Um Cloud- und Netzwerkumgebungen mit F5 BIG-IP-Appliances zu schützen, sollten Admins zeitnah die jüngst veröffentlichten Sicherheitsupdates installieren. Geschieht das nicht, können Angreifer an mehreren Sicherheitslücken ansetzen und Instanzen attackieren.

Mehrere Schwachstellen

Im Sicherheitsbereich seiner Website listet F5 weiterführende zu seinen quartalsweise erscheinenden Sicherheitsupdates auf. Konkret betroffen sind BIG-IP APM (Sicherheitsupdates 16.1.6, 17.1.2.2), BIG-IP Client SSL (Sicherheitsupdates 16.1.6, 17.1.2.2), BIG-IP APM VPN Browser Client macOS (Sicherheitspatch 7.2.5.3), F5 Access for Android (Sicherheitsupdate 3.1.2).

Alle geschlossenen Sicherheitslücken sind mit dem Bedrohungsgrad „hoch“ eingestuft. So können Angreifer etwa aufgrund eines Fehlers bei der HTTP/2-Implementierung an einer Lücke (CVE-2025-54500) für eine DoS-Attacke ansetzen. Angriffe sollen aus der Ferne und ohne Authentifizierung möglich sein.

Unter macOS können lokale Angreifer Sicherheitsmechanismen umgehen und sich höhere Nutzerrechte verschaffen (CVE-2025-48500). Auch wenn es derzeit noch keine Berichte zu laufenden Attacken gibt, sollten Admins mit dem Patchen nicht zu lange zögern. Schließlich könnten Angreifer nach erfolgreichen Attacken in Cloudinfrastrukturen von Unternehmen einsteigen und Unheil stiften.

(des)

Der Mediaserver Plex ist verwundbar und Angreifer können an einer Softwareschwachstelle ansetzen. Ein Sicherheitsupdate steht zum Download bereit.

Bislang kaum Details verfügbar

Auf die Lücke weisen die Entwickler im offiziellen Forum und in den Releasenotes der aktuellen Ausgabe 1.42.1.10060 hin. Weiterführende Informationen zur Lücke und auch eine CVE-Nummer nebst Einstufung des Bedrohungsgrads stehen aber noch aus.

Die Sicherheitslücke scheint aber so gefährlich zu sein, als dass die Verantwortlichen derzeit E-Mails an Nutzer schicken, die noch verwundbare Versionen nutzen. Die Entwickler geben an, dass die Ausgaben 1.41.7.x bis 1.42.0.x bedroht sind. Nutzer sollten so schnell wie möglich die abgesicherte Ausgabe installieren.

Auf Reddit tauschen sich Nutzer schon seit mehreren Tagen zur Sicherheitsproblematik aus.

Zuletzt sorgte Plex 2022 für Schlagzeilen, als Cyberkriminelle Nutzerdaten aus einer Datenbank kopieren konnten.

(des)

Netzwerkadmins, die IT-Sicherheitslösungen von Fortinet verwalten, sollten sicherstellen, dass die aktuellen Updates installiert sind. Derzeit macht Exploitcode die Runde und Angreifer werden FortiSIEM und FortiWeb mit hoher Wahrscheinlichkeit zeitnah attackieren. Erfolgreiche Attacken können weitreichende Folgen haben.

Gefährliche Sicherheitslücken

Beide Schwachstellen (FortiSIEM CVE-2025-25256 „kritisch„, FortiWeb CVE-2025-52970 „hoch„) haben die Fortinet-Entwickler am vergangenen Patchday geschlossen. Kurz darauf warnten sie davor, dass Exploitcode zum Ausnutzen der Lücke in FortiSIEM in Umlauf ist.

Weil bestimmte Eingaben nicht ausreichend überprüft werden, können Angreifer mit präparierten CLI-Anfragen an der Schwachstelle ansetzen. Klappt ein Angriff, können Angreifer eigenen Code ausführen. Dementsprechend ist davon auszugehen, dass Systeme im Anschluss vollständig kompromittiert sind.

FortiSIEM 7.4 soll einer Warnmeldung zufolge davon nicht betroffen sein. Die Ausgaben 6.7.10, 7.0.4, 7.1.8, 7.2.6 und 7.3.2 sind abgesichert. Der Support für FortiSIEM 6.2 bis 6.6 ist ausgelaufen, diese Versionen bekommen keine Sicherheitsupdates mehr. An dieser Stelle müssen Angreifer auf eine noch unterstützte Ausgabe upgraden.

Zugriff ohne Anmeldung

Nutzen Angreifer die Lücke in FortiWeb erfolgreich aus, können sie einen privaten Schlüssel manipulieren, um im Anschluss legitime Authentifizierungscookies zu erzeugen. Damit ausgerüstet, können sie dann sogar als Admin auf Instanzen zugreifen. Dafür hat ein Sicherheitsforscher nun Exploitcode veröffentlicht. Die Schwachstelle hat er FortMajeure getauft. In einem Blogbeitrag führt er technische Details aus.

(des)