Drei Sicherheitslücken in VMware Aria Operations und Cloud Foundation Operations gefährden PCs. Weil Cloud Foundation, Telco Cloud Platform, Telco Cloud Infrastructure und und vSphere Foundation die verwundbare Software nutzen, sind sie ebenfalls verwundbar. Im schlimmsten Fall können Angreifer Schadcode ausführen.

Verschiedene Gefahren

In einer Warnmeldung listen die Entwickler weiterführende Informationen zu den nun geschlossenen Schwachstellen (CVE-2026-22719 „hoch“, CVE-2026-22720 „hoch“, CVE-2026-22721 „mittel“) auf. Nach erfolgreichen Attacken kann unter anderem Schadcode auf Systeme gelangen.

Die Entwickler versichern, die Sicherheitsprobleme in den Ausgaben VMware Cloud Foundation, VMware vSphere Foundation 9.0.2.0 und VMware Aria Operations 8.18.6 gelöst zu haben. Für VMware Cloud Foundation, VMware Telco Cloud Platform und VMware Telco Cloud Infrastructure müssen Admins Systeme mittels Workarounds vor möglichen Angriffen schützen.

(des)

In den USA muss ein 39-jähriger Australier mehr als sieben Jahre ins Gefängnis, weil er als hochrangiger Manager des Rüstungskonzerns L3Harris Informationen zu Zero-Day-Lücken an einen Russen verkauft hat. Weiterhin muss der Verurteilte jetzt Kryptogeld, ein Haus sowie Luxusgüter im Millionenwert abgeben. Zur Verhandlung über eine Entschädigung wurde ein weiterer Gerichtstermin festgelegt. Das geht aus einer Mitteilung des US-Justizministeriums hervor. Der Mann hatte sich der Vorwürfe im Herbst 2025 für schuldig bekannt. Inzwischen ist auch klar, dass er die Exploits an einen Russen verkauft hat, dessen Firma „Matrix LLC“ oder „Operation Zero“ Informationen zu Sicherheitslücken weiterverkauft.

Nur für ausgewählte Staaten gedacht

Der Mann hat als Manager der L3Harris-Sparte Trenchant gearbeitet und im Rahmen seines Schuldeingeständnisses zugegeben, dass er dort über einen Zeitraum von drei Jahren acht „Komponenten von Cyber-Exploits“ entwendet hat. Die hätten exklusiv an die US-Regierung „und ausgewählte Alliierte“ verkauft werden sollen. Der Mann habe dafür Kryptogeld erhalten, mit dem er Luxusreisen, Schmuck, Uhren, Kleidung und Wohneigentum gekauft habe. Insgesamt hat er 1,3 Millionen US-Dollar bekommen, den Schaden für die US-Regierung beziffert die Anklage dagegen auf 35 Millionen US-Dollar. Seine Bestrafung sei eine „deutliche Warnung an alle, die überlegen, Gier über ihr Land zu stellen“, sagt Roman Rozhavsky vom FBI.

Der Vorfall macht einmal mehr deutlich, wie gefährlich der Umgang mit Exploits ist, die nicht an die Unternehmen gemeldet werden, deren Produkte sie betreffen. Als Zero-Day-Lücken werden solche bezeichnet, von denen diese nichts wissen, bei denen sie also null Tage Zeit hatten, um sie zu schließen. Trenchant bietet seine Dienste ausschließlich den Regierungen der sogenannten Five Eyes an. Das sind neben den USA noch Australien, Kanada, Neuseeland und Großbritannien, die in Geheimdienstfragen engsten Alliierten der Vereinigten Staaten. Zeitgleich zur Bekanntmachung des Urteils hat das US-Außenministerium Sanktionen gegen den Russen verhängt, der alleine für „Operation Zero“ verantwortlich sein soll.

(mho)

In Trend Micros Apex One haben IT-Forscher mehrere teils kritische Sicherheitslücken entdeckt. IT-Verantwortliche mit On-Premises-Instanzen von Apex One sollten zügig die bereitstehenden Updates anwenden. Wer die Software-as-a-Service-Variante nutzt, ist bereits abgesichert.

Das erklärt Trend Micro in einer Sicherheitsmitteilung. Die kritischen Sicherheitslücken betreffen die Trend Micro Apex One Management-Konsole unter Windows. Angreifer aus dem Netz können bösartigen Code hochladen und Befehle auf verwundbaren Installationen ausführen. Das gelingt aufgrund einer Directory-Traversal-Schwachstelle. Es sind zwei ausführbare Dateien betroffen, daher gibt es auch zwei CVE-Einträge (CVE-2025-71210, CVE-2025-71211; beide CVSS 9.8, Risiko „kritisch“). Die Entwickler weisen darauf hin, dass Angreifer dazu Zugriff auf die Konsole haben müssen, sie sollte daher nicht im Internet exponiert sein und auch der Zugriff im LAN auf die notwendigen Adressen beschränkt werden.

Weitere Sicherheitslecks in Apex One

Die Scan-Engine von Apex One ermöglicht bösartigen Akteuren die Ausweitung ihrer Rechte im System. Das geht auf eine Schwachstelle beim Folgen von Links zurück (CVE-2025-71212, CVSS 7.8, Risiko „hoch“). Angreifer können zudem aufgrund einer fehlerhaften Herkunftsprüfung („Origin Validation Error“) an höhere Rechte gelangen (CVE-2025-71213, CVSS 7.8, Risiko „hoch“). Die Updates erweitern zudem die Patches, mit denen Trend Micro im vergangenen August in freier Wildbahn angegriffene Sicherheitslücken in Apex One geschlossen hat (CVE-2025-54987, CVE-2025-54948; CVSS 9.8, Risiko „kritisch“).

Rein informativer Natur sind zudem Hinweise auf Schwachstellen von Apex One unter macOS. Die hat Trend Micro demnach bereits Mitte bis Ende 2025 mittels ActiveUpdate geschlossen. Dabei handelt es sich um potenzielle Rechteausweitungen (CVE-2025-71215, CVE-2025-71216, CVE-2025-71217, CVSS 7.8, Risiko „hoch“; CVE-2025-71214, CVSS 7.2, Risiko „hoch“).

Admins sollten ihre Apex One 2019 (On-prem) mindestens auf den fehlerbereinigten Stand CP Build 14136 bringen. Apex One as a Service und Trend Vision One Endpoint sind mit der Security Agent-Version 14.0.20315 vor den Sicherheitslücken gefeit.

(dmk)