Schlagwortarchiv für: SonicWall

Joseph Lee

Juli 2025 Threat Report: Cisco, CrushFTP, HPE IRS und Mehr in Aktiver Ausnutzung

Der Juli 2025 Threat Report folgt einem breit angelegten Ansatz, um die top Cyber-Bedrohungen des Monats zu behandeln. Die Microsoft SharePoint Schwachstellen unter dem Namen “ToolShell” dominierten letzten Monat die Schlagzeilen; werfen sie einen Blick auf unseren ToolShell-Artikel für eine genaue Analyse. Im Juli wurden über 4.000 CVEs veröffentlicht, von denen beinahe 500 mit einem CVSS-Score von 9.0 oder höher als kritisch eingestuft wurden. Für Verteidigungsteams stellt das Volumen an Risiken ein wahres Zermürbungsgefecht dar. Greenbone stellte zur Unterstützung im Juli annähernd 5000 neue Erkennungstests bereit. Diese erlauben Verteidigungsteams, Software-Schwachstellen in ihrer IT-Umgebung zu erkennen, den Patch-Stand zu überprüfen und Angreifende davon abzuhalten, die Oberhand zu gewinnen.

Blog Banner Threat - report July 2025

Critische Cisco Schwachstelle ermöglicht unauthentifizierte Ausführung von Remote-Code (RCE) mit Root-Berechtigungen und mehr

Cisco hat die aktive Ausnutzung der Cisco Identity Services Engine (ISE) und Cisco ISE-PIC (Passive Identity Controller) Versionen 3.3 und 3.4 bestätigt. Die schwerwiegendsten Schwachstellen sind CVE-2025-20281, CVE-2025-20337, und CVE-2025-20282; alle CVSS 10. CVE-2025-20281 und CVE-2025-20337 wurden in den CISA KEV (Katalog bekannter, ausgenutzter Schwachstellen) aufgenommen. Jede dieser Schwachstellen kann durch das Übermitteln einer bösartigen API-Anfrage ausgenutzt werden, um Code mit Root-Privilegien auszuführen. Mehrere nationale CERT-Agenturen gaben Warnungen heraus: EU-CERT, CSA Singapore, NHS UK und NCSC Ireland. Cisco rät, umgehend Sicherheitsupdates zu installieren; funktionierende Workarounds sind nicht verfügbar. Der OPENVAS ENTERPRISE FEED enthält entsprechende Versionserkennungstest [1][2][3].

Anfang Juli schlug außerdem eine weitere kritische CVE in Cisco Unified Communications Manager Wellen. CVE-2025-20309 (CVSS 10) ermöglicht den Fernzugang mit Root-Berechtigungen via hart kodierten SSH Zugangsdaten. Belgiens CERT.be und NSSC Ireland gaben Warnungen heraus und die Schwachstelle wurde im AUSCERT-Wochenrückblick behandelt.

Aktive Angriffe treffen CrushFTP- und WingFTP-Server

Hochrisiko-CVEs in CrushFTP und WingFTP wurden kurz nach ihrer Veröffentlichung in den CISA KEV-Katalog aufgenommen, begleitet von globalen CERT-Warnungen [1][2][3]. FTP-Server sind häufig an das öffentliche Internet exponiert, allerdings können auch Instanzen in lokalen Netzwerken Hackenden Möglichkeiten für Persistenz und laterale Bewegung bieten [4]. FTP-Server speichern überdies häufig sensible Daten, was das Risiko für Ransomware-Angriffe erhöht.

  • CVE-2025-54309 (CVSS 9.8, EPSS ≥ 91. Perzentil): CrushFTP is anfällig für ungeschützte alternative Kanal-Schwachstellen [CWE-420], wenn das DMZ Proxy-Feature nicht genutzt wird. Die Software handhabt AS2-Validierung inkorrekt, was Remote-Administrationszugriff über HTTPS ermöglicht. Der OPENVAS ENTERPRISE FEED verfügt über einen Remote-Banner-Erkennungstest, um anfällige Instanzen zu erkennen. Nutzende sollten umgehend auf CrushFTP 10.8.5_12 (oder höher), beziehungsweise 11.3.4_23 (oder höher) aktualisieren.
  • CVE-2025-47812 (CVSS 10, EPSS ≥ 99. Perzentil): Nicht bereinigte Null-Byte-Zeichen in der Web-Oberfläche von WingFTP vor Version 7.4.4 erlauben die Ausführung von Remote-Lua-Code mit den Berechtigungen des FTP-Services (standardmäßig root oder SYSTEM). Greenbone liefert Aktive Prüfung und Versionsprüfung zur Identifizierung anfälliger Instanzen. Es wird dringend zu einem Update auf Version 7.4. oder höher geraten.

Patch-Umgehung ermöglicht Beliebigen Datei-Zugang in Node.js

CVE-2025-27210 (CVSS 7.5) ermöglicht die Umgehung von Sicherheitsmaßnahmen für CVE-2025-23084 (CVSS 5.6), einer bereits im januar 2025 adressierten Schwachstelle von Node.js auf Windows-Plattformen. Schätzungsweise 4.8% aller Web-Server weltweit und viele On-Premises und Cloud-native Anwendungen nutzen Node.js. Nationale CERT-Mitteilungen warnten vor hohen Risiken. [1][2] Mindestens ein Funktionsnachweis-Exploit (PoC, Proof of Concept) ist öffentlich verfügbar. [3] Sowohl der OPENVAS ENTERPRISE FEED als auch der COMMUNITY FEED enthalten einen Versionserkennungstest.

Die als Pfadmanipulation [CWE-22] (Path Traversal) klassifizierte Schwachstelle beruht auf den integrierten Funktionen path.join und path.normalize(), die nicht hinreichend auf Windows-Gerätenamen filtern, darunter reservierte Namen für spezielle Systemgeräte wie COM, PRN und AUX [4]. Dies kann aus der Ferne ausgenutzt werden, um Verzeichnisschutzmaßnahmen zu umgehen, wenn Eingaben von Nutzenden an die genannten Funktionen übergeben werden. Betroffen sind Node.js Versionen 20.x vor 20.19.4, sowie 22.x vor 22.17.1 und 24.x vor 24.4.1.

CVE-2025-37099: Vollständige Fernübernahme von HPE Insight Remote Support

Neue Schwachstellen in HPE Insight Remote Support stellen ein enormes Risiko für vollständige Systemübernahme innerhalb von Unternehmensinfrastrukturen dar. IRS wird in lokalen Unternehmensnetzwerken eingesetzt, um Hardware-Gesundheitsprüfungen, Infrastruktur-Monitoring und die Erstellung von Support-Tickets zu automatisieren.

CVE-2025-37099 (CVSS 9.8) ermöglicht die unauthentifizierte Ausführung von Remote-Code (RCE) auf SYSTEM-Ebene durch unzureichende Eingabevalidierung [CWE-20] in der processAttatchmentDataStream-Logik. Dadurch können bösartige Payloads als Code ausgeführt werden [CWE‑94][1]. Angreifende können somit Schadsoftware auf verwalteten Systemen ausführen. Auch wenn entsprechende Vorfälle nicht explizit dokumentiert sind, könnte der Zugang auf SYSTEM-Ebene ebenfalls genutzt werden, um Überwachungsprotokolle zu manipulieren oder zu löschen und damit Aktivitäten zu verschleiern. Da der betroffene Dienst häufig mit Geräten wie Servern und iLO-Controllern interagiert, könnte die Kompromittierung laterale Bewegung ermöglichen. [2]

HPE IRS sollte umgehend auf Version 7.15.0.646 oder höher aktualisiert werden. Die koordinierte Offenlegung beinhaltete überdies zwei weitere CVEs: CVE-2025-37098 und CVE-2025-37097, beide mit CVSS 7.5. Ein Versionserkennungstest zur Identifizierung anfälliger Instanzen und zur Verifizierung des Patch-Status zwecks Compliance ist im OPENVAS ENTERPRISE FEED enthalten.

Kritische Sicherheitsupdates für DELL-CVEs mit erhöhten EPSS-Werten

Kumulative Sicherheitsupdates für eine beträchtliche Menge an Dell-Produkten wurden veröffentlicht, um Sicherheitslücken in diversen Komponenten zu schließen. Der kanadische Cyber-Sicherheitsdienst CSE gab im Juli bezüglich dieser Updates drei Benachrichtigung heraus [1][2][3]. Folgend finden Sie einige der kritischen CVEs aus diesem Batch, die alle mit dem OPENVAS ENTERPRISE FEED erkannt werden können [1][2][3][4][5]:

  • CVE-2024-53677 (CVSS 9.8, EPSS 99. Perzentil): Dell Avamar Data Store und Avamar Virtual Edition erhielten Updates bezüglich einer Schwachstelle in Apache Struts. Alternative Gegenmaßnahmen oder Workarounds sind nicht verfügbar. Eine Liste betroffener Produkte ist in Dells Sicherheitsbulletin zu finden.
  • CVE-2025-24813 (CVSS 9.8, EPSS 99. Perzentil): Dell Secure Connect Gateway vor Version 5.30.0.14 ist von einer Apache Tomcat-Schwachstelle und weiteren kritischen CVEs betroffen. Das Update ist laut Dell von kritischer Wichtigkeit.
  • CVE-2004-0597 (CVSS 10, EPSS 99. Perzentil): Dell Networker birgt kritische Pufferüberlauf-Schwachstellen (Buffer Overflow) in libpng, die Angreifenden unter anderem die Ausführung von Remote-Code aus der Ferne durch den Einsatz bösartig manipulierter PNG-Dateien ermöglichen. Mehr Informationen dazu in Dells Sicherheitsbulletins [1][2][3][4].
  • CVE-2016-2842 (CVSS 9.8, EPSS ≥ 98. Perzentil): Dell Data Protection Advisor ist von Schwachstellen in diversen Komponenten betroffen, darunter CVE-2016-2841 in OpenSSL, das die Speicherzuweisung nicht korrekt kontrolliert und somit DoS (Denial of Service) und unter Umständen RCE (Ausführung von Remote-Code) ermöglicht. Weitere Informationen sind im Sicherheitsbulletin zu finden.
  • CVE-2025-30477 (CVSS 4.4): Dell PowerScale nutzt einen unsicheren kryptografischen Algorithmus. Die Folge ist mögliche, unbefugte Informationsfreigabe. Kritische PowerScale-Schwachstellen wurden im Juni 2025 behoben. Mehr Informationen in den Sicherheitsbulletins [1][2].

Eine Kumulative Zusammenfassung von 2025 D-LINK-Schwachstellen

Der OPENVAS ENTERPRISE FEED und der COMMUNITY FEED decken mit aktuell 27 Schwachstellentests den Großteil der D-Link-Produkte betreffenden CVEs ab, die 2025 veröffentlicht wurden. In Anbetracht der Relevanz von Sicherheit am Netzwerkrand (network edge security) sollten Schwachstellen in Routern und anderen Gateway-Geräten einen besonderen Stellenwert für Sicherheitsteams innehaben. Nach der Beilegung einer US-Regulierungsmaßnahme zwischen D-Link und der Federal Trade Commission erklärte sich D-Link 2019 bereit, ein umfassendes Sicherheitsprogramm umzusetzen. Es bleibt jedoch in Frage zu stellen, ob diese Maßnahmen weitreichend genug sind. Ivanti-Produkte zum Beispiel waren in den letzten Jahren von zahlreichen Schwachstellen hoher Kritikalität betroffen [1][2][3][4][5], von denen einige in Ransomware-Angriffen ausgenutzt wurden.

Adobe schließt kritische Sicherheitslücken in ColdFusion

Sicherheitsupdates für ColdFusion 2025, 2023, und 2021 behandeln 13 neue CVEs; fünf kritische Schwachstellen, darunter XEE (CVE-2025-49535, CVSS 9.3), hart codierte Zugangsdaten (CVE-2025-49551, CVSS 8.8), OS-Befehlsinjektion, XML-Injektion und SSRF. 2023 wurde die ColdFusion-Schwachstelle CVE‑2023‑26360 (CVSS 9.8) von Bedrohungsakteuren genutzt, um sich initialen Zugriff auf US-amerikanische zivile Bundesbehörden zu verschaffen.

Eine Remote-Versionsprüfung zum Erkennen ungepatchter Instanzen ist im OPENVAS ENTERPRISE FEED enthalten. Umgehende Aktualisierungen auf Update 3 (ColdFusion 2025), Update 15 (2023) oder Update 21 (2021) sind dringend empfohlen.

Splunk Enterprise aktualisiert Komponenten mit kritischer Kritikalität

Kumulative Updates für Splunk Enterprise betreffen diverse Komponenten von Dritten, unter anderem golang, postgres, aws-sdk-java und idna. Einige Komponenten wiesen eine kritische CVSS-Kritikalität auf, wie beispielsweise CVE-2024-45337 (CVSS 9.1) mit einem EPSS-Perzentil von ≥ 97%, was auf eine hohe Wahrscheinlichkeit von Exploit-Aktivität hinweist. CERT-FR und der kanadische Cyber CSE haben Warnungen zu den Splunk-Bulletins vom Juli veröffentlicht. Der Patch-Stand kann mit einem Versionstest aus dem OPENVAS ENTERPRISE FEED geprüft werden. Schwachstellentests für frühere Splunk-Sicherheitsbulletins und CVEs sind ebenfalls enthalten.

Oracle behebt eine Reihe hoch kritischer VirtualBox Schwachstellen

Mitte Juli wurden mehrere CVEs im Zusammenhang mit Oracle VM VirtualBox Version 7.1.10 veröffentlicht. Diese ermöglichen lokal privilegierten Angreifenden (mit Zugang zur Host-Infrastruktur oder auf die Ausführungsumgebung der Gast-VM), VirtualBox zu kompromittieren, was Privilegieneskalation oder die volle Kontrolle über die Kernkomponente des Hypervisors ermöglicht. Der Integer-Overflow-Bug CVE‑2025‑53024 (CVSS 8.2) im VMSVGA virtual device kommt durch unzureichende validierung von Eingaben zustande und führt zu Speicherkorruption mit Potenzial für komplette Kompromittierung des Hypervisors. [1] OPENVAS ENTERPRISE FEED  und COMMUNITY FEED enthalten Versionserkennungstests für Windows, Linux, und macOS.

Schwachstelle nach Authentifizierung ermöglicht RCE in SonicWall SMA100

CVE-2025-40599 (CVSS 9.1) ist eine Schwachstelle für beliebiges Hochladen von Dateien nach Authentifizierung in SonicWall SMA 100-Appliances. Sie ermöglicht Remote-Angreifenden mit Administrationsrechten die Ausführung von beliebigem Code sowie persistenten Zugriff. Schwache oder gestohlene Zugangsdaten erhöhen das Risiko dieser Schwachstelle. Betroffen sind die Modelle SMA 210, 410 und 500v, Versionen 10.2.1.15-81sv und darunter. SonicWalls Sicherheitsbulletin zufolge gibt es keinen wirksamen Workaround. Der OPENVAS ENTERPRISE FEED beinhaltet einen Remote-Versionstest zur Identifizierung anfälliger Geräte.

Neue MySQL CVEs ermöglichen Authentifizierte DoS-Attacken

Inmitten der Vielzahl von Schwachstellen, die unautorisierte RCE ermöglichen, sind solche, die lediglich einen Denial of Service (DoS) verursachen, leicht zu übersehen. Im Juli wurden zahlreiche DoS-Schwachstellen und zugehörige Sicherheitsupdates für MySQL 8 und 9 veröffentlicht [1]. Diese Sicherheitslücken erfordern für eine Ausnutzung zwar privilegierten Zugriff, jedoch bieten Managed Service Provider (MSP) gemeinsames MySQL-hosting für kleine und mittlere Unternehmen (KMU), Behörden und Non-Profit-Organisationen an, die den Aufwand für das Betreiben einer eigenen Datenbankinfrastruktur vermeiden möchten. In einem solchen Szenario erhalten Nutzende Zugriff zu separaten Datenbanken auf derselben MySQL-Serverinstanz. Ist eine solche Serverinstanz nicht gepatcht, ist es möglich, andere Organisationen auf derselben Instanz zu beeinträchtigen. Diese Schwachstellen unterstreichen die Wichtigkeit starker Zugangsdaten und der Verteidigung gegen Brute-Force- und Password-Spraying-Angriffe.

Remote Versionserkennungstests für alle untenstehenden CVEs sind verfügbar. Diese sind sowohl im OPENVAS ENTERPRISE FEED, als auch im COMMUNITY FEED zu finden. Sie decken Linux und Windows MySQL Installationen ab.

CVE ID

Betroffene Versionen

Auswirkung

Zugriffsvektor

Patch Status

CVE-2025-50078

(CVSS 6.5)

8.0.0–8.0.42, 8.4.0–8.4.5, 9.0.0–9.3.0

DoS (hang/crash)

Authentifizierter Fernzugriff

Gepatcht (July 2025)

CVE-2025-50082

(CVSS 6.5)

8.0.0–8.0.42, 8.4.0–8.4.5, 9.0.0–9.3.0

DoS (crash)

Authentifizierter Fernzugriff

Gepatcht (July 2025)

CVE-2025-50083

(CVSS 6.5)

8.0.0–8.0.42, 8.4.0–8.4.5, 9.0.0–9.3.0

DoS (crash)

Authentifizierter Fernzugriff

Gapatcht (July 2025)

 

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Joseph Lee

Februar 2025 Threat Report: Rumoren im Untergrund

Cyber-Bedrohungen entwickeln sich in halsbrecherischem Tempo, aber die grundlegenden Schwachstellen, die Angreifer ausnutzen, bleiben auffallend unverändert. Für das Jahr 2025 haben viele Analysten einen Rückblick auf das Jahr 2024 und einen Ausblick auf das Jahr 2025 veröffentlicht. Die Kosten für Cyberverletzungen steigen, aber insgesamt haben sich die Ursachen für Cyberverletzungen nicht geändert. Phishing [T1566] und das Ausnutzen bekannter Software-Schwachstellen [T1190] stehen weiterhin ganz oben auf der Liste. Eine weitere wichtige Beobachtung ist, dass Angreifer öffentliche Informationen immer schneller als Waffe einsetzen und Enthüllungen von CVEs (Common Vulnerabilities and Exposures) innerhalb von Tagen oder sogar Stunden in brauchbaren Exploit-Code umwandeln. Sobald sie in das Netzwerk eines Opfers eingedrungen sind, führen sie ihre präzisen Absichten in der zweiten Phase ebenfalls schneller aus und setzen Ransomware innerhalb von Minuten ein.

In diesem Threat Report gehen wir kurz auf die aufgedeckten Chats der Ransomware-Gruppe Black Basta ein und werfen einen Blick darauf, wie Greenbone vor deren offengelegten Machenschaften schützt. Wir werden auch einen Bericht von Greynoise über die massenhafte Ausnutzung von Schwachstellen, eine neue, aktiv genutzte Schwachstelle in der Zimbra Collaboration Suite und neue Bedrohungen für Edge-Networking-Geräte unter die Lupe nehmen.

Das Zeitalter der tektonischen Technologien

Wenn Sicherheitskrisen wie Erdbeben sind, dann entspricht das globale Technologie-Ökosystem den zugrunde liegenden tektonischen Platten. Dieses Ökosystem lässt sich am besten als das Paläozoikum der Erdgeschichte darstellen. Die rasanten Innovations- und Wettbewerbskräfte des Markts schieben und zerren an der Struktur der IT-Sicherheit wie die kollidierenden Superkontinente von Pangäa; ständige Erdbeben zwingen die Kontinente zu permanenten Verschiebungen.

Völlig neue Computerparadigmen wie die generative KI und das Quantencomputing schaffen Vorteile und Risiken; Vulkane von Wert und instabilem Boden. Globale Regierungen und Tech-Giganten ringen um den Zugang zu den sensiblen persönlichen Daten der Bürger und erhöhen damit die Schwerkraft. Diese Kämpfe haben erhebliche Auswirkungen auf die Privatsphäre und die Sicherheit und beeinflussen letztendlich die Entwicklung der Gesellschaft. Hier sind einige der wichtigsten Kräfte, die die IT-Sicherheit heute destabilisieren:

  • Sich schnell entwickelnde Technologien treiben die Innovation voran und erzwingen den technischen Wandel.
  • Unternehmen sind zum einen gezwungen, sich zu ändern, da Technologien und Standards an Wert verlieren, und zum anderen sind sie motiviert, sich zu ändern, um am Markt fortzubestehen.
  • Der harte Wettbewerb beschleunigt die Produktentwicklung und die Veröffentlichungszyklen.
  • Strategisch geplante Obsoleszenz hat sich als Geschäftsstrategie zur Erzielung finanzieller Gewinne etabliert.
  • Der weit verbreitete Mangel an Verantwortlichkeit für Softwareanbieter hat dazu geführt, dass Leistung Vorrang vor dem Grundsatz „Security First“ hat.
  • Nationalstaaten setzen Waffentechnologien für Cyber Warfare, Information Warfare und Electronic Warfare ein.

Dank dieser Kräfte finden gut ausgestattete und gut organisierte Cyber-Kriminelle eine praktisch unbegrenzte Anzahl von Sicherheitslücken, die sie ausnutzen können. Das Zeitalter des Paläozoikums dauerte 300 Millionen Jahre. Hoffentlich müssen wir nicht so lange warten, bis die Produkthersteller Verantwortung zeigen und sichere Konstruktionsprinzipien anwenden [1][2][3], um sogenannte „unverzeihliche“ Schwachstellen durch Fahrlässigkeit zu verhindern [4][5]. Unternehmen müssen daher technische Flexibilität und effiziente Patch-Management-Programme entwickeln. Ein kontinuierliches, priorisiertes Schwachstellenmanagement ist ein Muss.

Mit Greenbone gegen Black Basta

Durchgesickerte interne Chat-Protokolle der Ransomware-Gruppe Black Basta lassen in die Taktik und die inneren Abläufe der Gruppe blicken. Die Protokolle wurden von einer Person unter dem Pseudonym „ExploitWhispers“ veröffentlicht, die behauptet, die Veröffentlichung sei eine Reaktion auf die umstrittenen Angriffe von Black Basta auf russische Banken, die angeblich zu internen Konflikten innerhalb der Gruppe führten. Seit seinem Auftauchen im April 2022 hat Black Basta Berichten zufolge über 100 Millionen US-Dollar an Lösegeldzahlungen von mehr als 300 Opfern weltweit erhalten. 62 CVEs, auf die in den geleakten Dokumenten verwiesen wird, offenbaren die Taktik der Gruppe zur Ausnutzung bekannter Schwachstellen. Von diesen 62 CVEs unterhält Greenbone Erkennungstests für 61, was 98 % der CVEs abdeckt.

Greynoise-Report über massenhafte Ausnutzung von Schwachstellen

Mass-Exploitation-Angriffe sind vollautomatische Angriffe auf Dienste im Netzwerk, die via Internet zugänglich sind. Diesen Monat hat Greynoise einen umfassenden Bericht veröffentlicht, der die Mass-Exploitation-Landschaft zusammenfasst, einschließlich der 20 wichtigsten CVEs, die von den größten Botnets angegriffen werden (eindeutige IPs) und der Anbieter der am häufigsten angegriffenen Produkte. Hinzu kommen die wichtigsten der in den KEV-Katalog (Known Exploited Vulnerabilities) der CISA (Cybersecurity and Infrastructure Security Agency) aufgenommenen CVEs, die von Botnets ausgenutzt werden. Der Greenbone Enterprise Feed bietet Erkennungstests für 86 % aller CVEs (86 insgesamt), auf die im Bericht verwiesen wird. Wenn nur CVEs berücksichtigt werden, die im Jahr 2020 oder später veröffentlicht wurden (insgesamt 66), deckt unser Enterprise Feed 90 % davon ab.

Weitere Ergebnisse sind:

  • 60 % der CVEs, die bei Massenangriffen ausgenutzt wurden, wurden 2020 oder später veröffentlicht.
  • Angreifer nutzen Schwachstellen innerhalb von Stunden nach ihrer Veröffentlichung aus.
  • 28 % der Schwachstellen in CISA KEV werden von Ransomware-Gruppen ausgenutzt.

Zimbra Collaboration Suite

CVE-2023-34192 (CVSS 9.0) ist eine hoch gefährliche Cross-Site-Scripting (XSS)-Schwachstelle in der Zimbra Collaboration Suite (ZCS) Version 8.8.15. Sie erlaubt authentifizierten Angreifern die Ausführung von beliebigem Code über manipulierte Skripte, die auf die Funktion „/h/autoSaveDraft“ abzielen. Die CISA hat CVE-2023-34192 in ihren KEV-Katalog aufgenommen, was darauf hindeutet, dass die Schwachstelle aktiv in realen Angriffen ausgenutzt wurde. Der PoC-Exploit-Code (Proof of Concept) ist öffentlich verfügbar, sodass auch weniger erfahrene Angreifer hier mitmischen können. CVE-2023-34192 hat seit ihrer Aufdeckung im Jahr 2023 einen sehr hohen EPSS-Score. Für Verteidiger, die EPSS (Exploit Prediction Scoring System) für die Priorisierung von Abhilfemaßnahmen nutzen, bedeutet dies, mit hoher Priorität zu patchen.

Die Zimbra Collaboration Suite (ZCS) ist eine Open-Source-Plattform für Office-Anwendungen, die E-Mail, Kalender, Kontakte, Aufgaben und Tools für die Zusammenarbeit integriert, aber einen Nischenmarktanteil von weniger als 1 % aller E-Mail- und Messaging-Plattformen hält.

„Living on the Edge“: kritische Schwachstellen in Netzwerkgeräten

In unserem monatlichen Threat Report haben wir die anhaltende Bedrohung von Edge-Netzwerkgeräten nachvollzogen. Anfang dieses Monats berichteten wir über das maximale Desaster, das die Auslaufmodelle der Zyxel-Router und -Firewalls heraufbeschwören. In diesem Abschnitt befassen wir uns mit neuen Sicherheitsrisiken, die in die Kategorie „Edge Networking“ fallen. Greenbone verfügt über Erkennungsfunktionen für alle im Folgenden beschriebenen CVEs.

Chinesische Hacker nutzen PAN-OS von Palo Alto für Ransomware

CVE-2024-0012 (CVSS 9.8), eine Sicherheitslücke in Palo Alto PAN-OS, die im November letzten Jahres bekannt wurde, gilt als eine der am häufigsten ausgenutzten Sicherheitslücken des Jahres 2024. Die CVE wird Berichten zufolge auch von staatlich unterstützten chinesischen Bedrohungsakteuren für Ransomware-Angriffe genutzt. Eine weitere neue Schwachstelle, die PAN-OS betrifft, CVE-2025-0108 (CVSS 9.1), wurde erst diesen Monat bekannt gegeben und von der CISA sofort als aktiv ausgenutzt eingestuft. Mit CVE-2025-0108 lässt sich die Authentifizierung in der Webmanagement-Schnittstelle umgehen. Sie kann mit gekoppelt werden mit CVE-2024-9474 (CVSS 7.2), einer separaten Schwachstelle für die Ausweitung von Privilegien, um unauthentifizierte Kontrolle über Root-Dateien in einem ungepatchten PAN-OS-Gerät zu erlangen.

SonicWall flickt kritische, aktiv ausgenutzte Schwachstelle in SonicOS

CVE-2024-53704, eine kritische Sicherheitslücke in SonicWall-Geräten, wurde kürzlich in die KEV-Liste der CISA aufgenommen. Erstaunlicherweise listet die CISA acht CVEs bei SonicWall auf, von denen bekannt ist, dass sie aktiv in Ransomware-Angriffen ausgenutzt werden. Die neue Bedrohung, CVE-2024-53704 (CVSS 9.8) ist eine Schwachstelle, die durch einen unsauberen Authentifizierungsmechanismus [CWE-287] im SSLVPN der SonicOS-Versionen 7.1.1-7058 und älter, 7.1.2-7019 und 8.0.0-8035 von SonicWall entsteht. Sie ermöglicht es Angreifern, die Authentifizierung zu umgehen und aktive SSL-VPN-Sitzungen zu kapern, wodurch sie möglicherweise unbefugten Zugriff auf das Netzwerk erhalten. Eine vollständige technische Analyse ist bei BishopFox verfügbar. In einem Security Advisory von SonicWall werden außerdem weitere CVEs mit hohem Schweregrad in SonicOS genannt, die zusammen mit CVE-2024-53704 gepatcht wurden.

CyberoamOS und EOL XG Firewalls von Sophos aktiv ausgenutzt

Der Security-Anbieter Sophos, der Cyberoam im Jahr 2014 übernommen hat, hat eine Warnung und einen Patch für CVE-2020-29574 herausgegeben. CyberoamOS ist Teil des Produkt-Ökosystems von Sophos. Abgesehen von diesem CVE ist auch die Sophos XG Firewall, die bald auslaufen wird, Gegenstand einer Warnung über eine mögliche aktive Ausnutzung.

  • CVE-2020-29574 (CVSS 9.8): Eine kritische SQL-Injection-Schwachstelle [CWE-89] wurde in der WebAdmin-Schnittstelle von CyberoamOS-Versionen bis zum 4. Dezember 2020 entdeckt. Dieser Fehler ermöglicht es nicht authentifizierten Angreifern, beliebige SQL-Anweisungen aus der Ferne auszuführen und möglicherweise vollständigen administrativen Zugriff auf das Gerät zu erlangen. Es wurde ein Hotfix-Patch veröffentlicht, der auch für einige betroffene End-of-Life (EOL) Produkte gilt.
  • CVE-2020-15069 (CVSS 9.8) ist eine kritische Buffer-Overflow-Schwachstelle in den Sophos XG Firewall-Versionen 17.x bis v17.5 MR12, die nicht authentifizierte Remote Code Execution (RCE) über die HTTP/S-Lesezeichen-Funktion für den clientlosen Zugriff ermöglicht. Diese 2020 veröffentlichte Sicherheitslücke wird nun aktiv ausgenutzt und wurde in die CISA KEV aufgenommen, was auf ein erhöhtes Risiko hinweist. Sophos veröffentlichte 2020, als die Sicherheitslücke bekannt wurde, einen Hinweis zusammen mit einem Hotfix für betroffene Firewalls. Die Hardware-Appliances der XG-Serie werden voraussichtlich bald, am 31. März 2025, das Ende ihrer Lebensdauer (EOL) erreichen.

PrivEsc- und Auth-Umgehungen in Fortinet FortiOS und FortiProxy

Fortinet hat zwei kritische Sicherheitslücken bekannt gegeben, die beide FortiOS und FortiProxy betreffen. Das Canadian Center for Cybersecurity und das Belgian Center for Cybersecurity haben Hinweise veröffentlicht. Fortinet räumt ein, dass CVE-2024-55591 aktiv ausgenutzt wird, und hat eine offizielle Anleitung veröffentlicht, die Details zu den betroffenen Versionen und empfohlenen Updates enthält.

  • CVE-2024-55591 (CVSS 9.8): Ein Authentication Bypass unter Verwendung eines alternativen Pfads oder Kanals [CWE-288], die FortiOS betrifft, ermöglicht es einem Angreifer, remote über manipulierte Anfragen an das Node.js-Websocket-Modul Super-Admin-Rechte zu erlangen. Es stehen mehrere PoC-Exploits zur Verfügung [1][2], die das Risiko einer Ausnutzung durch weniger erfahrene Angreifer erhöhen.
  • CVE-2024-40591 (CVSS 8.8): Ermöglicht es einem authentifizierten Administrator mit Security Fabric-Berechtigungen, seine Privilegien zum Super-Administrator zu erweitern, indem er das betroffene FortiGate-Gerät mit einem kompromittierten Upstream-FortiGate unter seiner Kontrolle verbindet.

Cisco-Schwachstellen als erste Zugangsvektoren bei Telekom-Hacks

In den letzten Monaten hat die chinesische Spionagegruppe Salt Typhoon routinemäßig mindestens zwei kritische Schwachstellen in Cisco IOS XE-Geräten ausgenutzt, um sich dauerhaft Zugang zu Telekommunikationsnetzen zu verschaffen. Zu den Opfern gehören italienische ISPs, eine südafrikanische und eine große thailändische Telekommunikationsgesellschaft sowie zwölf Universitäten weltweit, darunter die UCLA, die indonesische Universitas Negeri Malang und die mexikanische UNAM. Zuvor hatte Salt Typhoon mindestens neun US-amerikanische Telekommunikationsunternehmen angegriffen, darunter Verizon, AT&T und Lumen Technologies. Die US-Behörden behaupten, Salt Typhoons Ziel sei die Überwachung von hochrangigen Personen, politischen Persönlichkeiten und Beamten, die mit chinesischen politischen Interessen in Verbindung stehen.

Zu den CVEs, die von Salt Typhoon ausgenutzt werden, gehören:

  • CVE-2023-20198 (CVSS 10): Eine Schwachstelle zur Privilegien-Erweiterung in der Web-Schnittstelle von Cisco IOS XE. Sie wird für den anfänglichen Zugriff verwendet und ermöglicht es Angreifern, ein Admin-Konto zu erstellen.
  • CVE-2023-20273 (CVSS 7.2): Eine weitere Schwachstelle, die zur Erweiterung von Privilegien führt. Nach Erlangung des Admin-Zugriffs wird sie dazu genutzt, den privilegierten Zugriff auf Root-Dateien zu erweitern und einen GRE-Tunnel (Generic Routing Encapsulation) für den dauerhaften Verbleib im Netzwerk einzurichten.

Außerdem wurden im Februar 2025 zwei weitere CVEs in Cisco-Produkten bekannt:

  • CVE-2023-20118 (CVSS 7.2): Eine Command-Injection-Schwachstelle in der webbasierten Management-Oberfläche von Cisco Small Business Routern erlaubt es authentifizierten, entfernten Angreifern, beliebige Befehle mit Root-Rechten auszuführen, indem sie manipulierte HTTP-Anfragen senden. Die CISA hat CVE-2023-20118 in ihren KEV-Katalog aufgenommen, was darauf hindeutet, dass die Schwachstelle aktiv ausgenutzt wird.
  • CVE-2023-20026 (CVSS 7.2): Eine Command-Injection-Schwachstelle in der webbasierten Management-Oberfläche der Cisco Small Business Router der RV042-Serie erlaubt authentifizierten, entfernten Angreifern mit gültigen administrativen Anmeldeinformationen, beliebige Befehle auf dem Gerät auszuführen. Die Schwachstelle ist auf eine unsachgemäße Validierung von Benutzereingaben in eingehenden HTTP-Paketen zurückzuführen. Es ist zwar nicht bekannt, dass CVE-2023-20026 in aktiven Kampagnen ausgenutzt wird, aber dem Product Security Incident Response Team (PSIRT) von Cisco ist bekannt, dass PoC-Exploit-Code für diese Sicherheitslücke existiert.

Ivanti patcht vier kritische Schwachstellen

Es wurden vier kritische Schwachstellen identifiziert, die Ivanti Connect Secure (ICS), Policy Secure (IPS) und Cloud Services Application (CSA) betreffen. Bisher sind keine Berichte über aktive Angriffe in freier Wildbahn oder PoC-Exploits aufgetaucht. Ivanti rät Anwendern, umgehend auf die neuesten Versionen zu aktualisieren, um diese kritischen Sicherheitslücken zu schließen.

Hier ist eine kurze technische Zusammenfassung:

  • CVE-2025-22467 (CVSS 8.8): Angreifer mit Anmeldeinformationen können aufgrund eines Stack-basierten Buffer Overflow in ICS-Versionen vor 22.7R2.6 Remote Code Execution (RCE) erreichen [CWE-121].
  • CVE-2024-38657 (CVSS 9.1): Angreifer mit Anmeldeinformationen können beliebige Dateien schreiben aufgrund einer externen Kontrolle des Dateinamens in ICS-Versionen vor 22.7R2.4 und IPS-Versionen vor 22.7R1.3.
  • CVE-2024-10644 (CVSS 9.1): Ein Code-Injection-Fehler in ICS (vor 22.7R2.4) und IPS (vor 22.7R1.3) ermöglicht beliebige RCE für authentifizierte Administratoren.
  • CVE-2024-47908 (CVSS 7.2): Eine Schwachstelle in der Command Injection des Betriebssystems [CWE-78] in der Admin-Webkonsole von CSA (Versionen vor 5.0.5) erlaubt beliebige RCE für authentifizierte Administratoren.

Zusammenfassung

Der Threat Report dieses Monats beleuchtet wichtige Entwicklungen im Bereich der Cybersicherheit, darunter die sich weiterentwickelnden Taktiken von Ransomware-Gruppen wie Black Basta und die allgegenwärtige kritische Bedrohung für Edge-Netzwerkgeräte. Unterstützt durch KI-Tools nutzen Angreifer Schwachstellen immer schneller aus – manchmal schon wenige Stunden nach ihrer Entdeckung. Unternehmen müssen wachsam bleiben, indem sie proaktive Sicherheitsmaßnahmen ergreifen, ihre Abwehr kontinuierlich aktualisieren und Bedrohungsdaten nutzen, um neuen Gefahren einen Schritt voraus zu sein.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Joseph Lee

Januar 2025 Threat Report: Der Lohn der Vorbereitung

In diesem Jahr werden viele große Unternehmen weltweit gezwungen sein, sich mit der Ursache von Cyberangriffen auseinanderzusetzen. Viele bekannte Schwachstellen sind ein offenes Einfallstor für eingeschränkte Netzwerkressourcen. In unserem ersten Threat Report des Jahres 2025 gehen wir auf einige katastrophale Sicherheitsverletzungen aus 2024 ein und befassen uns mit Sicherheitslücken, die im letzten Monat gefährlich wurden.

Die hier besprochenen Schwachstellen kratzen jedoch nur an der Oberfläche. Im Januar 2025 wurden über 4.000 neue CVEs (Common Vulnerabilities and Exposures) veröffentlicht, 22 mit der maximalen CVSS-Punktzahl von 10 und 375 mit kritischem Schweregrad. Die Flut von kritischen Schwachstellen in Edge-Networking-Geräten ist noch nicht abgeebbt. Neu angegriffene Schwachstellen in Produkten von globalen Tech-Giganten wie Microsoft, Apple, Cisco, Fortinet, Palo Alto Networks, Ivanti, Oracle und anderen wurden in den KEV-Katalog (Known Exploited Vulnerabilities) der CISA (Cybersecurity and Infrastructure Security Agency) aufgenommen.

Software-Lieferkette: Die Verantwortung der User

Wir alle arbeiten mit Software, die wir nicht selbst entwickelt haben. Daher spielt Vertrauen eine große Rolle. Wo das Vertrauen wackelt, sei es aus Angst vor mangelnder Sorgfalt, Böswilligkeit oder menschlichem Versagen, liegt die Verantwortung für die Cybersicherheit immer noch beim Endbenutzer. Die Absicherung gegen Risiken hängt in hohem Maß von technischem Wissen und gemeinsamen Anstrengungen ab. Verteidiger müssen sich im Jahr 2025 dessen bewusst sein.

Wenn die Sicherheit der Lieferkette versagt, fragen Sie nach den Gründen! Hat der Softwareanbieter die erforderlichen Tools zur Verfügung gestellt, damit Sie die Kontrolle über die Ergebnisse Ihrer Sicherheitsbemühungen übernehmen können? Führt Ihr Security-Team eine sorgfältige Erkennung und Behebung von Schwachstellen durch? Sind Ihre Ressourcen mit starken Zugangskontrollen segmentiert? Wurden die Mitarbeiter darin geschult, Phishing-Angriffe zu erkennen? Wurden noch andere, angemessene Cybersicherheitsmaßnahmen ergriffen? Unternehmen müssen ihre Resilienz gegen Ransomware stärken, das heißt, sie müssen regelmäßig die Schwachstellen bewerten und das Patchmanagement priorisieren. Darüber hinaus sollten sie überprüfen, ob zuverlässige Backup-Strategien bestehen, die die Recovery-Ziele erfüllen, und andere grundlegende Sicherheitskontrollen etablieren, um sensible Daten zu schützen und Ausfallzeiten zu vermeiden.

Erfolg durch Vorbereitung

Der Jahresbericht 2024 des britischen NCSC (National Cyber Security Center) zeichnet ein düsteres Bild: Die Zahl der bedeutenden Cyberangriffe hat sich im Vergleich zu 2023 verdreifacht. Aus der Vogelperspektive hat das CSIS (Center for International Strategic & International Studies) eine umfangreiche Liste der wichtigsten Cybervorfälle des Jahres 2024 veröffentlicht. Die Bedrohungslandschaft wurde durch den Russland-Ukraine-Konflikt geprägt und den weltweit beschleunigten Umschwung weg von der Globalisierung hin zur Feindseligkeit.

Check Point Research fand heraus, dass 96 % aller Schwachstellen, die 2024 ausgenutzt wurden, über ein Jahr alt waren. Dies sind positive Erkenntnisse für proaktive Verteidiger. Unternehmen, die ein Schwachstellenmanagement betreiben, sind wesentlich besser gegen gezielte Ransomware und Massenangriffe gewappnet. Klar ist: Proaktive Cybersicherheit reduziert die Kosten einer Sicherheitsverletzung.

Sehen wir uns zwei der wichtigsten Sicherheitsverletzungen aus dem Jahr 2024 an:

  • Das Change Healthcare Datenleck: Im Jahr 2024 gingen die Sicherheitsverletzungen im Gesundheitswesen gegenüber dem Rekordjahr 2023 insgesamt zurück. Der Ransomware-Angriff auf Change Healthcare stellte jedoch mit 190 Millionen betroffenen Personen einen neuen Rekord auf, wobei sich die Gesamtkosten bisher auf 2,457 Milliarden Dollar belaufen. Der Bundesstaat Nebraska hat nun eine Klage eingereicht gegen Change Healthcare, weil das Unternehmen veraltete IT-Systeme betreibt, die nicht den Sicherheitsstandards für Unternehmen entsprechen. Nach Angaben von IBM sind Sicherheitsverletzungen im Gesundheitswesen mit durchschnittlich 9,77 Millionen Dollar im Jahr 2024 am kostspieligsten.
  • Typhoon-Teams brechen in neun amerikanische TK-Unternehmen ein: Das Suffix „Typhoon“ wird von Microsofts Namenskonvention für Bedrohungsakteure für Gruppen mit chinesischem Ursprung verwendet. Der staatlich unterstützte chinesische Angreifer Salt Typhoon war in die Netzwerke von mindestens neun großen US-Telekommunikationsunternehmen eingedrungen und hatte auf die Anruf- und Text-Metadaten der Benutzer sowie auf Audioaufnahmen von hochrangigen Regierungsvertretern zugegriffen. Volt Typhoon drang in die Netzwerke von Singapore Telecommunications (SingTel) und anderen Telekommunikationsbetreibern weltweit ein. Die „Typhoons“ nutzten Schwachstellen in veralteten Netzwerkgeräten aus, darunter ungepatchte Microsoft Exchange Server, Cisco-Router, Fortinet- und Sophos-Firewalls sowie Ivanti-VPN-Anwendungen. Greenbone ist in der Lage, alle bekannten Software-Schwachstellen im Zusammenhang mit Salt Typhoon und Volt Typhoon-Angriffen zu erkennen [1][2].

UK: Verbot von Ransomware-Zahlungen im öffentlichen Sektor?

Die britische Regierung hat im Rahmen der Ransomware-Bekämpfung ein Verbot von Lösegeldzahlungen durch öffentliche Einrichtungen und Betreiber kritischer Infrastrukturen vorgeschlagen, um Cyberkriminelle davon abzuhalten, sie ins Visier zu nehmen. In einem neuen Bericht des National Audit Office (NAO), der unabhängigen britischen Aufsichtsbehörde für öffentliche Ausgaben, heißt es jedoch, dass „die Cyberbedrohung für die britische Regierung ernst ist und schnell voranschreitet“.

Das FBI, die CISA und die NSA raten von Lösegeldzahlungen ab. Schließlich garantiert die Zahlung eines Lösegelds nicht die Wiederherstellung verschlüsselter Daten oder verhindert die Veröffentlichung gestohlener Daten und kann sogar zu weiterer Erpressung ermutigen. Auf der anderen Seite räumt der Security-Thinktank von IBM ein, dass viele kleine und mittlere Unternehmen die durch Ransomware verursachten Ausfallzeiten finanziell nicht verkraften könnten. Auch wenn beide Seiten gute Argumente haben: Kann es zu einem positiven Ergebnis führen, wenn Cyber-Kriminelle bereichert werden und die Förderung lokaler Talente vernachlässigt wird?

Schwachstelle in SonicWall SMA 1000 aktiv ausgenutzt

Microsoft Threat Intelligence hat die aktive Ausnutzung von SonicWall SMA 1000 Gateways über CVE-2025-23006 (CVSS 9.8 Kritisch) aufgedeckt. Die Schwachstelle wird durch die unsachgemäße Behandlung nicht vertrauenswürdiger Daten während der Deserialisierung verursacht [CWE-502]. Über sie kann ein nicht authentifizierter Angreifer mit Zugriff auf die interne Appliance Management Console (AMC) oder die Schnittstelle der Central Management Console (CMC) beliebige Betriebssystembefehle ausführen. SonicWall hat den Hotfix Version 12.4.3-02854 veröffentlicht, um die Schwachstelle zu beheben.

Obwohl kein öffentlich zugänglicher Exploit-Code identifiziert wurde, haben zahlreiche Regierungsbehörden Warnungen herausgegeben, darunter das deutsche BSI CERT-Bund, das kanadische Center for Cybersecurity, CISA und der britische NHS (National Health Service). Greenbone kann SonicWall-Systeme erkennen, die von CVE-2025-23006 betroffen sind, indem es die im Service-Banner angegebene Version per Fernzugriff überprüft.

CVE-2024-44243 für persistente Rootkits in macOS

Der Januar 2025 war ein Monat voller Herausforderungen für die Apple-Sicherheit. Microsoft Threat Intelligence hat Zeit für einen Sicherheitstest von macOS gefunden und dabei eine Schwachstelle entdeckt, die es installierten Apps ermöglichen könnte, den Systemintegritätsschutz (SIP) des Betriebssystems zu verändern. Laut Microsoft könnten Angreifer auf diese Weise Rootkits und persistente Malware installieren und Transparency, Consent and Control (TCC) umgehen, das Anwendungen auf Ordnerbasis granulare Zugriffsberechtigungen gewährt. Obwohl noch kein aktiver Angriff gemeldet wurde, hat Microsoft technische Details zu den Erkenntnissen veröffentlicht.

Als der Januar zu Ende ging, wurde eine Reihe von 88 neuen CVEs veröffentlicht, von denen 17 einen kritischen Schweregrad (CVSS) aufweisen und das gesamte Spektrum der Apple-Produkte betreffen. Eine davon, CVE-2025-24085, wurde bei aktiven Angriffen beobachtet und in den KEV-Katalog der CISA aufgenommen. Darüber hinaus wurden zwei potenziell ausnutzbare Schwachstellen in den Chips der M-Serie von Apple mit den Bezeichnungen SLAP und FLOP entdeckt, denen jedoch noch keine CVEs zugeordnet wurden. Bei SLAP machten sich die Forscher die Schwachstellen des Chips zunutze, um die Heap-Allokationstechniken von Safari WebKit auszunutzen und JavaScript-String-Metadaten zu manipulieren, um spekulative Out-of-bounds-Lesevorgänge zu ermöglichen, sodass sie sensible DOM-Inhalte aus anderen geöffneten Website-Tabs extrahieren konnten. Für FLOP demonstrierten die Forscher, dass sensible Daten aus Safari und Google Chrome gestohlen werden können, indem sie die Javascript-Typüberprüfung in Safari WebKit und die Site Isolation von Chrome über WebAssembly umgehen.

Außerdem wurden fünf schwerwiegende Sicherheitslücken veröffentlicht, die Microsoft Office für macOS betreffen. Jede von ihnen kann einem Angreifer Remote Code Execution (RCE) ermöglichen. Zu den betroffenen Produkten gehören Microsoft Word (CVE-2025-21363), Excel (CVE-2025-21354 und CVE-2025-21362) und OneNote (CVE-2025-21402) für macOS. Es sind zwar noch keine technischen Details zu diesen Schwachstellen verfügbar, aber alle haben hohe CVSS-Bewertungen und Benutzer sollten so bald wie möglich ein Update durchführen.

Der Greenbone Enterprise Feed erkennt fehlende macOS-Sicherheitsupdates und viele andere CVEs, die Anwendungen für macOS betreffen, einschließlich der fünf neu entdeckten CVEs in Microsoft Office für Mac.

6 CVEs in Rsync mit Server- und Client-Übernahme

Die Kombination von zwei neu entdeckten Schwachstellen kann die Ausführung von beliebigem Code auf anfälligen Rsyncd-Servern ermöglichen, während nur anonymer Lesezugriff besteht. CVE-2024-12084, ein Heap Buffer Overflow, und CVE-2024-12085, ein Informationsleck, sind die Übeltäter. Öffentliche Mirrors, die Rsyncd verwenden, stellen das höchste Risiko dar, da sie von Natur aus keine Zugriffskontrolle haben.

Die Forscher fanden außerdem heraus, dass ein als Waffe eingesetzter Rsync-Server beliebige Dateien auf verbundenen Clients lesen und schreiben kann. Dies kann den Diebstahl sensibler Informationen und möglicherweise die Ausführung von Schadcode durch Änderung ausführbarer Dateien ermöglichen.

Hier ist eine Zusammenfassung der neuen Schwachstellen, geordnet nach CVSS-Schweregrad:

  • CVE-2024-12084 (CVSS 9.8 Kritisch): Unsachgemäße Handhabung der Prüfsummenlänge ermöglicht einen Heap Buffer Overflow und RCE.
  • CVE-2024-12085 (CVSS 7.5 Hoch): Uninitialisierte Stack-Inhalte können sensible Informationen preisgeben.
  • CVE-2024-12087 (CVSS 6.5 Medium): Die Path Traversal-Schwachstelle in Rsync ermöglicht Zugriff auf nicht autorisierte Dateien.
  • CVE-2024-12088 (CVSS 6.5 Medium): Path Traversal über die Option –safe-links kann beliebiges Schreiben von Dateien außerhalb des vorgesehenen Verzeichnisses ermöglichen.
  • CVE-2024-12086 (CVSS 6.1 Medium): Rsync-Server können beliebige Client-Dateien durchsickern lassen, wenn sie von einem Client auf einen Server kopiert werden.
  • CVE-2024-12747 (CVSS 5.6 Medium): Unsachgemäße Handhabung symbolischer Links führt zu einem Wettlauf, der die Erweiterung von Privilegien ermöglicht, wenn ein Admin-Benutzer den Rsyncd-Prozess kontrolliert.

Insgesamt stellen diese Schwachstellen ein ernsthaftes Risiko für RCE, Datenexfiltration und die Installation dauerhafter Malware sowohl auf Rsyncd-Servern als auch auf ahnungslosen Clients dar. Benutzer müssen auf die gepatchte Version aktualisieren, auf allen Systemen, die rsync verwendet haben, gründlich nach Indicators of Compromise (IoC) suchen und möglicherweise die Infrastruktur für die Dateifreigabe neu einrichten. Greenbone ist in der Lage, alle bekannten Schwachstellen in Rsync und die Nichteinhaltung wichtiger Sicherheitsupdates zu erkennen.

CVE-2025-0411: 7-Zip bietet MotW-Bypass

Am 25. Januar 2025 wurde die Sicherheitslücke CVE-2025-0411 (CVSS 7.5 Hoch) veröffentlicht, die das Archivierungsprogramm 7-Zip betrifft. Die Schwachstelle ermöglicht die Umgehung der Windows-Sicherheitsfunktion Mark of the Web (MotW) über speziell gestaltete Archivdateien. MotW kennzeichnet Dateien, die aus dem Internet heruntergeladen werden, mit einem Zone Identifier alternate data stream (ADS) und warnt, wenn sie aus einer nicht vertrauenswürdigen Quelle stammen. 7-Zip-Versionen vor 24.09 geben das MotW-Flag jedoch nicht an Dateien in verpackten Archiven weiter. Die Ausnutzung der Sicherheitslücke CVE-2025-0411, um die Kontrolle über das System eines Opfers zu erlangen, erfordert menschliche Interaktion. Die Zielpersonen müssen ein trojanisiertes Archiv öffnen und dann eine darin enthaltene bösartige Datei ausführen.

Interessanterweise haben Untersuchungen von Cofense ergeben, dass Regierungswebsites auf der ganzen Welt über CVE-2024-25608, eine Schwachstelle in der digitalen Plattform Liferay, für Credential-Phishing, Malware und Command-and-Control-Operationen (C2) missbraucht werden. Diese Schwachstelle ermöglicht es Angreifern, Benutzer von vertrauenswürdigen .gov-URLs auf bösartige Phishing-Seiten umzuleiten. Die Kombination der Umleitung von einer vertrauenswürdigen .gov-Domäne mit der 7-Zip-Schwachstelle birgt erhebliches Potenzial für die heimliche Verbreitung von Malware.

In Anbetracht der Risiken sollten Nutzer manuell auf die Version 24.09 aktualisieren, die seit Ende 2024 verfügbar ist. Wie bereits in der Einleitung erwähnt, liegt die Sicherheit der Software-Lieferkette oft in einer Grauzone, da wir alle von Software abhängig sind, die sich unserer Kontrolle entzieht. Bemerkenswert ist, dass 7-Zip vor der Veröffentlichung von CVE-2025-0411 die Benutzer nicht auf eine Sicherheitslücke hingewiesen hat. Und obwohl 7-Zip Open-Source ist, enthält das GitHub-Konto des Produkts nicht viele Details oder Kontaktinformationen für eine verantwortungsvolle Offenlegung.

Darüber hinaus hat das CVE eine DFN-CERT– und eine BSI CERT-Bund-Meldung ausgelöst [1][2]. Greenbone kann das Vorhandensein von anfälligen Versionen von 7-Zip erkennen.

Zusammenfassung

Diese Ausgabe unseres monatlichen Threat Reports befasst sich mit wichtigen Sicherheitsverletzungen aus dem Jahr 2024 und neu entdeckten kritischen Sicherheitslücken im Januar 2025. Die Software-Lieferkette stellt für alle großen und kleinen Unternehmen ein erhöhtes Risiko dar, sowohl durch Open-Source- als auch durch Closed-Source-Produkte. Open-Source-Software bietet jedoch Transparenz und die Möglichkeit für die Beteiligten, sich proaktiv für ihre eigenen Security-Resultate einzusetzen, entweder gemeinsam oder unabhängig. Obwohl die Kosten für Cybersicherheit beträchtlich sind, werden fortschreitende technische Fähigkeiten zunehmend ein entscheidender Faktor für die Sicherheit von Unternehmen und Staaten sein. Das Glück begünstigt diejenigen, die vorbereitet sind.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von