Schlagwortarchiv für: Threat Report

Joseph Lee

Threat Report Mai 2025: hacken, reinigen, wiederholen

Der Mai 2025 war ein ereignisreicher Monat für Cybersecurity-Nachrichten, darunter mehrere große Sicherheitsverletzungen und neue kritische Schwachstellen. Der Greenbone-Blog hat bereits über einige wichtige Ereignisse berichtet, z. B. über neue, aktiv ausgenutzte Sicherheitslücken in SAP Netweaver, Commvault Command Center und Ivanti EPMM. Insgesamt wurden dem CVE-Programm (Common Vulnerabilities and Exposures) von MITRE 4.014 neue Schwachstellen hinzugefügt. Greenbone fügte dem Enterprise Feed über 2.500 neue Schwachstellentests hinzu, von denen viele mehrere CVEs erkennen können.

Im Threat Report für Mai 2025 stellen wir einige der riskantesten neuen CVEs vor, die in diesem Monat veröffentlicht wurden. Außerdem gehen wir auf eine staatlich unterstützte Cyber-Kampagne ein, die sich auf Technologieunternehmen auf der ganzen Welt auswirkt, und untersuchen, wie KI das Cyber-Risiko durch intelligente Automatisierung auf allen Stufen der Cyber-Kill-Chain erhöhen kann.

Der unvermeidliche, KI-gestützte Angriffszyklus: hacken, reinigen, wiederholen

KI ist heute ein Multiplikator im Lebenszyklus von Cyberangriffen. Bedrohungsakteure nutzen KI auf zwei grundlegende Arten: Sie beschleunigen die Umwandlung von öffentlichem Wissen über Schwachstellen in Exploit-Tools und sie erstellen überzeugendere Social-Engineering-Inhalte. Forschende haben eine lange Liste weiterer Fähigkeiten vorgeschlagen, die KI weiter optimieren kann, darunter die Automatisierung von Angriffen beim ersten Zugang und Command-and-Control-Verfahren (C2).

Selbst ohne KI können erfahrene Hacker innerhalb weniger Minuten nach dem ersten Zugang sensible Informationen herausfiltern. Wenn LAN-seitig im Netzwerk eines Opfers erhebliche Schwachstellen bestehen, ist das manuelle Einbringen von Ransomware ein Kinderspiel. Im Jahr 2017 hat WannaCry gezeigt, dass Ransomware-Angriffe automatisiert und sogar wie Würmer genutzt werden können, die sich autonom zwischen Systemen bewegen.

Laut dem jüngsten Gen Threat Report von Norton hat der Datendiebstahl im ersten Quartal 2025 um 186 % zugenommen. Wie im Threat Report vom April 2025 beschrieben, sind die Sammelklagen im Zusammenhang mit Datendiebstahl innerhalb von sechs Jahren um 1.265 % rasant gestiegen. Wenn die Cyber-Hygiene eines Opfers nicht regelkonform ist, sind Vergleiche in Millionenhöhe die Regel. Allein die Top 10 der Sammelklagen wegen Datenschutzverletzungen beliefen sich im Jahr 2023 auf über 515 Millionen US-Dollar, wobei der größte Vergleich mit 350 Millionen US-Dollar T-Mobile betraf. Die gestohlenen Daten werden oft im Dark Web verkauft und dienen als Treibstoff für weitere Cyberangriffe. Wir müssen davon ausgehen, dass KI in naher Zukunft in allen Phasen der Cyber-Kill-Chain vollständige Autonomie erreichen wird, was zu einem autonomen Teufelskreis aus hacken, reinigen und wiederholen führen wird.

Russischer GRU nimmt Logistik- und Technologieunternehmen ins Visier

Die CISA (Cybersecurity and Infrastructure Security Agency) und Verteidigungseinrichtungen aus neun anderen Ländern haben vor einer auf Cyberspionage ausgerichteten Kampagne gewarnt, die vom 85. Main Special Service Center (85. GTsSS) des russischen Generalstabs (GRU), der militärischen Einheit 26165, durchgeführt wird. Diese ist unter verschiedenen Decknamen bekannt, darunter die bekannten FancyBear und APT28.

Der vollständige Bericht beschreibt detailliert die Taktiken, Techniken und Verfahren (TTP), die bei der Kampagne zum Einsatz kamen, darunter Reconnaissance [TA0043], Brute-Force-Angriffe [T1110.003] und Spearphishing zur Erlangung von Zugangsdaten sowie zur Verbreitung von Malware [T1566], die Ausnutzung von Vertrauensverhältnissen, um Zugang zu erlangen [T1199], Proxy-Angriffe über kompromittierte Geräte [T1665] und die Ausnutzung bekannter Softwareschwachstellen – sowohl für den Erstzugang [T1190], als auch für die Ausweitung von Berechtigungen [T1068]. Die schiere Vielfalt der Angriffstechniken deutet auf eine hochentwickelte Bedrohung hin.

Die Kampagne zielt auf eine breite Palette von SOHO-Geräten (Small Office/Home-Office), Microsoft Outlook, RoundCube Webmail und WinRAR sowie auf nicht veröffentlichte CVEs in anderen, vom Internet aus zugänglichen Infrastrukturen, einschließlich Unternehmens-VPNs und SQL-Injection-Fehlern. Greenbone enthält Erkennungstests für alle im Bericht genannten CVEs. Zu diesen CVEs gehören:

  • CVE-2023-23397 (CVSS 9.8): Eine Schwachstelle für die Ausweitung von Privilegien in Microsoft Outlook, die die Wiedergabe von erfassten Net-NTLMv2-Hashes ausnutzt.
  • CVE-2020-12641 (CVSS 9.8): Ermöglicht Angreifenden die Ausführung von beliebigem Code über Shell-Metazeichen in einer Roundcube-Webmail-Konfigurationseinstellung für `im_convert_path` oder `im_identify_path`.
  • CVE-2020-35730 (CVSS 5.0): Ein XSS-Fehler in Roundcube Webmail über eine einfache Text-E-Mail-Nachricht, die eine JavaScript-Link-Referenz enthält.
  • CVE-2021-44026 (CVSS 6.1): Eine SQL-Injection-Sicherheitslücke in Roundcube über die Suche oder `search_params`.
  • CVE-2023-38831 (CVSS 7.8): Ermöglicht Angreifenden die Ausführung von beliebigem Code, wenn Nutzende versuchen, eine gutartige Datei innerhalb eines ZIP-Archivs anzuzeigen.

DragonForce Ransomware breitet die Schwingen aus

DragonForce entstand Mitte 2023 und wandelte sich von einem Hacktivisten-Kollektiv zu einem finanziell motivierten RaaS-Unternehmen (Ransomware-as-a-Service). Im Jahr 2025 hat sich DragonForce als eine der größten Bedrohungen im Ransomware-Ökosystem etabliert.

DragonForce-Ransomware-Angriffe betrafen die folgenden Länder:

  • Vereinigten Staaten – 43 bestätigte Vorfälle
  • das Vereinigte Königreich – einschließlich der jüngsten Einbrüche bei Marks & Spencer, Co-op und Harrods im Mai 2025
  • Saudi-Arabien – ein Datenleck bei einer großen Baufirma in Riad
  • Australien – z. B. Yakult Australia
  • Singapur – Coca-Cola-Geschäfte
  • Palau – ein Einbruch in die Regierung im März 2024
  • Kanada – unter den fünf am häufigsten angegriffenen Ländern
  • Indien, das insbesondere im letzten Monat ebenfalls verstärkt ins Visier genommen wurde.

Zu den Kampagnen gehörte die Ausnutzung von SimpleHelp Remote Monitoring and Management (RMM) [1], Confluence Server und Data Center [2], Log4Shell (auch bekannt als Log4J), Microsoft Windows-Schwachstellen sowie verschiedener Schwachstellen in Ivanti-Produkten [3]. Greenbone bietet mehrere aktive Prüf- und Versionserkennungstests für alle in DragonForce-Kampagnen identifizierten CVEs.

Die Ausnutzung der folgenden Schwachstellen durch DragonForce sind bestätigt:

Im Einklang mit der Angriffsstrategie anderer bekannter Ransomware-Akteure ist bekannt, dass DragonForce neben dem Ausnutzen von Schwachstellen, die für die Öffentlichkeit zugänglich sind, auch andere Techniken einsetzt. Dazu zählen unter anderem Phishing-E-Mails, Diebstahl von Credentials, Brute-Force- und Credential-Stuffing-Angriffe auf exponierte Dienste sowie Remote-Management-Tools (RMM) wie AnyDesk, Atera und TeamViewer für Persistenz und laterale Bewegungen. Daher benötigen Unternehmen umfassende Cybersicherheitsprogramme, die Schulungen zur Sensibilisierung der Nutzenden umfassen, um Social-Engineering-Angriffe zu verhindern sowie regelmäßige Penetrationstests, um reale gegnerische Aktivitäten zu simulieren.

CVE-2025-32756: Stack-basierte Buffer-Owerflow-Schwachstelle in mehreren Fortinet-Produkten

CVE-2025-32756 (CVSS 9.8), veröffentlicht am 13. Mai 2025, ist eine kritische, Stack-basierte Buffer-Overflow-Schwachstelle [CWE-12], die mehrere Fortinet-Produkte betrifft. Die Schwachstelle ermöglicht entfernten, nicht authentifizierten Angreifenden die Ausführung von beliebigem Code über manipulierte HTTP-Cookies. Sie wird aktiv ausgenutzt – in erster Linie gegen FortiVoice-Systeme – und steht in Verbindung mit Angriffen, bei denen Malware eingesetzt wird, Anmeldedaten mithilfe von Cron-Jobs gestohlen und Netzwerke ausgekundschaftet werden. Details zum Proof-of-Concept sind öffentlich verfügbar, und es wurde eine vollständige technische Analyse veröffentlicht, die den Risikofaktor erhöht.

Fortinet-Schwachstellen haben eine historisch hohe Konversionsrate für Ransomware-Angriffe. Seit Ende 2021 wurden insgesamt 18 Schwachstellen in Fortinet-Produkten in die KEV-Liste (Known Exploited Vulnerabilities) der CISA aufgenommen – 11 davon werden bekanntermaßen von Ransomware-Betreibern ausgenutzt. Neben der CISA haben auch mehrere andere nationale CERT-Einrichtungen Warnungen herausgegeben, darunter das CERT-EU, das Centre for Cybersecurity Belgium (CCB) und das deutsche CERT-BUND.

Die Ursache ist eine fehlende Längen-Überprüfung in der Funktion `cookieval_unwrap()` von libhttputil.so. Ein bösartiger AuthHash-Cookie kann den Speicher so beschädigen, dass die Rücksprungadresse kontrolliert werden kann, sodass ausführbare Dateien auf Prozessebene manipuliert werden können. Der Greenbone Enterprise Feed bietet einen Schwachstellentest zur Erkennung betroffener Produkte und fast 1.000 weitere Tests zur Erkennung anderer Schwachstellen in Fortinet-Produkten.

CVE-2025-32756 betrifft Dutzende von Firmware-Versionen diverser FortiNet Produkte, darunter:

  • FortiVoice (6.4.0 – 7.2.0)
  • FortiMail (7.0.0 – 7.6.2)
  • FortiNDR (1.1-7.6.0)
  • FortiRecorder (6.4.0 – 7.2.3)
  • alle Versionen von FortiCamera 1.1 und 2.0 sowie 2.1.0 – 2.1.3

Fortinet rät, sofort auf die neuesten korrigierten Versionen zu aktualisieren. Wenn ein Patch nicht möglich ist, sollten Nutzende die HTTP/HTTPS-Admin-Schnittstelle deaktivieren, um erfolgreiche Angriffe zu verhindern.

Drei SysAid-Schwachstellen jetzt mit CVEs und öffentlichen PoCs

Im Mai wurden drei Schwachstellen mit kritischem Schweregrad bekannt, die die On-Premises SysAid IT Service Management (ITSM)-Plattform betreffen und die so miteinander verkettet werden können, dass unauthentifizierte Remote Code Execution (RCE) möglich ist. Vollständige technische Details und ein Proof-of-Concept (PoC) wurden von watchTowr veröffentlicht. In Anbetracht der Tatsache, dass SysAid-Schwachstellen in der Vergangenheit bereits von Ransomware-Betreibern angegriffen wurden, sind diese Schwachstellen besonders risikoreich.

CVE-2025-2775, CVE-2025-2776 und CVE-2025-2777 (jeweils CVSS 9.3) sind nicht authentifizierte XML External Entity (XXE) [CWE-611]-Schwachstellen in den Funktionen Checkin, Server URL bzw. lshw. Sie alle ermöglichen die Übernahme eines Administrationskontos und das Lesen beliebiger Dateien auf dem System des Opfers. SysAid On-Prem Versionen ≤ 23.3.40 sind betroffen. Bemerkenswert ist, dass die Fehler vom Hersteller im März zwar gepatcht, aber keine CVE-IDs reserviert oder ausgegeben wurden. Diese Art von Szenario trägt zu einer undurchsichtigen Bedrohungslandschaft für Software-Anwendende bei, was die Transparenz verringert und das operative Schwachstellenmanagement erschwert. Greenbone bietet Erkennungstests für alle oben genannten CVEs.

SysAid ist weltweit vertreten mit über 10.000 Kunden in 140 Ländern, darunter Unternehmen wie Coca-Cola, Panasonic, Adobe und LG. Im Vergleich zu größeren Wettbewerbern wie ServiceNow oder Jira Service Management hat SysAid zwar einen geringeren Anteil am ITSM-Markt, bleibt aber dennoch eine beliebte Lösung für mittelständische Unternehmen.

CVSS 10 in Cisco IOS XE Wireless Controller

CVE-2025-20188 ist eine neue Sicherheitslücke mit kritischem Schweregrad (CVSS 10), die im Mai 2025 veröffentlicht wurde. Die Flaggschiff-Plattform von Cisco, die Catalyst 9800-Serie, ist von CVE-2025-20188 betroffen. Es ist zwar noch nicht bekannt, ob die Schwachstelle aktiv ausgenutzt wird, aber es ist schon jetzt ein vollständiger technischer Überblick verfügbar, der weniger erfahrenen Bedrohungsakteuren einen Vorsprung verschafft.

Die Hauptursache der Schwachstelle ist ein fest einprogrammiertes JSON-Web-Token (JWT), das es Angreifenden ermöglichen könnte, Dateien hochzuladen, Path-Traversal-Angriffe und beliebige Befehle mit Root-Privilegien über speziell gestaltete HTTP-Anfragen auszuführen. Insbesondere werden hartcodiertes Fallback-Secret – der String `notfound` – verwendet, um die Authentizität eines JWTs zu überprüfen, wenn `/tmp/nginx_jwt_key` nicht vorhanden ist.

Obwohl dieser Key zu bestimmten Zeiten generiert werden kann, z. B. wenn sich ein Administrator bei der Verwaltungskonsole anmeldet, kann er gelegentlich fehlen, z. B. unmittelbar nach einem Neustart des Geräts oder eines Dienstes.

Außerdem betrifft die Schwachstelle nicht alle HTTP-Endpunkte, sondern nur die Out-of-Band Access Point (AP) Image Download-Funktion der Cisco IOS XE Software für WLAN-Controller (WLCs). Während Cisco in einem Sicherheitshinweis behauptet, dass dieser Dienst nicht standardmäßig aktiviert ist, fanden Horizon.ai-Forschende heraus, dass er es doch war. Daher gibt es zwar mehrere Bedingungen, die für die Ausnutzbarkeit von CVE-2025-20188 benötigt werden, aber wenn diese Bedingungen gegeben sind, ist die Ausnutzung trivial und betrifft wahrscheinlich viele Unternehmen.

Cisco hat einen Sicherheitshinweis veröffentlicht, der den betroffenen Nutzenden rät, entweder auf die gepatchte Version zu aktualisieren oder den Out-of-Band AP Image Download zu deaktivieren. Der Greenbone Enterprise Feed enthält einen Versionserkennungstest zur Identifizierung betroffener Geräte und zur Überprüfung der Patch-Level.

Zusammenfassung

Der Mai 2025 brachte eine Flut von kritischen Schwachstellen, größeren Sicherheitsverletzungen und eskalierenden Aktivitäten von Nationalstaaten. Es ist wichtig, sich vor Augen zu halten, dass KI-gestützte Angriffszyklen zur Realität werden. Die chaotische und dringliche Cybersicherheitslandschaft wird sich in absehbarer Zeit nicht entspannen.

Neue, aktiv ausgenutzte Schwachstellen in Cisco-, Fortinet- und SysAid-Produkten zwingen die Unternehmen dazu, wachsam zu sein und kontinuierliche Erkennungsmaßnahmen mit anschließender Priorisierung und Schadensbegrenzung durchzuführen.

Die Greenbone-Abdeckung für Unternehmen hilft Sicherheitsteams, Schwachstellen zu erkennen, die Bedrohungsakteure finden können, um in einer sich schnell verändernden Bedrohungslandschaft die Nase vorn zu haben.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Joseph Lee

April 2025 Threat Report: Die Konsequenzen sind real

In den Anfängen der digitalen Welt ging es beim Hacken oft um Ruhm oder Streiche. Heute, im Jahr 2025, wird das Hacken in großem Umfang zu illegalen Zwecken eingesetzt. Prognosen zufolge wird die Cyberkriminalität die Weltwirtschaft im Jahr 2025 10,5 Billionen Dollar kosten. Weltweit zwingt der Trend zur zunehmenden Geokriminalität einzelne Länder und ganze Wirtschaftsregionen [1][2] dazu, sich stärker für die Cyberabwehr zu engagieren. Die zunehmende Bedrohungslage unterstreicht die Dringlichkeit proaktiver, gut ausgestatteter Cybersicherheitsstrategien in allen Sektoren und in allen Regionen der Welt.

Die kontinuierliche Flut kritischer Schwachstellen, neuartiger Angriffstechniken, aktiver Ransomware und Spionagekampagnen macht deutlich, dass umfassende Cybersicherheitsmaßnahmen erforderlich sind, um die katastrophalsten Folgen zu verhindern. Im Threat Report dieses Monats gehen wir auf die dringlichsten Bedrohungen in der Cybersicherheitslandschaft ein, die im April 2025 auftraten. Ohne Umschweife. Los geht‘s!

Auswirkungen beachten

Wer auf ausgeklügelte Cyberangriffe nicht vorbereitet ist, dem drohen fatale Konsequenzen. Ransomware wird weithin als die größte existenzielle Cyber-Bedrohung für Unternehmen angesehen, während die Klagen wegen Datenschutzverletzungen dramatisch zunehmen. Die Zahl der Sammelklagen im Zusammenhang mit Datenschutzverletzungen ist innerhalb von sechs Jahren um 1.265 % regelrecht explodiert, wobei die Zahl der Klagen in den USA von 604 im Jahr 2022 auf 1.320 im Jahr 2023 mehr als verdoppelt hat. Zuverlässige Backups können einem Opfer helfen, der Zahlung von Lösegeld zu entgehen, und ein gut ausgeführter Plan zur Reaktion auf einen Vorfall kann die Ausfallzeit minimieren. Jedoch haben die Opfer von Sicherheitsverletzungen kaum eine Möglichkeit, sich vor den Kosten für behördliche oder rechtliche Schritte zu schützen.

Die 2019 von Equifax geleisteten Zahlungen sind die höchsten in der Geschichte für einen Vorfall im Zusammenhang mit Cybersicherheit – die Gesamtkosten werden auf 1,5 Milliarden US-Dollar geschätzt. Das Versäumnis, die Sicherheitslücke CVE-2017-5638 in Apache Struts zu schließen, wurde als Hauptursache für den Sicherheitsverstoß genannt. Im April 2025 erklärte sich das US-Verteidigungsunternehmen Raytheon bereit, einen Vergleich in Höhe von 8,5 Millionen Dollar zu zahlen, weil es bei 29 Verträgen mit dem Verteidigungsministerium (DoD) die erforderlichen Sicherheitsmaßnahmen nicht umgesetzt hatte.

Dienstleister im Healthcare-Bereich sind besonders stark betroffen, da personenbezogene Gesundheitsdaten auf Darkweb-Marktplätzen rund 1.000 Dollar pro Datensatz erzielen, verglichen mit 5 Dollar pro Datensatz für Zahlungskartendaten, da sie effektiv zur Betrugsermittlung genutzt werden. Im Jahr 2023 meldete der US-Gesundheitssektor 725 Datenschutzverletzungen, bei denen über 133 Millionen Datensätze offengelegt wurden. Am 23. April 2025 gab das Office for Civil Rights (OCR) des U.S. Department of Health and Human Services einen Vergleich mit PIH Health Inc. in Höhe von 600.000 Dollar bekannt wegen unzureichender technischer Sicherheitsvorkehrungen. Die rechtlichen Konsequenzen von Cyberverletzungen betreffen jedoch Unternehmen aller Branchen. Bei Sammelklagen im Zusammenhang mit Datenschutzverletzungen wurden ebenfalls erhebliche Vergleiche geschlossen, wobei drei der zehn größten Vergleiche im Jahr 2024 geschlossen wurden und sich auf insgesamt 560 Millionen US-Dollar belaufen.

In Anbetracht der Konsequenzen sollten Unternehmen ihre Haltung zur Cyberhygiene sorgfältig prüfen und dabei besonders auf bewährte IT-Sicherheitspraktiken wie die Implementierung von Multifaktor-Authentifizierung (MFA), Schwachstellenmanagement und Netzwerksegmentierung achten.

Verizon: Mehr Schwachstellen für den ersten Zugriff

Der 2025 Data Breach Investigations Report (DBIR) von Verizon, der im April veröffentlicht wurde, meldete einen 34-prozentigen Anstieg von ausgenutzten Schwachstellen (CVEs) als Ursache für Cyberverletzungen, die zwischen Oktober 2023 und Dezember 2024 begangen wurden. Ausgenutzte Schwachstellen dienten bei 20 % der untersuchten Datenschutzverletzungen als erster Zugangsvektor. Der Bericht zeigt zwar, dass die Lösegeldzahlungen zurückgegangen sind – 64 % der Opferunternehmen haben kein Lösegeld gezahlt, verglichen mit 50 % vor zwei Jahren –, aber die Zahl der Ransomware-Angriffe ist um 37 % gestiegen.

Edge-Geräte und VPNs waren für 22 % der Angriffe verantwortlich – ein deutlicher Anstieg von nur 3 % im Vorjahr. Trotz der wachsenden Bedrohung haben Unternehmen nur 54 % dieser Schwachstellen vollständig behoben, wobei die durchschnittliche Zeit bis zur Behebung 32 Tage betrug. Darüber hinaus erreichte die Ausnutzung von Edge-Geräten für den Erstzugriff bei spionagemotivierten Sicherheitsverletzungen 70 %. Es gibt keine Anzeichen dafür, dass dieser Trend zur Ausnutzung von Edge-Geräten nachlässt. Ein proaktives Schwachstellenmanagement ist wichtiger denn je, um die Gefährdung zu verringern und die Auswirkungen von Sicherheitsverletzungen zu begrenzen.

Neue Bedrohungen an der Netzwerk-Edge

Die Botschaft aus den Berichten über die Cyberlandschaft ist eindeutig: Unternehmen müssen sich ihrer öffentlich zugänglichen Vermögenswerte genau bewusst sein. Erkennung und Behebung von Schwachstellen sind entscheidend. Nachfolgend finden Sie die Höhepunkte der aufkommenden Bedrohungen, die im April 2025 Netzwerk-Edge-Geräte betreffen. Greenbone ist in der Lage, alle unten genannten Bedrohungen und mehr zu erkennen.

  • SonicWall SMA100-Geräte: CVE-2023-44221 (CVSS 7.2) und CVE-2021-20035 (CVSS 6.5), beides OS Command Injection-Schwachstellen [CWE-78], wurden zu den Known Exploited Vulnerabilities (KEV) der Cybersecurity and Infrastructure Security Agency (CISA) hinzugefügt. Im April meldete SonicWall außerdem, dass PoC-Exploits (Proof of Concept) für eine weitere Schwachstelle jetzt öffentlich verfügbar sind: CVE-2024-53704 (CVSS 9.8).
  • Ivanti Connect Secure, Policy Secure und ZTA Gateways: CVE-2025-22457 (CVSS 9.8) ist eine Stack-basierte Buffer-Overflow-Schwachstelle [CWE-121], die derzeit aktiv ausgenutzt wird. Das Threat-Research-Team Mandiant von Google führt die Angriffe zurück auf UNC5221, einen chinesischen (staatlich geförderten) Bedrohungsakteur. Das Sicherheitsunternehmen GreyNoise beobachtete einen 9-fachen Anstieg der Bots, die nach ungeschützten Connect Secure-Endpunkten scannen.
  • Fortinet FortiOS und FortiProxy: CVE-2025-24472 (CVSS 9.8) ist ein Authentication Bypass [CWE-288], der es einem entfernten Angreifer ermöglichen könnte, über manipulierte CSF-Proxy-Anfragen Super-Admin-Rechte zu erlangen. Die CVE wird als aktiv ausgenutzt betrachtet. Fortinet hat außerdem neue Aktivitäten zur Ausnutzung älterer kritischer Schwachstellen in FortiGate-Geräten beschrieben, darunter CVE-2022-42475, CVE-2023-27997 und CVE-2024-21762 (alle CVSS 9.8).
  • Juniper Junos OS: CVE-2025-21590 (CVSS 6.7) ist eine aktiv ausgenutzte Schwachstelle, die es einem lokalen Angreifer mit privilegierten Rechten ermöglicht, die Integrität des Geräts zu beeinträchtigen. Ein lokaler Angreifer mit Zugriff auf die Juniper-CLI-Shell kann beliebigen Code einspeisen, um ein betroffenes Gerät zu kompromittieren. Die Schwachstelle wird als „Improper Isolation or Compartmentalization“ [CWE-653] eingestuft.
  • Mehrere Cisco-Schwachstellen werden ausgenutzt: Analysten bestätigen gezielte Angriffe auf ungepatchte Cisco-Infrastrukturen, insbesondere in TK-umgebungen [1][2]. Die vom chinesischen Staat gesponserte Gruppe Salt Typhoon nutzt weiterhin die Schwachstellen CVE-2018-0171 (CVSS 9.8) bei Smart Install RCE und CVE-2023-20198 (CVSS 10) bei Web UI Privilege Escalation aus.
  • DrayTek-Router: Drei CVEs wurden in bösartigen Kampagnen beobachtet, darunter CVE-2020-8515 (CVSS 9.8), CVE-2021-20123 (CVSS 7.5) und CVE-2021-20124 (CVSS 7.5).
  • Microsoft Remote Desktop Gateway-Dienst: CVE-2025-27480 ist eine „Use After Free“-Schwachstelle [CWE-416], die es einem nicht autorisierten Angreifer ermöglicht, Code über ein Netzwerk auszuführen. Obwohl noch keine aktiven Bedrohungen beobachtet wurden, verfolgt Microsoft die Schwachstelle mit dem Status „Exploitation More Likely“.
  • Erlang/OTP SSH hat öffentlichen PoC Exploit: Mehrere PoC-Exploits [1][2][3] sind jetzt öffentlich verfügbar für CVE-2025-32433 (CVSS 10), eine neue Schwachstelle mit maximalem Schweregrad im Erlang/OTP SSH-Server. Erlang/OTP ist eine weit verbreitete Plattform für den Aufbau skalierbarer und fehlertoleranter verteilter Systeme und wird unter anderem genutzt von großen Technologieunternehmen wie Ericsson, Cisco, Broadcom, EMQ Technologies und der Apache Software Foundation.
  • Broadcom Brocade Fabric OS (FOS): CVE-2025-1976 (CVSS 6.7) ist eine Code-Injection-Schwachstelle [CWE-94], die im April offengelegt und aktiv ausgenutzt wurde. FOS ist eine spezielle Firmware, die für die Verwaltung von Fibre-Channel-Switches in Storage Area Networks (SANs) entwickelt wurde. Die Schwachstelle erlaubt einem lokalen Benutzer mit administrativen Rechten die Ausführung von beliebigem Code mit vollen Root-Rechten.

Neue Sicherheitslücke im Windows Common Log File System

Eine neue, schwere Sicherheitslücke CVE-2025-29824 (CVSS 7.8) im Treiber des Microsoft Windows Common Log File System (CLFS) ermöglicht lokalen, authentifizierten Angreifern die Ausweitung ihrer Rechte und damit den Zugriff auf die SYSTEM-Ebene. Darüber hinaus wird die Schwachstelle weltweit bei Ransomware-Angriffen [1][2], insbesondere durch Storm-2460, ausgenutzt, um PipeMagic-Malware zu verteilen.

Der Windows CLFS-Treiber weist eine Reihe kritischer Schwachstellen für die Ausweitung von Berechtigungen auf, die sich über mehrere Jahre und Versionen erstrecken und ihn zu einem dauerhaften, hochwertigen Ziel für Angreifer machen. Acht CVEs aus den Jahren 2019 bis 2025 wurden in der KEV-Liste der CISA katalogisiert. Mindestens vier davon, CVE-2023-28252, CVE-2023-23376, CVE-2022-24521 und CVE-2025-29824, werden bekanntermaßen in Ransomware-Kampagnen ausgenutzt.

Aufgrund der aktiven Ausnutzung kritischer Schwachstellen in Microsoft-Produkten ist es für Unternehmen unerlässlich, zu überprüfen, ob die neuesten Microsoft-Sicherheitsupdates in ihrer IT-Infrastruktur installiert wurden, und die Systeme auf Anhaltspunkte für eine Gefährdung (Indicators of Compromise, IoC) zu überwachen. Greenbone kann Schwachstellen für alle oben genannten CLFS CVEs und fehlende Patch-Levels für Microsoft Windows 10 (32-bit & x64), Windows 11 (x64) und Windows Server 2012-2025 Endpunkte über authentifizierte Local Security Checks (LSC) erkennen.

RCE-Schwachstelle in Craft CMS

CVE-2025-32432 (CVSS 10) ist eine schwere Sicherheitslücke in Craft CMS (Content Management System), die sich leicht ausnutzen lässt und Remote Code Execution (RCE) ermöglicht. Craft CMS ist ein Framework zur Erstellung von Websites, das auf dem PHP-Framework Yii aufbaut. Die Sicherheitslücke wurde vom CSIRT von Orange Cyberdefense gemeldet, das sie während einer Reaktion auf einen Vorfall entdeckte. Die Schwachstelle wurde bereits in freier Wildbahn ausgenutzt. Außerdem sind technische Details und PoC-Exploits [1][2] einschließlich eines Metasploit-Moduls öffentlich verfügbar, was die Bedrohung erheblich erhöht. Craft CMS wird von namhaften Unternehmen verwendet wie der New York Times, Amazon, Intel, Tesla, NBC, Bloomberg und JPMorgan Chase für die Erstellung individueller E-Commerce- und inhaltsgesteuerter Websites.

Greenbone ist in der Lage, Webanwendungen, die für CVE-2025-32432 anfällig sind, mit einer aktiven Prüfung zu erkennen, bei der eine speziell gestaltete POST-Anfrage gesendet und die Antwort analysiert wird. Betroffen sind die Craft CMS-Versionen 3.x bis 3.9.14, 4.x bis 4.14.14 und 5.x bis 5.6.16. Benutzer sollten so bald wie möglich auf eine gepatchte Version aktualisieren. Wenn ein Upgrade nicht möglich ist, schlägt der Hersteller vor, Firewall-Regeln zu implementieren, um POST-Anfragen am Endpunkt „actions/assets/generate-transform“ zu blockieren oder die Craft CMS Security Patches Library zu installieren.

Dualing CVEs in CrushFTP werden von Ransomware ausgenutzt

CVE-2025-31161 (CVSS 9.8) stellt eine ernsthafte Bedrohung für CrushFTP-Benutzer dar. Bei dem Fehler handelt es sich um eine „Authentication Bypass”-Schwachstelle [CWE-287] im HTTP-Autorisierungs-Header, die es entfernten, nicht authentifizierten Angreifern ermöglicht, sich als ein beliebiges bestehendes Benutzerkonto (z. B. Crushadmin) zu authentifizieren. Die Schwachstelle wird unter anderem von den Akteuren der Kill-Gruppe in laufenden Ransomware-Angriffen ausgenutzt.

CVE-2025-31161 betrifft CrushFTP Versionen 10.0.0 bis 10.8.3 und 11.0.0 bis 11.3.0. Der Hersteller hat einen Hinweis mit aktualisierten Anweisungen veröffentlicht. Greenbone ist in der Lage, CVE-2025-31161 sowohl mit einer aktiven Prüfung als auch mit einem Versionserkennungstest zu erkennen.

Ursprünglich wurde diese Schwachstelle unter einer anderen Kennung (CVE-2025-2825) verfolgt. Als sie von einem Drittanbieter (CNA) veröffentlicht wurde, hatte CrushFTP die Gelegenheit, die Details zu bewerten. Die verfrühte Veröffentlichung zwang CrushFTP, öffentlich zu reagieren, bevor es einen Patch entwickelt hatte. Dieser Vorfall macht ein erhebliches Risiko deutlich: Da CrushFTP keine CVE Numbering Authority (CNA) war, fehlte dem Anbieter die Befugnis, seinen eigenen Produkten CVE-Kennungen zuzuweisen. Stattdessen musste sich CrushFTP auf die externen Forscher verlassen, die den Fehler entdeckt hatten, um die CVE-Veröffentlichung zu verwalten.

Im CVE-Programm kann eine CNA ihren Geltungsbereich so definieren, dass sie CVE-IDs den Schwachstellen zuweisen kann, die ihre eigenen Produkte betreffen, während sie dies anderen Parteien verwehrt. Wenn der Anbieter einer Anwendung eine registrierte CNA ist, müssen Security-Forscher von Drittanbietern ihre Erkenntnisse direkt dem Anbieter mitteilen, was eine bessere Kontrolle über den zeitlichen Ablauf und eine bessere strategische Offenlegung ermöglicht. In Anbetracht der Risiken sollten Software-Anbieter in Erwägung ziehen, sich als CNA beim CVE-Programm von MITRE registrieren zu lassen.

Zusammenfassung

Im April 2025 wurde auf aktuelle Bedrohungen durch Schwachstellen in Edge-Geräten, Ransomware-Aktivitäten und neu ausgenutzte Schwachstellen in weit verbreiteter Software wie Craft CMS, Microsoft CLFS und CrushFTP hingewiesen. Diese Entwicklungen unterstreichen die Notwendigkeit für Unternehmen, den Überblick über gefährdete Ressourcen zu behalten, rechtzeitig Patches zu installieren und wachsam gegenüber neuen Bedrohungen zu sein, die vom ersten Zugriff bis zur vollständigen Kompromittierung schnell eskalieren können.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von