CISA-Warnung vor Angriffen auf VMware vCenter, Zimbra und mehr

Die US-amerikanische IT-Sicherheitsbehörde CISA warnt vor Angriffen auf fünf Produkte. Die Schwachstellen sind offenbar bereits einige Zeit bekannt. Admins sollten unverzüglich Aktualisierungen vornehmen.

Etwa auf Vite Vitejs, Versa Concerto, Prettier und Zimbra konnten in freier Wildbahn Angriffe beobachtet werden, vor denen die CISA in einer Alarmmeldung warnt. Vitejs erlaubt offenbar den Zugriff auf eigentlich blockierte Ressourcen und kann dadurch geschützte Informationen preisgeben (CVE-2025-31125, CVSS 5.3, Risiko „mittel“). In Versa Concerto können Angreifer die Authentifizierung umgehen (CVE-2025-34026, CVSS 9.2, Risiko „kritisch“). „eslint-config-prettier“ hat in einigen Versionen bösartigen Code für einen Lieferkettenangriff enthalten (CVE-2025-54313, CVSS 7.5, Risiko „hoch“).

Angriffe auf weitverbreitete Software

Angreifer attackieren demnach auch eine Sicherheitslücke in Zimbra. Es handelt sich um eine File-Inclusion-Lücke, bei der Angreifer aus dem Netz ohne Anmeldung sorgsam präparierte Anfragen an den API-Endpunkt „/h/rest“ richten und dadurch das Einbinden beliebiger Dateien aus dem Webroot-Verzeichnis erreichen können (CVE-2025-68645, CVSS 8.8, Risiko „hoch“). Anfang Januar warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) davor, dass in Deutschland viele hunderte Zimbra-Server frei zugänglich im Netz stehen und teils noch für Sicherheitslücken anfällig sind.

Zudem wurden Attacken auf eine Root-Lücke in VMware vCenter Server beobachtet (CVE-2024-37079, CVSS 9.8, Risiko „kritisch“). Es handelt sich um einen Heap-basierten Pufferüberlauf, den Angreifer durch Senden sorgsam präparierter Netzwerkpakete auslösen und in der Folge Schadcode einschleusen und ausführen können.

Die Hersteller stopfen die Sicherheitslücken mit Sicherheitsupdates. IT-Verantwortliche sollten aufgrund der beobachteten Angriffe spätestens jetzt dafür sorgen, dass die Aktualisierungen auch angewendet werden.

(dmk)