Comretix Blog

Palo Alto Networks hat Sicherheitsmitteilungen zu vier Schwachstellen im Firewall-Betriebssystem PanOS veröffentlicht. Für eine hochriskante Lücke existiert bereits Exploit-Code. Angriffe sind in Kürze sehr wahrscheinlich.

Anzeige

Die Lücke mit dem höchsten Schweregrad betrifft laut Palo Altos Mitteilung eine mögliche Umgehung der Authentifizierung im Management-Web-Interface. Nicht angemeldete Angreifer mit Zugriff auf das Interface können ohne Anmeldung darauf zugreifen und bestimmte PHP-Skripte aufrufen. Das ermögliche zwar keinen Codeschmuggel, aber kann die Integrität und Vertraulichkeit von PAN-OS beeinträchtigen (CVE-2025-0108, CVSS 8.8, Risiko "hoch"). Das CERT-Bund vom BSI weist darauf hin, dass Exploit-Code verfügbar ist, der den Missbrauch der Lücke demonstriert. Den können Kriminelle leicht anpassen.

Aufgrund einer Schwachstelle Im OpenConfig-Plug-in für PAN-OS können angemeldete Administratoren Anfragen an das PAN-OS-Web-Management-Interface senden und dabei Zugriffsbeschränkungen umgehen, um beliebige Befehle auszuführen (CVE-2025-0110, CVSS 8.6, hoch). Außerdem können angemeldete Angreifer Dateien als User "nobody" lesen (CVE-2025-0111, CVSS 7.1, hoch). Weiterhin können Angreifer ohne vorherige Anmeldung bestimmte Dateien als User "nobody" löschen, etwa einige Log- und Konfigurationsdateien (CVE-2025-0109, CVSS 6.9, mittel).

Bei der Risikobewertung setzt Palo Alto derzeit den durchgängig niedrigeren "temporal Score" an, üblich ist bei anderen Anbietern der akute CVSS-Wert. Der zeigt, dass die beiden ersten Lücken eher knapp am Risiko "kritisch" vorbeischrammen und eine von Palo Alto als mittleres Risiko klassifizierte Schwachstelle tatsächlich ein hohes Risiko bedeutet.

Datenbank-Admins sollten ihre PostgreSQL-Instanzen zeitnah auf den aktuellen Stand bringen. Geschieht das nicht, können Angreifer Server attackieren und eigene Befehle ausführen.

Anzeige

Wie aus einem Bericht hervorgeht, sind Sicherheitsforscher im Kontext einer Sicherheitslücke (CVE-2024-12356 "kritisch") in den Fernzugriffssoftwares Privileged Remote Access (PRA) und Remote Support (RS) von BeyondTrust auf eine weitere Schwachstelle (CVE-2025-1094 "hoch") gestoßen.

Die schon länger verfügbaren Sicherheitsupdates für PRA und RS blocken das Ausnutzen beider Lücken. Doch die Forscher geben an, dass die zweite Lücke ebenfalls PostgreSQL bedroht. Das haben mittlerweile auch die PostgreSQL-Entwickler in einer Warnmeldung bestätigt.

Die Schwachstelle findet sich in mehreren libpq-Funktionen. Dabei werden Eingaben nicht ausreichend bereinigt, sodass Angreifer eigene SQL-Befehle ausführen können. Aufgrund der Einstufung des Bedrohungsgrads ist davon auszugehen, dass Angreifer darüber Systeme kompromittieren können.

Progress warnt vor Sicherheitslücken in den Entwicklertools Telerik sowie dem Load Balancer Loadmaster. In Telerik können Angreifer Daten aus der Kommunikation von Agent- und Host-Komponenten ausspähen, in Loadmaster hingegen Befehle ans Betriebssystem einschleusen.

Anzeige

Die Sicherheitsmitteilung von Progress zu Telerik beschreibt die Schwachstelle als "Klartext-Übertragung von sensiblen Informationen" (CVE-2025-0556, CVSS 8.8, Risiko "hoch"). Der Hersteller schränkt jedoch ein, dass beim Report Server bei der Nutzung ausschließlich der älteren .Net-Framework-Implementierung die Kommunikation nicht-sensibler Daten zwischen Service-Agent und App-Host über einen nicht verschlüsselten Tunnel läuft. In der Standard-Installation befinden sich beide Komponenten auf derselben Maschine. Da auch andere Installationsarten möglich sind, fließt in die Risikobewertung jedoch der Missbrauch aus dem Netz ein, was das Risiko erhöhe.

Bei der Nutzung der neueren .Net-Implementierung trete das nicht auf. Betroffen sind die Versionen von Telerik 2024 Q4 (10.3.24.1218) und frühere; die Fassung 2025 Q1 (11.0.25.211) oder neuer bessern den zugrundeliegenden Fehler aus.

In einer weiteren Sicherheitsmitteilung erörtert Progress Schwachstellen in Loadmaster sowie im Loadmaster Multi-Tenant (MT) Hypervisor. Angreifer können fünf unterschiedliche Sicherheitslecks missbrauchen, um nach Authentifizierung am Management Interface mit sorgsam präparierten HTTP-Anfragen beliebige Systembefehle einzuschleusen, die das Betriebssystem ausführt (CVE-2024-56131, CVE-2024-56132, CVE-2024-56133, CVE-2024-56135; alle CVSS 8.4, Risiko "hoch"). Eine weitere Lücke erlaubt auf diesem Weg das Herunterladen von beliebigen Dateien des Zielsystems (CVE-2024-56134, CVSS 8.4, hoch).

Der Druckerhersteller Lexmark hat Sicherheitsmitteilungen zu Schwachstellen in Drucker-Begleitsoftware und Firmware diverser Drucker-Modelle veröffentlicht. Angreifer können dadurch Schadcode einschleusen und ausführen. Aktualisierte Soft- und Firmware steht bereit. Admins sollten sie zeitnah installieren.

Anzeige

Am schwersten wiegt eine Lücke in der Begleitsoftware Lexmark Print Management Client (LPMC). Die Fehlerbeschreibung ist sehr allgemein gehalten: Eine Schwachstelle aufgrund des "Verlassens auf nicht vertrauenswürdigen Angaben in einer Sicherheitsentscheidung" (CWE-807) ermöglicht das Umgehen eines Schutzmechanismus (CVE-2025-1126, CVSS 9.3, Risiko "kritisch"). Am Ende können Angreifer Code im SYSTEM- oder Root-Kontext ausführen sowie Ordner auf dem Rechner löschen, für die eigentlich erhöhte Rechte benötigt werden. Aufgrund einer doppelten Nutzung des CVE-Eintrags CVE-2024-11348 hat Lexmark eine neue CVE-Nummer vergeben. Betroffen sind LPMC 3.0.0 bis 3.4.0, Version 3.5.0 oder neuer schließen die Sicherheitslücke.

Der eingebettete Webserver in zahlreichen Lexmark-Druckern lässt sich durch eine Kombination einer Path-Traversal-Lücke sowie gleichzeitiger Ausführung von Schadcode durch Angreifer unterjubeln (CVE-2024-11348, CVSS 9.1, kritisch). Diverse Druckermodelle sind betroffen, deren Auflistung die Meldung sprengen würde – die unten verlinkte Sicherheitsmitteilung listet sie auf.

Dasselbe gilt für die weiteren Schwachstellen im Postscript-Interpreter vieler Drucker – auch hier sollten IT-Verantwortliche, die Lexmark-Drucker einsetzen, durch die Liste der betroffenen Geräte schauen und gegebenenfalls das bereitstehende Firmware-Update anwenden. Durch den Missbrauch der Schwachstellen können Angreifer aus dem Netz Schadcode mit eingeschränkten Nutzerrechten auf den Geräten ausführen. Wie genau Angriffe aussehen würden, schreibt Lexmark jedoch nicht. Vermutlich gelingt das durch das Senden manipulierter Druckdaten.

Seit drei Wochen kämpft die Bundeswehr-Universität in München mit einem Cyberangriff. "Nach derzeitigem Kenntnisstand haben sich die Angreifer Zugriff auf einen zentralen IT-Service des Rechenzentrums verschafft", bestätigte ein Sprecher des Kommando Cyber- und Informationsraum (CIR) der Bundeswehr am Donnerstagabend auf Anfrage von heise online. Das Kommando CIR ist unter anderem für die Abwehr digitaler Bedrohungen gegen die Bundeswehr zuständig. Im Laufe des Tages hatte es bereits in den Sozialen Medien und beim Handelsblatt entsprechende Hinweise gegeben. Der Angriff sei am 23. Januar festgestellt worden, so der CIR-Sprecher. "Derzeit arbeitet das Rechenzentrum der Bundeswehr-Universität in München unter Hochdruck an der Analyse und Mitigation der Auswirkungen." Mit anderen Worten: Bislang ist nicht klar, wie weit die Infrastruktur der Universität tatsächlich kompromittiert wurde. Betroffen seien aber in jedem Fall nur die Strukturen innerhalb der Bundeswehr-Universität, die getrennt von denen der Bundeswehr selbst liefen.

Anzeige

Die Universität in München ist neben der Helmut-Schmidt-Universität in Hamburg die zweite Hochschule, die zur Bundeswehr gehört. In den Studiengängen der Universität am ehemaligen Fliegerhorst Neubiberg können Bundeswehrangehörige unter anderem Studiengänge wie Bachelor in Informatik und einen Master in Cybersicherheit absolvieren, auch das Nachrichtendienstwesen und Sicherheitsstudien werden dort gelehrt. Ein Teil der Studierenden ist zur Verwendung beim Bundesnachrichtendienst vorgesehen oder bereits dort tätig.

"Die potenziell Betroffenen wurden über diesen Vorfall eingehend informiert", so der Sprecher des Kommando CIR. Einschränkungen gingen von dem Angriff nicht aus, derzeit sei auch keine Datenlöschung oder "unzulässige Verschlüsselung" bekannt. Ob interne Daten abgeflossen sind, teilte der Sprecher nicht mit. Das Handelsblatt berichtete, dass persönliche Daten von Studierenden und Dozierenden an der Universität potenziell betroffen seien, unter anderem sensible Daten wie Kontoverbindungen und Mobiltelefonnummern.

Die Universität der Bundeswehr arbeitet bei ihrer Forschungs- und Lehrtätigkeit eng mit anderen Stellen im Geschäftsbereich des Bundesverteidigungsministeriums zusammen. Gerade erst wurde eine Kooperation zwischen der Hochschule und dem Cyber-Innovation-Hub (CIHbw) angekündigt. Damit soll die kleine Innovationseinheit, die sich außerhalb der normalen Bundeswehrstrukturen um Herausforderungen durch Digitalisierung wie experimentelle Drohnenabwehr oder ein Meta-Drohnenbetriebssystem kümmert und sich auch konzeptionellen Fragen wie der Rolle von Software Defined Defence widmet, enger mit den Angehörigen der Universität zusammenarbeiten. Ziel sei es, heißt es in einer Stellungnahme der Präsidentin der Universität Eva-Maria Kern, dass Studierende und Forscher der Universität gemeinsam mit dem Cyber-Innovation-Hub "innovative Lösungen für die Bundeswehr entwickeln."

Die mutmaßlich aus China aktive Hackinggruppe hinter dem verheerenden Cyberangriff auf mehrere große Provider in den USA ist angeblich weiter aktiv und hat zwischen Dezember und Januar fünf weitere Telekommunikationsunternehmen kompromittiert. Das berichtet TechCrunch unter Berufung auf die Cybersicherheitsfirma Recorded Future. Die hat demnach Erkenntnisse darüber, dass die Gruppe aus China die US-Tochter eines bekannten britischen Konzerns, einen US-Internetprovider und Telekommunikationsfirmen aus Italien, Südafrika und Thailand infiltriert hat. In weiteren Systemen würde die Gruppe Informationen sammeln. Und das, obwohl der Cyberangriff im Herbst entdeckt wurde.

Anzeige

Recorded Future geht dem Bericht zufolge nicht davon aus, dass die Angriffe ein Ende finden und das, obwohl die Attacke bereits Anfang Oktober entdeckt wurde. Damals hieß es, dass es mutmaßlich in Diensten der chinesischen Regierung stehenden Angreifern gelungen ist, die Netzwerke von AT&T, Verizon, T-Mobile und anderen Providern zu kompromittieren. Der Gruppe namens "Salt Typhoon", "GhostEmperor" oder "FamousSparrow" ging es dabei offenbar um Informationsbeschaffung. Es handle sich um den "größten Telekommunikationshack in der US-Geschichte – und zwar mit Abstand", hat der Vorsitzende des für Geheimdienste zuständigen Senatsausschusses im November gesagt.

Die staatlichen Ermittlungen zu dem Cyberangriff wurden Ende Januar abrupt gestoppt, als die neue US-Regierung alle nicht vom Staat entsandten Mitglieder verschiedener Beratungsgremien entlassen hat. Dadurch wurde die Untersuchung des Angriffs durch das Cyber Safety Review Board regelrecht abgewürgt. Das CSRB gibt es seit 2022, besetzt wird es von der Cybersicherheitsagentur CISA. Vertreten waren darin eigentlich staatliche Einrichtungen wie der Geheimdienst NSA oder das Justizministerium, aber auch privatwirtschaftliche Akteure wie Google oder Cybersicherheitsfirmen. Mit der versammelten Expertise sollen besonders schwerwiegende Cybersicherheitsvorfälle untersucht werden.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Die gemeinnützige Software-Entwicklungsplattform Codeberg steht seit Tagen im Zentrum verschiedener Angriffe. Die ehrenamtlichen Initiatoren des Projekts vermuten eine politische Motivation hinter Hassbotschaften, Spam und dDoS.

Anzeige

Vor wenigen Tagen, also um den 10. Februar, begannen die Angriffe gegen den Codeberg e.V. mit Spam-Kampagnen gegen einzelne Projekte auf der Plattform. Dabei wurden etwa deren Bug-Tracker mit unsinnigen Fehler-Hinweisen überflutet. Zudem füllten sich die E-Mail-Konten der Vereinsmitglieder mit missbräuchlichen Newsletter-Anmeldungen.

Am Morgen des 12. Februar folgte dann der nächste Schritt: Die unbekannten Angreifer erstellten tausende Issues (also Fehler-Hinweise) mit einem ordinären rassistischen Begriff im Titel, verlinkten dort Nutzerkonten und erzeugten so massenhaft E-Mail-Benachrichtigungen. Die Störer änderten mehrfach ihr Vorgehen, um den zwischenzeitlich durch Codeberg getroffenen Gegenmaßnahmen zu entwischen.

Seit dem Mittag des 13. Februar verstopft ein volumetrischer Denial-of-Service-Angriff die Internetleitung des Vereins und sorgt immer wieder für Verbindungsprobleme.

Die Softwareentwicklungsplattform Gitlab ist verwundbar. Sicherheitsupdates schließen mehrere Schwachstellen.

Anzeige

Sind Attacken erfolgreich, können Angreifer einer Warnmeldung zufolge unter anderem eigene Befehle ausführen (CVE-2025-0376 "hoch"), Abstürze auslösen (CVE-2025-12379 "mittel") oder auf eigentlich abgeschottete Daten zugreifen (CVE-2024-3303 "mittel").

Unklar ist bislang, wie solche Angriffe ablaufen könnten und ob es bereits Attacken gibt. Admins, die Gitlab-Installationen verwalten, sollten zügig eine der gegen die geschilderten Attacken gerüstete Version installieren: 17.6.5, 17.7.4, 17.8.2. Den Entwicklern zufolge laufen diese Ausgaben bereits auf Gitlab.com. Gitlab-Dedicated-Kunden müssen nichts unternehmen.

Der Großteil der Sicherheitslücken wurde über die Bug-Bounty-Plattform Hackerone gemeldet.

Angreifer können an mehreren Schwachstellen in unter anderem Firmwares und Treibern von Intel ansetzen, um PCs zu attackieren. Nun sind mehrere Sicherheitspatches erschienen.

Anzeige

Alle Updates listet der Halbleiterhersteller im Sicherheitsbereich seiner Website auf. Zurzeit gibt es noch keine Berichte über laufende Attacken.

Am gefährlichsten gilt eine Lücke (CVE-2023-25191 "kritisch") in der Server-Board-BMC-Firmware. Sie betrifft konkret die Fernwartungsfunktion einiger Server-Mainboards. An der Lücke sollen Angreifer ohne Authentifizierung ansetzen können, um sich höhere Nutzerrechte zu verschaffen.

Neben der Installation der Sicherheitsupdates sollten Admins sicherstellen, dass solche Fernwartungsports nicht öffentlich über das Internet erreichbar sind. So minimieren sie ein Angriffsrisiko. Die betroffenen Server-Mainboards und Sicherheitsupdates sind in einer Warnmeldung aufgelistet. Mit den Updates haben die Entwickler noch zusätzliche BMC-Schwachstellen geschlossen.

Häufig sind es Fehlkonfigurationen, die Angreifern den Zugang zu Cloud-Umgebungen erleichtern, auch bei AWS. Entwicklungsfehler, unzureichende Härtung sowie Standardeinstellungen, die eher auf Funktionalität als auf Sicherheit ausgerichtet sind, erhöhen das Risiko, dass Angreifer einzelne Anwendungen, Ressourcen und Identitäten kompromittieren können.

Anzeige

In dem Workshop Angriffe auf und Absicherung von Amazon Web Services (AWS) lernen Sie die Techniken der Angreifer kennen und erfahren, mit welchen Sicherheitsmaßnahmen Sie Ihre AWS-Dienste und Cloud-Identitäten besser schützen und so potenzielle Angriffe frühzeitig erkennen und abwehren können.

Dabei setzen Sie sich mit verschiedenen Angriffsszenarien und Sicherheitsstrategien auseinander. Sie werden in die wichtigsten Methoden wie unautorisierte Informationsbeschaffung, initiale Kompromittierung von AWS Identitäten und Privilegieneskalation eingeführt. Sie erfahren auch, wie wichtig es ist, die Angriffspfade zwischen lokalen Umgebungen und der AWS-Cloud zu verstehen. Beim Aufspüren von Fehlkonfigurationen lernen Sie, wie Sie diese beheben und Sicherheitsfunktionen aktivieren können. Frank Ully zeigt Ihnen, wie Sie Angriffe auf Ihre AWS-Umgebung erkennen und wie Sie CloudTrail, CloudWatch und GuardDuty konfigurieren und einsetzen, um Sicherheitsprotokolle zu analysieren und auf Sicherheitsvorfälle zu reagieren.

Die Schulung richtet sich an Administratoren, IT-Sicherheitsverantwortliche und Security-Fachleute, die sich intensiver mit Angriffen auf und Absicherung von Amazon Web Services (AWS) auseinandersetzen wollen. Referent ist Frank Ully, erfahrener Pentester und Head of Research bei der Oneconsult Deutschland AG in München. Der nächste Workshop findet am 10. bis 11. April 2025 statt

Die Netz-Selbstverwaltung ICANN ist Phishing zum Opfer gefallen. Trotz Multi-Faktor-Authentifizierung ist es einem Angreifer am Dienstag gelungen, das offizielle ICANN-Konto im Sozialen Netz X zu übernehmen. Der Täter nutzte das Konto aber nicht etwa für politische Stellungnahmen oder eine Lehrstunde in Sachen IT-Sicherheit, sondern suchte weitere Opfer: Sie sollten bitteschön Einheiten einer Kryptowährung namens $DNS kaufen.

Anzeige

Der betrügerische Tweet

(Bild: Screenshot via Brian Krebs)

Die ICANN (Internet Corporation for Assigned Names and Numbers) "definiere digitale Eigentümerschaft neu" war zu lesen. Es handle sich um die "erste Memecoin, die Domain Governance und die Web3-Kultur" auf der Blockchain Solana verbinde. Na wenn das kein überzeugendes Verkaufsargument ist.

Aktuell mehren sich Berichte von Bahnfahrern, die bei der Kontrolle ihres Deutschlandtickets als Schwarzfahrer aus dem Verkehr gezogen werden – obwohl sie dafür bezahlt haben. Der Grund ist anscheinend ein gut frequentierter Fahrkartenshop (D-Ticket.su), der die Tickets verkauft hat. Diese sind mit einem zunächst gültigen Kryptoschlüssel signiert, der jedoch Ende Januar unter mysteriösen Umständen widerrufen wurde. Die betroffenen Reisenden sind deshalb unwissentlich ohne gültiges Ticket unterwegs.

Anzeige

D-Ticket verkaufte Deutschlandtickets zu besonders attraktiven Konditionen.

“Zunächst war ich sehr begeistert, über mehrere Monate kein Problem. Anteiliges Zahlen und super unterwegs mit der Bahn. Heute konnte der Barcode nicht gelesen werden. Mir wurde eine Fahrpreisnacherhebung über 60 € ausgestellt”: Bewertungen dieser Art findet man aktuell zuhauf auf der Trustpilot-Seite des Fahrkartenshops “D-Ticket”. Seit mehreren Tagen werden Deutschlandtickets des Anbieters von Fahrkartenkontrolleuren als ungültig deklariert, die unbedarften Bahnfahrer werden zu Schwarzfahrern und müssen meist eine Strafe zahlen.

Die Kundenbewerten bei der Bewertungsseite Trustpilot waren lange Zeit positiv, schwenkten aber in den letzten Tagen ins Negative um, weil die Tickets nicht länger als gültig anerkannt werden.

Microsofts Cloud-basierter Identitäts- und Zugriffsverwaltungsdienst Entra ID ist als zentraler Bestandteil vieler Unternehmensnetzwerke ein beliebtes Ziel für Ransomware und andere Angriffe.

Anzeige

Im zweitägigen Online-Workshop Angriffe auf und Absicherung von Entra ID erfahren Sie, wie Angreifer Fehlkonfigurationen in Microsofts Identitätsverwaltungsdienst und fehlende Härtungsmaßnahmen erkennen und ausnutzen. Darauf aufbauend zeigt Ihnen Thomas Kudlacek, wie Sie Ihre Entra ID-Umgebung inklusive der Azure-Dienste effektiv absichern und gibt Ihnen Empfehlungen. Mit den Unterlagen, die Sie in dieser Schulung erhalten, können Sie im Anschluss selbstständig üben.

Der nächste Workshop findet vom 27. bis 28. Februar 2025 statt und richtet sich an Mitarbeitende aus den Bereichen Administration, IT-Leitung und IT-Sicherheit. Ihr Trainer Thomas Kudlacek ist Cyber Security Specialist bei der Cyber Security Academy von Oneconsult. Zuvor war er als Penetrationstester für einen internationalen Dienstleister tätig.

Cyberangriffe bedrohen die Existenzen von Unternehmen und verursachen jährlich Schäden in Milliardenhöhe. Wohl dem, der für den Ernstfall gut aufgestellt ist, um den Geschäftsbetrieb zeitnah wieder zum Laufen zu bekommen. Dafür gibt es bewährte Aufgabenzuweisungen und Ablaufpläne. Diese Informationen, und noch viele weitere, gibt es auf der secIT 2025.

Anzeige

Die IT-Security-Kongressmesse findet am 18. bis 20. März im Hannover Congress Centrum (HCC) statt. Bis zum 15. Februar gibt es im Onlineshop noch vergünstigte Eintrittskarten. Ein Tagesticket kostet 79 statt 99 Euro und für beide Tage werden 119 statt 139 Euro fällig. Am 18. März gibt es mehrere Ganztagsworkshops, die Besucher extra buchen müssen.

Auf der NIS2-Podiumsdiskussion diskutiert unter anderem Julia Hermann, CISO bei der infodas, ein Airbus Cyber & IT Tochterunternehmen, über die Umsetzung der Richtlinie.

Das Hauptaugenmerk der secIT 2025 liegt auf den von c't, heise security und iX ausgewählten Referenten und Themen. Diese Vorträge und Workshops sind garantiert werbefrei. Hier stehen die Inhalte im Fokus und Teilnehmer erwarten hilfreiche Fakten, die sie direkt im Tagesgeschäft für mehr IT-Sicherheit umsetzen können.

Fortinet hat in der Nacht zum Mittwoch Sicherheitsmitteilungen zu Schwachstellen in diversen Produkten herausgegeben. Einige Lücken gelten als hochriskant. Mindestens eine – sie erhält als einzige de Einstufung "kritisch" – wird bereits im Internet von Kriminellen angegriffen.

Anzeige

Die bereits attackierte Sicherheitslücke betrifft FortiOS und FortiProxy, Fortinet hat damit eine Sicherheitsmitteilung aus dem Januar aktualisiert. Die dreht sich um eine Umgehung der Authentifizierung im Node.js-Websocket-Modul (CVE-2024-55591, CVSS 9.6, Risiko "kritisch"). Neu hinzugekommen ist nun der Eintrag CVE-2025-24472, CVSS 8.1, "hohes" Risiko. Der Hersteller erklärt, dass Angreifer aus dem Netz dadurch Super-Admin-Rechte erlangen können, indem sie manipulierte Anfragen an das Node.js-Websocket-Modul oder präparierte CSF-Proxy-Anfragen senden.

Das geschieht laut Fortinet bereits im Internet. Die Mitteilung listet daher Indizien für eine Kompromittierung (Indicators of Compromise, IOCs) auf, anhand derer Admins prüfen können, ob sie bereits angegriffen wurden. Betroffen ist FortiOS 7.0.0 bis 7.0.16, die Version 7.0.17 oder neuer hilft dem ab. Für FortiProxy 7.2.0 bis 7.2.12 steht hingegen Fassung 7.2.13 sowie für 7.0.0 bis 7.0.19 der Stand 7.0.20 oder jeweils neuer zum Schließen der Lücke bereit.

Auf der Seite des Fortinet-PSIRT stehen noch eine Menge weiterer Aktualisierungen für diverse Produkte bereit, unter anderem für FortiAnalyzer, FortiPAM, FortiSwitchManager, FortiClientMac, FortiClientWindows, FortiSandbox, FortiManager und so weiter. Zwischenzeitlich ist die Seite etwas instabil und liefert nur eine Fehlermeldung zurück, nach kurzer Zeit klappt die Anzeige jedoch in der Regel. Admins sollten die Liste durchgehen und zusehen, die Aktualisierungen für die in den eigenen Netzen eingesetzten Geräte zügig anzuwenden.

In der Opensource-Sicherheitsplattform Wazuh klaffte eine kritische Lücke, die Angreifern erlaubte, eigenen Code einzuschleusen und verwundbare Server so zu übernehmen. Dafür benötigten sie jedoch Zugriff auf das API, mithin also ein gültiges Nutzerkonto. In größeren Wazuh-Verbünden mit mehr als einem Server gab es jedoch noch einen leichteren Weg, den Server zu kompromittieren.

Anzeige

Der einfachste Weg, das Opensource-SIEM (Security Information and Event Management) zu knacken, führte über dessen API. Schob der Angreifer dort ein ein speziell konstruiertes serialisiertes Objekt mit Python-Code ein, wurde dieser ausgeführt. So konnte er etwa den Server abschalten oder gleich ganz übernehmen.

Auch über den Wazuh-Agenten gab es einen Weg zur Codeausführung. Der Agent ist ein Stück Software, das von einem Endpunkt (etwa einem Büro-PC oder überwachten Webserver) eine Verbindung zum Wazuh-Server herstellt und Überwachungsdaten wie etwa Paketversionen oder Sicherheitsereignisse meldet. In einem Serververbund konnte ein gekaperter Agent ebenfalls über einen geschickt manipulierten API-Aufruf Code auf einem der Server ausführen. Dieser Angriffsweg klappte jedoch nicht bei kleineren Installationen mit nur einem Server.

Die kritische Lücke mit der CVE-ID CVE-2025-24016 (CVSS 9,9/10) klaffte in allen Wazuh-Versionen von 4.4.0 bis 4.9.0 und ist in Version 4.9.1 behoben. Derzeit aktuell ist Wazuh 4.10.1.