Sicherheitslücken

Hacks · KEV · Sicherheitslücken

Neue “Erfahrungen”: Adobe Experience Manager schafft es in die Hall of Shame
VonJ. Benjamin Espagné 21. Oktober 202521. Oktober 2025

Die US-Behörde CISA (Cybersecurity and Infrastructure Security Agency) hat am 15. Oktober 2025 eine kritische Sicherheitslücke in Adobe Experience Manager (AEM) in ihren Known Exploited Vulnerabilities (KEV)-Katalog aufgenommen. Die Schwachstelle mit der Kennung CVE-2025-54253 erlaubt Remote-Code-Execution (RCE) über eine fehlerhafte Konfiguration in der Administrationsoberfläche von AEM Forms on JEE – CVSS-Score 10.0, also maximal kritisch.

Betroffen sind AEM-Versionen 6.5.23.0 und älter. Adobe hatte bereits im August 2025 ein außerplanmäßiges Update bereitgestellt, nachdem ein Proof-of-Concept öffentlich geworden war. CISA setzt nun eine verbindliche Patch-Frist bis zum 5. November 2025.

Neosec hat ermittelt: Laut BuiltWith setzen über 2.700 produktive Websites in Deutschland auf AEM – darunter große Konzerne aus der Automobil-, Industrie-, Energie- und Finanzbranche. Zu den bekannten AEM-Nutzern zählen BMW, Mercedes-Benz, Volkswagen, SAP, Allianz, Fresenius, E.ON, DHL, Toyota, Philips und viele andere. BuiltWith verzeichnet zudem mehr als 3.000 weitere Domains, bei denen AEM bereits in der Implementierungsphase ist – darunter Porsche SE.

Die Lücke reiht sich ein in eine Serie kritischer AEM-Schwachstellen (u. a. CVE-2025-49533, CVE-2025-54254) und betrifft insbesondere Umgebungen, in denen AEM als zentrale Content-Management-Plattform mit Backend-Systemen wie SAP, Salesforce oder Azure AD integriert ist. Ein erfolgreicher Angriff kann daher vollständige Systemkompromittierung und Datenabfluss sensibler Informationen zur Folge haben.

Mehr Inforamtionen Neue “Erfahrungen”: Adobe Experience Manager schafft es in die Hall of Shame
Datenklau · Sicherheitslücken · Tips

Wenn Berechtigung zur Schwachstelle wird – Das Zeitalter des Authorization Sprawl
VonDr. Anatolii Nazarko 21. Oktober 202522. Oktober 2025
Die Ergebnisse des aktuellen SANS Whitepapers von Joshua Wright „Authorization Sprawl – The Vulnerability Reshaping Modern Attacks“ (Oktober 2025) zeigen eindrucksvoll, wie sich eine unscheinbare Sicherheitslücke zum größten Risiko moderner IT-Landschaften entwickelt hat.

Unter Authorization Sprawl versteht man die unkontrollierte Ausbreitung von Zugriffsrechten über Systeme, Cloud-Dienste, SaaS-Anwendungen und Identitätsplattformen hinweg. Durch die zunehmende Integration von SSO, API-Tokens und föderierten Identitäten entstehen unzählige „Seitentüren“ ins Unternehmensnetz.

Während Authentifizierung (Login, MFA, EDR) in den letzten Jahren stark verbessert wurde, hinkt die Kontrolle der Autorisierung weit hinterher. Angreifer nutzen diese Schwäche gezielt aus: Ein kompromittierter Account, ein offener Token, ein vergessenes Servicekonto – und schon ist der Weg frei für Datenexfiltration, lateral movement und Privilegienausweitung.

Bekannte Gruppen wie Scattered Spider, LAPSUS$ oder ShinyHunters setzen diese Methode inzwischen systematisch ein. Sie kombinieren Social Engineering, gestohlene OAuth-Tokens und API-Schlüssel mit SaaS-Schwachstellen – und umgehen damit klassische Schutzsysteme völlig unbemerkt.

Die Untersuchung von SANS zeigt:
- Moderne EDR-Systeme erkennen diese Angriffe nicht, weil sie innerhalb legitimer Prozesse stattfinden (z. B. Browser, AWS- oder M365-Sessions).
- VPNs und lokale Proxys verschleiern Geodaten und umgehen Impossible Travel Detection.
- Viele SaaS-Anbieter bieten nur rudimentäres oder kostenpflichtiges Logging, was Incident Response massiv erschwert.
Kurz gesagt: Wir haben gelernt, wer sich anmeldet – aber nicht, was er danach tut.
Mehr Inforamtionen Wenn Berechtigung zur Schwachstelle wird – Das Zeitalter des Authorization Sprawl
Sicherheitslücken

Zwei neue Windows-Zero-Days erschüttern das Vertrauen in Microsofts Update-Kultur
VonJ. Benjamin Espagné 20. Oktober 202521. Oktober 2025
Am 15. Oktober 2025 veröffentlichte Microsoft Patches für 183 Sicherheitslücken – darunter zwei aktiv ausgenutzte Zero-Days:
- CVE-2025-24990: Schwachstelle im „Agere Modem Driver“, betrifft jede Windows-Version seit 2000.
- CVE-2025-59230: Lücke im „Remote Access Connection Manager (RasMan)“.
Beide erlauben Privilegienerweiterungen bis hin zu Systemrechten. Besonders kritisch: Der betroffene Treiber ist selbst auf Systemen installiert, die gar keine Modem-Hardware besitzen. Microsoft kündigte an, ihn vollständig zu entfernen – ein seltenes Eingeständnis, wie tief verwurzelte Legacy-Komponenten noch immer Risiken bergen.
Mehr Inforamtionen Zwei neue Windows-Zero-Days erschüttern das Vertrauen in Microsofts Update-Kultur
Datenklau · DDoS · Sicherheitslücken

Shellshock-Angriffe sind wieder auf dem Vormarsch – was Sie jetzt wissen müssen
VonJ. Benjamin Espagné 9. September 20259. September 2025

Die Shellshock-Schwachstelle, auch bekannt als Bash-Bug (CVE-2014-6271 und weitere), wurde bereits 2014 entdeckt und gilt damals wie heute als extrem gefährlich; sie ermöglicht Angreifern, beliebigen Code über manipulierte Umgebungsvariablen einzuschleusen, wenn Bash-Skripte etwa in CGI-Anwendungen genutzt werden.

Bereits 2014 kam es zu einem massiven Aufkommen an Scans, Exploits und Botnetz-Aktivitäten; auch namhafte Ziele wie große Internetplattformen und Regierungsinstitutionen waren betroffen. Trotz der Veröffentlichung von Patches hat sich die Bedrohung bis heute nicht aufgelöst: Laut aktuellen Analysen zielen Angreifer wieder verstärkt auf Organisationen ab, darunter Banken und Finanzdienstleister.

Nach unseren jüngsten Erhebungen müssen wir warnen: Shellshock-Schwachstellen in Web-Anwendungen werden erneut vermehrt aktiv angegriffen – alte Systemkomponenten bleiben ein Risikofaktor in der Lieferkette.

Mehr Inforamtionen Shellshock-Angriffe sind wieder auf dem Vormarsch – was Sie jetzt wissen müssen
Sicherheitslücken

Kritische SAP-Lücke (CVE-2025-42957) aktiv ausgenutzt – wie sollten Sie reagieren?
VonJ. Benjamin Espagné 8. September 20258. September 2025
Was war

SecurityBridge Threat Research Labs entdeckte und meldete am 27. Juni 2025 eine äußerst gefährliche Codeinjection-Schwachstelle in SAP S/4HANA (CVE-2025-42957). Die Schwachstelle erhielt einen CVSS-Score von 9,9 (kritisch).

Betroffen sind sowohl On-Premise als auch Private Cloud Installationen von S/4HANA (S4CORE-Versionen 102–108). Verfügt ein Angreifer über niedrig privilegierte Nutzerkonten, kann er beliebigen ABAP-Code per RFC einschleusen. Damit umgeht er alle Autorisierungskontrollen und legt eine tarnfähige Hintertür – mit potenzieller vollständiger Kompromittierung des Systems. Das umfasst:
- Manipulation oder Diebstahl von Geschäftsdaten
- Erstellung von Superuser-Konten (SAP_ALL)
- Auslesen von Passwort-Hashes
- Eingriffe in Geschäftsprozesse oder Installation von Ransomware
Was ist

SAP brachte bereits am 11./12. August 2025 einen Patch heraus (Security Note 3627998), doch zahlreiche Systeme bleiben weiterhin gefährdet. Die Ausnutzung der Schwachstelle wurde bereits von SecurityBridge verifiziert – sie ist also kein theoretisches Problem mehr, sondern Realität. Die offene Codebasis von ABAP erleichtert zudem das Reverse Engineering der Patches und schafft so zusätzliche Angriffsmöglichkeiten.

Forschende Sicherheitspartner wie Pathlock und das niederländische NCSC beobachteten bereits Anzeichen für Ausnutzungsversuche. Neben der Einspielung von Patches werden Monitoring-Maßnahmen, Zugriffsbeschränkungen per UCON und RFC-Beschränkungen empfohlen.
Mehr Inforamtionen Kritische SAP-Lücke (CVE-2025-42957) aktiv ausgenutzt – wie sollten Sie reagieren?
Sicherheitslücken

Threat Analysis: ToolShell Zero-Day in Microsoft SharePoint – und wie unser SIEM schützt
VonJ. Benjamin Espagné 5. September 20255. September 2025
Was war

Ende Juli 2024 wurde eine neue Zero-Day-Schwachstelle in Microsoft SharePoint bekannt, die unter dem Namen „ToolShell“ diskutiert wird. Angreifer nutzten gezielt die URL-Struktur /_layouts/15/ToolPane.aspx, um über Deserialisierungsfehler Schadcode einzuschleusen. Im Anschluss wurde häufig eine Webshell als .aspx-Datei im SharePoint-Verzeichnis platziert, die den Angreifern dauerhaften Zugriff ermöglichte.

Die Angriffskette ist typisch für moderne Exploits auf Collaboration-Plattformen:
- Initialer Exploit über eine fehlerhafte Serverkomponente
- Dropping einer Webshell ins Webroot
- Post-Exploitation mit PowerShell, oft Base64-kodiert aus dem Prozess w3wp.exe (IIS-Worker) heraus
- Zugriff auf Kryptografie-Keys und damit persistente Backdoors
Was ist

Microsoft hat zwischenzeitlich Sicherheitsupdates für SharePoint 2019 und die Subscription Edition bereitgestellt, für ältere Versionen (z. B. 2016) gelten gesonderte Workarounds. CISA sowie mehrere Security-Firmen haben Indicators of Compromise (IOCs) und TTP-Beschreibungen veröffentlicht.

Die Besonderheit: Auch ohne direkten Patch lassen sich die Aktivitäten des Angriffs sehr gut über Logs und Verhaltennachvollziehen. So fallen u. a. auf:

Ausgehende Netzwerkverbindungen des IIS-Workers unmittelbar nach Dateiänderungen

Zugriffe auf /_layouts/15/ToolPane.aspx in den IIS-Logs

Neue .aspx-Dateien im Webroot (\_layouts\15\, App_Data)

w3wp.exe → powershell.exe mit -EncodedCommand
Mehr Inforamtionen Threat Analysis: ToolShell Zero-Day in Microsoft SharePoint – und wie unser SIEM schützt
Offline Security · Sicherheitslücken

RMM-Systeme im Visier –N-able N-central Schwachstellen
VonJ. Benjamin Espagné 29. August 202529. August 2025

Am 15. August 2025 meldete die Shadowserver Foundation, dass über 1.000 N-able N-central Instanzen weltweit noch ungepatcht gegen die Sicherheitslücken CVE-2025-8875 und CVE-2025-8876 waren. N-central ist eine weit verbreitete Lösung für Remote Monitoring und Management (RMM), die vor allem von IT-Dienstleistern genutzt wird, um Kundensysteme zentral zu überwachen und zu administrieren.

Beide Schwachstellen wurden kürzlich in den Known Exploited Vulnerabilities (KEV)-Katalog der US-Behörde CISA aufgenommen. Damit gilt als bestätigt, dass sie bereits aktiv von Angreifern ausgenutzt werden. Laut Shadowserver sind vor allem die USA, Kanada, die Niederlande und Großbritannien besonders stark betroffen.

Die Lücken ermöglichen Angreifern eine nicht autorisierte Ausführung von Befehlen auf verwundbaren Systemen. Shadowserver integriert seit Mitte August 2025 die Erkennung dieser CVEs in seine täglichen Scans. Unternehmen, die eine Verwundbarkeitsmeldung erhalten, sollen ihre Systeme dringend überprüfen und umgehend auf die abgesicherte Version N-central 2025.3.1 aktualisieren.

Mehr Inforamtionen RMM-Systeme im Visier –N-able N-central Schwachstellen
Sicherheitslücken

Citrix NetScaler CVE-2025-7775: Patching-Fortschritt im Fokus
VonJ. Benjamin Espagné 29. August 202529. August 2025

Am 26. August 2025 wurde eine kritische Zero-Day-Sicherheitslücke in Citrix® NetScaler ADC und NetScaler Gateway bekannt (CVE-2025-7775). Es handelt sich um einen Memory Overflow, der eine Remote-Code-Execution (RCE) oder einen Denial-of-Service (DoS) ohne Authentifizierung ermöglicht. Kurz darauf empfahl Citrix dringend, die betroffenen Systeme umgehend zu aktualisieren, da bereits aktive Angriffe in freier Wildbahn bestätigt wurden.

Die US-Behörde CISA nahm CVE-2025-7775 in ihren Known Exploited Vulnerabilities (KEV)-Katalog auf und setzte eine Frist für alle Bundesbehörden, die Lücke bis zum 28. August 2025 zu schließen.

Aktuelle Scans von Shadowserver zeigen: Zwar sank die Zahl ungepatchter NetScaler-Instanzen von ursprünglich rund 28.200 auf etwa 12.400 Systeme, doch bleibt das Risiko erheblich. Besonders auffällig ist, dass Europa im Vergleich zu Nordamerika deutlich schneller patcht.

Dashboards mit Zeitreihen (Stacked oder Overlapping) veranschaulichen den länderübergreifenden Fortschritt. Parallel informieren Shadowserver-Meldungen in sozialen Medien regelmäßig über aktuelle Zahlen und Trends.

Mehr Inforamtionen Citrix NetScaler CVE-2025-7775: Patching-Fortschritt im Fokus
Datenklau · Hacks · Sicherheitslücken

Wenn Pflegebetrieb zur Zielscheibe wird — Ransomware bei der Sozial-Holding Mönchengladbach
VonJ. Benjamin Espagné 19. März 202522. Oktober 2025

Am 17. März 2025 wurde die Sozial-Holding der Stadt Mönchengladbach GmbH Opfer eines großangelegten Cyberangriffs. Die IT-Systeme der städtischen Tochtergesellschaft, die unter anderem sieben Seniorenheime betreibt und täglich Tausende Mahlzeiten ausliefert, waren betroffen: Server wurden verschlüsselt, E-Mail- und Telefoninfrastruktur war zeitweise nicht nutzbar. Die Täter forderten laut Berichten ein Lösegeld von rund 100.000 Euro. Die Sozial-Holding meldete den Vorfall bei Polizei und Datenschutzbehörden und arbeitete mit externen IT-Forensikern zusammen; nach etwa zehn Tagen war das IT-Netz wieder aufgebaut.

Unabhängige Medienberichte und Fachportale (dpa, WDR, CSO Online, Heise) bestätigten, dass sensible Daten von Bewohnerinnen und Bewohnern sowie Mitarbeitenden betroffen sein könnten (Personenstammdaten, Gesundheits- und Pflegedaten, Personalakten, Zugangsdaten). Die Betreiberin erklärte, die Versorgung der Bewohner sei jederzeit sichergestellt geblieben; ein Lösegeld wurde offenbar nicht bezahlt.

Was bislang offen bleibt: Die Ermittlungen und die polizeilichen Verfahren verhinderten zunächst die Veröffentlichung technischer Details zur Angriffs-Kette und zum genauen Einstiegspunkt der Angreifer. Medienberichte sprechen von einer möglichen Beteiligung ausländischer Tätergruppen; eine gerichtliche oder behördliche Attribution war zum Zeitpunkt der Berichterstattung nicht abschließend bestätigt.

Mehr Inforamtionen Wenn Pflegebetrieb zur Zielscheibe wird — Ransomware bei der Sozial-Holding Mönchengladbach
Hacks · Sicherheitslücken

Doppeltes Ungemach: Henry Schein gleich zweimal von Ransomware-Angriffen betroffen
VonJuliane Heinen 18. März 202518. März 2025

Henry Schein, ein prominenter amerikanischer Gesundheitsriese, der in den Fortune 500 gelistet ist, ist ein wichtiger Anbieter von Produkten und Dienstleistungen in 32 Ländern in Nordamerika und Europa.

Die Horrorgeschichte für das Unternehmen begann am 15. Oktober, als es zum ersten Mal bekannt gab, dass es als Reaktion auf die anhaltende Cyberattacke einige seiner Systeme vom Netz nahm. Das Unternehmen arbeitete teilweise mit alternativen Kommunikationsmitteln weiter. Doch die Entgegennahme tausender Bestellungen per Telefon und Messenger verlangsamte den Betrieb erheblich.

Die dreiwöchige Untersuchung des Unternehmens ergab, dass sich die Angreifer Zugang zu sensiblen Daten wie Lieferanteninformationen, Zahlungskartennummern und Bankkontodaten verschafft hatten. Etwa zwei Wochen, nachdem Henry Schein den Angriff bekannt gegeben hatte, bekannte sich die Ransomware-Gruppe BlackCat zu dem Angriff und nahm das Unternehmen in ihre Datenleck-Site auf.

Henry Schein war in der Lage, die Ursache der Störung zu identifizieren und versuchte, Systeme und Daten selbst wiederherzustellen. Leider griff die BlackCat-Gruppe ebenfalls ein und verschlüsselte die Daten erneut, so dass die Bemühungen des Unternehmens vergeblich waren.

Es bleibt unklar, ob die Angreifer in der Zwischenzeit im System verblieben sind oder ob es sich um einen zweiten Einbruch handelt. Wichtig ist jedoch, dass das Unternehmen nicht dafür gesorgt hat, dass die Angreifer ferngehalten werden. Es ist sogar gut, dass sie sich so leicht erkennen ließen. In einem anderen Fall könnte eine solche Nachlässigkeit dazu führen, dass Hacker praktisch für immer in interne Systeme eindringen und einen noch größeren Schaden anrichten.

Mehr Inforamtionen Doppeltes Ungemach: Henry Schein gleich zweimal von Ransomware-Angriffen betroffen

Keine weiteren News.

Sicherheitslücken schließen. Risiken senken. Jetzt handeln!

Unsere Experten zeigen Ihnen live, wie wir Angriffe erkennen, stoppen und Ihr Unternehmen schützen.

Blog

Aktuelle Sicherheitsereignisse

In eigener Sache Research

Moin Dr. Anatolii Nazarko – Security Analyst & Head of Research bei Neosec

J. Benjamin Espagné 22. Oktober 202527. Oktober 2025

Seit dem 1. September 2025 verstärkt Dr. rer. nat. Anatolii Nazarko das Team von Neosec als Security Analyst & Head of Research bei Neosec. Mit…

lesen Moin Dr. Anatolii Nazarko – Security Analyst & Head of Research bei Neosec
Hacks KEV Sicherheitslücken

Neue “Erfahrungen”: Adobe Experience Manager schafft es in die Hall of Shame

J. Benjamin Espagné 21. Oktober 202521. Oktober 2025

Die US-Behörde CISA (Cybersecurity and Infrastructure Security Agency) hat am 15. Oktober 2025 eine kritische Sicherheitslücke in Adobe Experience Manager (AEM) in ihren Known Exploited Vulnerabilities (KEV)-Katalog…

lesen Neue “Erfahrungen”: Adobe Experience Manager schafft es in die Hall of Shame
Datenklau Sicherheitslücken Tips

Wenn Berechtigung zur Schwachstelle wird – Das Zeitalter des Authorization Sprawl

Dr. Anatolii Nazarko 21. Oktober 202522. Oktober 2025

Die Ergebnisse des aktuellen SANS Whitepapers von Joshua Wright „Authorization Sprawl – The Vulnerability Reshaping Modern Attacks“ (Oktober 2025) zeigen eindrucksvoll, wie sich eine…

lesen Wenn Berechtigung zur Schwachstelle wird – Das Zeitalter des Authorization Sprawl
Sicherheitslücken

Zwei neue Windows-Zero-Days erschüttern das Vertrauen in Microsofts Update-Kultur

J. Benjamin Espagné 20. Oktober 202521. Oktober 2025

Am 15. Oktober 2025 veröffentlichte Microsoft Patches für 183 Sicherheitslücken – darunter zwei aktiv ausgenutzte Zero-Days: Beide erlauben Privilegienerweiterungen bis hin zu Systemrechten. Besonders kritisch: Der…

lesen Zwei neue Windows-Zero-Days erschüttern das Vertrauen in Microsofts Update-Kultur
MDR PhaaS SOCaaS

Cybercrime auf Industrieniveau – Europol et al. zerschlagen kriminellen Dienstleister

J. Benjamin Espagné 17. Oktober 202517. Oktober 2025

Im Rahmen einer internationalen Operation haben Europol, Eurojust und das FBI ein weitreichendes Cybercrime-as-a-Service-Netzwerk zerschlagen. Sieben Personen wurden festgenommen, zahlreiche Server beschlagnahmt.Das…

lesen Cybercrime auf Industrieniveau – Europol et al. zerschlagen kriminellen Dienstleister
MDR

MDR für KMU – kein Luxus mehr

Benedikt M. Ostwald 10. Oktober 202517. Oktober 2025

Laut einem aktuellen Beitrag von Security Insider unterschätzen viele kleine und mittlere Unternehmen (KMU) weiterhin das Risiko gezielter Cyberangriffe. Die Realität ist:…

lesen MDR für KMU – kein Luxus mehr

Was war

Was ist

Was war

Was ist

Sicherheitslücken schließen. Risiken senken. Jetzt handeln!

Blog

Aktuelle Sicherheitsereignisse

Newsletter