Comretix Blog

VPN-Zugangsdaten und komplette Konfigurationsdateien tausender FortiNet-Appliances sind im Darknet aufgetaucht, wo eine bislang unbekannte Angreifergruppe sie verschenkt. Die Daten hängen offenbar nicht mit kürzlich veröffentlichten Sicherheitslücken im Appliance-Betriebssystem FortiOS zusammen. heise security hat eine erste Analyse versucht.

Anzeige

In Darknet-Foren gibt es bisweilen kleine Geschenke: So ist es üblich, dass Untergrundhändler Kostproben ihrer Ware kostenlos herausgeben, um deren Qualität zu beweisen – ein Vorgehen, das womöglich von der legalen Datenhandelsbranche abgeschaut ist. Doch komplette Leaks tausender Konfigurations- und Passwortdateien – das ist nicht alltäglich. Eine neue Gruppe namens "Belsen Group" verschenkte nun über 15.000 Datensätze, die offenbar über eine Sicherheitslücke von Fortinet-Firewalls abgezogen wurden.

heise security hat sich den Datensatz besorgt und zunächst oberflächlich analysiert. Es handelt sich um eine ZIP-Datei mit insgesamt 145 Unterverzeichnissen, eines für jedes Land mit betroffenen Geräten. Die meisten, nämlich 1603 FortiNet-Konfigurationen, haben die Angreifer in Mexiko erbeutet, 679 in den USA und 208 in Deutschland. Überwiegend befinden sich diese IP-Adressen im Netz der Deutschen Telekom und von Vodafone, aber auch andere bekannte Internetprovider und Hoster sind darunter.

Gratisleck: Ein neuer Akteur im illegalen Datenmarkt verschenkt massenhaft sensible Daten von FortiNet-Firewalls.

Googles OAuth-Login gefährdet offenbar persönliche Daten der Ex-Mitarbeiter gescheiterter Start-ups, die Google Workspace nutzten. Das beschreibt der Mitgründer der IT-Sicherheitsfirma Truffle in einem Blogpost: Wer die Domain eines solchen Unternehmens kauft, kann mit Googles OAuth auf alte Mitarbeiter-Accounts bei im Google Workspace eingebundenen Diensten wie Slack, ChatGPT, Notion, Zoom oder Human-Resources-Plattformen zugreifen. Gerade bei HR-Plattformen sind oft sensible Daten hinterlegt. Dafür muss man offenbar nur den E-Mail-Account eines Ex-Mitarbeiters auf der Domain neu erstellen.

Anzeige

Der Zugriff auf die Plattformen über Googles OAuth-Login funktioniert, weil der betreffende Dienst, beispielsweise Slack, beim Anmeldeversuch anhand spezifischer Identifikatoren entscheidet, ob die Anmeldung durchgeführt wird oder nicht.

Es könnte also zum Beispiel die Regel gelten "Alle Accounts auf @gescheitertesStartup.de-können auf das Slack des gescheiterten Start-ups zugreifen". Ist das die einzige Regel, anhand der Slack den Login bestätigt oder ablehnt, kann ein neuer Domain-Inhaber mit der neu erstellten E-Mailadresse eines Ex-Mitarbeiters einfach auf alle Slack-Channels zugreifen, auf die der Mitarbeiter Zugriff hatte.

Das Problem ließe sich laut dem Blogpost lösen, wenn Google zwei unveränderliche, eindeutige Identifikatoren in die OpenID-Connect-Attribute seiner OAuth-Implementierung aufnähme: Eine einzigartige Nutzer-ID, die sich nie ändert und eine einzigartige, an die Domain gebundene Workspace-ID.

Die kriminelle Online-Bande Cl0p hat angeblich erneut zugeschlagen: Durch eine Sicherheitslücke in der Datentransfer-Software Cleo seien die Täter bei vielen Unternehmen eingebrochen und hätten sensible Daten kopiert. Sie drohen mit der Veröffentlichung.

Anzeige

Auszug der Liste der Firmen, denen Cl0p angeblich Daten gestohlen hat.

(Bild: Screenshot / dmk)

Im Darknet-Auftritt listet Cl0p 59 Firmen-Domains auf, bei denen sie angeblich durch eine Sicherheitslücke in Cleo Daten abgegriffen hat. Die Kriminellen drohen mit der Veröffentlichung, sollten die Unternehmen nicht bis Samstag, den 18. Januar, reagieren und in Verhandlung mit Cl0p treten. Außerdem kündigen sie an, einen neuen Teil der Firmenliste am 21. Januar zu veröffentlichen.

Angreifer können an mehreren Schwachstellen unter anderem in FortiManager, FortiSIEM und FortiVoice ansetzen, um Systeme zu attackieren. Aktuelle Sicherheitspatches sollen das verhindern.

Anzeige

Um möglichen Attacken vorzubeugen, sollten Netzwerkadmins im Sicherheitsbereich der Fortinet-Website die sie betreffenden Produkte ausfindig machen und die Patches zeitnah installieren. Eine Auflistung aller Sicherheitsupdates sprengt den Rahmen dieser Meldung. Bislang gibt es noch keine Hinweise auf laufende Attacken.

Einige Lücken sind mit dem Bedrohungsgrad "kritisch" eingestuft. Dabei können sich Angreifer mit präparierten Anfragen an das Node.js-Websocket-Modul Super-Admin-Rechte in FortiOS verschaffen (CVE-2024-55591). Außerdem kann mittels spezieller HTTP-Anfragen Schadcode auf Systeme mit FortiOS und FortiProxy gelangen (CVE-2024-21762). Attacken sollen ohne Authentifizierung aus der Ferne möglich sein. Aufgrund eines hartcodierten kryptografischen Schlüssels sind unbefugte Zugriffe auf FortiSwitch vorstellbar (CVE-2023-37936).

Viele weitere Schwachstellen sind mit dem Bedrohungsgrad "hoch" eingestuft. An diesen Stellen können Angreifer unter anderem eigene Befehle oder sogar Schadcode ausführen. Obendrein sind eigentlich abgeschottete Daten einsehbar. In einigen Fällen ist die Authentifizierung umgehbar und Angreifer können sich über Brute-Force-Attacken Zugriff verschaffen. DoS-Attacken sind ebenfalls möglich, sodass Angreifer Services crashen lassen können. Wie Attacken konkret ablaufen könnten, ist bislang nicht bekannt.

Netzpolitik.org hat zusammen mit dem BR und weiteren Redaktionen einen Datensatz eines Datenbrokers erhalten und diesen untersucht: Ein Schnappschuss mit 380 Millionen Standortdaten aus 137 Ländern, die rund 40.000 unterschiedliche Apps beim Datenhändler abgeliefert haben. Der Datensatz sollte als Werbung für ein monatliches Abo mit täglich aktualisierten Daten dienen.

Anzeige

In der vergangenen Woche wurde durch das Datenleck beim US-amerikanischen Datenbroker Gravy Analytics bekannt, dass mindestens 15.000 Apps teils präzise Positionsdaten sammeln und an die Server des Unternehmens schicken. Die sind durch den mittlerweile eingeräumten Einbruch sogar als öffentlich zu betrachten.

In dem Datenfundus des Rechercheverbunds finden sich Apps sowohl für Android als auch für iOS. Diese liefern offensichtlich Werbe-IDs, Standortdaten und die Verbindung zu den jeweiligen Apps. Der fraglichen US-Datenhändler nannte sich bis vor Kurzem Datastream Group, inzwischen ist der Datenhehler unter dem Namen Datasys aktiv.

Die Kategorien der datenliefernden Apps sind recht umfassend: Spiele, Dating und Shopping bis hin zu Nachrichten und Bildung, erklärt Netzpolitik in der Analyse. "Darunter sind einige der beliebtesten Apps der Welt, teils millionenfach heruntergeladen."

Im Content-Management-System Typo3 haben die Entwickler zehn Sicherheitslücken gemeldet. Aktualisierte Versionen von Typo3 stehen bereit, die die teils hochriskanten Schwachstellen ausbessern.

Anzeige

Die meisten Sicherheitslecks sind vom Typ Cross-Site-Scripting. Angreifer können Opfern dadurch Links unterschieben, die bösartigen Code in deren Benutzerkontext einschleusen und ausführen. Laut Beschreibung der schwerwiegendsten Lücke im Scheduler-Modul reicht dafür das Besuchen einer kompromittierten oder manipulierten Webseite bereits aus.

IT-Verantwortliche sollten aufgrund des Schweregrads einiger der Lücken die aktualisierten Software-Versionen zügig installieren. Die sicherheitsrelevanten Fehler korrigieren die Typo3-Versionen 9.5.49 ELTS, 10.4.48 ELTS,11.5.42 ELTS, 12.4.25 LTS, 13.4.3 LTS. Sie sind auf der Typo3-Downloadseite erhältlich. Insbesondere die Aktualisierungen für die 10er- und 11er-Entwicklungszweige erhalten in der kostenlosen Fassung jedoch keine Unterstützung mehr, hier müssen Nutzerinnen und Nutzer auf die 12er- oder 13er-Version umsteigen. Wo Betroffene das Update auf Typo3 9.5.49 ELTS erhalten können, erklären die Sicherheitsmitteilungen jedoch nicht.

Die Sicherheitslücken im Einzelnen:

Die Sicherheitskriterien für kryptografische Schlüssel ändern sich bisweilen. So etwa bei DKIM-Schlüsseln zur Signatur von Mailheadern: Eine Studie testete die DKIM-Informationen von mehr als 400.000 der populärsten Domains und stellte dabei fest, dass viele dieser Domains unsichere Schlüsselgrößen verwenden. Mit einem geknackten DKIM-Schlüssel schleusten die Forscher dann gefälschte Mails ein.

Anzeige

DKIM (DomainKeys Identified Mail) ist eine Technik, die beim Versand die Header, also Meta-Informationen von E-Mails, digital signiert. Der Mailserver des Senders signiert die Header mithilfe eines privaten Schlüssels, sein Gegenstück beim Empfänger prüft mittels des dazugehörigen öffentlichen Schlüssels die Signaturen. Öffentliche Schlüssel eines Mailservers sind im DNS (Domain Name System) hinterlegt und somit einfach abrufbar. Richtig implementiert, hilft DKIM bei der Erkennung von E-Mail-Fälschungen, wie sie bei Phishing-Angriffen vorkommen.

Das klappt jedoch nur, wenn Angreifer den privaten Schlüssel einer Domain nicht erraten können. Könnten sie das, wären sie in der Lage, eine DKIM-Signatur für jede beliebige, also auch eine gefälschte E-Mail, auszustellen. Die Ergebnisse des Tests zeigen: Falsch gewählte Schlüssel können die DKIM-Sicherheit aushebeln.

Die Sicherheitsforscher überprüften Mitte 2024 eine Million der beliebtesten Domains im Internet auf ihre Mailsicherheit. Bei immerhin gut 475.000 Domains konnten sie einen DKIM-Eintrag ermitteln; fast alle Schlüssel waren RSA-Schlüssel. Fast die Hälfte der untersuchten DKIM-Schlüssel hatte eine Größe von 1024 Bit oder weniger, wie das Team um Andreas Wulf herausfand.

Zoom hat mehrere Sicherheitslücken in den Webkonferenz-Tools geschlossen. Eine davon gilt als hochriskant. Zudem ist das Jenkins-Plug-in für App-Entwickler von einer Schwachstelle betroffen.

Anzeige

Am gravierendsten stuft Zoom eine Schwachstelle in der Zoom Workplace App für Linux ein. Die ist vom Typ "Type Confusion", bei der übergebene Datentypen nicht mit den vom Programmcode erwarteten übereinstimmen, was oftmals zur Ausführung von untergeschobenem Code führen kann. In diesem Fall können angemeldete Nutzer ihre Rechte mit Netzwerkzugriff ausweiten – wie genau der Angriff auf die Lücke aussehen würde, erläutert Zoom jedoch nicht (CVE-2025-0147, CVSS 8.8, Risiko "hoch").

Als mittleres Risiko eingestufte Sicherheitslücken hat Zoom zudem in den Workplace-Apps für Linux und Windows geschlossen. Denselben Bedrohungsgrad teilt die Schwachstelle im Jenkins-Plug-in von Zoom.

Die Fehler haben die Entwickler in den Versionen

Adobe hat mehrere Sicherheitslücken in Animate, Illustrator on iPad, Photoshop Substance 3D Designer und Substance 3D Stager geschlossen. In vielen Fällen können Angreifer Schadcode auf Systeme schieben und ausführen.

Anzeige

In allen Fällen sind auf nicht näher beschriebenen Wegen ausgelöste Speicherfehler der Ansatzpunkt für Schadcode-Attacken. Bislang gibt es keine Berichte zu laufenden Angriffen. Admins sollten die gegen die Attacken geschützten Versionen dennoch zügig installieren. Von möglichen Attacken sind die SOftware-Fassungen sowohl für macOS als auch für Windows bedroht. Der Großteil der Sicherheitslücken ist mit dem Bedrohungsgrad "hoch" eingestuft.

In einer Warnmeldung geben die Entwickler an, Animate 2023 23.0.10 und Animate 2024 24.0.7 abgesichert zu haben. Für iOS ist Illustrator 3.0.8 mit Sicherheitskorrekturen gerüstet. Photoshop 2024 25.12.1 und Photoshop 2025 26.2 sind mit Sicherheitspatches versehen. In Substance 3D Designer 14.1 haben die Entwickler vier Schadcode-Lücken geschlossen. Von Substance 3D Stager ist die Ausgabe 3.1.0 gepatcht. Alle vorigen Versionen sind verwundbar.

Derzeit attackieren Angreifer verschiedene Windows- und Windows-Server-Versionen. Einfallstore sind drei Schwachstellen in der Virtualisierungstechnik Hyper-V. Weitere Windows-Lücken sind öffentlich bekannt, sodass anstehende Attacken naheliegen. Darüber kann unter anderem Schadcode auf Systeme gelangen. Dementsprechend sollten Admins sicherstellen, dass Windows Update aktiv ist und die aktuellen Sicherheitspatches installiert sind.

Anzeige

Die drei ausgenutzten Hyper-V-Lücken (CVE-2025-21333, CVE-2025-21334, CVE-2025-21335) hat Microsoft mit dem Bedrohungsgrad "hoch" eingestuft. Sie betreffen verschiedene Ausgaben von Windows 10 und 11 und außerdem Windows Server 2022 und 2025. Wie Attacken konkret ablaufen, ist bislang nicht bekannt. Microsoft führt aus, dass sich Angreifer über die Schwachstellen System-Rechte verschaffen.

In so einer Position ist davon auszugehen, dass Computer als vollständig kompromittiert gelten. In welchem Umfang die Attacken stattfinden, bleibt unklar. Weitere Lücken in Access (etwa CVE-2025-21186 "hoch"), App Package Installer (CVE-2025-21275 "hoch") und Windows Themes (CVE-2025-21308 "hoch") sind öffentlich bekannt und es könnten Angriffe bevorstehen. An diesen Schwachstellen können Angreifer unter anderem mit präparierten E-Mails ansetzen und Schadcode ausführen.

Mehrere Windows-Lücken sind als "kritisch" eingestuft. Hier können sich Angreifer beispielsweise im Kontext von NTLM V1 höhere Nutzerrechte verschaffen (CVE-2025-21311) oder Outlook kann sich an manipulierten Mails verschlucken, sodass Angreifer Schadcode aus der Ferne ausführen können (CVE-2025-21298).

Der heise-security-Podcast "Passwort" ist zurück vom Chaos Communication Congress und wieder in der alten Besetzung unterwegs. In der neuesten Folge schauen sich Sylvester und Christopher ein mysteriöses Rootkit an, das sich im UEFI von Linux-Systemen einnistet und dafür bekannte Sicherheitslücken ausnutzt.

Anzeige

Rootkits sind ein recht altes Malware-Konzept, Linux-Varianten der Schadsoftware treiben seit den Neunzigerjahren des vergangenen Jahrhunderts ihr Unwesen. Meist verfügen die Schädlinge über Methoden, sich permanent im System einzunisten – über versteckte Cronjobs, Systemdienste, Kernelmodule oder das UEFI.

Cyberkriminelle behaupten im Darknet-Forum Breach Forums, einen substanziellen Datensatz an Kunden-, Mitarbeiter- und betriebsinternen Daten bei einem Cyberangriff auf den spanischen Telekommunikationsanbieter Telefónica erbeutet zu haben. Der Datensatz soll demnach mehr als 5000 interne Dateien, 236,493 Kundendatensätze und rund eine halbe Million Jira-Tickets beinhalten.

Anzeige

Das Cybersecurity-Unternehmen Hudson Rock sprach offenbar mit den Angreifern. Inititalen Zugriff konnten sich die Angreifer nach eigenen Angaben durch Infostealer-Malware verschaffen, mit der sie die Zugangsdaten von 15 Telefonica-Angestellten stahlen. Kombiniert mit Social Engineering konnten sie sich dann weitere Rechte im System verschaffen und auf das Ticketing-System zugreifen.

Laut Hudson Rock wurden dabei auch 24.000 Mitarbeiter-Datensätze erbeutet, die sich theoretisch für weitere Phishing-Attacken missbrauchen lassen. Auch besteht die Gefahr, dass Cyberkriminelle interne Informationen aus den Jira-Issues nutzen könnten, um Schwachstellen für künftige Angriffe ausfindig zu machen.

Telefónica bestätigte am Freitag, Opfer eines Cyberangriffs geworden zu sein, bei dem die Angreifer sich Zugriff auf das interne Ticketing-System verschafften. Derzeit untersuche man das Ausmaß des Vorfalls. Die notwendigen Schritte, um unautorisierten Zugriff zu blockieren, habe man bereits unternommen, so das Unternehmen in einer E-Mail an das US-amerikanische Nachrichtenportal Bleeping Computer. Die deutsche Tochtergesellschaft Telefónica Deutschland ist vor allem für die Kernmarke O2 bekannt.

Das Have-I-Been-Pwned-Projekt (HIBP) hat bislang lediglich Daten von bekannten Datenlecks und Einbrüchen bei Organisationen in die Datenbank aufgenommen und dazu Interessierten Informationen geliefert. Jetzt kommen auch in großem Stil Daten hinzu, die von Infostealern gesammelt wurden.

Anzeige

In einem Blog-Beitrag erklärt Projekt-Inhaber Troy Hunt, dass das eine bedeutsame Änderung darstellt. Wer seine E-Mail-Adresse auf HIBP sucht, hat bislang Rückmeldungen dazu erhalten, in welchem bekannten Datenleck die Informationen aufgetaucht sind. Schon früher hat Hunt Daten von Infostealern integriert, aber es kam demnach zu Frust bei Betroffenen, die mit der Information "Adresse tauchte in Infostealer-Logs auf" nichts anfangen konnten.

Bei Infostealern handelt es sich um Malware, die etwa die Rechner von Betroffenen befällt. Troy Hunt nennt als Beispiel das Herunterladen und Ausführen vermeintlicher Software-Cracks und Spiele-Cheats, die solche Malware mitbringen.

Die Infostealer protokollieren aber Daten zu allen möglichen Diensten, die auf infizierten Rechnern genutzt werden. Als experimentelle Funktion können Interessierte nun Benachrichtigungen zu ihrer E-Mail-Adresse erhalten. Zudem können Unternehmen, denen die Domains gehören, die Informationen über eine API nach Bestätigung der Inhaberschaft einer Domain erhalten, um etwa die Passwörter zu offenbar kompromittierten Konten zurückzusetzen. Ob umgekehrt auch eine Information von HIBP an Domaininhaber rausgehen kann, damit diese gezielt neu erkannte kompromittierte Konten zurücksetzen können, will Hunt in Zukunft testen.

Im iX-Workshop Cybersicherheit - Awareness richtig gemacht lernen Sie, wie Sie das Sicherheitsbewusstsein in Ihrem Unternehmen oder Ihrer Organisation stärken und so die Cybersicherheit nachhaltig verbessern können. Mit konkreten Ansätzen zur Umsetzung erarbeiten Sie ein didaktisches Rahmenkonzept, um Ihren Kollegen wichtige Inhalte zielgruppengerecht zu vermitteln.

Anzeige

Diese praxisorientierte Schulung richtet sich an Personen, die ihre Mitarbeitenden für Informationssicherheit und Cybersecurity sensibilisieren wollen – konkret an CISOs, Awareness Manager, CIOs, interessierte CEOs, Verantwortliche für Aus- und Weiterbildung, IT-Leiter und Informationssicherheitsbeauftragte. Der Workshop ist in zwei Teile gegliedert. Dazwischen liegt eine Lernphase von ca. zwei Monaten, in der Sie den Input und das Gelernte im eigenen Unternehmen umsetzen.

Die Trainerin Swantje Westphal ist Direktorin des Institute for Security and Safety GmbH an der Hochschule Mannheim. Als Ansprechpartnerin für internationale Institutionen vertritt sie das ISS in der OEWG der Vereinten Nationen für IKT im Kontext internationaler Sicherheit und in der WP.29 GRVA der UNECE.

macOS-Nutzerinnen und -Nutzer können in Probleme mit Docker-Installationen laufen. Außerdem hat der Malwareschutz von Bitdefender selbst eine Sicherheitslücke unter Apples Betriebssystem aufgerissen.

Anzeige

Unter macOS kam es bei Nutzung von Docker Desktop dazu, dass Malware-Warnungen des Betriebssystems aufpoppten und den Start der Software blockiert wurde. In einem Blog-Beitrag erörtern die Entwickler die Lösungen für das Problem. Hinweise auf die Ursache liefert ausgerechnet die URL für den Support-Artikel, der Lösungsansätze detailliert erläutert: "Cert Revoke Solution", auf Deutsch etwa "Lösung für zurückgezogenes Zertifikat".

Offenbar waren die Docker-Dateien mit einem Zertifikat signiert, das zwischenzeitlich zurückgezogen wurde. Dadurch blockiert macOS folgerichtig die Ausführung und gibt gegebenfalls eine Malware-Warnung. Als Lösung sollen Betroffene ihre Docker-Version bervorzugt auf Version 4.37.2 aktualisieren – idealerweise direkt durch die App, was bei der aufkommenden Malware-Warnung natürlich nicht funktioniert. Docker stellt aber auch Patches für die Versionen 4.32 bis 4.36 bereit, die das Problem lösen sollen. Admins finden im Support-Artikel auch Hilfestellung für Admins mit MDM-Lösung und für Casks für Homebrew.

Währenddessen hat Bitdefender mitgeteilt, dass der Virusscanner für macOS eine veritable Sicherheitslücke aufweist. Aufgrund nicht vorhandener Härtung für die Prüfung von Signaturen von Laufzeit-Dateien oder Bibliotheken in der Bitdefender-VirusScanner-Binärdatei des VIrenscanners für macOS können Angreifer eigene Bibliotheken (.dynamic library; DYLD Injection) einschleusen, ohne, dass sie von AppleMobileFileIntegrity (AMFI) blockiert werden (CVE-2024-11128, CVSS 8.4, Risiko "hoch").

Aufgrund von laufenden Angriffen sollten Admins BeyondTrust Privileged Remote Access (PRA), Remote Support (RS) und Qlik Sense Enterprise auf den aktuellen Stand bringen. In welchem Umfang die Attacken ablaufen, ist derzeit nicht bekannt.

Anzeige

Die derzeit ausgenutzten Sicherheitslücken in BeyondTrust PRA/RS (CVE-2024-12686 "mittel") und Qlik Sense (CVE-2023-48365 "kritisch") hat die US-Behörde Cybersecurity & Infrastructure Security Agency (CISA) jüngst in ihren Katalog von ausgenutzten Softwareschwachstellen aufgenommen. Außerdem haben Angreifer seit Dezember 2024 eine weitere BeyondTrust-Lücke (CVE-2024-12356 "kritisch") im Visier.

Im letzten Fall sind Attacken ohne Authentifizierung aus der Ferne möglich, und Angreifer können Systeme vollständig kompromittieren. Zum Ausnutzen der anderen Lücke müssen Angreifer bereits über Admin-Rechte verfügen. Die Entwickler geben an, die Ausgabe 22.1.x abgesichert zu haben.

Weil verwundbare Versionen von Qlik Sense Enterprise HTTP Header nicht ausreichend überprüfen, können entfernte Angreifer mit präparierten HTTP-Anfragen an der Schwachstelle ansetzen, um Schadcode auszuführen. In einer Warnmeldung listen die Entwickler die dagegen abgesicherten Ausgaben auf.

SAP begeht den ersten Patchdays des noch jungen Jahres 2025 und kümmert sich um 14 Sicherheitslücken in mehreren Produkten. Davon haben zwei die höchste Risikoeinstufung "kritisch" erhalten. IT-Verantwortliche sollten daher die bereitstehenden Aktualisierungen so schnell wie möglich installieren.

Anzeige

In der Patchday-Übersicht von SAP listet der Hersteller die einzelnen Sicherheitsmitteilungen auf. Angemeldete Nutzer können in SAP NetWeaver Application Server for ABAP and ABAP Platform unberechtigt Zugriff aufs System erlangen, da unzureichende Authentifizierungsprüfungen eine Ausweitung der Rechte ermöglichen (CVE-2025-0070, CVSS 9.9, Risiko "kritisch"). Zudem können Angreifer unter nicht genannten, bestimmten Bedingungen in SAP NetWeaver AS for ABAP and ABAP Platform (Internet Communication Framework) unbefugt auf sensible Informationen zugreifen, was auf "schwache Zugriffskontrollen" zurückzuführen ist (CVE-2025-0066, CVSS 9.9, kritisch).

Außerdem stufen die Entwickler drei weitere Schwachstellen als hohes Risiko ein. Sie finden sich in SAP NetWeaver AS for ABAP and ABAP Platform, SAP BusinessObjects Business Intelligence Platform sowie in SAPSetup. Auch hierfür sollten Admins zügig die verfügbaren Aktualisierungen anwenden.

Die einzelnen Sicherheitslecks in SAP-Produkten, die am Januar-Patchday behandelt werden, im Überblick: