In der Nacht zum Mittwoch dieser Woche hat Fortinet Updates unter anderem für eine kritische Sicherheitslücke in FortiSIEM veröffentlicht. Inzwischen ist ein Proof-of-Concept-Exploit öffentlich verfügbar. Das vereinfacht es bösartigen Akteuren, die Sicherheitslücke zu missbrauchen. Angriffe darauf werden daher deutlich wahrscheinlicher. Admins sollten spätestens jetzt die Aktualisierungen anwenden.

Es geht um die Sicherheitslücke mit dem Schwachstelleneintrag CVE-2025-64155 (CVSS 9.4, Risiko „kritisch“). Durch sorgsam präparierte TCP-Anfragen können Angreifer aus dem Netz Schadcode einschleusen, der zur Ausführung gelangt. Ursächlich ist eine unzureichende Filterung von Elementen, die in Betriebssystembefehlen verwendet werden. Die Fehler korrigieren die FortiSIEM-Versionen 7.4.1, 7.3.5, 7.2.7 und 7.1.9; ältere Fassungen müssen zum Stopfen des Sicherheitslecks auf diese Stände migriert werden.

Die Schwachstelle wurde von IT-Forschern des Unternehmens horizon3.ai entdeckt. Diese haben zudem einen Proof-of-Concept-Exploit entwickelt und auf Github öffentlich bereitgestellt. Ihr Bericht erklärt die Sicherheitslücke detailliert. Zudem haben die IT-Forscher beispielhaft Anzeichen für Kompromittierungen (Indicators of Compromise, IOCs) aufgeführt.

Angriffsanzeichen in Log-Datei

Demzufolge landen Nachrichteninhalte des verwundbaren phMonitor-Dienstes in Protokolldateien im Ordner „/opt/phoenix/log/phoenix.logs“. In diesen Log-Dateien müssen Admins nach Einträgen mit „PHL_ERROR“ Ausschau halten. Dort finden sie die URL, von der Schadcode heruntergeladen, und die Information, in welche Datei auf dem System er dann geschrieben wurde.

Die horizon3.ai-Forscher geben an, dass sie die nun geschlossene Sicherheitslücke im Rahmen der Analyse der FortiSIEM-Sicherheitslücke CVE-2025-25256 aus dem vergangenen August entdeckt haben. Auch da stand Exploit-Code für das Sicherheitsleck bereit.

(dmk)

Der Netzwerkausrüster Cisco hat endlich einen Sicherheitspatch für Secure Email Gateway und Secure Email und Web Manager veröffentlicht, der eine seit Dezember vergangenen Jahres ausgenutzte Lücke schließt. Sind Attacken erfolgreich, verfügen Angreifer über Root-Rechte und übernehmen die volle Kontrolle über Instanzen.

Hintergründe

Die Sicherheitslücke (CVE-2025-20393) gilt als „kritisch“ und sie ist mit dem höchstmöglichen CVSS Score 10 von 10 eingestuft. Cisco gibt an, bereits am 10. Dezember 2025 eine Angriffskampagne beobachtet zu haben. Zu diesem Zeitpunkt gab es noch kein Sicherheitsupdate und Admins mussten ihre Netze mittels einer Übergangslösung schützen. Nun hat der Netzwerkausrüster seine Warnmeldung mit Details zur Schwachstelle und Hinweisen auf gegen die Attacken abgesicherte Versionen ergänzt.

Die Lücke betrifft AsyncOS für Cisco Secure Email Gateway und Secure Email und Web Manager. In der überarbeiteten Warnmeldung sprechen die Entwickler von einer begrenzten Anzahl von Geräten, bei denen bestimmte Ports öffentlich erreichbar sind. Einem Bericht der Sicherheitsforscher von Cisco Talos zufolge gehen die Attacken auf das Konto einer chinesischen APT-Gruppe. In welchem Umfang die Angriffe konkret ablaufen, ist derzeit unklar. Der Netzwerkausrüster gibt an, dass sich Angreifer auf kompromittierten Systemen eine Hintertür für weitere Zugriffe einrichten.

Instanzen jetzt absichern

Um dem vorzubeugen, müssen Admins umgehend eine der folgenden gegen die geschilderte Attacke abgesicherte AsyncOS-Ausgabe installieren:

15.0.5-016
15.5.4-012
16.0.4-016

• Secure Email und Web Manager:

15.0.2-007
15.5.4-007
16.0.4-010

(des)

Der Netzwerkausrüster Juniper Networks hat für zahlreiche Produkte Sicherheitsupdates veröffentlicht. Sie schließen teils als kritisch eingestufte Schwachstellen.

Im Support-Portal von Juniper finden sich insgesamt 26 neue Einträge zu Sicherheitsupdates vom Mittwoch dieser Woche. Besonders schwerwiegend sind etwa Sicherheitslücken in Junos Space, sie erreichen den CVSS-Wert 9.8 und damit das Risiko „kritisch“. Ebenso sieht es in Junipers Policy Enforcer aus, auch diese stuft der Hersteller mit CVSS 9.8 als „kritisch“ ein. Zahlreiche Lücken in Junos OS und Junos OS Evolved von unterschiedlichen Juniper-Appliances verpassen eine Einordnung als kritisches Risiko nur knapp. Sie erreichen dennoch CVSS4-Werte von 8.7 und stehen damit auf der Risikostufe „hoch“.

Die Lücken erlauben Angreifern etwa, Dienste abstürzen zu lassen oder Neustarts auszulösen und dadurch Denial-of-Service-Angriffe. Einige Schwachstellen führen zur Preisgabe von Informationen.

Admins sollten aktiv werden

Die Auflistung der einzelnen Sicherheitsmitteilungen würde den Rahmen dieser Meldung sprengen. Daher sei IT-Verantwortlichen nahegelegt, die verlinkte Übersicht über die Sicherheitsupdates zu überprüfen. Sofern sie Geräte einsetzen, die dort als verwundbar aufgelistet sind, sollten sie die Aktualisierungen herunterladen und anwenden oder gegebenenfalls verfügbare temporäre Gegenmaßnahmen einleiten.

Zuletzt hatte Juniper insbesondere im Oktober einen ganzen Schwung an Sicherheitsmitteilungen veröffentlicht.

(dmk)