Comretix Blog

Unternehmen, die die KI-Analyseplattform Spotfire nutzen, sollten die Software aus Sicherheitsgründen auf den aktuellen Stand bringen. Angreifer können an zwei Schwachstellen in verschiedenen Produkten ansetzen, um Systeme mit Schadcode zu kompromittieren.

Wie aus zwei Warnmeldungen zu den Sicherheitslücken (CVE-2025-3114 "kritisch", CVE-2025-3115 "kritisch") hervorgeht, sind konkret Spotfire Analyst, AWS Marketplace, Deployment Kit Spotfire Server, Desktop, Enterprise Runtime, Service for Python, Service for R und Statistics Services bedroht.

In beiden Fällen können Angreifer eigenen Code ausführen. Aufgrund der kritischen Einstufung ist davon auszugehen, dass das aus der Ferne und ohne Authentifizierung klappt. Um eine Attacke einzuleiten, müssen Angreifer eine Datei mit Schadcode versehen. Diese wird dann aufgrund von unzureichenden Überprüfungen ausgeführt. Außerdem können Angreifer aus der Sandbox ausbrechen und nicht vertrauenswürdigen Code ausführen.

Weil die Uploadfunktion im Kontext der zweiten Lücke Dateinamen nicht ausreichend prüft, können Angreifer Schadcode hochladen. Derzeit gibt es noch keine Berichte, dass Angreifer die Lücken bereits ausnutzen. Das kann sich aber schnell ändern und Admins sollten zeitnah handeln.

Die Entwickler erläutern, dass sie die Lücken in den folgenden Versionen geschlossen haben. Alle vorigen Ausgaben sind verwundbar.

Angreifer können an verschiedenen Softwareschwachstellen in IBM Installation Manager, Java Runtime, Packaging Utility und Personal Communications (PCOMM) ansetzen. Zurzeit gibt es keine Berichte zu laufenden Attacken. Admins sollten die Installation der Sicherheitspatches aber nicht zu lange herauszögern.

In einer Warnmeldung führen die Entwickler aus, dass die Lücke (CVE-2025-1095 "hoch") in PCOMM den Windows Installer (MicroSoft Installer, MSI) betrifft. Daran kann ein lokaler Angreifer ansetzen, um seine Rechte auszuweiten. Ist eine Attacke erfolgreich, verfügt ein Angreifer über System-Rechte. In so einer Position liegt es nahe, dass er PCs vollständig kompromittieren kann. Wie so ein Angriff im Detail ablaufen könnte, ist bislang nicht bekannt.

Die Entwickler versichern, die Schwachstelle in den Ausgaben 14.0.8 und 15.0.3 geschlossen zu haben. Dabei handelt es sich um ein repariertes Sicherheitsupdate. Im vergangenen Jahr hat ein Patch die Lücke (CVE-2024-25029 "kritisch") nicht verlässlich geschlossen.

Wie aus einem Beitrag hervorgeht, sind Installation Manager, Java Runtime und Packaging Utility über zwei Lücken (CVE-2025-1470 "mittel", CVE-2025-1471 "hoch") angreifbar. Die knappe Beschreibung der letztgenannten Schwachstelle liest sich so, als könnten Angreifer auf einem nicht näher beschriebenen Weg Speicherfehler (Buffer overflow) auslösen. Das führt in der Regel zu Abstürzen. In so einem Kontext kann aber auch oft Schadcode auf Systeme gelangen.

Auch hier gibt es keine weiterführenden Informationen, wie Attacken ablaufen könnten und woran Admins bereits erfolgte Angriffe erkennen können. Die Entwickler versichern, das Sicherheitsproblem in der Ausgabe 1.9.3.1 gelöst zu haben.

In der VPN-Software Netextender klaffen Sicherheitslücken, durch die Angreifer etwa ihre Rechte ausweiten können. Davor warnt Hersteller Sonicwall derzeit.

In der Sicherheitsmitteilung schreiben die Sonicwall-Entwickler, dass insbesondere der Windows-Client der SSL-VPN-Software Netextender betroffen ist. Das größte Risiko geht von einer unzureichenden Rechteverwaltung in Sonicwall Netextender Windows, sowohl in der 32- als auch der 64-Bit-Version, aus. Angreifer mit niedrigen Rechten können dadurch Konfigurationen verändern (CVE-2025-23008, CVSS 7.2, Risiko "hoch").

Zudem können bösartige Akteure Dateipfade manipulieren. Das basiert auf einer Schwachstelle des Typs "Link-Auflösung vor Dateizugriff" oder "Linkverfolgung", wie Sonicwall schreibt (CVE-2025-23010, CVSS 6.5, Risiko "mittel"). Eine dritte Sicherheitslücke ermöglicht Angreifern, ihre Rechte auszuweiten und dadurch beliebige Dateien auf dem System zu löschen (CVE-2025-23009, CVSS 5.9, Risiko "mittel").

Sonicwall hat derzeit keine Kenntnisse davon, dass eine dieser Schwachstellen missbraucht werde. Dennoch rät der Hersteller den Usern des Sonicwall Netextender Windows-Clients dringend, auf die fehlerbereinigte Software-Version zu aktualisieren. Die Schwachstellen bessert der Netextender Windows, 32- und 64-Bit, in Version 10.3.2 und neuer aus.

Da Sonicwall-Sicherheitslücken Angreifern für gewöhnlich Zutritt zu Netzwerken verschaffen können, sind diese Schwachstellen bei Cyberkriminellen hoch im Kurs. Mitte Februar etwa haben Angreifer Firewalls von Sonicwall ins Visier genommen. Kurz nach der Veröffentlichung von Proof-of-Concept-Code für eine Sicherheitslücke (CVE-2024-53704, Risiko "hoch") wurden die Attacken auf dieses Sicherheitsleck bekannt. Wer Sonicwall-Produkte einsetzt, sollte daher bereitstehende Aktualisierungen zügig installieren.

Angreifer können an mehreren Sicherheitslücken in PAN-OS von Palo Alto Networks ansetzen und Firewalls attackieren. Außerdem haben die Entwickler eine Lücke in GlobalProtect App geschlossen.

In den unterhalb dieser Meldung verlinkten Warnmeldungen finden Admins weiterführende Informationen zu verwundbaren und gepatchten Versionen. Generell gibt das IT-Sicherheitsunternehmen in diesen Warnmeldungen nur den CVSS-4.0-BT-Score (Base + Threat, ehemals Temporal Score) an, was unüblich ist. Den Großteil der Lücken stuft Palo Alto dadurch mit dem Bedrohungsgrad "mittel" ein.

Ein Blick auf den für die Einstufung üblicherweise herangezogenen CVSS Base Score zeigt jedoch, dass für vier Lücken (PAN-OS: CVE-2025-0128, CVE-2025-0126, CVE-2025-0127, GlobalProtect App: CVE-2025-0120) jedoch der Bedrohungsgrad "hoch" gilt.

Aufgrund von Fehlern im Authentifizierungsfeature Simple Certificate Enrollment Protocol (SCEP) können Angreifer ohne Anmeldung durch das Versenden von präparierten Paketen einen DoS-Zustand auslösen. Firewalls starten dann neu im Wartungsmodus. Demzufolge kann das Gerät Netzwerke nicht mehr schützen.

Eine SAML-Schwachstelle kann Angreifern mehr Rechte verschaffen. Dafür muss ein Opfer aber mitspielen und auf einen präparierten Link klicken. PAN-OS VM-Series ist für Root-Schadcode-Attacken anfällig. Dafür muss ein Angreifer aber bereits Admin sein.

Microsoft hat ein Notfall-Update für Microsoft Office 2016 veröffentlicht. Die Office-Apps aus dem Entwicklungszweig konnten unter Umständen nicht mehr reagieren oder abstürzen, nachdem die Sicherheitsupdates des April-Patchdays aus dieser Woche installiert wurden.

Microsofts Entwickler erörtern in einem Support-Dokument zum Notfallupdate KB5002623, dass das Sicherheitsupdate KB5002700 für Office 2016 aus dem April dafür sorgen kann, dass Microsoft Word, Microsoft Excel und Microsoft Outlook nicht mehr reagieren.

Das Update zu KB5002623 ist für die MSI-Installer-basierte Microsoft-Office-2016-Version gedacht und funktioniert nicht mit den Office-2016 "Click-to-run"-Versionen (auf Deutsch "Klick-und-los") etwa aus Microsoft 365 Home, erklären die Entwickler. Um das Office 2016 wieder in einen lauffähigen Status zu versetzen, muss sowohl das Update vom Patchday, also KB5002700, und im Anschluss das KB5002623 installiert werden.

Die Aktualisierung steht auf Microsofts Webseite zum Herunterladen bereit. Die Update-Dateien stehen sowohl für das 32-bittige, als auch das 64-bittige Microsoft Office 2016 zur Verfügung. Vor dem Herunterladen sollten Betroffene daher prüfen, welche Version sie einsetzen. Ein Microsoft-Support-Artikel soll dazu Hinweise liefern, wie das zu erkennen ist – die Anleitung könnte jedoch daran scheitern, überhaupt zu den Einstellungen und in den Unterpunkt "Konto" und darunter an die Schaltfläche "Info zu <App>" zu gelangen.

Nach der Installation liegen die Dateien Mso20win32client.dll.x64 sowie Mso20win32client.dll.x86 auf 32- und 64-Bit-Installationen in Version 16.0.5495.1002 mit Dateidatum 22.03.2025 vor.

US-Präsident Donald Trump hat der renommierten IT-Sicherheitsfirma SentinelOne die Sicherheitsfreigaben entzogen. Sein willkürlicher Regierungsstil trifft nun auch die IT-Security-Branche. SentinelOne hatte den in Trumps erster Amtszeit von ihm ernannten, damaligen Chef der US-IT-Sicherheitsbehörde CISA eingestellt, Chris Krebs.

Wie Reuters berichtet, verübelt der US-Präsident Krebs, dass dieser in seinem damaligen Amt nicht die Falschbehauptungen Trumps bezüglich angeblichen Wahlbetrugs in den 2020er-Wahlen in den USA unterstützt hat. Da Krebs die Mär von der "durch Joe Biden gestohlenen Wahl" nicht befürwortete, hatte Trump ihn im Jahr 2020 auf Twitter gefeuert.

In einem Memo des Weißen Hauses, das den Vorgang erörtert, sei Reuters zufolge zu lesen, dass Trump dem Republikaner Krebs vorwirft, "konservative Sichtweisen unterdrückt" zu haben. Belege liefere das Memo nicht – und auch keine Hinweise, was SentinelOne mit der Sache zu tun habe.

Reuters führt weiter aus, dass Krebs' Weigerung, Trumps falsche Behauptungen zu der Wahl zu unterstützen, ihn in Washingtoner IT-Kreisen zum Helden gemacht habe. Jetzt sei die Unterstützung für Krebs oder SentinelOne aus der IT-Sicherheitsindustrie angesichts Trumps Aktionen jedoch nicht erkennbar. Die Gründerin der Firma Luta Security, Katie Moussouris, sagte demnach, dass sie bezweifle, dass die Industrie SentinelOne öffentlich unterstützt, angesichts der Aktionen des Weißen Hauses. "Ich glaube nicht, dass es für Cybersicherheitsfirmen machbar ist, eine umfassendere öffentliche Antwort hierdrauf zu geben", sagte sie, "das Risiko ist einfach zu groß".

Insgesamt 33 der größten US-IT-Sicherheitsfirmen hat Reuters zu der Trump-Maßnahme gegen SentinelOne befragt – lediglich eine hatte reagiert, der Rest lehnte eine Antwort ab oder reagierte gar nicht erst. Darunter sind wirklich große IT-Firmen wie Microsoft, wo Krebs 2014 bis 2017 arbeitete, oder Crowdstrike. Die einzige Gruppierung, die antwortete, war die in Washington ansässige "Cyber Threat Alliance". Deren Vorsitzender Michael Daniel sagte demnach: "Ein Unternehmen ins Visier zu nehmen, weil der Präsident jemanden in dem Unternehmen nicht mag, ist ein Beispiel für genau den Missbrauch der Bundesregierung als Waffe, die das Memo angeblich bekämpfen will".

Hinter verschlossenen Türen haben Vertreter der chinesischen Regierung offenbar erstmals bestätigt, dass die Volksrepublik für eine Reihe von Cyberangriffen auf die Infrastruktur der USA verantwortlich ist. Das berichtet das Wall Street Journal unter Berufung auf mehrere Quellen, die mit der Angelegenheit vertraut sind. Demnach erfolgte das Eingeständnis, dass China hinter der Hacking-Gruppe Volt Typhoon steckt, im Rahmen eines Meetings in Genf zwar nur indirekt, aber direkt genug, um als solches verstanden zu werden. Begründet wurden die Angriffe demnach mit der wachsenden Unterstützung Taiwans durch die USA. Die Volksrepublik betrachtet die Insel als Teil des eigenen Territoriums und zielt auf eine Wiedervereinigung.

Volt Typhoon ist einer von mehreren Namen für eine Gruppe, die seit Jahren kritische Infrastruktur in den USA attackiert und sich dort eingenistet hat. Vor einem Jahr haben Sicherheitsbehörden der USA, Kanadas, Australiens und Großbritanniens vor diesen Angriffen gewarnt und erklärt, dass Volt Typhoon in den Netzwerken kritischer Einrichtungen aus dem Kommunikations-, Energie-, Transport- und Wassersektor erwischt worden sei. Die Gruppe habe keine Spionage betrieben, weshalb es die Befürchtung gibt, dass sie im Fall eines sich verschärfenden Konflikts in der Lage wäre, die US-Infrastruktur empfindlich zu schädigen.

Die Äußerungen aus der Vertretung der Volksrepublik bei dem Treffen in der Schweiz seien "indirekt und etwas zweideutig" gewesen, aber die meisten aus der US-Delegation hätten sie als "stillschweigendes Eingeständnis und als Warnung in Bezug auf Taiwan" verstanden, schreibt die US-Zeitung. Die Äußerungen seien gefallen, nachdem die US-Delegation erklärt habe, wie gefährlich die Angriffe seien und dass sie als kriegerischer Akt gewertet werden könnten. Man habe deutlich machen wollen, dass es Zweifel gebe, dass die chinesische Regierung das ganze Ausmaß der Attacken kenne.

Laut dem Wall Street Journal wurde bei dem Treffen auch deutlich gemacht, dass die Angriffe in den USA anders gesehen werden als die umfangreiche Attacke auf US-Provider, die vergangenen Herbst publik wurde. Die würde in Washington als ein Fall von Cyberspionage gesehen, wie man sie selbst ebenfalls durchführe. Das chinesische Eingeständnis sei deshalb bedeutend, weil es darauf hindeute, dass man in Peking einen Konflikt rund um Taiwan für am wahrscheinlichsten halte, zitiert die Zeitung eine Expertin. Es solle wohl ein direktes Signal gesendet werden. Man habe die USA wissen lassen wollen, dass man die Fähigkeit habe und gewillt sei, sie einzusetzen.

Im Klageverfahren von Facebook-Mutter Meta Platforms gegen die israelische Spyware-Firma NSO Group sind Details zu Überwachungsangriffen auf WhatsApp-Nutzer bekannt geworden. Demnach wurden in nur zwei Monaten 1223 Anwender in 51 verschiedenen Ländern angegriffen. Das kürzlich freigegebene Gerichtsdokument nennt sogar die einzelnen Länder, in denen sich die Opfer aufgehalten haben, sowie die Standorte der Angreifer und der für die Angriffe genutzten Server.

Bereits 2019 hatte Facebook die israelischen WhatsApp-Hacker verklagt und dabei von 1400 betroffenen Nutzern gesprochen. Darunter waren Journalisten, Anwälte, Menschenrechtler und andere Regierungskritiker. Zudem sollten auch Regierungsmitarbeiter und Militärs aus mindestens 20 Ländern mit Pegasus gehackt worden sein. Jetzt zeigt das Gerichtsdokument, in welchen Ländern sich die Opfer dieser im April und Mai 2019 durchgeführten Hacking-Kampagne aufgehalten haben und von wo diese Angriffe hergekommen sind.

Demnach wurden die meisten Opfer in Mexiko verortet, nämlich 456 Individuen. Weiterhin gab es zahlreiche Opfer in Indien (100), Bahrein (82), Marokko (69), Pakistan (58), Indonesien (54) und Israel (51). Auch etliche Personen in Zypern (31) und der Türkei (26) waren betroffen. In Westeuropa gab es zwar weniger Fälle, aber immerhin 21 in Spanien, 11 in den Niederlanden, 7 in Frankreich, 4 in Belgien, 4 in Finnland, 3 in der Schweiz und jeweils 2 in Deutschland sowie in Großbritannien.

"Im Laufe der Jahre wurden zahlreiche Nachrichtenartikel verfasst, die den Einsatz von Pegasus zur gezielten Bekämpfung von Opfern auf der ganzen Welt dokumentierten", erklärt Sicherheitsexpertin Runa Sandvik gegenüber Techcrunch. "Was in diesen Artikeln oft fehlt, ist das wahre Ausmaß der Angriffe – die Zahl der Opfer, die nicht benachrichtigt wurden, deren Geräte nicht überprüft wurden und die sich entschieden, ihre Geschichte nicht öffentlich zu teilen. Die Liste, die wir hier sehen – mit 456 Fällen allein in Mexiko, einem Land mit dokumentierten, bekannten Opfern aus der Zivilgesellschaft – spricht Bände über das wahre Ausmaß des Spyware-Problems."

Interessant ist auch die Liste der möglichen Herkünfte der Angriffe, die WhatsApp dem Gericht ebenfalls vorgelegt hat und die nun auch veröffentlicht wurde. Demnach kamen 60 Angriffe aus Schweden, 56 aus Zypern, 39 aus den Niederlanden und 9 aus Indonesien. Diese Liste ist nicht vollständig, aber zeigt, dass sich Angreifer und Opfer nicht immer im selben Land befinden. Denn es gab offenbar keine Opfer in Schweden, aber viele Angriffe von dort. Und die Zahl der Angriffe aus den Niederlanden übersteigt die Zahl der dortigen Opfer deutlich.

Die Neuauflage der schwarz-roten Koalition hat sich vorgenommen, Sicherheitsbehörden "den nachträglichen biometrischen Abgleich mit öffentlich zugänglichen Internetdaten" etwa mithilfe Künstlicher Intelligenz (KI) zu erlauben. Doch just eine Studie von Europol – also aus dem Bereich Strafverfolgung selbst – gießt nun Wasser in den Wein der Überwachungsbefürworter. Biometrische Erkennungssysteme seien zwar "im Allgemeinen robust", heißt es in der Analyse. Doch es gebe zahlreiche Möglichkeiten, sie auszutricksen. Entscheidend sei daher, "die Schwachstellen solcher Systeme zu kennen".

Viele biometrische Erkennungssysteme gelten seit Längerem als geknackt. Attrappen mit digitalen Fingerprints erstellen etwa Hacker aus dem Umfeld des Chaos Computer Clubs (CCC) seit vielen Jahren. Auch Systeme zur Venen-, Iris- oder Gesichtserkennung haben sie umgangen. Das Operations- und Analysezentrum sowie das Innovationslabor von Europol vollziehen diese Schwachstellennachweise jetzt nach und leiten daraus Schlussfolgerungen für die Arbeit von Ermittlern ab.

Die Autoren des veröffentlichten Berichts konzentrieren sich auf sogenannte Präsentationsangriffe auf das Erfassungsgerät. Diese zielen darauf ab, sich als legitimer Benutzer auszugeben oder die Erkennung zu umgehen. Im Kern wird dabei dem System zur Erfassung biometrischer Daten ein imitiertes oder gefälschtes biometrisches Merkmal untergejubelt, mit dem Ziel, das Verfahren zu stören oder auszuhebeln.

Präsentationsangriffe, bei denen Fingerabdrücke nachgeahmt werden, können auch ohne Zustimmung einer Person durchgeführt werden, erläutert Europol. Bei solchen nicht einvernehmlichen Ansätzen würden Fingerprints von glatten oder nicht porösen Oberflächen wie Gläsern gewonnen. Alternativ könnten digital generierte Fingerabdrücke, die üblicherweise zum Trainieren biometrischer Erkennungssysteme verwendet werden, zur Erzeugung von Fälschungen beispielsweise per 3D-Druck genutzt werden. Fingerabdrücke ließen sich auch bewusst verändern, um einer Erkennung zu entgehen. Normalerweise würden Papillarleisten durch Arbeitsbedingungen oder Unfälle beschädigt, deren Zerstörung könne aber auch absichtlich erfolgen.

Angesichts der Fülle digitaler Fotos in Sozialen Netzen und anderen öffentlichen Bereichen ist es den Verfassern zufolge auch leicht, Bilder in die Finger zu bekommen, um sich bei einer automatisierten Gesichtserkennung als eine andere Person auszugeben. Die Erfolgsquote des Identitätsbetrugs lasse sich etwa daran messen, ob diese Methode mit weniger anspruchsvollen Smartphones eingesetzt werden könne. Diese ließen sich manchmal sogar durch einen einfachen Papierausdruck täuschen.

Drupal-Admins sollten sicherstellen, dass die von ihnen genutzten Module des Content Management Systems (CMS) auf dem aktuellen Stand sind. Geschieht das nicht, können Angreifer Websites im schlimmsten Fall kompromittieren.

Im Sicherheitsbereich der CMS-Website listen die Entwickler sieben im April geschlossene Softwareschwachstellen auf. Zwei Sicherheitslücken stufen sie als "kritisch" ein. Eine betrifft das Panels-Modul (CVE-2025-3474), über das Admins benutzerdefinierte Seiten erstellen können. Weil Berechtigungen nicht ausreichend kontrolliert werden, können Angreifer an dieser Stelle manipulierend eingreifen.

Dafür benötigen sie aber bestimmte Informationen einer Seite, die nicht im Quellcode einer Website verfügbar sind. Panels 8.x-4.9 ist abgesichert.

Die zweite kritische Lücke (CVE-2025-3131) betrifft das Modul ECA: Event, mit dem man Automationen festlegt. An dieser Stelle sind über eine CSRF-Attacke etwa Zugriffe auf eigentlich abgeschottete Informationen möglich. ECA 1.1.12, 2.0.16 und 2.1.7 sind mit Sicherheitsupdates versehen.

Darüber hinaus gibt es noch Patches für die Module Access Code, Gif Player Field, Obfuscate, TacJS und WEB-T. Ob es bereits Attacken gibt, ist derzeit unbekannt.

Über zwei Wochen nach Bekanntwerden eines Datenlecks in einer seiner Cloud-Umgebungen wandte sich Oracle nun mit einer E-Mail an Kunden. In der Stellungnahme bemühte sich der Konzern, den Angriff und dessen Auswirkungen kleinzuschreiben. Die Oracle-Cloud (OCI) habe, so bekräftigte Oracle erneut, keinen Sicherheitsverstoß erlitten. Hacker seien nicht in Kundenumgebungen eingedrungen, Daten von Kunden seien nicht gestohlen oder eingesehen worden und OCI-Dienste seien weder kompromittiert noch gestört gewesen, so die E-Mail.

Dass dennoch ein erfolgreicher Angriff stattgefunden hat, erwähnt Oracle im folgenden Absatz – ein "Hacker" habe User-Namen von zwei überflüssigen ("obsolete") Servern veröffentlicht, die jedoch nie Teil der Oracle-Cloud waren. Er habe auch mangels nutzbarer Kennwörter keinen Zugriff auf Kunden-Umgebungen oder -Daten gehabt.

Tatsächlich liegen heise security Demo-Datensätze vor, die direkt vom Angreifer stammen. In diesen sind weit mehr als lediglich Usernamen zu finden – neben E-Mail-Adressen, verschiedenen Passworthashes und den Oracle-internen Tenant-Kennungen finden sich auch die Namen der betroffenen Systeme sowie eine Vielzahl von Zeitstempeln. Diese erstrecken sich bis in den März 2025.

Oracles Behauptung, der Angreifer habe nicht auf "Kundendaten" zugegriffen, offenbart also: Es könnte sich um ein internes System des Konzerns gehandelt haben – und die personenbezogenen Informationen seiner Kunden sind für Oracle keine Kundendaten.

Alles also halb so schlimm? Das will Oracle seine Kunden glauben machen, offenbar in der Absicht, die peinliche Episode möglichst schnell abhaken zu können. Denn auch an einer weiteren Front hat Oracle Sicherheitsprobleme zugeben müssen: Beim zugekauften Unternehmen Cerner waren im Februar Gesundheitsdaten abgeflossen, was der Muttergesellschaft zwischenzeitlich gar eine Sammelklage einbrachte. Diese wurde vom Kläger jedoch bereits am 2. April zurückgezogen.

Angreifer können an insgesamt sechs Schwachstellen ansetzen, um Netzwerkspeicher (NAS) mit Dells Betriebssystem PowerScale OneFS zu attackieren. Im schlimmsten Fall können Angreifer die volle Kontrolle über Geräte erlangen.

In einem Beitrag listen die Entwickler die Lücken auf und nennen weiterführende Informationen zu den bedrohten und abgesicherten Versionen. Eine Schwachstelle gilt als "kritisch"(CVE-2025-27690). Aufgrund eines Standard-Passworts können Angreifer mit Fernzugriff ohne Authentifizierung einen Account mit hohen Nutzerrechten übernehmen. Aufgrund der Einstufung des Schweregrads der Lücke ist davon auszugehen, dass sie Geräte im Anschluss vollständig kompromittieren können.

Weiterhin sind aufgrund eines Fehlers (CVE-2025-26330 "hoch") unbefugte Zugriffe durch einen lokalen Angreifer ohne Anmeldung möglich. Schuld daran ist, dass im Fall einer Account-Deaktivierung Rechte bestehen bleiben.

Die verbleibenden Schwachstellen sind mit "mittel" und "niedrig" eingestuft. An diesen Stellen können Angreifer unter anderem für DoS-Attacken ansetzen.

Ob es bereits Attacken gibt, geht aus der Warnmeldung von Dell nicht hervor. Unklar bleibt auch, an welchen Parametern Angreifer bereits attackierte NAS-Systeme erkennen können. Die Entwickler geben an, die Lücken in den folgenden Versionen von PowerScale OneFS geschlossen zu haben.

HPE hat Sicherheitswarnungen zu Schwachstellen in diversen Netzwerkgeräten der Aruba-Tochtermarke veröffentlicht. Angreifer können durch die Sicherheitslecks teils sogar Schadcode auf verwundbare Geräte schleusen. Updates zum Abdichten der Sicherheitslecks stehen jedoch bereit.

Die gravierenderen Sicherheitslücken betreffen der ersten HPE-Sicherheitsmitteilung zufolge Aruba Mobility Conductor, Controllers und Gateways mit AOS-10- und AOS-8-Betriebssystemen. Als potenzielle Auswirkungen listen die Autoren die Ausführung von beliebigem Code aus dem Netz, Ausführung beliebiger Befehle, das Herunterladen beliebiger Dateien, Änderungen belliebiger Dateien, Cross-Site-Scripting (XSS) und die unbefugte Ausführung beliebiger Befehle.

Dafür verantwortlich sind insgesamt vier Sicherheitslücken. Durch das web-basierte Management-Interface lassen sich beliebige Dateien schreiben, wodurch authentifizierte Nutzer Code einschleusen und ausführen lassen können (CVE-2025-27082, CVSS 7.2, Risiko "hoch"). Sie können darin zudem Befehle einschleusen (CVE-2025-27083, CVSS 7.2, Risko "hoch"). Das Captive-Portal der web-basierten Verwaltungsoberfläche ermöglicht zudem Cross-Site-Scripting (CVE-2025-27084, CVSS 5.4, Risiko "mittel"). Angemeldete Nutzer können des Weiteren beliebige Dateien von verwundbaren Geräten herunterladen (CVE-2025-27085, CVSS 4.9, Risiko "mittel").

HPE stellt die Firmware-Versionen 10.7.1.1, 10.4.1.7, 8.12.0.4 und 8.10.0.16 bereit, die die Lücken stopfen. Es sind auch ältere Versionszweige von den Schwachstellen betroffen, allerdings sind die am Support-Ende angelangt und erhalten keine Aktualisierungen mehr.

Eine zweite Sicherheitsmitteilung behandelt Sicherheitslücken in HPE Aruba Access-Points. Auch hier können authentifizierte Angreifer aus dem Netz Befehle einschleusen, die ausgeführt werden (CVE-2025-27078, CVSS 6.5, Risiko "mittel"). Außerdem können sie beliebige Dateien auf den Geräten anlegen und so Schadcode aus dem Netz einschleusen und ausführen (CVE-2025-27079, CVSS 6.0, Risiko "mittel"). Die Firmware-Versionen AOS-10 10.7.0.2, 10.4.1.6 sowie AOS-8 Instant 8.12.0.4 und 8.10.0.16 und jeweils neuere bessern die sicherheitsrelevanten Fehler aus.

Das Plug-in SureTriggers ist auf 100.000 Wordpress-Instanzen aktiv. IT-Sicherheitsforscher haben eine Sicherheitslücke darin entdeckt, die diese Instanzen gefährdet.

In einem Blog-Beitrag erörtern die IT-Forscher von Wordfence, dass es Angreifer aus dem Netz ohne vorherige Authentifizierung administrative Nutzerkonten erstellen können. Sofern kein API-Key in dem SureTriggers-Plug-in eingerichtet ist, können Angreifer dadurch Administrator-Nutzer hinzufügen und damit Wordpress-Instanzen vollständig kompromittieren (CVE-2025-3102, CVSS 8.1. Risiko "hoch").

Detailliertere Plug-in-Schwachstellenuntersuchung

"Das 'SureTriggers: All-in-One Automation Platform Plugin' für WordPress ist anfällig für eine Umgehung der Authentifizierung, was zur möglichen Erstellung eines administrativen Kontos führt. Grund dafür ist eine fehlende Überprüfung des Wertes 'secret_key' in der Funktion 'autheticate_user' in allen Versionen bis einschließlich 1.0.78", erklärt Wordfence die Schwachstelle. Die Analyse geht noch tiefer und zeigt die verwundbaren Codeschnippsel.

Am Donnerstag der vergangenen Woche haben die SureTriggers-Programmierer Version 1.0.79 veröffentlicht. Sie schließt die Sicherheitslücke. Wordpress-Betreiber, die das SureTriggers-Plug-in einsetzen, sollten sicherstellen, die aktualisierte oder eine neuere Fassung zu verwenden. Angriffe auf die Sicherheitslücke sind jetzt zumindest erwartbar.

Aufgrund der großen Menge an verfügbaren Wordpress-Plug-ins finden sich täglich zig mit Sicherheitslücken. Die meisten sind glücklicherweise jedoch nicht weit verbreitet. Vergangene Woche wurde jedoch etwa eine Schwachstelle im Wordpress-Plug-in WP Ultimate CSV Importer bekannt, das auf etwa 20.000 Wordpress-Seiten aktiv ist. Sofern Angreifer auf ein Konto auf damit ausgestatteten Wordpress-Instanzen zugreifen können, ermöglciht ihnen das ebenfalls die vollständige Übernahme. Auch hierfür steht eine aktualisierte Software-Version bereit, auf die Admins rasch updaten sollten.

Sicherheitslücken im Linux-Kernel stehen im Visier von Angreifern und werden aktiv missbraucht. Davor warnt die US-amerikanische IT-Sicherheitsbehörde CISA aktuell. Wer noch mit älterem Kernel unterwegs ist, sollte rasch auf aktuellen Stand aktualisieren.

In einer Benachrichtigung nennt die CISA lediglich die CVE-Schwachstelleneinträge der attackierten Sicherheitslücken. Informationen zu den Attacken selbst fehlen vollständig. Unklar ist daher der Umfang der Angriffe und etwa, mit welchem Ziel die bösartigen Akteure agieren.

Beide Schwachstellen finden sich im ALSA-Audio-Code. Ende Dezember haben die Linux-Entwickler potenzielle Zugriffe außerhalb vorgesehener Speicherbereiche durch den ALSA-USB-Support für Extigy- und Mbox-Geräte behoben. Manipulierte Geräte konnten zuvor manipulierte Werte zurückliefern, deren weitere Nutzung zu solchen Zugriffen außerhalb der Speichergrenzen etwa bei der Ausführung der Funktion usb_destroy_configuration und offenbar der Ausführung eingeschleusten Codes führt (CVE-2024-53197, kein CVSS).

Auch die zweite angegriffene Lücke findet sich im ALSA-Stack (Advanced Linux Sound Architecture). Bei der Suche nach Clock-Sources können Lesezugriffe außerhalb der Speichergrenzen auftreten, da der USB-Audio-Treiber-Code die Länge der Struktur bLength von Clock-Deskriptoren nicht geprüft hatte. Manipulierte Geräte können hier Werte übergeben, die die Schwachstelle auslösen (CVE-2024-53150, CVSS 7.8, Risiko "hoch"). Auch diese Schwachstelle wurde in diversen Kernel-Zweigen rund um die vergangenen Weihnachten ausgebessert.

Aufgrund der Schwachstellenbeschreibung lässt sich erahnen, dass Angreifer möglicherweise verwundbare Systeme übernommen haben, indem sie daran arbeitenden Personen manipulierte USB-Hardware untergeschoben haben. Es ist jedoch nicht auszuschließen, dass der verwundbare Code auf anderen Wegen angesprungen werden kann. Da jedwede konkreten Hinweise zu den beobachteten Angriffen fehlen, lässt sich nicht ableiten, wie attackierte Systeme zu erkennen sind.

Fortinet hat Sicherheitsupdates für zahlreiche Produkte veröffentlicht. Eine der damit geschlossenen Schwachstellen gilt als kritisches Risko, zwei weitere haben den Bedrohungsgrad "hoch".

Am gravierendsten ist eine Sicherheitslücke in Fortiswitches, durch die Angreifer aus dem Netz ohne Authentifizierung Admin-Passwörter mit speziell präparierten Anfragen verändern können (CVE-2024-48887, CVSS 9.3, Risiko "kritisch"). Die Lücke schließen die Software-Stände 6.4.15, 7.0.11, 7.2.9, 7.4.5 oder 7.6.1 und neuere.

Zudem finden sich nicht zureichend Einschränkungen von erwünschten Endpunkten in Kommunikationskanälen. Das ermöglicht Angreifern in Man-in-the-Middle-Postion, sich als Verwaltungsinterface auszugeben, indem sie FGFM-Authentifizierungsanfragen zwischen den eigentlichen Endpunkten abfangen. Davon betroffen sind FortiOS, Fortiproxy, Fortimanager, Fortianalyzer, Fortivoice und Fortiweb (CVE-2024-26013, CVE-2024-50565, beide CVSS 7.1, Risiko "hoch"). In Fortiisolator können Angreifer mit "Super-Admin"-Profil und Zugriff auf die Kommandozeile über speziell präparierte HTTP-Anfragen Code einschleusen und unbefugt ausführen, was auf unzureichende Filterung von Elementen zurückgeht (CVE-2024-54024, CVSS 7.0, Risiko "hoch").

IT-Verantwortliche sollten die neuen Sicherheitsmitteilungen überprüfen und für in ihren Netzen eingesetzte Instanzen die verfügbaren Updates herunterladen und installieren oder gegebenenfalls die teils verfügbaren temporären Gegenmaßnahmen umsetzen, bis eine Aktualisierung möglich ist.

Cyberkriminelle attackieren regelmäßig Sicherheitslücken in Fortinet-Geräten, da diese in der Regel etwa Zugang zu Netzwerken ermöglichen. Daher sollten Admins nicht lange zögern, sondern die Updates rasch installieren.

Die zehnte Ausgabe der sicheren Remote-Shell OpenSSH schneidet einige alte Zöpfe ab, hält sich an Post-Quantum-Standards und trennt die Nutzeranmeldung vom Rest des Servers. Der eine Dekade lang vollzogene Rauswurf des längst veralteten DSA-Signaturalgorithmus ist nun abgeschlossen, was nur die wenigsten Nutzer merken dürften. Denn bereits seit dem Jahr 2015 ist DSA in der Standardkonfiguration des SSH-Servers deaktiviert, seit letztem Jahr muss die Unterstützung beim Übersetzen des Quellcodes zudem zusätzlich aktiviert werden. Nun verschwinden die letzten Überbleibsel aus dem OpenSSH-Code.

Auch der Schlüsselaustausch mittels "klassischem" Diffie-Hellman verschwindet aus dem SSH-Server, denn er bietet gegenüber jenem mithilfe elliptischer Kurven oder quantensicherer Algorithmen keine Leistungsvorteile.

Der Standardalgorithmus zum Schlüsselaustauch verändert sich ebenfalls. Die Entwickler erkoren MLKEM-768 zum neuen quantensicheren Verfahren der Wahl. Bereits die Vorgängerversion hatte einen vermutlich quantensicheren Algorithmus in der Standardkonfiguration zum Schlüsselaustauch verwendet, nämlich einen Hybriden aus NTRU Prime und X25519. Diesen tauscht das Entwicklerteam nun aus, da MLKEM nicht nur schneller sei, sondern zudem auch vom NIST mittlerweile standardisiert ist.

Angriffe gegen den Anmeldevorgang am SSH-Server sind seit jeher die Königsklasse der Sicherheitslücken, wie etwa der Terrapin-Angriff und die RegreSSHion-Lücke aus 2024. Um die Auswirkungen von derlei Attacken zu mildern, lagert OpenSSH 10 den Authentifizierungsvorgang in ein eigenes Programm namens ssh-auth aus. Dessen Hauptspeicherbereich ist von dem des restlichen Servers getrennt, so dass selbst bei einem erfolgreichen "pre-Authentication exploit" weniger Wechselwirkungen zu erwarten sind.

Dutzende weitere Fehlerbehebungen, kleinere neue Features und ein Sicherheits-Fix zur DisableForwarding-Konfigurationsdirektive runden das OpenSSH-10-Release ab. Kundige Admins können Server und Client aus dem Quellcode kompilieren, Pakete für Linux-Distributionen sind derzeit noch nicht erhältlich.

Im freien Grafikprogramm GIMP hat die Zero-Day-Initiative (ZDI) von Trend Micro zwei Schwachstellen gefunden. Angreifer können sie zum Einschmuggeln und Ausführen von Schadcode missbrauchen. Abhilfe schafft die Version 3 von GIMP.

Das ZDI hat ebenso wie das GIMP-Projekt die Meldungen zu den Schwachstellen nun öffentlich gemacht. CVE-Schwachstelleneinträge existieren bislang allerdings noch nicht, die dürften jedoch in Kürze folgen. Die Sicherheitslücken haben die ZDI-Forensiker in GIMP 2.10.38 entdeckt, die bislang letzte und aktuelle Fassung des 2er-Entwicklungszweigs.

Eine Schwachstelle findet sich in der Verarbeitung von FLI-Dateien. Durch sie ist es möglich, dass es zu Schreibzugriffen auf Speicher außerhalb der vorgesehenen Grenzen kommt. Laut Sicherheitsmitteilung kann das zum Ausführen von Schadcode aus dem Netz führen (noch ohne CVE, CVSS 7.8, Risiko "hoch"). Eine zweite Sicherheitslücke betrifft den Parser für XWD-Dateien. Darin kann ein Integer-Überlauf und in der Folge Schreibzugriffe außerhalb vorgesehener Speichergrenzen auftreten, ebenfalls mit der Folge, dass eingeschleuster Schadcode zur Ausführung gelangt (noch ohne CVE, CVSS 7.8, Risiko "hoch").

Die GIMP-Entwickler haben die Sicherheitslücken in GIMP 3 geschlossen. GIMP-Nutzerinnen und -Nutzer sollten daher unbedingt auf den neuen Versionszweig aktualisieren, um die Angriffsfläche auf ihren Systemen zu minimieren. Unter Windows 10 und 11 lässt sich GIMP 3 komfortabel aus dem Microsoft Store einrichten, der dann auch für zeitnahe Updates der Software sorgt, sollten diese nötig sein. Unter Linux ist dazu in der Regel die Softwareverwaltung der eingesetzten Distribution aufzurufen, sodass diese nach Aktualisierungen sucht und diese installieren kann.

GIMP 3 erschien Mitte März und wurde bereits lange erwartet, immerhin sieben Jahre dauerte die Entwicklung. Die neue Version kennt nicht-destruktive Filter, verbessert die Unterstützung für hochauflösende Displays (HiDPI) und erweiterte Farbräume.

Ivanti Endpoint Manager ist verwundbar. Insgesamt können Angreifer an sechs mittlerweile geschlossenen Schwachstellen ansetzen. Derzeit gibt es den Entwicklern zufolge keine Hinweise auf Attacken.

Wie aus einer Warnmeldung hervorgeht, gilt eine Reflected-XSS-Schwachstelle (CVE-2025-22466 "hoch") am gefährlichsten. Hier kann sich der knappen Beschreibung zufolge ein entfernter Angreifer ohne Authentifizierung Admin-Rechte erschleichen. Dafür muss ein Opfer aber mitspielen. Wie das im Detail ablaufen könnte, ist bislang unklar.

Durch eine präparierte DLL-Bibliothek kann sich ein bereits authentifizierter Angreifer System-Rechte verschaffen (CVE-2025-22358 "hoch"). Eine SQL-Lücke (CVE-2025-22461 "hoch") erlaubt es Angreifern, die dafür jedoch bereits Admin sein müssen, Schadcode auszuführen.

Die verbleibenden Sicherheitslücken sind mit dem Bedrohungsgrad "mittel" eingestuft. An diesen Stellen kann sich ein Angreifer zum Beispiel aufgrund einer unzureichenden Zertifikatsüberprüfung in Verbindungen einklinken.

Die Entwickler versichern, die Schwachstellen in den Ivanti-Endpoint-Manager-Versionen 2022 SU7 und 2024 SU1 geschlossen zu haben.