Beschreibung
Microsoft hat eine kritische Sicherheitslücke in Windows Server
Update Service (WSUS) veröffentlicht, die es unauthentifizierten
Angreifern ermöglicht, aus der Ferne beliebigen Code auf betroffenen
Servern auszuführen. Die Schwachstelle entsteht durch unsichere
Deserialisierung von nicht vertrauenswürdigen Daten in einem
veralteten Serialisierungsmechanismus. Microsoft hatte hierzu bereits
am 14. Oktober einen ersten Patch veröffentlicht. Dieser erwies sich
allerdings als unzureichend und wurde nun außerplanmäßig [1]
nachgebessert. Ein bereits öffentlich verfügbarer Proof-of-Concept
(PoC) erhöht die Warscheinlichkeit einer Ausnutzung. Berichten [2]
nach werden bereits Angriffe verzeichnet.
CVE-Nummer(n): CVE-2025-59287
CVSS v3.1 Score: 9.8 (Kritisch)
Auswirkungen
Ein nicht authentifizierter Angreifer kann über das Netzwerk speziell
präparierte Ereignisse an den WSUS-Server senden, die eine unsichere
Objekt-Deserialisierung auslösen. Dies führt zur Ausführung von
beliebigem Code mit System-Rechten auf dem betroffenen Server. Da
WSUS-Server zentrale Komponenten in der Patch-Verwaltung von
Windows-Umgebungen darstellen, kann eine erfolgreiche
Kompromittierung weitreichende Auswirkungen auf die gesamte IT-
Infrastruktur haben.
Betroffene Systeme
Alle unterstützten Windows Server Versionen mit aktivierter WSUS
Server-Rolle:
• Windows Server 2012 und 2012 R2
• Windows Server 2016
• Windows Server 2019
• Windows Server 2022
• Windows Server 2022, 23H2 Edition
• Windows Server 2025
Windows Server ohne aktivierte WSUS-Rolle sind nicht betroffen. Die
WSUS-Rolle ist standardmäßig nicht aktiviert.
Abhilfe
Microsoft hat am 23. Oktober 2025 außerplanmäßige Sicherheitsupdates
für alle betroffenen Windows Server Versionen veröffentlicht. Die
Updates [3] sind über Windows Update, Microsoft Update Catalog und
WSUS verfügbar. Nach Installation ist ein Neustart des Systems
erforderlich.
Temporäre Workarounds bis zur Installation des Updates:
1. Deaktivierung der WSUS Server-Rolle (Achtung: Clients erhalten
dann keine Updates mehr vom Server)
2. Blockierung des eingehenden Datenverkehrs auf den Ports 8530 und
8531 in der lokalen Host-Firewall
Hinweis
Die Schwachstelle wird bereits aktiv ausgenutzt. Aufgrund der
Kritikalität und der einfachen Ausnutzbarkeit (kein
Benutzer-Interaktion oder Authentifizierung erforderlich,
Proof-of-Conecpt (PoC) bereits öffentlich verfügbar) empfiehlt
CERT.at die sofortige Installation der bereitgestellten
Sicherheitsupdates. Organisationen sollten ihre WSUS-Server
priorisiert patchen und bis dahin die empfohlenen Workarounds
implementieren.
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
Informationsquelle(n):
[1] Microsoft Out-of-Band Security Update Announcement (Englisch)
https://learn.microsoft.com/en-us/windows/release-health/windows-message-ce…
[2] Eyesecurity LinkedIn Artikel der aktive Ausnutzung beschreibt
(Englisch)
https://www.linkedin.com/posts/eyesecurity_active-exploitation-of-%F0%9D%97…
[3] Microsoft Security Response Center - CVE-2025-59287 (Englisch)
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59287
Beschreibung
Oracle hat einen Security Alert zu einer schwerwiegenden Schwachstelle,
CVE-2025-61882, in Oracle E-Business Suite veröffentlicht. Die
Sicherheitslücke erlaubt es Angreifer:innen auf betroffenen Systemen
ohne jedwede Authentifizierung Code auszuführen. Laut Oracle wird die
Lücke bereits aktiv durch Bedrohungsakteure missbraucht.
CVE-Nummer(n): CVE-2025-61882
CVSS Base Score: 9.8
Auswirkungen
Die Ausnutzung der Schwachstelle ermöglicht entfernten,
unauthentifizierten Angreifer:innen die Ausführung von Code und in
weiterer Folge die vollständige Übernahme von verwundbaren Systemen.
Betroffene Systeme
* Oracle E-Business Suite - 12.2.3 - 12.2.14
Abhilfe
Oracle stellt Updates zur Verfügung die das Problem beheben. Weiters
sind Verantwortliche dringend angehalten zu prüfen, ob auf den eigenen
Systemen beziehungsweise in den eigenen Logs die im Security Alert
angeführten IOCs zu finden sind.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
__________________________________________________________________
Informationsquelle(n):
Oracle Security Alert Advisory - CVE-2025-61882
https://www.oracle.com/security-alerts/alert-cve-2025-61882.html
26. September 2025
Beschreibung
Cisco hat Informationen zu einer vermutlich bereits seit einigen
Monaten laufenden Angriffskampagne veröffentlicht. Im Rahmen dieser
Kampagne haben Angreifer:innen, denen bereits im vergangenen Jahr
eine breitgefächerte Kampagne [1] gegen Edge-Devices zugerechnet
wurde, Cisco Adaptive Security Appliance (ASA) Systeme der 5500-X
Reihe welche "VPN web services" kompromittiert um in weiterer Folge
auf den übernommenen Geräten Schadsoftware zu platzieren und Daten zu
stehlen.
Aufgrund der Natur der Angriffe und der mutmaßlich verantwortlichen
Täter:innen ist nach aktuellem Wissensstand davon auszugehen, dass
der Bedrohungsakteur über einen längeren Zeitraum hinweg Kontrolle
über kompromittierte Geräte hatte beziehungsweise diese über einen
längeren Zeitraum hinweg mit Schadsoftware infiziert waren.
CVE-Nummer(n): CVE-2025-20333, CVE-2025-20362, CVE-2025-20363
CVSS Base Score: 9.9
Auswirkungen
Die Ausnutzung der Schwachstellen erlaubt Angreifer:innen die
vollständige Übernahme von verwundbaren Systemen. Aufgrund der Natur
der betroffenen Geräte ermöglicht dies den Angreifer:innen unter
Umständen einen vollständigen Zugriff auf betroffene Netzwerke. Die
Schwachstellen werden bereits aktiv ausgenutzt.
Betroffene Systeme
Laut Cisco sind folgende Systeme von den Angriffen betroffen sofern
diese auf Cisco ASA Software in den Versionen 9.12 oder 9.14 laufen,
VPN Web Services aktiviert haben und Secure Boot- sowie Trust
Anchor-Technologien nicht unterstützen:
* Cisco ASA 5512-X and 5515-X
* Cisco ASA 5525-X, 5545-X, and 5555-X
* Cisco ASA 5585-X
Abhilfe
Cisco empfiehlt Betroffenen nachdrücklich ein Update auf eine nicht
mehr verwundbare Version. Bei Systemen bei denen ein solches aufgrund
des End-of-Life Status des Gerätes nicht zur Verfügung steht sind
verantwortliche Administrator:innen angehalten schnellstmöglich eine
Migration auf ein neueres Gerät durchzuführen.
In Fällen wo weder ein Upgrade noch eine Migration möglich ist
empfiehlt Cisco das Deaktivieren sämtlicher SSL/TLS-basierten
VPN-Services. Eine Anleitung dazu, sowie eine Liste an nicht mehr
verwundbaren Versionen, stellt Cisco in dem entsprechenden
Security Advisory [2] zur Verfügung.
Bei Verdacht auf oder bestätigter Kompromittierung eines Geräts
sollten alle Konfigurationselemente des Systems als nicht
vertrauenswürdig betrachtet werden.
Cisco empfiehlt, alle Konfigurationen - insbesondere lokale
Passwörter, Zertifikate und Schlüssel - nach dem Upgrade auf eine
korrigierte Version des Systems vollständig zu ersetzen.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
Informationsquelle(n):
[1] ArcaneDoor - New espionage-focused campaign found targeting
perimeter network devices
https://blog.talosintelligence.com/arcanedoor-new-espionage-focused-campaig…
[2] Cisco Event Response: Continued Attacks Against Cisco Firewalls
https://sec.cloudapps.cisco.com/security/center/resources/asa_ftd_continued…
[3] Cisco Secure Firewall Adaptive Security Appliance Software and
Secure Firewall Threat Defense Software VPN Web Server Remote
Code Execution
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdviso…
[4] Cisco Secure Firewall Adaptive Security Appliance Software,
Secure Firewall Threat Defense Software, IOS Software, IOS XE
Software, and IOS XR Software Web Services Remote Code Execution
Vulnerability
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdviso…
[5] ED 25-03: Identify and Mitigate Potential Compromise of Cisco
Devices
https://www.cisa.gov/news-events/directives/ed-25-03-identify-and-mitigate-…
--
// Otmar Lendl <lendl(a)cert.at> - T: +43 1 5056416 711
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien
26. August 2025
Beschreibung
Citrix hat ein Advisory zu mehreren, zum Teil kritischen,
Schwachstellen in den Produkten NetScaler ADC (ehemals Citrix ADC) und
NetScaler Gateway (ehemals Citrix Gateway) veröffentlicht.
Laut Citrix wurden bereits Angriffsversuche gegen verwundbare Systeme
beobachtet, welche zumindest die kritische Schwachstelle CVE-2025-7775
auszunutzen versuchten.
CVE-Nummern(n): CVE-2025-7775, CVE-2025-7776, CVE-2025-8424
CVSS v4.0 Base Score(s): 9.2, 8.8, 8.7
Auswirkungen
Die Schwachstellen erlauben neben der entfernten Ausführung von Code
(CVE-2025-7775), das auslösen eines Denial of Service (DoS),
beziehungsweise das hervorrufen undefinierten und fehlerhafter Zustände
(CVE-2025-7776). Darüber hinaus nutzt CVE-2025-8424 eine unsachgemäße
Zugriffskontrolle gegen die Netscaler Management-Oberfläche aus.
Betroffene Systeme
* NetScaler ADC und NetScaler Gateway 14.1 unter 14.1-47.48
* NetScaler ADC und NetScaler Gateway 13.1 unter 13.1-59.22
* NetScaler ADC 13.1-FIPS und NDcPP unter 13.1-37.241-FIPS und NDcPP
* NetScaler ADC 12.1-FIPS und NDcPP unter 12.1-55.330-FIPS und NDcPP
Abhilfe
Citrix stellt für sämtliche betroffenen Softwarekomponenten Updates zur
Verfügung, und weist explizit darauf hin, dass die NetScaler ADC und
NetScaler Gateway Versionen 12.1 und 13.0 obsolet sind und nicht mehr
unterstützt werden. Ein Update auf unterstützte Versionen, welche die
Schwachstellen beheben, wird empfohlen.
Neben detaillierten Vorgehensweisen um die eigenen Systeme auf
Verwundbarkeit bezüglich CVE-2025-775 und CVE-2025-7776, weist Citrix
darauf hin, dass keine Workarounds zur Mitigation dieser Lücken
existieren.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
__________________________________________________________________
Informationsquelle(n):
NetScaler ADC and NetScaler Gateway Security Bulletin for
CVE-2025-7775, CVE-2025-7776 and CVE-2025-8424 (Englisch):
https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX6…
Mit freundlichen Grüßen,
CERT.at
--
// Michael Schlagenhaufer <schlagenhaufer(a)cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien
Beschreibung
SonicWall berichtet über eine deutliche Zunahme von
Sicherheitsvorfällen in den letzten 96 Stunden, die Gen 7 SonicWall
Firewalls mit aktiviertem SSLVPN betreffen. Die Bedrohungsaktivität
wurde sowohl intern als auch von externen Organisationen und
Unternehmen wie Arctic Wolf, Google Mandiant und Huntress gemeldet. Es
ist noch nicht geklärt, ob die Vorfälle mit einer bereits bekannten
Schwachstelle in Verbindung stehen oder ob eine neue Schwachstelle
verantwortlich ist.
CVE-Nummer(n): Noch nicht zugewiesen (Untersuchung läuft)
CVSS Base Score: Noch nicht bewertet
Auswirkungen
Die genauen Auswirkungen sind noch Gegenstand der Untersuchung.
Betroffen sind Gen 7 SonicWall Firewalls mit aktiviertem SSLVPN. Die
Bedrohungsaktivität könnte zu unbefugtem Zugriff auf
Netzwerkinfrastruktur führen.
Betroffene Systeme
* SonicWall Gen 7 Firewalls mit aktiviertem SSLVPN
Abhilfe
Die Untersuchung der Vorfälle ist noch nicht abgeschlossen und genaue
technische Details liegen noch nicht vor. Für den Moment empfiehlt
SonicWall dringend folgende Maßnahmen:
Primäre Maßnahme:
* SSLVPN-Dienste deaktivieren (wo praktikabel)
Zusätzliche Schutzmaßnahmen (auch bei deaktiviertem SSLVPN):
* SSLVPN-Konnektivität auf vertrauenswürdige Quell-IPs beschränken
* Sicherheitsdienste aktivieren: Botnet-Schutz und Geo-IP-Filterung
einschalten
* Multi-Faktor-Authentifizierung (MFA) durchsetzen für alle
Remote-Zugriffe
+ Hinweis: Einige Berichte deuten darauf hin, dass MFA allein
möglicherweise nicht vor der untersuchten Aktivität schützt
* Ungenutzte Benutzerkonten entfernen: Inaktive oder ungenutzte
lokale Benutzerkonten auf der Firewall löschen, insbesondere solche
mit SSLVPN-Zugriff
Hinweis
SonicWall arbeitet eng mit internationale Partner:innen zusammen und
wird Partner:innen und Kund:innen kontinuierlich über den Fortschritt
der Untersuchung informieren. Sobald wir weitere Informationen erhalten
werden wir diese Warnung schnellstmöglich aktualisieren und / oder
erweitern.
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
__________________________________________________________________
Informationsquelle(n):
SonicWall Security Advisory (Englisch):
https://www.sonicwall.com/support/notices/gen-7-sonicwall-firewalls-sslvpn-…
Beschreibung
Microsoft hat außerhalb des regulären Patchzyklus Informationen zu,
sowie Sicherheitsaktualisierungen für eine kritische
Zero-Day-Schwachstelle in Microsoft SharePoint veröffentlicht. Die
Sicherheitslücke CVE-2025-53770 wird seit zumindest 18.07.2025 durch
Bedrohungsakteure ausgenutzt. Bei der Lücke handelt es sich um eine
Variante eines bereits bekannten und behobenen Problems,
CVE-2025-49706.
CERT.at steht mit nationalen und internationalen Partner:innen im
Austausch und informiert Betroffene in Österreich.
CVE-Nummer(n): CVE-2025-53770
CVSS Base Score: 9.8
Auswirkungen
Eine Ausnutzung der Schwachstelle ermöglicht Bedrohungsakteuren
vollständigen Zugriff auf verwundbare Systeme, einschließlich des
kompletten Zugriffes auf SharePoint-Inhalte, inklusive Dateisystemen
und internen Konfigurationen, sowie die entfernte Ausführung von Code.
Betroffene Systeme
* Microsoft SharePoint 2016 (on-Premises)
* Microsoft SharePoint 2019 (on-Premises)
Abhilfe
Microsoft stellt Updates zur Verfügung, welche die Lücke schließen.
Detaillierte Informationen dazu hat das Unternehmen in einem
eigenen Empfehlungsdokument zusammengefasst.
Nachdem das Update eingespielt worden sind ist es unbedingt notwendig
auf betroffenen Systemen die "SharePoint server ASP.NET machine keys"
zu rotieren und den Webserver IIS neu zu starten. Eine Anleitung für
die Schlüsselrotation findet sich in dem Empfehlungsdokument von
Microsoft.
Weiters empfiehlt das Unternehmen Administrator:innen folgende Schritte
zu setzen:
* Aktivierung des "Antimalware Scan Interface" und Sicherstellung
einer korrekten Konfiguration dessen.
* Ausrollung von "Microsoft Defender for Endpoint" oder ähnlicher
Lösungen um weitere Aktivitäten der Angreifer:innen nach möglicher
Kompromittierung zu blockieren. Für den "Microsoft Defender for
Endpoint" stellt Microsoft auch entsprechende Queries für die Suche
nach verdächtigen Aktivitäten zur Verfügung.
* Prüfen der Systemlogs auf HTTP-Zugriffe des Typs POST auf den
Pfad /_layouts/15/ToolPane.aspx?DisplayMode=Edit sowie auf Zugriffe
von folgenden IP-Adressen: 107.191.58[.]76, 104.238.159[.]149,
96.9.125[.]147
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
__________________________________________________________________
Informationsquelle(n):
Customer guidance for SharePoint vulnerability CVE-2025-53770
https://msrc.microsoft.com/blog/2025/07/customer-guidance-for-share
point-vulnerability-cve-2025-53770/
Microsoft Releases Guidance on Exploitation of SharePoint Vulnerability
(CVE-2025-53770)
https://www.cisa.gov/news-events/alerts/2025/07/20/microsoft-relea
ses-guidance-exploitation-sharepoint-vulnerability-cve-2025-53770
09. Juli 2025
Beschreibung
Microsoft hat eine kritische Sicherheitslücke im Windows SPNEGO
Extended Negotiation (NEGOEX) Security Mechanism veröffentlicht. Die
Schwachstelle ermöglicht es Angreifern, aus der Ferne und ohne
Authentifizierung beliebigen Code auf betroffenen Systemen auszuführen.
CVE-Nummer: CVE-2025-47981
CVSS Base Score: 9.8 (Kritisch)
Auswirkungen
Ein nicht authentifizierter Angreifer kann durch das Senden einer
speziell präparierten Nachricht an den Server beliebigen Code aus der
Ferne ausführen (Remote Code Execution). Die Schwachstelle basiert auf
einem Heap-basierten Pufferüberlauf und erfordert keine
Benutzerinteraktion oder spezielle Privilegien.
Besondere Gefahr: Aufgrund der Eigenschaften dieser Schwachstelle
(keine Authentifizierung erforderlich, Netzwerk-basierter Angriff,
keine Benutzerinteraktion notwendig) besteht das Potenzial für
wurmartige Verbreitung. Ein erfolgreicher Angriff könnte sich
selbstständig über das Netzwerk auf andere verwundbare Systeme
ausbreiten.
Betroffene Systeme
Die Sicherheitslücke betrifft folgende Windows-Versionen:
* Windows 10 (alle Versionen)
* Windows 11 (alle Versionen)
* Windows Server 2008 R2 Service Pack 1
* Windows Server 2012 und 2012 R2
* Windows Server 2016
* Windows Server 2019
* Windows Server 2022
* Windows Server 2025
Besonders gefährdet sind Windows-Client-Systeme ab Windows 10 Version
1607, bei denen die Gruppenrichtlinie "Network security: Allow PKU2U
authentication requests to this computer to use online identities" im
Unterschied zu den Server-Varianten standardmäßig aktiviert ist.
Abhilfe
Microsoft hat für alle betroffenen Versionen Sicherheitsupdates
veröffentlicht. Diese sollten umgehend über Windows Update oder manuell
über den Microsoft Update Catalog installiert werden.
Die spezifischen KB-Nummern für die Updates sind:
* Windows 10/11 und Server 2025: KB5062553
* Windows Server 2022: KB5062572
* Windows Server 2019: KB5062557
* Windows Server 2016: KB5062560
* Windows Server 2012 R2: KB5062597
* Windows Server 2012: KB5062592
* Windows Server 2008 R2: KB5062632 / KB5062619
Mitigationen
Bis zur Installation der Sicherheitsupdates können folgende Maßnahmen
das Risiko reduzieren:
* Gruppenrichtlinie deaktivieren: Auf Windows-Clients kann die
Gruppenrichtlinie "Network security: Allow PKU2U authentication
requests to this computer to use online identities" deaktiviert
werden, um die Angriffsfläche zu reduzieren. Dies kann jedoch die
Funktionalität bestimmter Anwendungen beeinträchtigen.
Hinweis
Dringlichkeitshinweis: Aufgrund der potentiellen Wurmfähigkeit dieser
Schwachstelle empfiehlt CERT.at die sofortige Installation der
Sicherheitsupdates. Die Kombination aus Remote-Ausnutzbarkeit ohne
Authentifizierung, keiner erforderlichen Benutzerinteraktion und der
hohen CVSS-Bewertung (9.8) macht diese Schwachstelle zu einem
kritischen Sicherheitsrisiko.
Zum Zeitpunkt der Veröffentlichung gibt es keine Hinweise auf eine
aktive Ausnutzung der Schwachstelle. Die Veröffentlichung technischer
Details erhöht jedoch das Risiko, dass zeitnah Exploits entwickelt
werden.
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
__________________________________________________________________
Informationsquelle(n):
Microsoft Security Update Guide - CVE-2025-47981 (Englisch):
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-47981
Mit freundlichen Grüßen,
CERT.at
--
// Michael Schlagenhaufer <schlagenhaufer(a)cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien
12. Juni 2025
Beschreibung
CERT.at warnt vor stark zunehmenden Phishing-Kampagnen, bei denen
manipulierte SVG-Dateien (Scalable Vector Graphics) als E-Mail-Anhänge
verwendet werden. Diese Angriffsmethode wird seit mehreren Monaten
verstärkt beobachtet und stellt eine ernsthafte Bedrohung dar, da
SVG-Dateien von vielen Sicherheitslösungen nicht ausreichend geprüft
werden.
Auswirkungen
Durch das Öffnen manipulierter SVG-Dateien können Angreifer:
* JavaScript-Code auf dem System des Opfers ausführen.
* Schadsoftware nachladen und installieren.
* Phishing-Formulare direkt in der SVG-Datei anzeigen.
* Automatische Weiterleitungen zu bösartigen Webseiten auslösen.
* Zugangsdaten und andere sensible Informationen stehlen.
Technische Details
SVG-Dateien sind XML-basierte Textdateien zur Darstellung von
Vektorgrafiken. Angreifer nutzen folgende Eigenschaften aus:
* Eingebettetes JavaScript: SVG-Dateien können script-Tags enthalten,
die JavaScript-Code ausführen.
* ForeignObject-Element: Ermöglicht die Einbettung von HTML-Inhalten
und interaktiven Formularen direkt in der SVG-Datei.
* Automatische Ausführung: Beim Öffnen der SVG-Datei im Browser wird
eingebetteter Code automatisch ausgeführt.
* Geringe Erkennungsrate: Da SVG-Dateien hauptsächlich aus Text
bestehen, werden sie von vielen Antivirenprogrammen nicht als
verdächtig eingestuft.
Die Angreifer verwenden verschiedene Verschleierungstechniken wie
Unicode-Escape-Encoding und String-Verkettung, um die Erkennung weiter
zu erschweren.
Aktuelle Kampagne: Strela Stealer
CERT.at beobachtet derzeit verstärkt SVG-basierte Phishing-Kampagnen in
Österreich, die den Strela Stealer verbreiten. Diese Schadsoftware ist
speziell darauf ausgelegt, E-Mail-Zugangsdaten zu stehlen.
Ablauf der Infektion:
* SVG-Anhang: Opfer erhalten eine E-Mail mit einer manipulierten
SVG-Datei als Anhang (aktuell z.B. Rechnung_<xyz/Nummer>.svg).
* JavaScript-Ausführung: Das in der SVG eingebettete JavaScript wird
beim Öffnen (nach minimaler Interaktion durch das Opfer)
ausgeführt.
* ZIP-Download: Das JavaScript lädt automatisch eine ZIP-Datei
herunter.
* JScript-Loader: Die ZIP-Datei enthält eine JScript-Datei, die als
Loader fungiert.
* Payload-Download: Bei positiver Prüfung wird die eigentliche
Schadfunktionalität (aktuell Powershell-Scripts) nachgeladen.
Besonderheiten:
* Strela Stealer zielt auf Mozilla Thunderbird und Microsoft Outlook
(Authentifizierungs-Daten, potentielle Exfiltration von E-Mails)
und kann Screenshots anfertigen.
* Verwendet mehrstufige Verschleierung und Anti-Analyse-Techniken.
* Exfiltriert gestohlene Daten über HTTP POST an
Command-and-Control-Server.
Betroffene Systeme
* Alle Systeme und Anwendungen die SVG-Dateien rendern und JavaScript
ausführen können - insbesondere Webbrowser und E-Mail Clients.
Abhilfe
Sofortmaßnahmen:
* SVG-Dateien in E-Mail-Anhängen generell als verdächtig behandeln.
* E-Mail-Filter so konfigurieren, dass SVG-Anhänge blockiert oder in
Quarantäne verschoben werden. (Achtung: Da SVG-Dateien allgemein
durchaus in normaler E-Mail Kommunikation genutzt werden, ist dies
zwar eine wirksame, aber vielleicht für normale Geschäftsabläufe
hinderliche Methode, die zuvor abhängig der Organisations-Parameter
geprüft werden sollte.)
* Mitarbeiter:innen über diese Angriffsmethode informieren und
sensibilisieren.
__________________________________________________________________
Informationsquelle(n):
Blog-Artikel von IBM (Englisch):
https://www.ibm.com/think/x-force/weaponized-svgs-inside-a-global-phishing-…
Artikel von Bleepingcomputer (Englisch):
https://www.bleepingcomputer.com/news/security/phishing-emails-increasingly…
Blog-Artikel zu JS in SVGs (Englisch):
https://davidwalsh.name/javascript-in-svgs
Blog-Artikel zu einer früheren StrelaStealer Kampagne von Trustwave
(Englisch):
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/a-deep-dive…
--
// Erik Huemer <huemer(a)cert.at> - T: +43 1 5056416 767
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien
14. Mai 2025
Beschreibung
Ivanti veröffentlichte am 13. Mai Updates & Sicherheitsadvisories zu
zwei Schwachstellen in Ivanti Endpoint Manager Mobile (EPMM). Die
verkettete Ausnutzung der beiden Lücken kann zur unauthentifizierten
Ausführung von Schadcode genutzt werden. Ivanti gibt an die Ausnutzung
dieser Lücken auf einer limitierten Anzahl an Systemen, bereits vor der
Veröffentlichtung des Advisories, beobachtet zu haben.
CVE-Nummern: CVE-2025-4427, CVE-2025-4428
CVSS Score: 7.2 (Hoch)
Auswirkungen
Durch Ausnutzen der Schwachstellen können Angreifer aus der Ferne und
ohne Authentifizierung beliebigen Code ausführen und auf sensible
Informationen zugreifen. Dies ermöglicht potenziell eine vollständige
Kompromittierung von Ivanti EPMM Systemen welche eine verwundbare
Version nutzen.
Betroffene Systeme
* Ivanti Endpoint Manager Mobile
+ 11.12.0.4 und niedriger
+ 12.3.0.1 und niedriger
+ 12.4.0.1 und niedriger
+ 12.5.0.0 und niedriger
Abhilfe
Die am 13. Mai veröffentlichten Hotfixes (Versionsnummern 11.12.0.5,
12.3.0.2, 12.4.0.2 und 12.5.0.1) beheben diese Sicherheitslücken. Es
wird dringend empfohlen, das Update umgehend einzuspielen.
Als temporäre Maßnahme bis zum Update kann der Zugriff auf die
betroffenen Komponenten mithilfe der integrierten ACL-Funktionalität
oder eigener Firewall-Regeln eingeschränkt werden.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
__________________________________________________________________
Informationsquelle(n):
Security Advisory Ivanti Endpoint Manager Mobile (EPMM) May 2025:
https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Endpoint-Manag…
Ivanti System Manager Guide - Access Control Lists: Portal ACLs
https://help.ivanti.com/mi/help/en_us/core/12.x/sys/CoreSystemManager/Acces…
Mit freundlichen Grüßen,
Michael Schlagenhaufer
--
// Michael Schlagenhaufer <schlagenhaufer(a)cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien
26. März 2025
Beschreibung
Im Kubernetes Ingress NGINX Controller, einer Kernkomponente von
Kubernetes, wurden mehrere kritische Sicherheitslücken entdeckt. Diese
ermöglichen unter anderem unauthentifizierte Remote Code Execution
(RCE) und unberechtigten Zugriff auf Secrets.
CVE-Nummern: CVE-2025-1097, CVE-2025-1098, CVE-2025-24514,
CVE-2025-1974, CVE-2025-24513
CVSS Score: 9.8 (kritisch)
Auswirkungen
Durch Ausnutzen der Schwachstellen können Angreifer aus der Ferne und
ohne Authentifizierung beliebigen Code ausführen und auf sensible
Informationen zugreifen. Dies ermöglicht potenziell eine vollständige
Kompromittierung von Kubernetes-Clustern, die den verwundbaren Ingress
NGINX Controller verwenden.
Betroffene Systeme
Betroffen sind vor den Versionen 1.12.1 und 1.11.5 veröffentlichte
Versionen des Ingress NGINX Controllers.
Abhilfe
Die am 25. März 2025 veröffentlichten Versionen 1.12.1 und 1.11.5 des
Ingress NGINX Controllers beheben diese Sicherheitslücken. Es wird
dringend empfohlen, das Update umgehend einzuspielen.
Als temporäre Maßnahme bis zum Update kann durch die Deaktivierung des
Validating Admission Controller Features das Risiko signifikant
reduziert werden.
* Für Installationen via Helm:
+ Neuinstallation mit dem
Parameter controller.admissionWebhooks.enabled=false
* Für manuelle Installationen
+ Löschen der ValidatingWebhookconfiguration mit dem
Namen ingress-nginx-admission
+ Bearbeiten des Ingress NGINX Controller Deployments oder
DaemonSets und Entfernen des
Parameters --validating-webhook aus der Argumentliste des
Controller-Containers
Generell sollte der Netzwerkzugriff auf den Validierungs-Webhook des
Ingress NGINX Controllers eingeschränkt werden, und nur vom Kubernetes
API-Server aus erreichbar sein. Jeder andere Zugriff sollte als nicht
vertrauenswürdig eingestuft werden.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
__________________________________________________________________
Informationsquelle(n):
Kubernetes Blog:
https://kubernetes.io/blog/2025/03/24/ingress-nginx-CVE-2025-1974
Wiz Blog:
http://wiz.io/blog/ingress-nginx-kubernetes-vulnerabilities
Mit freundlichen Grüßen,
Michael Schlagenhaufer
--
// Michael Schlagenhaufer <schlagenhaufer(a)cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien