Angreifer können an einer Sicherheitslücke in MOVEit Transfer ansetzen, um Dateiübertragungen zu stören. Ein Update steht zum Download bereit.

Instanzen vor Attacken schützen

Die Entwickler weisen in einem Beitrag auf die Schwachstelle (CVE-2025-10932 „hoch„) hin. Sie raten zu einem zügigen Update. Bislang gibt es keine Berichte, dass Angreifer die Lücke bereits ausnutzen. Das Sicherheitsproblem betrifft konkret das AS2-Modul. Die Beschreibung der Lücke liest sich so, als können Angreifer Schadcode hochladen und so dafür sorgen, dass die Dateiübertragungssoftware nicht mehr nutzbar ist.

Davon sind die Versionen bis jeweils einschließlich 2023.0, 2023.1.15 (15.1.15), 2024.0, 2024.1.6 (16.1.6) und 2025.0.2 (17.0.2) bedroht. Die Entwickler versichern, die Lücke in den folgenden Ausgaben geschlossen zu haben:

• MOVEit Transfer 2023.1.16 (15.1.16)
• MOVEit Transfer 2024.1.7 (16.1.7)
• MOVEit Transfer 2025.0.3 (17.0.3)

Weil der Support für 2023.0 und 2024.0 ausgelaufen ist und es keine Sicherheitsupdates mehr gibt, müssen Admins auf eine noch unterstützte Version upgraden. Alternativ gibt es eine Übergangslösung: Um Systeme abzusichern, müssen Admins unter C:\MOVEitTransfer\wwwroot die Dateien AS2Rec2.ashx und AS2Receiver.aspx löschen.

Nach der Installation des Sicherheitsupdates ist noch Arbeit vonnöten: Weil der Patch den Zugriff durch eine Liste mit erlaubten IP-Adressen einschränkt, müssen Admins die jeweiligen Adressen manuell in den Einstellungen (Settings->Security Policies->Remote Access->Default Rules) eintragen. Im Onlinedienst MOVEit Cloud soll bereits eine abgesicherte Ausgabe laufen.

MOVEit sorgte Mitte 2023 für viele Schlagzeilen, weil eine attackierte kritische Lücke weltweite Auswirkungen hatte.

(des)

Eine Schwachstelle in der Netzwerk-Monitoring-Software Checkmk kann dazu führen, dass Angreifer Javascript-Code einschleusen – oder sogar unbefugt Befehle ins Betriebssystem durchreichen. Es handelt sich um eine Cross-Site-Scripting-Lücke, die die Entdecker als kritisch einordnen.

Die Sicherheitslücke beschreibt SBA-Research konkret als Stored-Cross-Site-Scripting-Schwachstelle. Sie kann auftreten, wenn Checkmk in einem verteilten Monitoring-Setup betrieben wird. In dem Fall kann jede verbundene Remote-Site Javascript-Code in das Userinterface der zentralen Site injizieren (CVE-2025-39663, CVSS 9.1, Risiko „kritisch„). Angreifer, die Kontrolle über eine verbundene Remote-Site haben, können demzufolge durch Ansicht des Status der Hosts oder Dienste der Remote-Site die Kontrolle über Web-Sessions übernehmen. Attackieren bösartige Akteure eine Admin-Session, ermöglicht das die Ausführung von Code aus dem Netz (RCE) in der zentralen Site.

Proof-of-Concept verfügbar

Die IT-Forscher zeigen in der Schwachstellenbeschreibung auch einen Proof-of-Concept (PoC), der die Lücke ausnutzt. Sie führen weiter vor, wie es bei attackierten Admin-Sitzungen dadurch zur Ausführung von Befehlen im Betriebssystem kommen kann.

Die vor Kurzem veröffentlichten Versionen 2.4.0p14 sowie 2.3.0p39 von Checkmk schließen die Sicherheitslücke. In der Sicherheitsmitteilung empfehlen die Autoren, zügig auf diese Versionen zu aktualisieren. Admins sollten die Aktualisierungen auch deshalb rasch anwenden, da Angreifer mit dem verfügbaren PoC die Schwachstelle leicht missbrauchen können. Die IT-Forscher von SBA-Research empfehlen zudem, die Option „Trust this site completely“ für alle Remote-Sites zu deaktivieren.

Erst vor kurzem hatte Checkmk aktualisierte Software herausgegeben, die eine Rechteausweitungslücke im Windows-Agent schloss. Mit einem CVSS-Wert von 8.8 galt sie als hochriskant und schrammte nur knapp am kritschen Status vorbei.

(dmk)

Dem chinesischen Hersteller TP-Link droht in den USA ein Verkaufsverbot seiner Router. Als Grund wird eine von den Geräten ausgehende Sicherheitsgefahr genannt. Momentan ist aber unklar, ob das Weiße Haus angesichts der laut Aussage von US-Präsident Donald Trump positiv verlaufenen Handelsgespräche mit China mit einem Verbot eine neue Auseinandersetzung riskieren möchte.

Mehr als ein halbes Dutzend US-Bundesbehörden unterstützen einen Vorschlag zum Verkaufsverbot der meistverkauften Heimrouter in den Vereinigten Staaten. Wie die Washington Post berichtet, begründen die Behörden dies mit Sicherheitsrisiken durch die Verbindungen des chinesischen Herstellers TP-Link nach Festlandchina. Das US-Handelsministerium (Commerce Department) nahm eine behördenübergreifende Risikobewertung vor. Diese kam zu dem Schluss, dass ein Verbot aus Gründen der nationalen Sicherheit gerechtfertigt sei.

TP-Link dominiert den US-Markt für Router in Privathaushalten und kleinen Unternehmen mit einem geschätzten Marktanteil von 50 Prozent. Das Unternehmen selbst bezifferte seinen Marktanteil im Frühjahr nur mit einem Drittel.

Die Sicherheitsbedenken erstrecken sich über mehrere Bereiche: TP-Link hat seinen Hauptsitz in Shenzhen, China. Damit unterliegt das Unternehmen chinesischen Gesetzen zur nationalen Sicherheit, die Unternehmen zur Zusammenarbeit mit Geheimdiensten verpflichten können. Zudem wurden in der Vergangenheit wiederholt Sicherheitslücken in TP-Link-Produkten entdeckt. Das Unternehmen wird beschuldigt, nicht ausreichend auf gemeldete Schwachstellen zu reagieren.

Besonders problematisch sehen US-Sicherheitsbehörden, dass TP-Link-Router häufig in kritischer Infrastruktur eingesetzt werden. Die Geräte finden sich nicht nur in Millionen Privathaushalten, sondern auch in kleinen Unternehmen, Regierungsbüros und anderen sensiblen Bereichen. Ein koordinierter Angriff über kompromittierte Router könnte erheblichen Schaden anrichten.

TP-Link weist Vorwürfe zurück

Konkrete Beweise für aktive Überwachung oder eingebaute Hintertüren in TP-Link-Geräten wurden in den öffentlich verfügbaren Informationen nicht genannt. Die Risikobewertung basiert vielmehr auf dem Potenzial für Missbrauch aufgrund der rechtlichen und geschäftlichen Verbindungen nach China. Das US-Handelsministerium, das Verteidigungsministerium, das Justizministerium und weitere Behörden waren an der Bewertung beteiligt.

TP-Link reagierte auf die Vorwürfe laut Washington Post mit einer Stellungnahme, in der das Unternehmen betonte, dass es strikt an allen geltenden Gesetzen und Vorschriften der Länder festhalte, in denen es tätig sei. Man arbeite mit US-Behörden zusammen und nehme Sicherheit „sehr ernst“.

Fall erinnert an ZTE und Huawei

Das geplante Verbot wäre nicht das erste Vorgehen der US-Behörden gegen chinesische Hersteller. Bereits 2022 wurden Huawei und ZTE faktisch vom US-Markt ausgeschlossen. Die Federal Communications Commission (FCC) stufte beide Unternehmen als „unzulässige Bedrohung“ für die nationale Sicherheit ein. Zudem verschärften die USA ihre Exportkontrollen gegen chinesische Unternehmen weiter, indem auch Tochtergesellschaften von Firmen nun automatisch Handelsbeschränkungen unterliegen.

Bestehende TP-Link-Geräte wären von einem Verkaufsverbot zunächst nicht betroffen, könnten aber mittelfristig Probleme mit Software-Updates und Support bekommen. Das Handelsministerium könnte auch Beschränkungen für Firmware-Updates verhängen.

In Europa und Deutschland sind bisher keine vergleichbaren Verbotspläne gegen TP-Link bekannt geworden.

(mki)