Dells Verschlüsselungs- und Key-Managementlösung CloudLink und Command Monitor zum Verwalten von PC-Beständen in Firmen sind verwundbar. Im schlimmsten Fall können Angreifer die volle Kontrolle über Systeme erlangen.

Feindliche Übernahme

In einem Beitrag führen die Entwickler aus, dass CloudLink unter anderem über zwei als „kritisch“ eingestufte Sicherheitslücken (CVE-2025-45378, CVE-2025-46364) attackierbar ist. In beiden Fällen kann ein Angreifer PCs vollständig kompromittieren. Dafür muss er aber über nicht näher ausgeführte Rechte verfügen.

In den anderen Fällen ist unter anderem Zugriff auf sensible Informationen möglich. Angreifer können aber auch DoS-Zustände herbeiführen. Die verbleibenden Sicherheitslücken sind mit dem Bedrohungsgrad „hoch“ (CVE-2025-30479, CVE-2025-45379) und „mittel“ (CVE-2025-46365, CVE-2025-46366, CVE-2025-46424) eingestuft. Weitere Lücken betreffen die OpenSSH-Komponente (CVE-2025-26465 „mittel„, CVE-2025-26466 „mittel„). Daran können Angreifer etwa für eine DoS-Attacke ansetzen.

Die Entwickler versichern, die Schwachstellen in den CloudLink-Ausgaben 8.1.1 und 8.2 gelöst zu haben. Alle vorigen Versionen sollen angreifbar sein. Bislang gibt es keine Berichte, dass Angreifer die Lücken bereits ausnutzen. Admins sollten trotzdem zeitnah handeln.

Durch das erfolgreiche Ausnutzen der Schwachstelle (CVE-2025-46990 „hoch„) in Command Monitor können sich Angreifer, die bereits über niedrige Nutzerrechte verfügen, hochstufen. Wie solche Attacken im Detail ablaufen könnten, ist bislang nicht bekannt.

In einer Warnmeldung listen die Entwickler die dagegen geschützte Ausgabe 10.12.3.28 auf.

Erst kürzlich wurde die Datenintegrationsplattform IBM InfoSphere Information Server gegen mögliche Attacken abgesichert.

(des)

Troy Hunt, Betreiber des Dienstes Have-I-Been-Pwned, hat der Datensammlung nun 1,3 Milliarden einzigartige Passwörter hinzugefügt. Sie stammen aus der erweiterten „Synthient“-Datensammlung.

Synthient hat offen zugängliche Daten in aus dem Internet zugreifbaren Cloudspeichern oder etwa Telegram-Gruppen gesammelt, von wo Troy Hunt sie auch erhalten hat. Einen ersten Teil dieser Daten hatte Hunt gefiltert und vor etwa zwei Wochen zunächst rund 183 Millionen Zugangsdaten daraus in die HIBP-Sammlung ergänzt. Dabei handelte es sich insbesondere um Daten, die Infostealer ausgeleitet haben.

Infostealer sind Trojaner, die auf Rechner oder Smartphones installiert werden und dort mitschneiden, wenn Opfer sich in Dienste anmelden. Diese Zugangsdaten leiten sie an Command-and-Control-Server weiter. Diese Daten landen oftmals offen einsehbar im Netz. Solche Infostealer installieren sich Opfer etwa als Dreingabe zu vermeintlichen Cracks für populäre Software, sie können jedoch auch durch Sicherheitslücken in installierter Software auf die Geräte gelangen.

Missbrauch für Angriffsversuche mit „Credential Stuffing“

Synthient hat jedoch weitaus mehr Datensätze gesammelt, die Sammlung besteht aus Daten aus diversen Datenlecks – Hunt bezeichnet sie auch als „Credential Stuffing“-Einträge. Insgesamt umfasst die Datensammlung rund 2 Milliarden einzigartige E-Mail-Adressen. Wie Troy Hunt zu der Ankündigung der nun hinzugefügten 1,3 Milliarden Passwörter erörtert – davon 625 Millionen bislang unbekannte –, nutzen Angreifer diese Daten, um andere Konten von Opfern zu knacken, bei denen dieselben Passwörter (wieder-)benutzt werden. Das Durchtesten dieser Zugangsdaten nennt sich Credential Stuffing.

Dass das eine erfolgreiche Taktik ist, hat Hunt beim Verifizieren der Daten bestätigen können. Laut seines Berichts hat er einige Abonnenten von HIBP befragt, ob die Daten echt seien. Gleich die erste Antwort lieferte Klarheit: „[Passwort] #1 ist ein altes Passwort, das ich nicht mehr nutze. #2 ist ein aktuelleres Passwort. Danke für die Vorwarnung, ich bin hingegangen und habe die Passwörter für alle kritischen Zugänge geändert, die eines davon genutzt haben“. Ein weiterer Nutzer berichtete, dass es sich um ein Wegwerf-Passwort für unwichtige Konten handelte, das er zwischen 20 und 10 Jahren zuvor genutzt hatte. Weitere Antworten deuten ebenfalls in die Richtung alter, lange nicht mehr genutzter Passwörter. Die Datensammlung umfasst also auch sehr alte Einträge.

Interessierte können auf einer eigenen HIBP-Webseite prüfen, ob ihre Passwörter in einem Datenleck aufgetaucht sind. Eine kurze Prüfung etwa mit „123456“ liefert gleich 178.863.340 Einträge, in denen diese Zahlenfolge als Passwort auftauchte.

(dmk)

In mehreren Produkten aus dem Portfolio von Cisco hat das Unternehmen Sicherheitslücken gemeldet. Aktualisierungen stehen für die zum Teil als kritisches Risiko eingestuften Schwachstellen bereit. IT-Verantwortliche sollten prüfen, ob sie verwundbare Systeme einsetzen und die Updates zügig installieren.

Am gravierendsten sind laut Cisco Sicherheitslücken in Cisco Unified Contact Center Express (Unified CCX). Aufgrund mehrerer Schwachstellen in der darin genutzten Java Remote Method Invocation (RMI) können Angreifer aus dem Netz ohne vorherige Authentifizierung beliebige Befehle ausführen, ihre Rechte zu „root“ ausweiten, Authentifizierung umgehen und beliebige Dateien hochladen – sprich, das System vollständig kompromittieren (CVE-2025-20354, CVSS 9.8; CVE-2025-20358, CVSS 9.4; beide Risiko „kritisch„). Cisco Unified CCX 12.5 SU3 ES07 und 15.0 ES01 stopfen die Sicherheitslecks.

Als hochriskant stuft Cisco eine Schwachstelle im Radius-Server ein. Die Einstellung „Reject RADIUS requests from clients with repeated failures“ der Cisco Identity Services Engine (ISE) ermöglicht nicht authentifizierten Angreifern aus dem Netz, Cisco ISE unerwartet neu starten zu lassen. Das mündet in einen Denial-of-Service (DoS). Angreifer können das mit einer bestimmten Sequenz von manipulierten Radius-Anfragen auslösen (CVE-2025-20343, CVSS 8.6, Risiko „hoch„). Die Einstellung ist standardmäßig aktiv. Betroffen ist Cisco ISE 3.4, die Fassungen davor und die neueren 3.5er-Versionen sollen dafür nicht anfällig sein. Die Version 3.4 Patch 4 soll das Problem lösen.

Mittelschwere Schwachstellen

In Ciscos Unified Contact Center Express (Unified CCX), Cisco Unified Contact Center Enterprise (Unified CCE), Cisco Packaged Contact Center Enterprise (Packaged CCE) und Cisco Unified Intelligence Center (CUIC) können angemeldete Angreifer aus dem Netz beliebigen Code einschleusen und ausführen, ihre Rechte zu „root“ ausweiten, sensible Informationen auslesen und beliebige Dateien herunterladen (CVE-2025-20375, CVE-2025-20376; beide CVSS 6.5; CVE-2025-20374, CVSS 4.9; alle Risiko „mittel“). Die Sicherheitsmitteilung nennt als korrigierte Softwareversionen Cisco Unified CCX 12.5 SU3 ES07 und 15.0 ES01 sowie Cisco Unified Intelligence Center 15.0(01) ES202508; wer noch Version 12.6 oder älter einsetzt, soll auf eine unterstützte Version migrieren.

Schließlich können angemeldete Angreifer aus dem Netz sensible Informationen auslesen oder Cross-Site-Scripting-Angriffe in Ciscos Identity Services Engine (ISE) und Cisco ISE Passive Identity Connector (ISE-PIC) ausführen (CVE-2025-20303, CVE-2025-20304, CVSS 5.4; CVE-2025-20289, CVSS 4.8; CVE-2025-20305, CVSS 4.3; alle Risiko „mittel„). Anfällig sind Cisco-ISE-Releases 3.4 und ältere, die jüngere Fassung 3.5 hingegen nicht. Wer noch 3.1 einsetzt, soll auf eine unterstützte Version migrieren, für die anderen Entwicklungszweige schließen die Versionen 3.2 Patch 8 (im Dezember 2025), 3.3 Patch 8 (im November 2025) und 3.4 Patch 4 die Sicherheitslücken.

Cisco-Schwachstellen sind für Cyberkriminelle ein lohnenswertes Ziel, ermöglicht deren Missbrauch in der Regel doch Zugang zu Netzwerken von Organisationen. So lassen sich etwa immer noch Angriffe auf eine Sicherheitslücke aus dem Jahr 2023 beobachten, die zu derzeit rund 15.000 mit der Malware „Badcandy“ infizierten Cisco-Geräten weltweit führt.

(dmk)