten bisher auf 2,457 Milliarden Dollar belaufen. Der Bundesstaat Nebraska hat nun eine Klage eingereicht gegen Change Healthcare, weil das Unternehmen veraltete IT-Systeme betreibt, die nicht den Sicherheitsstandards für Unternehmen entsprechen. Nach Angaben von IBM sind Sicherheitsverletzungen im Gesundheitswesen mit durchschnittlich 9,77 Millionen Dollar im Jahr 2024 am kostspieligsten.
  • Typhoon-Teams brechen in neun amerikanische TK-Unternehmen ein: Das Suffix „Typhoon“ wird von Microsofts Namenskonvention für Bedrohungsakteure für Gruppen mit chinesischem Ursprung verwendet. Der staatlich unterstützte chinesische Angreifer Salt Typhoon war in die Netzwerke von mindestens neun großen US-Telekommunikationsunternehmen eingedrungen und hatte auf die Anruf- und Text-Metadaten der Benutzer sowie auf Audioaufnahmen von hochrangigen Regierungsvertretern zugegriffen. Volt Typhoon drang in die Netzwerke von Singapore Telecommunications (SingTel) und anderen Telekommunikationsbetreibern weltweit ein. Die „Typhoons“ nutzten Schwachstellen in veralteten Netzwerkgeräten aus, darunter ungepatchte Microsoft Exchange Server, Cisco-Router, Fortinet- und Sophos-Firewalls sowie Ivanti-VPN-Anwendungen. Greenbone ist in der Lage, alle bekannten Software-Schwachstellen im Zusammenhang mit Salt Typhoon und Volt Typhoon-Angriffen zu erkennen [1][2].

UK: Verbot von Ransomware-Zahlungen im öffentlichen Sektor?

Die britische Regierung hat im Rahmen der Ransomware-Bekämpfung ein Verbot von Lösegeldzahlungen durch öffentliche Einrichtungen und Betreiber kritischer Infrastrukturen vorgeschlagen, um Cyberkriminelle davon abzuhalten, sie ins Visier zu nehmen. In einem neuen Bericht des National Audit Office (NAO), der unabhängigen britischen Aufsichtsbehörde für öffentliche Ausgaben, heißt es jedoch, dass „die Cyberbedrohung für die britische Regierung ernst ist und schnell voranschreitet“.

Das FBI, die CISA und die NSA raten von Lösegeldzahlungen ab. Schließlich garantiert die Zahlung eines Lösegelds nicht die Wiederherstellung verschlüsselter Daten oder verhindert die Veröffentlichung gestohlener Daten und kann sogar zu weiterer Erpressung ermutigen. Auf der anderen Seite räumt der Security-Thinktank von IBM ein, dass viele kleine und mittlere Unternehmen die durch Ransomware verursachten Ausfallzeiten finanziell nicht verkraften könnten. Auch wenn beide Seiten gute Argumente haben: Kann es zu einem positiven Ergebnis führen, wenn Cyber-Kriminelle bereichert werden und die Förderung lokaler Talente vernachlässigt wird?

Schwachstelle in SonicWall SMA 1000 aktiv ausgenutzt

Microsoft Threat Intelligence hat die aktive Ausnutzung von SonicWall SMA 1000 Gateways über CVE-2025-23006 (CVSS 9.8 Kritisch) aufgedeckt. Die Schwachstelle wird durch die unsachgemäße Behandlung nicht vertrauenswürdiger Daten während der Deserialisierung verursacht [CWE-502]. Über sie kann ein nicht authentifizierter Angreifer mit Zugriff auf die interne Appliance Management Console (AMC) oder die Schnittstelle der Central Management Console (CMC) beliebige Betriebssystembefehle ausführen. SonicWall hat den Hotfix Version 12.4.3-02854 veröffentlicht, um die Schwachstelle zu beheben.

Obwohl kein öffentlich zugänglicher Exploit-Code identifiziert wurde, haben zahlreiche Regierungsbehörden Warnungen herausgegeben, darunter das deutsche BSI CERT-Bund, das kanadische Center for Cybersecurity, CISA und der britische NHS (National Health Service). Greenbone kann SonicWall-Systeme erkennen, die von CVE-2025-23006 betroffen sind, indem es die im Service-Banner angegebene Version per Fernzugriff überprüft.

CVE-2024-44243 für persistente Rootkits in macOS

Der Januar 2025 war ein Monat voller Herausforderungen für die Apple-Sicherheit. Microsoft Threat Intelligence hat Zeit für einen Sicherheitstest von macOS gefunden und dabei eine Schwachstelle entdeckt, die es installierten Apps ermöglichen könnte, den Systemintegritätsschutz (SIP) des Betriebssystems zu verändern. Laut Microsoft könnten Angreifer auf diese Weise Rootkits und persistente Malware installieren und Transparency, Consent and Control (TCC) umgehen, das Anwendungen auf Ordnerbasis granulare Zugriffsberechtigungen gewährt. Obwohl noch kein aktiver Angriff gemeldet wurde, hat Microsoft technische Details zu den Erkenntnissen veröffentlicht.

Als der Januar zu Ende ging, wurde eine Reihe von 88 neuen CVEs veröffentlicht, von denen 17 einen kritischen Schweregrad (CVSS) aufweisen und das gesamte Spektrum der Apple-Produkte betreffen. Eine davon, CVE-2025-24085, wurde bei aktiven Angriffen beobachtet und in den KEV-Katalog der CISA aufgenommen. Darüber hinaus wurden zwei potenziell ausnutzbare Schwachstellen in den Chips der M-Serie von Apple mit den Bezeichnungen SLAP und FLOP entdeckt, denen jedoch noch keine CVEs zugeordnet wurden. Bei SLAP machten sich die Forscher die Schwachstellen des Chips zunutze, um die Heap-Allokationstechniken von Safari WebKit auszunutzen und JavaScript-String-Metadaten zu manipulieren, um spekulative Out-of-bounds-Lesevorgänge zu ermöglichen, sodass sie sensible DOM-Inhalte aus anderen geöffneten Website-Tabs extrahieren konnten. Für FLOP demonstrierten die Forscher, dass sensible Daten aus Safari und Google Chrome gestohlen werden können, indem sie die Javascript-Typüberprüfung in Safari WebKit und die Site Isolation von Chrome über WebAssembly umgehen.

Außerdem wurden fünf schwerwiegende Sicherheitslücken veröffentlicht, die Microsoft Office für macOS betreffen. Jede von ihnen kann einem Angreifer Remote Code Execution (RCE) ermöglichen. Zu den betroffenen Produkten gehören Microsoft Word (CVE-2025-21363), Excel (CVE-2025-21354 und CVE-2025-21362) und OneNote (CVE-2025-21402) für macOS. Es sind zwar noch keine technischen Details zu diesen Schwachstellen verfügbar, aber alle haben hohe CVSS-Bewertungen und Benutzer sollten so bald wie möglich ein Update durchführen.

Der Greenbone Enterprise Feed erkennt fehlende macOS-Sicherheitsupdates und viele andere CVEs, die Anwendungen für macOS betreffen, einschließlich der fünf neu entdeckten CVEs in Microsoft Office für Mac.

6 CVEs in Rsync mit Server- und Client-Übernahme

Die Kombination von zwei neu entdeckten Schwachstellen kann die Ausführung von beliebigem Code auf anfälligen Rsyncd-Servern ermöglichen, während nur anonymer Lesezugriff besteht. CVE-2024-12084, ein Heap Buffer Overflow, und CVE-2024-12085, ein Informationsleck, sind die Übeltäter. Öffentliche Mirrors, die Rsyncd verwenden, stellen das höchste Risiko dar, da sie von Natur aus keine Zugriffskontrolle haben.

Die Forscher fanden außerdem heraus, dass ein als Waffe eingesetzter Rsync-Server beliebige Dateien auf verbundenen Clients lesen und schreiben kann. Dies kann den Diebstahl sensibler Informationen und möglicherweise die Ausführung von Schadcode durch Änderung ausführbarer Dateien ermöglichen.

Hier ist eine Zusammenfassung der neuen Schwachstellen, geordnet nach CVSS-Schweregrad:

  • CVE-2024-12084 (CVSS 9.8 Kritisch): Unsachgemäße Handhabung der Prüfsummenlänge ermöglicht einen Heap Buffer Overflow und RCE.
  • CVE-2024-12085 (CVSS 7.5 Hoch): Uninitialisierte Stack-Inhalte können sensible Informationen preisgeben.
  • CVE-2024-12087 (CVSS 6.5 Medium): Die Path Traversal-Schwachstelle in Rsync ermöglicht Zugriff auf nicht autorisierte Dateien.
  • CVE-2024-12088 (CVSS 6.5 Medium): Path Traversal über die Option –safe-links kann beliebiges Schreiben von Dateien außerhalb des vorgesehenen Verzeichnisses ermöglichen.
  • CVE-2024-12086 (CVSS 6.1 Medium): Rsync-Server können beliebige Client-Dateien durchsickern lassen, wenn sie von einem Client auf einen Server kopiert werden.
  • CVE-2024-12747 (CVSS 5.6 Medium): Unsachgemäße Handhabung symbolischer Links führt zu einem Wettlauf, der die Erweiterung von Privilegien ermöglicht, wenn ein Admin-Benutzer den Rsyncd-Prozess kontrolliert.

Insgesamt stellen diese Schwachstellen ein ernsthaftes Risiko für RCE, Datenexfiltration und die Installation dauerhafter Malware sowohl auf Rsyncd-Servern als auch auf ahnungslosen Clients dar. Benutzer müssen auf die gepatchte Version aktualisieren, auf allen Systemen, die rsync verwendet haben, gründlich nach Indicators of Compromise (IoC) suchen und möglicherweise die Infrastruktur für die Dateifreigabe neu einrichten. Greenbone ist in der Lage, alle bekannten Schwachstellen in Rsync und die Nichteinhaltung wichtiger Sicherheitsupdates zu erkennen.

CVE-2025-0411: 7-Zip bietet MotW-Bypass

Am 25. Januar 2025 wurde die Sicherheitslücke CVE-2025-0411 (CVSS 7.5 Hoch) veröffentlicht, die das Archivierungsprogramm 7-Zip betrifft. Die Schwachstelle ermöglicht die Umgehung der Windows-Sicherheitsfunktion Mark of the Web (MotW) über speziell gestaltete Archivdateien. MotW kennzeichnet Dateien, die aus dem Internet heruntergeladen werden, mit einem Zone Identifier alternate data stream (ADS) und warnt, wenn sie aus einer nicht vertrauenswürdigen Quelle stammen. 7-Zip-Versionen vor 24.09 geben das MotW-Flag jedoch nicht an Dateien in verpackten Archiven weiter. Die Ausnutzung der Sicherheitslücke CVE-2025-0411, um die Kontrolle über das System eines Opfers zu erlangen, erfordert menschliche Interaktion. Die Zielpersonen müssen ein trojanisiertes Archiv öffnen und dann eine darin enthaltene bösartige Datei ausführen.

Interessanterweise haben Untersuchungen von Cofense ergeben, dass Regierungswebsites auf der ganzen Welt über CVE-2024-25608, eine Schwachstelle in der digitalen Plattform Liferay, für Credential-Phishing, Malware und Command-and-Control-Operationen (C2) missbraucht werden. Diese Schwachstelle ermöglicht es Angreifern, Benutzer von vertrauenswürdigen .gov-URLs auf bösartige Phishing-Seiten umzuleiten. Die Kombination der Umleitung von einer vertrauenswürdigen .gov-Domäne mit der 7-Zip-Schwachstelle birgt erhebliches Potenzial für die heimliche Verbreitung von Malware.

In Anbetracht der Risiken sollten Nutzer manuell auf die Version 24.09 aktualisieren, die seit Ende 2024 verfügbar ist. Wie bereits in der Einleitung erwähnt, liegt die Sicherheit der Software-Lieferkette oft in einer Grauzone, da wir alle von Software abhängig sind, die sich unserer Kontrolle entzieht. Bemerkenswert ist, dass 7-Zip vor der Veröffentlichung von CVE-2025-0411 die Benutzer nicht auf eine Sicherheitslücke hingewiesen hat. Und obwohl 7-Zip Open-Source ist, enthält das GitHub-Konto des Produkts nicht viele Details oder Kontaktinformationen für eine verantwortungsvolle Offenlegung.

Darüber hinaus hat das CVE eine DFN-CERT– und eine BSI CERT-Bund-Meldung ausgelöst [1][2]. Greenbone kann das Vorhandensein von anfälligen Versionen von 7-Zip erkennen.

Zusammenfassung

Diese Ausgabe unseres monatlichen Threat Reports befasst sich mit wichtigen Sicherheitsverletzungen aus dem Jahr 2024 und neu entdeckten kritischen Sicherheitslücken im Januar 2025. Die Software-Lieferkette stellt für alle großen und kleinen Unternehmen ein erhöhtes Risiko dar, sowohl durch Open-Source- als auch durch Closed-Source-Produkte. Open-Source-Software bietet jedoch Transparenz und die Möglichkeit für die Beteiligten, sich proaktiv für ihre eigenen Security-Resultate einzusetzen, entweder gemeinsam oder unabhängig. Obwohl die Kosten für Cybersicherheit beträchtlich sind, werden fortschreitende technische Fähigkeiten zunehmend ein entscheidender Faktor für die Sicherheit von Unternehmen und Staaten sein. Das Glück begünstigt diejenigen, die vorbereitet sind.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von