Schlagwortarchiv für: Cyberkrieg

Joseph Lee

Threat Report Juni 2025: Zermürbungsgefecht im Cyberraum

Der IOCTA-Bericht 2025 von Europol warnt davor, dass die Nachfrage nach Daten im Milieu der Cyberkriminalität stark ansteigt. Wie viele Daten wurden genau gestohlen? Genaue Zahlen lassen sich nicht ermitteln. Allerdings wurden bei einem einzigen Hackerangriff auf das US-amerikanische Gesundheitsunternehmen Change Healthcare die persönlichen Daten, unter anderem Sozialversicherungsnummern, von 190 Millionen Menschen gestohlen. Das ist mehr als die Hälfte der gesamten US-Bevölkerung, die von einem einzigen Vorfall betroffen war. Dieser Vorfall verblasst jedoch im Vergleich zum National Public Data Breach von 2024, bei dem 272 Millionen Sozialversicherungsnummern, 420 Millionen Adressen und 161 Millionen Telefonnummern in den USA gestohlen wurden. In den untersuchten Ländern des europäischen Wirtschaftsraums wurden 2024 täglich etwa 363 Datenschutzverletzungen gemeldet. Nun drohen neue Varianten zerstörerischer Wiper-Malware, die Betroffene von Datendiebstahl milde getroffen wirken lassen.

Cyber-Sicherheitsverantwortliche befinden sich in einem zermürbenden Kampf: Die Bewältigung der ständigen Flut neuer Bedrohungen ist eine gewaltige und entscheidende Aufgabe. Im Threat Report dieses Monats geben wir Einblicke in die neueste Welle von Wiper-Malware, neue aktiv ausgenutzte Schwachstellen und aufkommende Bedrohungen, die den globalen Cyberkonflikt prägen.

Neue Welle von Wiper-Malware im Cybergefecht

Kürzlich hat Cisco Talos eine bisher unbekannte Wiper-Malware namens „PathWiper“ beobachtet, die bei einem zerstörerischen Angriff auf kritische Infrastrukturen in der Ukraine eingesetzt wurde. Wiper wird meist im Rahmen von Cyber-Warfare-Kampagnen eingesetzt, bei denen finanzieller Gewinn nicht das primäre Motiv ist. Während Ransomware die Opfer zur Zahlung eines Lösegelds für die Rückgabe ihrer verschlüsselten Daten zwingt, zerstört Wiper diese einfach. Wiper wird seit Beginn des Krieges zwischen Russland und der Ukraine eingesetzt. 2022 wurde HermeticWiper gegen die Ukraine verwendet und legte Regierungsbehörden und kritische Dienste wenige Stunden vor dem ersten Einmarsch Russlands lahm.

Forschungsteams zur Cybersecurity haben kürzlich auch eine neue Ransomware-as-a-Service-Gruppe (RaaS) namens Anubis entdeckt, die ihre maßgeschneiderte Ransomware um eine Wiper-Option erweitert hat. Angesichts der verschärften geopolitischen Spannungen ist es plausibel, dass staatliche Akteure RaaS-Betreiber und Hacktivisten dazu anstiften werden, zerstörerische Angriffe mit großer Wirkung durchzuführen.

Wiper-Angriffe an sich sind nichts Neues. Shamoon, auch bekannt als Disttrack, entdeckt im Jahr 2012, war die erste große Wiper-Malware. Sie wurde vermutlich von iranischen Bedrohungsakteuren entwickelt und zum Angriff auf Saudi Aramco und andere Organisationen in den Golfstaaten eingesetzt. NotPetya, getarnt als Ransomware, war eine weitere prominente Wiper-Variante, die 2017 auftauchte – mit globalen Folgen.

Unternehmen, insbesondere im Bereich kritischer Infrastruktur, müssen die potenziellen Auswirkungen von Wiper-Malware auf ihre Widerstandsfähigkeit berücksichtigen. Was ist, wenn die Zahlung eines Lösegelds keine Option ist? Eine gut konzipierte Backup-Strategie kann eine vollständige oder teilweise Datenwiederherstellung ermöglichen. Jedoch haben Ausfallzeiten auch finanzielle Auswirkungen und können sogar Menschenleben kosten. Die Gewährleistung der Einhaltung der MTTR-Ziele (Mean Time to Recovery) ist für die Aufrechterhaltung des Betriebs von entscheidender Bedeutung. Natürlich ist auch die Sorgfalt bei der Schließung von Sicherheitslücken, bevor sie für Angriffe ausgenutzt werden können, für eine proaktive Cyberstrategie unerlässlich.

Echte Risiken und „AI-Slop“: Linux-CVEs im Wandel

Die Zeiten, in denen Linux weniger Cyberangriffe auf sich zog, sind längst vorbei. Linux-Systeme werden zunehmend zum Ziel raffinierter Angriffe. Im vergangenen Jahr explodierte auch die Zahl der Linux-Kernel-CVEs (Common Vulnerabilities and Exposures); die zentrale CNA (CVE Numbering Authority) wies im Jahr 2024 durchschnittlich 55 neue CVEs pro Woche zu. Dieser Anstieg wird manchmal darauf zurückgeführt, dass künstliche Intelligenz Fehler aufdeckt, die eigentlich keine Sicherheitsrisiken darstellen, sogenannten „AI-Slop“. Der Entwickler von Curl, Daniel Stenberg, veröffentlichte sogar einen Hinweis, in dem er Bug-Reports zu „AI-Slop“ verbot. In einer entsprechenden Diskussion zu einem Bug-Report wurde die Sorge geäußert, dass „ein Angriff auf unsere Ressourcen zur Bewältigung von Sicherheitsproblemen“ erfolgen könnte.

Was das Risiko- und Patch-Management angeht, haben viele Security-Teams nicht den Luxus, die technische Nutzbarkeit jeder CVE eingehend zu untersuchen. Die technische Bewertung und Analyse von Patching-Unterschieden (Patch-Diffs) nehmen enorm viel Zeit in Anspruch. Der daraus resultierende aufreibende Kampf zwingt die Sicherheitsteams zu einem Wettlauf gegen die Zeit. Beim Priorisieren von Behebungsmaßnahmen stützen sich Sicherheitsteams auf CVSS (Common Vulnerability Scoring System), EPSS (Exploit Prediction Scoring System), den Exploit-Status und Faktoren wie Compliance-Anforderungen und betriebliche Kritikalität. Sicherheitsverantwortliche wollen Beweise dafür sehen, dass kontinuierliche Fortschritte erzielt und Sicherheitslücken geschlossen werden. Dies ist der eigentliche Vorteil der Verwendung einer Schwachstellenmanagement-Plattform wie Greenbone.

Vor diesem Hintergrund sind hier einige neue CVEs mit hohem Risiko für Privilegien-Ausweitung auf Linux-Systemen, die in diesem Monat Aufmerksamkeit erregt haben:

  • CVE-2023-0386 (CVSS 7.8): Das OverlayFS-Subsystem des Linux-Kernels, das nun als aktiv ausgenutzt gilt, ermöglicht die Ausweitung auf die Root-Ebene, indem es die Art und Weise ausnutzt, wie Dateien mit besonderen Privilegien zwischen bestimmten gemounteten Dateisystemen kopiert werden.
  • CVE-2025-6019 (CVSS 7.0): Eine in Fedora- und SUSE-Distributionen gefundene Schwachstelle ermöglicht es Angreifenden ohne Root-Rechte in der Gruppe „allow_active“, privilegierte Festplattenoperationen wie das Mounten, Entsperren und Formatieren von Geräten über D-Bus-Aufrufe an „udisksd“ auszuführen. Die Schwachstelle gilt als leicht auszunutzen, und es ist ein öffentlicher PoC (Proof of Concept) verfügbar, was das Risiko erhöht.
  • CVE-2025-32462 und CVE-2025-32463: Zwei lokale Schwachstellen zur Rechteausweitung wurden in Sudo 1.9.17p1 behoben, das am 30. Juni 2025 veröffentlicht wurde. CVE-2025-32462 ermöglicht es, über lokale Geräte die Option „–host“ zu missbrauchen, um Berechtigungen auf zugelassenen Hosts zu erweitern, während CVE-2025-32463 unbefugten Root-Zugriff über die „–chroot“-Option ermöglicht, selbst wenn dies in der Sudo-Datei nicht ausdrücklich erlaubt ist.
  • CVE-2025-40908 (CVSS 9.1): Nicht authentifizierte Angreifende können vorhandene Dateien manipulieren, indem sie eine speziell gestaltete YAML-Datei als Eingabe verwenden, die zu einem missbräuchlichen Aufruf von „open“ mit zwei Argumenten führt. Zu den anfälligen Systemen gehören alle Perl-Anwendungen oder -Distributionen (wie Amazon Linux, SUSE, Red Hat, Debian), die YAML‑LibYAML vor Version 0.903.0 verwenden.

CVE-2025-49113: Eine kritische CVE in RoundCube Webmail

Eine kürzlich bekannt gewordene Sicherheitslücke mit der Kennung CVE-2025-49113 (CVSS 9.9) in RoundCube Webmail ermöglicht es bei authentifizierten Angriffen, beliebigen Code auf einem RoundCube-Server auszuführen. Eine schlecht konzipierte PHP-Deserialisierung [CWE-502] validiert Eingaben nicht ordnungsgemäß, sodass der Parameter „_from“ bösartigen serialisierten Code übertragen kann. Cyberkriminelle, die den Fehler erfolgreich ausnutzen, können möglicherweise die vollständige Kontrolle über den RoundCube-Server erlangen, um Daten zu stehlen und Command-and-Control-Tools (C2) für den dauerhaften Zugriff zu installieren.

Obwohl für die Ausnutzung von CVE-2025-49113 gültige Anmeldedaten erforderlich sind, sind keine Administratorrechte erforderlich. Technische Analysen [1][2], PoC-Exploits [3][4] und ein Metasploit-Modul sind verfügbar, was das potenzielle Risiko eines Missbrauchs erhöht. Ein EPSS-Score von 81 weist auf eine extrem hohe Wahrscheinlichkeit einer Ausnutzung in naher Zukunft hin. Der Forscher, der die Schwachstelle entdeckt hat, behauptet, dass Exploit-Kits bereits in Untergrundforen für Cyberkriminalität zum Verkauf angeboten werden. Zahlreiche nationale CERT-Behörden haben Warnungen zu dieser Schwachstelle herausgegeben [5][6][7][8][9], während Shadowserver Anfang Juni über 84.000 exponierte Roundcube-Dienste gemeldet hat.

Der Greenbone Enterprise Feed umfasst eine Remote-Versionserkennung [10][11] und Linux Local Security Checks (LSC) [12][13][14][15][16][17] zur Identifizierung anfälliger Instanzen von RoundCube Webmail (Versionen vor 1.5.10 und 1.6.11). Anwendenden wird dringend empfohlen, Updates umgehend zu installieren.

Neue kritische CVE in Cisco ISE Cloud mit PoC-Exploit

CVE-2025-20286 (CVSS 10) ist eine neue Schwachstelle, die Cloud-Bereitstellungen der Cisco Identity Services Engine (ISE) auf AWS, Azure und Oracle Cloud Infrastructure (OCI) betrifft. Der Fehler könnte nicht authentifizierten Angreifenden den Zugriff auf sensible Daten, die Ausführung einiger eingeschränkter Verwaltungsvorgänge, die Änderung von Systemkonfigurationen und die Störung von Diensten ermöglichen. Aufgrund eines mangelhaften Software-Designs werden identische Zugangsdaten [CWE-259] generiert und für alle verbundenen ISE-Instanzen mit derselben Version und Plattform freigegeben.

Cisco hat die Existenz eines öffentlich zugänglichen Exploits bestätigt. Das Unternehmen erklärte außerdem, dass die Schwachstelle nur ausgenutzt werden kann, wenn der primäre Administrationsknoten in der Cloud bereitgestellt ist. Lokale Bereitstellungen und mehrere Hybrid-/Cloud-VM-Lösungen sind nicht betroffen. Insgesamt stellt CVE-2025-20286 aufgrund der weit verbreiteten Nutzung von Cisco ISE in Unternehmensnetzwerken und der Verfügbarkeit von Exploit-Code eine hochriskante Schwachstelle für alle mit betroffenen Konfigurationen dar. Greenbone bietet einen Test zur Versionserkennung an, um potenziell gefährdete Instanzen zu identifizieren.

CitrixBleed 2 und eine weitere aktiv ausgenutzte Schwachstelle in Citrix NetScaler ADC und Gateway

CVE-2025-5777 (CVSS 9.3), auch „CitrixBleed 2“ genannt, ist eine Out-of-Bounds-Read-Sicherheitslücke [CWE-125], die Citrix NetScaler ADC und NetScaler Gateway betrifft und es bei nicht authentifizierten Angriffen ermöglicht, gültige Sitzungstoken aus dem Speicher zu stehlen, indem fehlerhafte HTTP-Anfragen gesendet werden. CVE-2025-5777 ist auf eine unzureichende Eingabevalidierung zurückzuführen, eine leider häufige, aber leicht zu vermeidende Ursache für Softwarefehler. Die Offenlegung von Sitzungstoken ermöglicht die Identitätsübernahme legitimer Benutzerinnen und Benutzer und damit unbefugten Zugriff. Sicherheitsverantwortliche gehen davon aus, dass eine Ausnutzung der Schwachstelle unmittelbar bevorsteht, und ziehen Parallelen zur ursprünglichen CitrixBleed-Sicherheitslücke (CVE-2023-4966), die von Ransomware-Gruppen bei schwerwiegenden Angriffen ausgenutzt wurde.

Eine weitere Schwachstelle, CVE-2025-6543 (CVSS 9.8), die ebenfalls Citrix NetScaler ADC und Gateway betrifft, wurde zum KEV-Katalog (Known Exploited Vulnerabilities) der CISA hinzugefügt, was darauf hindeutet, dass sie bereits aktiv ausgenutzt wird. CVE-2025-6543 ist eine Memory-Overflow-Schwachstelle [CWE-119]. Die Auswirkungen wurden offiziell als Denial of Service beschrieben, aber in Fachkreisen wird angenommen, dass sie auch die Ausführung von beliebigem Code oder die Übernahme von Geräten umfassen können, wie in ähnlichen Fällen in der Vergangenheit beobachtet wurde.

Beide Schwachstellen betreffen nur Geräte, die als Gateway (VPN-Virtual Server, ICA-Proxy, CVPN, RDP-Proxy) oder AAA (Authentifizierung, Autorisierung und Abrechnung) Virtual Server konfiguriert sind. Beide Schwachstellen sind Gegenstand weitreichender nationaler CERT-Hinweise [1][2][3][4][5][6][7]. Greenbone bietet eine Remote-Versionsprüfung zur Erkennung von CitrixBleed 2 sowie eine Remote-Versionsprüfung für CVE-2025-6543. Die Installation aktueller Sicherheitsupdates wird dringend empfohlen.

Drei ausnutzbare Schwachstellen in Sitecore CMS

Drei neue CVEs, die die Sitecore Experience Platform betreffen, können verkettet werden, um eine nicht authentifizierte Remote Code Execution (RCE) durchzuführen. Die Schwachstellen wurden mit einer vollständigen technischen Beschreibung und PoC-Anleitung veröffentlicht, wodurch ihre Ausnutzung sehr wahrscheinlich ist. In der Angriffskette ermöglicht CVE-2025-34509 den ersten authentifizierten Zugriff, während CVE-2025-34510 oder CVE-2025-34511 beide RCE-Schwachstellen nach der Authentifizierung sind. Angreifende können zunächst fest codierte Anmeldedaten ausnutzen, um ein gültiges Sitzungstoken zu generieren, dann eine bösartige „.aspx“-Webshell hochladen und anschließend beliebige Shell-Befehle auf dem System des Opfers ausführen. Alternativ könnte CVE-2025-34511 verwendet werden, um PowerShell-Befehle auszuführen, anstatt eine Webshell hochzuladen.

Hier eine kurze Beschreibung der einzelnen Schwachstellen:

  • CVE-2025-34509 (CVSS 8.2): Fest codierte Anmeldedaten [CWE-798] ermöglichen es Remote-Angreifenden, sich mit diesem Konto zu authentifizieren, um auf die Admin-API zuzugreifen.
  • CVE-2025-34510 (CVSS 8.8): Eine als „Zip Slip“ bekannte Schwachstelle beim Path Traversal mit relativen Pfaden [CWE-23] ermöglicht es Kriminellen über einen authentifizierten Angriff, schädliche Dateien aus einem ZIP-Archiv in das Webroot-Verzeichnis zu extrahieren, was über eine .aspx-Webshell zu RCE führen könnte.
  • CVE-2025-34511 (CVSS 8.8): Eine uneingeschränkte Datei-Upload-Sicherheitslücke [CWE-434] im PowerShell-Extensions-Modul ermöglicht es Angreifenden, beliebige Dateien, einschließlich ausführbarer Skripte, an einen beliebigen beschreibbaren Speicherort hochzuladen. Obwohl CVE-2025-34511 die Installation der Sitecore PowerShell Extension erfordert, wird dies als gängige Konfiguration angesehen.

Sitecore ist ein beliebtes Content-Management-System (CMS) für Unternehmen, das von großen globalen Organisationen in verschiedenen Branchen eingesetzt wird. Obwohl Sitecore schätzungsweise zwischen 0,45 % und 0,86 % des globalen CMS-Marktanteils ausmacht [1][2], besteht ihre Klientel aus hochwertigen Zielen. Greenbone ist in der Lage, anfällige Instanzen von Sitecore mit einer aktiven Überprüfung und einem Test zur Fernerkennung der Version zu erkennen. Patches wurden in Sitecore Version 10.4 veröffentlicht und auf frühere, unterstützte Versionen zurückportiert, sodass Benutzende ein Upgrade durchführen können.

Umgehung von CVE-2025-23120 in Veeam-Backups

CVE-2025-23121 (CVSS 9.9) ist eine Lücke in der Deserialisierung [CWE-502], die es den für die Domain authentifizierten Personen ermöglicht, beliebigen Code [CWE-94] auf Veeam Backup & Replication-Servern auszuführen. Die Schwachstelle entsteht durch unsichere Datenverarbeitung und stellt eine Umgehung einer zuvor gepatchten Schwachstelle, CVE-2025-23120, dar.

Derzeit ist kein öffentlicher PoC-Exploit verfügbar. Jedoch sind CVEs in Veeam Backup & Replication häufig das Ziel von Cyberkriminellen. Darüber hinaus betrifft die Sicherheitslücke nur Unternehmen, die Domain-gebundene Backup-Server verwenden. Angesichts der Bedeutung von Backups für die Wiederherstellung nach Ransomware-Angriffen stellt sie jedoch eine ernsthafte Bedrohung dar. Kriminelle können gültige Anmeldedaten stehlen oder Passwort-Spraying einsetzen, um wiederverwendete Zugangsdaten zu erlangen.

Greenbone kann remote betroffene Veeam-Produkte erkennen, und es wird dringend empfohlen, einen Patch auf Version 12.3.2.3617 zu installieren

Zusammenfassung

Im Juni 2025 tauchten mindestens zwei neue Wiper-Malware-Varianten auf, die kritische Infrastrukturen und Unternehmen bedrohen. Weitreichende massive Datenverletzungen nehmen zu und beeinträchtigen Unternehmen und Einzelpersonen, da gestohlene Daten für verschiedene böswillige Zwecke verwendet werden. In diesem Monat gab es auch eine Flut neu entdeckter, kritischer Sicherheitslücken in Produkten für Unternehmen, von denen die meisten nicht in diesem Bericht behandelt werden. Viele davon waren innerhalb weniger Stunden nach ihrer Bekanntgabe mit PoCs oder vollständigen Exploit-Kits verfügbar. Von RoundCube und Cisco ISE bis hin zu Citrix- und Linux-Systemen: Hochriskante digitale Schwachstellen, die Aufmerksamkeit erfordern, heizen die Zermürbungsschlacht im Cyberraum weltweit für die angegriffenen Unternehmen weiter an.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Joseph Lee

Februar 2025 Threat Report: Rumoren im Untergrund

Cyber-Bedrohungen entwickeln sich in halsbrecherischem Tempo, aber die grundlegenden Schwachstellen, die Angreifer ausnutzen, bleiben auffallend unverändert. Für das Jahr 2025 haben viele Analysten einen Rückblick auf das Jahr 2024 und einen Ausblick auf das Jahr 2025 veröffentlicht. Die Kosten für Cyberverletzungen steigen, aber insgesamt haben sich die Ursachen für Cyberverletzungen nicht geändert. Phishing [T1566] und das Ausnutzen bekannter Software-Schwachstellen [T1190] stehen weiterhin ganz oben auf der Liste. Eine weitere wichtige Beobachtung ist, dass Angreifer öffentliche Informationen immer schneller als Waffe einsetzen und Enthüllungen von CVEs (Common Vulnerabilities and Exposures) innerhalb von Tagen oder sogar Stunden in brauchbaren Exploit-Code umwandeln. Sobald sie in das Netzwerk eines Opfers eingedrungen sind, führen sie ihre präzisen Absichten in der zweiten Phase ebenfalls schneller aus und setzen Ransomware innerhalb von Minuten ein.

In diesem Threat Report gehen wir kurz auf die aufgedeckten Chats der Ransomware-Gruppe Black Basta ein und werfen einen Blick darauf, wie Greenbone vor deren offengelegten Machenschaften schützt. Wir werden auch einen Bericht von Greynoise über die massenhafte Ausnutzung von Schwachstellen, eine neue, aktiv genutzte Schwachstelle in der Zimbra Collaboration Suite und neue Bedrohungen für Edge-Networking-Geräte unter die Lupe nehmen.

Das Zeitalter der tektonischen Technologien

Wenn Sicherheitskrisen wie Erdbeben sind, dann entspricht das globale Technologie-Ökosystem den zugrunde liegenden tektonischen Platten. Dieses Ökosystem lässt sich am besten als das Paläozoikum der Erdgeschichte darstellen. Die rasanten Innovations- und Wettbewerbskräfte des Markts schieben und zerren an der Struktur der IT-Sicherheit wie die kollidierenden Superkontinente von Pangäa; ständige Erdbeben zwingen die Kontinente zu permanenten Verschiebungen.

Völlig neue Computerparadigmen wie die generative KI und das Quantencomputing schaffen Vorteile und Risiken; Vulkane von Wert und instabilem Boden. Globale Regierungen und Tech-Giganten ringen um den Zugang zu den sensiblen persönlichen Daten der Bürger und erhöhen damit die Schwerkraft. Diese Kämpfe haben erhebliche Auswirkungen auf die Privatsphäre und die Sicherheit und beeinflussen letztendlich die Entwicklung der Gesellschaft. Hier sind einige der wichtigsten Kräfte, die die IT-Sicherheit heute destabilisieren:

  • Sich schnell entwickelnde Technologien treiben die Innovation voran und erzwingen den technischen Wandel.
  • Unternehmen sind zum einen gezwungen, sich zu ändern, da Technologien und Standards an Wert verlieren, und zum anderen sind sie motiviert, sich zu ändern, um am Markt fortzubestehen.
  • Der harte Wettbewerb beschleunigt die Produktentwicklung und die Veröffentlichungszyklen.
  • Strategisch geplante Obsoleszenz hat sich als Geschäftsstrategie zur Erzielung finanzieller Gewinne etabliert.
  • Der weit verbreitete Mangel an Verantwortlichkeit für Softwareanbieter hat dazu geführt, dass Leistung Vorrang vor dem Grundsatz „Security First“ hat.
  • Nationalstaaten setzen Waffentechnologien für Cyber Warfare, Information Warfare und Electronic Warfare ein.

Dank dieser Kräfte finden gut ausgestattete und gut organisierte Cyber-Kriminelle eine praktisch unbegrenzte Anzahl von Sicherheitslücken, die sie ausnutzen können. Das Zeitalter des Paläozoikums dauerte 300 Millionen Jahre. Hoffentlich müssen wir nicht so lange warten, bis die Produkthersteller Verantwortung zeigen und sichere Konstruktionsprinzipien anwenden [1][2][3], um sogenannte „unverzeihliche“ Schwachstellen durch Fahrlässigkeit zu verhindern [4][5]. Unternehmen müssen daher technische Flexibilität und effiziente Patch-Management-Programme entwickeln. Ein kontinuierliches, priorisiertes Schwachstellenmanagement ist ein Muss.

Mit Greenbone gegen Black Basta

Durchgesickerte interne Chat-Protokolle der Ransomware-Gruppe Black Basta lassen in die Taktik und die inneren Abläufe der Gruppe blicken. Die Protokolle wurden von einer Person unter dem Pseudonym „ExploitWhispers“ veröffentlicht, die behauptet, die Veröffentlichung sei eine Reaktion auf die umstrittenen Angriffe von Black Basta auf russische Banken, die angeblich zu internen Konflikten innerhalb der Gruppe führten. Seit seinem Auftauchen im April 2022 hat Black Basta Berichten zufolge über 100 Millionen US-Dollar an Lösegeldzahlungen von mehr als 300 Opfern weltweit erhalten. 62 CVEs, auf die in den geleakten Dokumenten verwiesen wird, offenbaren die Taktik der Gruppe zur Ausnutzung bekannter Schwachstellen. Von diesen 62 CVEs unterhält Greenbone Erkennungstests für 61, was 98 % der CVEs abdeckt.

Greynoise-Report über massenhafte Ausnutzung von Schwachstellen

Mass-Exploitation-Angriffe sind vollautomatische Angriffe auf Dienste im Netzwerk, die via Internet zugänglich sind. Diesen Monat hat Greynoise einen umfassenden Bericht veröffentlicht, der die Mass-Exploitation-Landschaft zusammenfasst, einschließlich der 20 wichtigsten CVEs, die von den größten Botnets angegriffen werden (eindeutige IPs) und der Anbieter der am häufigsten angegriffenen Produkte. Hinzu kommen die wichtigsten der in den KEV-Katalog (Known Exploited Vulnerabilities) der CISA (Cybersecurity and Infrastructure Security Agency) aufgenommenen CVEs, die von Botnets ausgenutzt werden. Der Greenbone Enterprise Feed bietet Erkennungstests für 86 % aller CVEs (86 insgesamt), auf die im Bericht verwiesen wird. Wenn nur CVEs berücksichtigt werden, die im Jahr 2020 oder später veröffentlicht wurden (insgesamt 66), deckt unser Enterprise Feed 90 % davon ab.

Weitere Ergebnisse sind:

  • 60 % der CVEs, die bei Massenangriffen ausgenutzt wurden, wurden 2020 oder später veröffentlicht.
  • Angreifer nutzen Schwachstellen innerhalb von Stunden nach ihrer Veröffentlichung aus.
  • 28 % der Schwachstellen in CISA KEV werden von Ransomware-Gruppen ausgenutzt.

Zimbra Collaboration Suite

CVE-2023-34192 (CVSS 9.0) ist eine hoch gefährliche Cross-Site-Scripting (XSS)-Schwachstelle in der Zimbra Collaboration Suite (ZCS) Version 8.8.15. Sie erlaubt authentifizierten Angreifern die Ausführung von beliebigem Code über manipulierte Skripte, die auf die Funktion „/h/autoSaveDraft“ abzielen. Die CISA hat CVE-2023-34192 in ihren KEV-Katalog aufgenommen, was darauf hindeutet, dass die Schwachstelle aktiv in realen Angriffen ausgenutzt wurde. Der PoC-Exploit-Code (Proof of Concept) ist öffentlich verfügbar, sodass auch weniger erfahrene Angreifer hier mitmischen können. CVE-2023-34192 hat seit ihrer Aufdeckung im Jahr 2023 einen sehr hohen EPSS-Score. Für Verteidiger, die EPSS (Exploit Prediction Scoring System) für die Priorisierung von Abhilfemaßnahmen nutzen, bedeutet dies, mit hoher Priorität zu patchen.

Die Zimbra Collaboration Suite (ZCS) ist eine Open-Source-Plattform für Office-Anwendungen, die E-Mail, Kalender, Kontakte, Aufgaben und Tools für die Zusammenarbeit integriert, aber einen Nischenmarktanteil von weniger als 1 % aller E-Mail- und Messaging-Plattformen hält.

„Living on the Edge“: kritische Schwachstellen in Netzwerkgeräten

In unserem monatlichen Threat Report haben wir die anhaltende Bedrohung von Edge-Netzwerkgeräten nachvollzogen. Anfang dieses Monats berichteten wir über das maximale Desaster, das die Auslaufmodelle der Zyxel-Router und -Firewalls heraufbeschwören. In diesem Abschnitt befassen wir uns mit neuen Sicherheitsrisiken, die in die Kategorie „Edge Networking“ fallen. Greenbone verfügt über Erkennungsfunktionen für alle im Folgenden beschriebenen CVEs.

Chinesische Hacker nutzen PAN-OS von Palo Alto für Ransomware

CVE-2024-0012 (CVSS 9.8), eine Sicherheitslücke in Palo Alto PAN-OS, die im November letzten Jahres bekannt wurde, gilt als eine der am häufigsten ausgenutzten Sicherheitslücken des Jahres 2024. Die CVE wird Berichten zufolge auch von staatlich unterstützten chinesischen Bedrohungsakteuren für Ransomware-Angriffe genutzt. Eine weitere neue Schwachstelle, die PAN-OS betrifft, CVE-2025-0108 (CVSS 9.1), wurde erst diesen Monat bekannt gegeben und von der CISA sofort als aktiv ausgenutzt eingestuft. Mit CVE-2025-0108 lässt sich die Authentifizierung in der Webmanagement-Schnittstelle umgehen. Sie kann mit gekoppelt werden mit CVE-2024-9474 (CVSS 7.2), einer separaten Schwachstelle für die Ausweitung von Privilegien, um unauthentifizierte Kontrolle über Root-Dateien in einem ungepatchten PAN-OS-Gerät zu erlangen.

SonicWall flickt kritische, aktiv ausgenutzte Schwachstelle in SonicOS

CVE-2024-53704, eine kritische Sicherheitslücke in SonicWall-Geräten, wurde kürzlich in die KEV-Liste der CISA aufgenommen. Erstaunlicherweise listet die CISA acht CVEs bei SonicWall auf, von denen bekannt ist, dass sie aktiv in Ransomware-Angriffen ausgenutzt werden. Die neue Bedrohung, CVE-2024-53704 (CVSS 9.8) ist eine Schwachstelle, die durch einen unsauberen Authentifizierungsmechanismus [CWE-287] im SSLVPN der SonicOS-Versionen 7.1.1-7058 und älter, 7.1.2-7019 und 8.0.0-8035 von SonicWall entsteht. Sie ermöglicht es Angreifern, die Authentifizierung zu umgehen und aktive SSL-VPN-Sitzungen zu kapern, wodurch sie möglicherweise unbefugten Zugriff auf das Netzwerk erhalten. Eine vollständige technische Analyse ist bei BishopFox verfügbar. In einem Security Advisory von SonicWall werden außerdem weitere CVEs mit hohem Schweregrad in SonicOS genannt, die zusammen mit CVE-2024-53704 gepatcht wurden.

CyberoamOS und EOL XG Firewalls von Sophos aktiv ausgenutzt

Der Security-Anbieter Sophos, der Cyberoam im Jahr 2014 übernommen hat, hat eine Warnung und einen Patch für CVE-2020-29574 herausgegeben. CyberoamOS ist Teil des Produkt-Ökosystems von Sophos. Abgesehen von diesem CVE ist auch die Sophos XG Firewall, die bald auslaufen wird, Gegenstand einer Warnung über eine mögliche aktive Ausnutzung.

  • CVE-2020-29574 (CVSS 9.8): Eine kritische SQL-Injection-Schwachstelle [CWE-89] wurde in der WebAdmin-Schnittstelle von CyberoamOS-Versionen bis zum 4. Dezember 2020 entdeckt. Dieser Fehler ermöglicht es nicht authentifizierten Angreifern, beliebige SQL-Anweisungen aus der Ferne auszuführen und möglicherweise vollständigen administrativen Zugriff auf das Gerät zu erlangen. Es wurde ein Hotfix-Patch veröffentlicht, der auch für einige betroffene End-of-Life (EOL) Produkte gilt.
  • CVE-2020-15069 (CVSS 9.8) ist eine kritische Buffer-Overflow-Schwachstelle in den Sophos XG Firewall-Versionen 17.x bis v17.5 MR12, die nicht authentifizierte Remote Code Execution (RCE) über die HTTP/S-Lesezeichen-Funktion für den clientlosen Zugriff ermöglicht. Diese 2020 veröffentlichte Sicherheitslücke wird nun aktiv ausgenutzt und wurde in die CISA KEV aufgenommen, was auf ein erhöhtes Risiko hinweist. Sophos veröffentlichte 2020, als die Sicherheitslücke bekannt wurde, einen Hinweis zusammen mit einem Hotfix für betroffene Firewalls. Die Hardware-Appliances der XG-Serie werden voraussichtlich bald, am 31. März 2025, das Ende ihrer Lebensdauer (EOL) erreichen.

PrivEsc- und Auth-Umgehungen in Fortinet FortiOS und FortiProxy

Fortinet hat zwei kritische Sicherheitslücken bekannt gegeben, die beide FortiOS und FortiProxy betreffen. Das Canadian Center for Cybersecurity und das Belgian Center for Cybersecurity haben Hinweise veröffentlicht. Fortinet räumt ein, dass CVE-2024-55591 aktiv ausgenutzt wird, und hat eine offizielle Anleitung veröffentlicht, die Details zu den betroffenen Versionen und empfohlenen Updates enthält.

  • CVE-2024-55591 (CVSS 9.8): Ein Authentication Bypass unter Verwendung eines alternativen Pfads oder Kanals [CWE-288], die FortiOS betrifft, ermöglicht es einem Angreifer, remote über manipulierte Anfragen an das Node.js-Websocket-Modul Super-Admin-Rechte zu erlangen. Es stehen mehrere PoC-Exploits zur Verfügung [1][2], die das Risiko einer Ausnutzung durch weniger erfahrene Angreifer erhöhen.
  • CVE-2024-40591 (CVSS 8.8): Ermöglicht es einem authentifizierten Administrator mit Security Fabric-Berechtigungen, seine Privilegien zum Super-Administrator zu erweitern, indem er das betroffene FortiGate-Gerät mit einem kompromittierten Upstream-FortiGate unter seiner Kontrolle verbindet.

Cisco-Schwachstellen als erste Zugangsvektoren bei Telekom-Hacks

In den letzten Monaten hat die chinesische Spionagegruppe Salt Typhoon routinemäßig mindestens zwei kritische Schwachstellen in Cisco IOS XE-Geräten ausgenutzt, um sich dauerhaft Zugang zu Telekommunikationsnetzen zu verschaffen. Zu den Opfern gehören italienische ISPs, eine südafrikanische und eine große thailändische Telekommunikationsgesellschaft sowie zwölf Universitäten weltweit, darunter die UCLA, die indonesische Universitas Negeri Malang und die mexikanische UNAM. Zuvor hatte Salt Typhoon mindestens neun US-amerikanische Telekommunikationsunternehmen angegriffen, darunter Verizon, AT&T und Lumen Technologies. Die US-Behörden behaupten, Salt Typhoons Ziel sei die Überwachung von hochrangigen Personen, politischen Persönlichkeiten und Beamten, die mit chinesischen politischen Interessen in Verbindung stehen.

Zu den CVEs, die von Salt Typhoon ausgenutzt werden, gehören:

  • CVE-2023-20198 (CVSS 10): Eine Schwachstelle zur Privilegien-Erweiterung in der Web-Schnittstelle von Cisco IOS XE. Sie wird für den anfänglichen Zugriff verwendet und ermöglicht es Angreifern, ein Admin-Konto zu erstellen.
  • CVE-2023-20273 (CVSS 7.2): Eine weitere Schwachstelle, die zur Erweiterung von Privilegien führt. Nach Erlangung des Admin-Zugriffs wird sie dazu genutzt, den privilegierten Zugriff auf Root-Dateien zu erweitern und einen GRE-Tunnel (Generic Routing Encapsulation) für den dauerhaften Verbleib im Netzwerk einzurichten.

Außerdem wurden im Februar 2025 zwei weitere CVEs in Cisco-Produkten bekannt:

  • CVE-2023-20118 (CVSS 7.2): Eine Command-Injection-Schwachstelle in der webbasierten Management-Oberfläche von Cisco Small Business Routern erlaubt es authentifizierten, entfernten Angreifern, beliebige Befehle mit Root-Rechten auszuführen, indem sie manipulierte HTTP-Anfragen senden. Die CISA hat CVE-2023-20118 in ihren KEV-Katalog aufgenommen, was darauf hindeutet, dass die Schwachstelle aktiv ausgenutzt wird.
  • CVE-2023-20026 (CVSS 7.2): Eine Command-Injection-Schwachstelle in der webbasierten Management-Oberfläche der Cisco Small Business Router der RV042-Serie erlaubt authentifizierten, entfernten Angreifern mit gültigen administrativen Anmeldeinformationen, beliebige Befehle auf dem Gerät auszuführen. Die Schwachstelle ist auf eine unsachgemäße Validierung von Benutzereingaben in eingehenden HTTP-Paketen zurückzuführen. Es ist zwar nicht bekannt, dass CVE-2023-20026 in aktiven Kampagnen ausgenutzt wird, aber dem Product Security Incident Response Team (PSIRT) von Cisco ist bekannt, dass PoC-Exploit-Code für diese Sicherheitslücke existiert.

Ivanti patcht vier kritische Schwachstellen

Es wurden vier kritische Schwachstellen identifiziert, die Ivanti Connect Secure (ICS), Policy Secure (IPS) und Cloud Services Application (CSA) betreffen. Bisher sind keine Berichte über aktive Angriffe in freier Wildbahn oder PoC-Exploits aufgetaucht. Ivanti rät Anwendern, umgehend auf die neuesten Versionen zu aktualisieren, um diese kritischen Sicherheitslücken zu schließen.

Hier ist eine kurze technische Zusammenfassung:

  • CVE-2025-22467 (CVSS 8.8): Angreifer mit Anmeldeinformationen können aufgrund eines Stack-basierten Buffer Overflow in ICS-Versionen vor 22.7R2.6 Remote Code Execution (RCE) erreichen [CWE-121].
  • CVE-2024-38657 (CVSS 9.1): Angreifer mit Anmeldeinformationen können beliebige Dateien schreiben aufgrund einer externen Kontrolle des Dateinamens in ICS-Versionen vor 22.7R2.4 und IPS-Versionen vor 22.7R1.3.
  • CVE-2024-10644 (CVSS 9.1): Ein Code-Injection-Fehler in ICS (vor 22.7R2.4) und IPS (vor 22.7R1.3) ermöglicht beliebige RCE für authentifizierte Administratoren.
  • CVE-2024-47908 (CVSS 7.2): Eine Schwachstelle in der Command Injection des Betriebssystems [CWE-78] in der Admin-Webkonsole von CSA (Versionen vor 5.0.5) erlaubt beliebige RCE für authentifizierte Administratoren.

Zusammenfassung

Der Threat Report dieses Monats beleuchtet wichtige Entwicklungen im Bereich der Cybersicherheit, darunter die sich weiterentwickelnden Taktiken von Ransomware-Gruppen wie Black Basta und die allgegenwärtige kritische Bedrohung für Edge-Netzwerkgeräte. Unterstützt durch KI-Tools nutzen Angreifer Schwachstellen immer schneller aus – manchmal schon wenige Stunden nach ihrer Entdeckung. Unternehmen müssen wachsam bleiben, indem sie proaktive Sicherheitsmaßnahmen ergreifen, ihre Abwehr kontinuierlich aktualisieren und Bedrohungsdaten nutzen, um neuen Gefahren einen Schritt voraus zu sein.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von