In der Remote-Monitoring-und-Management-Software (RMM) N-central von N-able wurden zwei Sicherheitslücken entdeckt, die Angreifern das Einschleusen von Befehlen ins Betriebssystem respektive das Ausführen von eingeschmuggelten Schadcode erlauben. Diese werden bereits im Internet angegriffen. IT-Forscher sehen noch mehr als tausend ungepatchte N-central-Instanzen, darunter auch viele in Deutschland.

Tiefgehende Details nennt N-able in den Schwachstelleneinträgen nicht. Zum einen können Angreifer lokal beliebigen Code ausführen, da N-central nicht vertrauenswürdige Daten deserialisiert (CVE-2025-8875 / EUVD-2025-24823, CVSS 9.4, Risiko „kritisch„). Zum anderen filtert N-central Benutzereingaben nicht ausreichend, sodass bösartige Akteure Befehle ans Betriebssystem einschleusen können (CVE-2025-8876 / EUVD-2025-24822, CVSS 9.4, Risiko „kritisch„).

Die US-amerikanische IT-Sicherheitsbehörde CISA hat in der vergangenen Woche die Sicherheitslücken in den „Known Exploited Vulnerabilities“-Katalog aufgenommen. Wie die Angriffe aussehen, ist derzeit unklar, auch der Umfang und das Ausmaß verrät die CISA nicht.

Aktualisierte Software korrigiert die Fehler

Die Sicherheitslecks stopft N-able mit dem Update auf N-central 2025.3.1. Der Hersteller schweigt sich in der Versionsankündigung – darin enthalten auch der Download-Link auf die Aktualisierung – zu den laufenden Attacken aus, ergänzt jedoch den Hinweis, dass eine Authentifizierung zum Missbrauch der Schwachstellen nötig sei. Aufgrund des hohen Schweregrads scheint das jedoch eine einfach zu erklimmende Hürde zu sein.

Die Shadowserver Foundation hat am Wochenende eine Auswertung der Internet-Scans auf X veröffentlicht. Demnach waren am vergangenen Freitag 1077 IP-Adressen für die Schwachstellen CVE-2025-8875 und CVE-2025-8876 anfällig.

Der Großteil verteilt sich auf die USA, Kanada, die Niederlande und das Vereinigte Königreich. Jedoch waren auch in Deutschland etwa 50 Systeme im Netz erreichbar und nicht gegen die Sicherheitslecks abgesichert. IT-Verantwortliche sollten die Aktualisierung umgehend installieren, um die Angriffsfläche zu reduzieren.

Cyberkriminelle sind oftmals sehr zügig dabei, neu entdeckte Sicherheitslücken zum Einbruch in Netzwerke zu missbrauchen. Auch in Trend Micros Apex One wird derzeit eine Schwachstelle aktiv angegriffen, für die erst jetzt ein finaler Patch bereitsteht, um die Lücke korrekt zu schließen.

(dmk)

Acht Sicherheitslücken bedrohen die cloudbasierte Patchmanagementplattform HCL BigFix SaaS Remediate. Angreifer können die Anwendung unter anderem abstürzen lassen.

Über die Patchmanagementplattform halten Admins unter anderem verwaltete Endpoints auf dem aktuellen Stand.

Verschiedene Gefahren

Aus einer Warnmeldung geht hervor, dass eine Lücke (CVE-2025-7783) als „kritisch“ gilt. Unter bestimmten Bedingungen können Angreifer Anfragen an interne Systeme manipulieren. Was das für konkrete Auswirkungen haben kann, geht aus der Beschreibung der Schwachstelle nicht hervor.

Für eine weitere Lücke (CVE-2025-7338) gilt der Bedrohungsgrad „hoch„). An dieser Stelle können Angreifer über präparierte Upload-Anfragen DoS-Zustände herbeiführen. Das führt in der Regel zu Abstürzen von etwa Softwarediensten.

Für die verbleibenden Sicherheitslücken gilt der Bedrohungsgrad „mittel„. An diesen Stellen können Angreifer nach erfolgreichen Attacken etwa auf eigentlich geschützte Systemdaten zugreifen.

Sicherheitsupdates stehen zum Download

Bislang gibt es noch keine Berichte über laufende Attacken. Unklar ist zum jetzigen Zeitpunkt auch, woran Angreifer bereits erfolgte Angriffe erkennen können. Um die geschilderten Attacken vorzubeugen, hat HCL verschiedene, in der Warnmeldung aufgeführte, Front-End-Applications- und Back-End-Services-Versionen veröffentlicht.

Das Patchen sollten Admins nicht zu lange herauszögern. Schließlich können erfolgreiche Attacken auf Unternehmen, die über HCL BigFix ihre Endpoints verwalten, weitreichende Folgen haben.

Ende Juli dieses Jahres haben die HCL-Entwickler Lücken in ihrer Endpoint-Management-Plattform HCL BigFix geschlossen.

(des)

Bei der US-Tochter Allianz Life der Allianz-Versicherung gab es im Juli einen großen Datendiebstahl. Cyberkriminelle erbeuteten eine Datenbank mit persönlichen Daten der Kunden. Nun sind die Daten auch beim Have-I-Been-Pwned-Projekt (HIBP) gelandet. Hier können Interessierte prüfen, ob ihre Daten etwa in diesem Datenleck enthalten waren.

Der Einbruch fand bereits im vergangenen Monat statt, die Allianz taxiert ihn auf den 16. Juli dieses Jahres. Ein Unternehmenssprecher sagte dazu, dass es sich um eine Datenbank mit Informationen über Kunden handele. Die Angreifer hätten ihm zufolge mithilfe von Social-Engineering-Technik personenbezogene Daten „der meisten Kunden von Allianz Life, Finanzfachleute und ausgewählte Mitarbeiter von Allianz Life abrufen“ können.

Troy Hunt, der HIBP betreibt, führt das Datenleck auf derzeitige Angriffe auf Salesforce zurück. Er schreibt zu den nun hinzugefügten Daten von Allianz Life, dass die Angreifer an 1,1 Millionen einzelne E-Mail-Adressen, Namen, Geschlecht, Geburtsdaten, Telefonnummern und Anschriften gelangen konnten. Auf der Hauptseite von HIBP können Interessierte prüfen, in welchen Datenlecks ihre E-Mail-Adresse aufgetaucht ist.

Deutsche Kunden wohl nicht betroffen

Ende Juli machte Allianz Life keine Angaben dazu, wie viele Kunden von dem Datenabfluss betroffen sind – hier schafft Hunts HIBP nun Klarheit. Da Allianz Life seine Produkte ausschließlich in den USA anbietet, dürften jedoch so gut wie keine deutschen Kunden betroffen sein. Das Unternehmen gibt jedoch an, 1,4 Millionen Kunden in den USA zu haben – unklar bleibt, woher die Differenz zu den 1,1 Millionen kopierten Datensätzen kommt.

Die Allianz Life hat in den USA die zuständigen Behörden eingeschaltet und arbeitet mit den Strafverfolgern vom FBI zusammen. Angaben dazu, ob die Angreifer eine Lösegeldforderung gestellt haben, machte das Unternehmen hingegen nicht.

(dmk)