Beschreibung
Microsoft hat außerhalb des regulären Patchzyklus Informationen zu,
sowie Sicherheitsaktualisierungen für eine kritische
Zero-Day-Schwachstelle in Microsoft SharePoint veröffentlicht. Die
Sicherheitslücke CVE-2025-53770 wird seit zumindest 18.07.2025 durch
Bedrohungsakteure ausgenutzt. Bei der Lücke handelt es sich um eine
Variante eines bereits bekannten und behobenen Problems,
CVE-2025-49706.
CERT.at steht mit nationalen und internationalen Partner:innen im
Austausch und informiert Betroffene in Österreich.
CVE-Nummer(n): CVE-2025-53770
CVSS Base Score: 9.8
Auswirkungen
Eine Ausnutzung der Schwachstelle ermöglicht Bedrohungsakteuren
vollständigen Zugriff auf verwundbare Systeme, einschließlich des
kompletten Zugriffes auf SharePoint-Inhalte, inklusive Dateisystemen
und internen Konfigurationen, sowie die entfernte Ausführung von Code.
Betroffene Systeme
* Microsoft SharePoint 2016 (on-Premises)
* Microsoft SharePoint 2019 (on-Premises)
Abhilfe
Microsoft stellt Updates zur Verfügung, welche die Lücke schließen.
Detaillierte Informationen dazu hat das Unternehmen in einem
eigenen Empfehlungsdokument zusammengefasst.
Nachdem das Update eingespielt worden sind ist es unbedingt notwendig
auf betroffenen Systemen die "SharePoint server ASP.NET machine keys"
zu rotieren und den Webserver IIS neu zu starten. Eine Anleitung für
die Schlüsselrotation findet sich in dem Empfehlungsdokument von
Microsoft.
Weiters empfiehlt das Unternehmen Administrator:innen folgende Schritte
zu setzen:
* Aktivierung des "Antimalware Scan Interface" und Sicherstellung
einer korrekten Konfiguration dessen.
* Ausrollung von "Microsoft Defender for Endpoint" oder ähnlicher
Lösungen um weitere Aktivitäten der Angreifer:innen nach möglicher
Kompromittierung zu blockieren. Für den "Microsoft Defender for
Endpoint" stellt Microsoft auch entsprechende Queries für die Suche
nach verdächtigen Aktivitäten zur Verfügung.
* Prüfen der Systemlogs auf HTTP-Zugriffe des Typs POST auf den
Pfad /_layouts/15/ToolPane.aspx?DisplayMode=Edit sowie auf Zugriffe
von folgenden IP-Adressen: 107.191.58[.]76, 104.238.159[.]149,
96.9.125[.]147
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
__________________________________________________________________
Informationsquelle(n):
Customer guidance for SharePoint vulnerability CVE-2025-53770
https://msrc.microsoft.com/blog/2025/07/customer-guidance-for-share
point-vulnerability-cve-2025-53770/
Microsoft Releases Guidance on Exploitation of SharePoint Vulnerability
(CVE-2025-53770)
https://www.cisa.gov/news-events/alerts/2025/07/20/microsoft-relea
ses-guidance-exploitation-sharepoint-vulnerability-cve-2025-53770
09. Juli 2025
Beschreibung
Microsoft hat eine kritische Sicherheitslücke im Windows SPNEGO
Extended Negotiation (NEGOEX) Security Mechanism veröffentlicht. Die
Schwachstelle ermöglicht es Angreifern, aus der Ferne und ohne
Authentifizierung beliebigen Code auf betroffenen Systemen auszuführen.
CVE-Nummer: CVE-2025-47981
CVSS Base Score: 9.8 (Kritisch)
Auswirkungen
Ein nicht authentifizierter Angreifer kann durch das Senden einer
speziell präparierten Nachricht an den Server beliebigen Code aus der
Ferne ausführen (Remote Code Execution). Die Schwachstelle basiert auf
einem Heap-basierten Pufferüberlauf und erfordert keine
Benutzerinteraktion oder spezielle Privilegien.
Besondere Gefahr: Aufgrund der Eigenschaften dieser Schwachstelle
(keine Authentifizierung erforderlich, Netzwerk-basierter Angriff,
keine Benutzerinteraktion notwendig) besteht das Potenzial für
wurmartige Verbreitung. Ein erfolgreicher Angriff könnte sich
selbstständig über das Netzwerk auf andere verwundbare Systeme
ausbreiten.
Betroffene Systeme
Die Sicherheitslücke betrifft folgende Windows-Versionen:
* Windows 10 (alle Versionen)
* Windows 11 (alle Versionen)
* Windows Server 2008 R2 Service Pack 1
* Windows Server 2012 und 2012 R2
* Windows Server 2016
* Windows Server 2019
* Windows Server 2022
* Windows Server 2025
Besonders gefährdet sind Windows-Client-Systeme ab Windows 10 Version
1607, bei denen die Gruppenrichtlinie "Network security: Allow PKU2U
authentication requests to this computer to use online identities" im
Unterschied zu den Server-Varianten standardmäßig aktiviert ist.
Abhilfe
Microsoft hat für alle betroffenen Versionen Sicherheitsupdates
veröffentlicht. Diese sollten umgehend über Windows Update oder manuell
über den Microsoft Update Catalog installiert werden.
Die spezifischen KB-Nummern für die Updates sind:
* Windows 10/11 und Server 2025: KB5062553
* Windows Server 2022: KB5062572
* Windows Server 2019: KB5062557
* Windows Server 2016: KB5062560
* Windows Server 2012 R2: KB5062597
* Windows Server 2012: KB5062592
* Windows Server 2008 R2: KB5062632 / KB5062619
Mitigationen
Bis zur Installation der Sicherheitsupdates können folgende Maßnahmen
das Risiko reduzieren:
* Gruppenrichtlinie deaktivieren: Auf Windows-Clients kann die
Gruppenrichtlinie "Network security: Allow PKU2U authentication
requests to this computer to use online identities" deaktiviert
werden, um die Angriffsfläche zu reduzieren. Dies kann jedoch die
Funktionalität bestimmter Anwendungen beeinträchtigen.
Hinweis
Dringlichkeitshinweis: Aufgrund der potentiellen Wurmfähigkeit dieser
Schwachstelle empfiehlt CERT.at die sofortige Installation der
Sicherheitsupdates. Die Kombination aus Remote-Ausnutzbarkeit ohne
Authentifizierung, keiner erforderlichen Benutzerinteraktion und der
hohen CVSS-Bewertung (9.8) macht diese Schwachstelle zu einem
kritischen Sicherheitsrisiko.
Zum Zeitpunkt der Veröffentlichung gibt es keine Hinweise auf eine
aktive Ausnutzung der Schwachstelle. Die Veröffentlichung technischer
Details erhöht jedoch das Risiko, dass zeitnah Exploits entwickelt
werden.
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
__________________________________________________________________
Informationsquelle(n):
Microsoft Security Update Guide - CVE-2025-47981 (Englisch):
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-47981
Mit freundlichen Grüßen,
CERT.at
--
// Michael Schlagenhaufer <schlagenhaufer(a)cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien
12. Juni 2025
Beschreibung
CERT.at warnt vor stark zunehmenden Phishing-Kampagnen, bei denen
manipulierte SVG-Dateien (Scalable Vector Graphics) als E-Mail-Anhänge
verwendet werden. Diese Angriffsmethode wird seit mehreren Monaten
verstärkt beobachtet und stellt eine ernsthafte Bedrohung dar, da
SVG-Dateien von vielen Sicherheitslösungen nicht ausreichend geprüft
werden.
Auswirkungen
Durch das Öffnen manipulierter SVG-Dateien können Angreifer:
* JavaScript-Code auf dem System des Opfers ausführen.
* Schadsoftware nachladen und installieren.
* Phishing-Formulare direkt in der SVG-Datei anzeigen.
* Automatische Weiterleitungen zu bösartigen Webseiten auslösen.
* Zugangsdaten und andere sensible Informationen stehlen.
Technische Details
SVG-Dateien sind XML-basierte Textdateien zur Darstellung von
Vektorgrafiken. Angreifer nutzen folgende Eigenschaften aus:
* Eingebettetes JavaScript: SVG-Dateien können script-Tags enthalten,
die JavaScript-Code ausführen.
* ForeignObject-Element: Ermöglicht die Einbettung von HTML-Inhalten
und interaktiven Formularen direkt in der SVG-Datei.
* Automatische Ausführung: Beim Öffnen der SVG-Datei im Browser wird
eingebetteter Code automatisch ausgeführt.
* Geringe Erkennungsrate: Da SVG-Dateien hauptsächlich aus Text
bestehen, werden sie von vielen Antivirenprogrammen nicht als
verdächtig eingestuft.
Die Angreifer verwenden verschiedene Verschleierungstechniken wie
Unicode-Escape-Encoding und String-Verkettung, um die Erkennung weiter
zu erschweren.
Aktuelle Kampagne: Strela Stealer
CERT.at beobachtet derzeit verstärkt SVG-basierte Phishing-Kampagnen in
Österreich, die den Strela Stealer verbreiten. Diese Schadsoftware ist
speziell darauf ausgelegt, E-Mail-Zugangsdaten zu stehlen.
Ablauf der Infektion:
* SVG-Anhang: Opfer erhalten eine E-Mail mit einer manipulierten
SVG-Datei als Anhang (aktuell z.B. Rechnung_<xyz/Nummer>.svg).
* JavaScript-Ausführung: Das in der SVG eingebettete JavaScript wird
beim Öffnen (nach minimaler Interaktion durch das Opfer)
ausgeführt.
* ZIP-Download: Das JavaScript lädt automatisch eine ZIP-Datei
herunter.
* JScript-Loader: Die ZIP-Datei enthält eine JScript-Datei, die als
Loader fungiert.
* Payload-Download: Bei positiver Prüfung wird die eigentliche
Schadfunktionalität (aktuell Powershell-Scripts) nachgeladen.
Besonderheiten:
* Strela Stealer zielt auf Mozilla Thunderbird und Microsoft Outlook
(Authentifizierungs-Daten, potentielle Exfiltration von E-Mails)
und kann Screenshots anfertigen.
* Verwendet mehrstufige Verschleierung und Anti-Analyse-Techniken.
* Exfiltriert gestohlene Daten über HTTP POST an
Command-and-Control-Server.
Betroffene Systeme
* Alle Systeme und Anwendungen die SVG-Dateien rendern und JavaScript
ausführen können - insbesondere Webbrowser und E-Mail Clients.
Abhilfe
Sofortmaßnahmen:
* SVG-Dateien in E-Mail-Anhängen generell als verdächtig behandeln.
* E-Mail-Filter so konfigurieren, dass SVG-Anhänge blockiert oder in
Quarantäne verschoben werden. (Achtung: Da SVG-Dateien allgemein
durchaus in normaler E-Mail Kommunikation genutzt werden, ist dies
zwar eine wirksame, aber vielleicht für normale Geschäftsabläufe
hinderliche Methode, die zuvor abhängig der Organisations-Parameter
geprüft werden sollte.)
* Mitarbeiter:innen über diese Angriffsmethode informieren und
sensibilisieren.
__________________________________________________________________
Informationsquelle(n):
Blog-Artikel von IBM (Englisch):
https://www.ibm.com/think/x-force/weaponized-svgs-inside-a-global-phishing-…
Artikel von Bleepingcomputer (Englisch):
https://www.bleepingcomputer.com/news/security/phishing-emails-increasingly…
Blog-Artikel zu JS in SVGs (Englisch):
https://davidwalsh.name/javascript-in-svgs
Blog-Artikel zu einer früheren StrelaStealer Kampagne von Trustwave
(Englisch):
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/a-deep-dive…
--
// Erik Huemer <huemer(a)cert.at> - T: +43 1 5056416 767
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien
14. Mai 2025
Beschreibung
Ivanti veröffentlichte am 13. Mai Updates & Sicherheitsadvisories zu
zwei Schwachstellen in Ivanti Endpoint Manager Mobile (EPMM). Die
verkettete Ausnutzung der beiden Lücken kann zur unauthentifizierten
Ausführung von Schadcode genutzt werden. Ivanti gibt an die Ausnutzung
dieser Lücken auf einer limitierten Anzahl an Systemen, bereits vor der
Veröffentlichtung des Advisories, beobachtet zu haben.
CVE-Nummern: CVE-2025-4427, CVE-2025-4428
CVSS Score: 7.2 (Hoch)
Auswirkungen
Durch Ausnutzen der Schwachstellen können Angreifer aus der Ferne und
ohne Authentifizierung beliebigen Code ausführen und auf sensible
Informationen zugreifen. Dies ermöglicht potenziell eine vollständige
Kompromittierung von Ivanti EPMM Systemen welche eine verwundbare
Version nutzen.
Betroffene Systeme
* Ivanti Endpoint Manager Mobile
+ 11.12.0.4 und niedriger
+ 12.3.0.1 und niedriger
+ 12.4.0.1 und niedriger
+ 12.5.0.0 und niedriger
Abhilfe
Die am 13. Mai veröffentlichten Hotfixes (Versionsnummern 11.12.0.5,
12.3.0.2, 12.4.0.2 und 12.5.0.1) beheben diese Sicherheitslücken. Es
wird dringend empfohlen, das Update umgehend einzuspielen.
Als temporäre Maßnahme bis zum Update kann der Zugriff auf die
betroffenen Komponenten mithilfe der integrierten ACL-Funktionalität
oder eigener Firewall-Regeln eingeschränkt werden.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
__________________________________________________________________
Informationsquelle(n):
Security Advisory Ivanti Endpoint Manager Mobile (EPMM) May 2025:
https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Endpoint-Manag…
Ivanti System Manager Guide - Access Control Lists: Portal ACLs
https://help.ivanti.com/mi/help/en_us/core/12.x/sys/CoreSystemManager/Acces…
Mit freundlichen Grüßen,
Michael Schlagenhaufer
--
// Michael Schlagenhaufer <schlagenhaufer(a)cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien
26. März 2025
Beschreibung
Im Kubernetes Ingress NGINX Controller, einer Kernkomponente von
Kubernetes, wurden mehrere kritische Sicherheitslücken entdeckt. Diese
ermöglichen unter anderem unauthentifizierte Remote Code Execution
(RCE) und unberechtigten Zugriff auf Secrets.
CVE-Nummern: CVE-2025-1097, CVE-2025-1098, CVE-2025-24514,
CVE-2025-1974, CVE-2025-24513
CVSS Score: 9.8 (kritisch)
Auswirkungen
Durch Ausnutzen der Schwachstellen können Angreifer aus der Ferne und
ohne Authentifizierung beliebigen Code ausführen und auf sensible
Informationen zugreifen. Dies ermöglicht potenziell eine vollständige
Kompromittierung von Kubernetes-Clustern, die den verwundbaren Ingress
NGINX Controller verwenden.
Betroffene Systeme
Betroffen sind vor den Versionen 1.12.1 und 1.11.5 veröffentlichte
Versionen des Ingress NGINX Controllers.
Abhilfe
Die am 25. März 2025 veröffentlichten Versionen 1.12.1 und 1.11.5 des
Ingress NGINX Controllers beheben diese Sicherheitslücken. Es wird
dringend empfohlen, das Update umgehend einzuspielen.
Als temporäre Maßnahme bis zum Update kann durch die Deaktivierung des
Validating Admission Controller Features das Risiko signifikant
reduziert werden.
* Für Installationen via Helm:
+ Neuinstallation mit dem
Parameter controller.admissionWebhooks.enabled=false
* Für manuelle Installationen
+ Löschen der ValidatingWebhookconfiguration mit dem
Namen ingress-nginx-admission
+ Bearbeiten des Ingress NGINX Controller Deployments oder
DaemonSets und Entfernen des
Parameters --validating-webhook aus der Argumentliste des
Controller-Containers
Generell sollte der Netzwerkzugriff auf den Validierungs-Webhook des
Ingress NGINX Controllers eingeschränkt werden, und nur vom Kubernetes
API-Server aus erreichbar sein. Jeder andere Zugriff sollte als nicht
vertrauenswürdig eingestuft werden.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
__________________________________________________________________
Informationsquelle(n):
Kubernetes Blog:
https://kubernetes.io/blog/2025/03/24/ingress-nginx-CVE-2025-1974
Wiz Blog:
http://wiz.io/blog/ingress-nginx-kubernetes-vulnerabilities
Mit freundlichen Grüßen,
Michael Schlagenhaufer
--
// Michael Schlagenhaufer <schlagenhaufer(a)cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien
20. März 2025
Beschreibung
CERT.at beobachtet weiterhin eine Welle von Ransomware-Angriffen, bei
denen Cyberkriminelle bekannte kritische Schwachstellen in FortiOS- und
FortiProxy-Geräten gezielt ausnutzen. Die Schwachstellen ermöglichen es
Angreifern, unauthentifiziert super_admin-Rechte auf verwundbaren
Geräten zu erlangen und langfristige Persistenz einzurichten.
Besonders auffällig ist, dass die Angreifer nach der erfolgreichen
Infektion und Einrichtung ihrer Persistenz die Software betroffener
Geräte selbst aktualisieren. Dies dient der Verschleierung und
verhindert, dass weitere Angreifer dieselbe Sicherheitslücke erneut
ausnutzen können. Organisationen könnten daher fälschlicherweise
annehmen, dass ihre Systeme sicher und aktuell gepatcht seien, obwohl
sie bereits kompromittiert sind.
CVE-Nummer(n): CVE-2024-55591, CVE-2025-24472
Auswirkungen
Angreifer können durch Ausnutzung der Schwachstellen vollständigen
administrativen Zugriff auf anfällige Fortinet-Geräte erlangen. In
beobachteten Angriffen erstellen die Angreifer persistente
Administrator-Accounts, laden Konfigurationsdateien herunter, erlangen
VPN-Zugang und bewegen sich lateral im Netzwerk. Das endgültige Ziel
ist die Verbreitung von Ransomware.
Die Angriffe können zu folgenden Schäden führen:
* Vollständige Kompromittierung der Netzwerk-Sicherheitsinfrastruktur
* Datendiebstahl vor der Verschlüsselung
* Verschlüsselung von kritischen Servern und Dateien
* Erpressung durch Lösegeldforderungen
Betroffene Systeme
* FortiOS-Geräte in Versionen unterhalb von 7.0.16 mit exponierten
Management-Schnittstellen, aber auch bereits gepatchte mit
Persistenz
Abhilfe
CERT.at empfiehlt dringend:
* Sofortige forensische Untersuchung aller Fortinet-Geräte, die nach
dem 27. Jänner 2025 noch verwundbar waren, auch wenn diese
inzwischen vermeintlich gepatcht erscheinen.
* Überprüfung und Löschung unbekannter Administrator- und VPN-Konten
sowie verdächtiger Automatisierungsaufgaben.
* Konsequente Beschränkung des externen Zugriffs auf
Management-Schnittstellen.
* Sofortige Aktualisierung aller FortiOS-Geräte auf Versionen, die
die Schwachstellen CVE-2024-55591 und CVE-2025-24472 beheben,
sofern nicht bereits geschehen.
Hinweis
Wir haben die Betreiber von verwundbaren Geräten erneut über die uns
bekannten Abuse-Kontakte informiert.
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
__________________________________________________________________
Informationsquelle(n):
Blog von Forescout Research - Vedere Labs (englisch)
https://www.forescout.com/blog/new-ransomware-operator-exploits-fortinet-vu…
Fortinet Advisory FG-IR-24-535 (englisch)
https://www.fortiguard.com/psirt/FG-IR-24-535
Mit freundlichen Grüßen,
Michael Schlagenhaufer
--
// Michael Schlagenhaufer <schlagenhaufer(a)cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien
04. März 2025
Beschreibung
In VMware ESXi, Workstation und Fusion existieren mehrere kritische
Sicherheitslücken, die bereits aktiv von Angreifern ausgenutzt werden.
Diese ermöglichen unter anderem die Ausführung von beliebigem Code und
die Offenlegung von Informationen.
CVE-Nummer(n): CVE-2025-22224, CVE-2025-22225, CVE-2025-22226
CVSS Base Score: bis zu 9.3 (kritisch)
Auswirkungen
Die schwerwiegendste Schwachstelle (CVE-2025-22224, CVSS 9.3) ist ein
"Time of Check – Time of use" (TOCTOU)-Fehler, der zu einem
Heap-Überlauf führt. Angreifer mit Administratorrechten in einer
virtuellen Maschine können darüber Code im VMX-Prozess auf dem Host
ausführen und somit aus der VM ausbrechen.
Die zweite Schwachstelle (CVE-2025-22225, CVSS 8.2) ermöglicht
beliebige Schreibzugriffe. Mit Berechtigungen innerhalb des
VMX-Prozesses können Angreifer Kernel-Schreiboperationen auslösen und
aus der Sandbox ausbrechen.
Die dritte Schwachstelle (CVE-2025-22226, CVSS 7.1) erlaubt das
unbefugte Auslesen von Informationen durch Lesezugriffe außerhalb
vorgesehener Speicherbereiche im Host-Guest-Filesystem (HGFS). Damit
können Angreifer mit Admin-Rechten in einer VM Speicherinhalte aus dem
VMX-Prozess auslesen.
Betroffene Systeme
* VMware ESXi 8.0 und 7.0
* VMware Workstation Pro / Player 17.x
* VMware Fusion 13.x
* VMware Cloud Foundation 5.x und 4.5.x
* VMware Telco Cloud Platform 5.x, 4.x, 3.x, 2.x
* VMware Telco Cloud Infrastructure 3.x, 2.x
Abhilfe
VMware stellt für die betroffenen Produkte Sicherheitsupdates bereit,
deren umgehende Installation dringend empfohlen wird:
ESXi 8.0: ESXi80U3d-24585383 oder ESXi80U2d-24585300
ESXi 7.0: ESXi70U3s-24585291
Workstation: Version 17.6.3
Fusion: Version 13.6.3
Cloud Foundation 5.x und 4.5.x: Async Patches entsprechend der
Versionen
Telco Cloud Platform: Siehe KB389385
Der Hersteller gibt an, dass es keine Workarounds gibt, daher ist die
Installation der Sicherheitsupdates die einzige Schutzmöglichkeit.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
__________________________________________________________________
Informationsquelle(n):
Warnung von VMware (englisch)
https://support.broadcom.com/web/ecx/support-content-notification/-/externa…
FAQ zu den Schwachstellen (englisch)
https://brcm.tech/vmsa-2025-0004
Artikel bei Heise:
https://www.heise.de/news/Kritische-Luecke-in-VMware-ESXi-Fusion-und-Workst…
Mit freundlichen Grüßen,
Michael Schlagenhaufer
--
// Michael Schlagenhaufer <schlagenhaufer(a)cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien
23. Jänner 2025
Beschreibung
In SonicWall SMA1000 Appliance Management Console (AMC) und Central
Management Console (CMC) wurde eine kritische Sicherheitslücke
entdeckt, die bereits aktiv von Angreifern ausgenutzt wird. Die
Schwachstelle ermöglicht die Ausführung von beliebigem Code ohne
vorherige Authentifizierung.
CVE-Nummer(n): CVE-2025-23006
CVSS Base Score: 9.8 (Kritisch)
Auswirkungen
Ein nicht authentifizierter Angreifer kann aus der Ferne beliebige
Betriebssystembefehle auf dem betroffenen Gerät ausführen. Die
Schwachstelle wird bereits aktiv von Bedrohungsakteuren ausgenutzt.
Betroffene Systeme
SonicWall SMA1000 Version 12.4.3-02804 und älter
Hinweis: SonicWall Firewall und SMA 100 Serie sind nicht betroffen.
Abhilfe
SonicWall hat ein Update veröffentlicht, das die Schwachstelle behebt.
Betroffene Systeme sollten umgehend auf Version
12.4.3-02854 (platform-hotfix) oder höher aktualisiert werden.
Als Workaround sollte der Zugriff auf die Appliance Management Console
(AMC) und Central Management Console (CMC) auf vertrauenswürdige
Quellen beschränkt werden.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
__________________________________________________________________
Informationsquelle(n):
SonicWall Security Advisory SNWLID-2025-0002
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2025-0002
Mit freundlichen Grüßen,
Michael Schlagenhaufer
--
// Michael Schlagenhaufer <schlagenhaufer(a)cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien
07. Jänner 2025
Beschreibung
Der Hersteller Sonicwall hat seine Kunden darüber informiert, dass
einige Geräte von Sicherheitslücken betroffen sind. Besonders
hervorzuheben ist dabei eine bereits angegriffenen Lücke bei denen
Angreifer:innen die Authentifizierung in SonicOS SSLVPN umgehen können.
CVE-Nummer(n): CVE-2024-53704
CVSS Base Score: 8.2
Auswirkungen
Unauthentifizierte Angreifer:innen können durch Ausnutzen der Lücke auf
betroffenen Geräten unter Umständen kryptographische Token vorhersagen
und die Authentifizierung umgehen.
Betroffene Systeme
* Gen 6 / 6.5 Hardware Firewalls: SonicOS < 6.5.5.1-6n
* Gen 6 / 6.5 NSv Firewalls: SonicOS < 6.5.4.v-21s-RC2457
* Gen 7 Firewalls: SonicOS < 7.0.1-5165 und < 7.1.3.7015
* TZ80: SonicOS 8.0.0-8037
Abhilfe
Zur Zeit stehen keine Sicherheitsaktualisierungen zur Verfügung.
Administrator:innen sind angehalten SSL-VPN oder SSH-Management auf
betroffenen Geräten zu deaktivieren um eine Ausnutzung der
Schwachstelle zu verhindern.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
__________________________________________________________________
Informationsquelle(n):
Zero-Day-Sicherheitslücke in Sonicwall SSL-VPN wird angegriffen
https://www.heise.de/news/Zero-Day-Sicherheitsluecke-in-Sonicwall-SSL-VPN-w…
Mit freundlichen Grüßen,
Michael Schlagenhaufer
--
// Michael Schlagenhaufer <schlagenhaufer(a)cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien