In der Nacht zum Mittwoch dieser Woche hat Fortinet Updates unter anderem für eine kritische Sicherheitslücke in FortiSIEM veröffentlicht. Inzwischen ist ein Proof-of-Concept-Exploit öffentlich verfügbar. Das vereinfacht es bösartigen Akteuren, die Sicherheitslücke zu missbrauchen. Angriffe darauf werden daher deutlich wahrscheinlicher. Admins sollten spätestens jetzt die Aktualisierungen anwenden.

Es geht um die Sicherheitslücke mit dem Schwachstelleneintrag CVE-2025-64155 (CVSS 9.4, Risiko „kritisch“). Durch sorgsam präparierte TCP-Anfragen können Angreifer aus dem Netz Schadcode einschleusen, der zur Ausführung gelangt. Ursächlich ist eine unzureichende Filterung von Elementen, die in Betriebssystembefehlen verwendet werden. Die Fehler korrigieren die FortiSIEM-Versionen 7.4.1, 7.3.5, 7.2.7 und 7.1.9; ältere Fassungen müssen zum Stopfen des Sicherheitslecks auf diese Stände migriert werden.

Die Schwachstelle wurde von IT-Forschern des Unternehmens horizon3.ai entdeckt. Diese haben zudem einen Proof-of-Concept-Exploit entwickelt und auf Github öffentlich bereitgestellt. Ihr Bericht erklärt die Sicherheitslücke detailliert. Zudem haben die IT-Forscher beispielhaft Anzeichen für Kompromittierungen (Indicators of Compromise, IOCs) aufgeführt.

Angriffsanzeichen in Log-Datei

Demzufolge landen Nachrichteninhalte des verwundbaren phMonitor-Dienstes in Protokolldateien im Ordner „/opt/phoenix/log/phoenix.logs“. In diesen Log-Dateien müssen Admins nach Einträgen mit „PHL_ERROR“ Ausschau halten. Dort finden sie die URL, von der Schadcode heruntergeladen, und die Information, in welche Datei auf dem System er dann geschrieben wurde.

Die horizon3.ai-Forscher geben an, dass sie die nun geschlossene Sicherheitslücke im Rahmen der Analyse der FortiSIEM-Sicherheitslücke CVE-2025-25256 aus dem vergangenen August entdeckt haben. Auch da stand Exploit-Code für das Sicherheitsleck bereit.

(dmk)

Die Linux-Distribution zum Mitnehmen auf dem USB-Stick und zum anonymen Surfen im Netz auf fremden Rechnern, Tails, ist in Version 7.4 erschienen. Die Software ist darin wieder auf aktuellem Stand, außerdem korrigieren die Programmierer kleinere Ärgernisse, die auftreten konnten.

In der Versionsankündigung zu Tails 7.4 heben die Entwickler besonders hervor, dass sich die Einstellungen für Sprache, Keyboard-Layout und Zahlenformate im Willkommensbildschirm von Tails nun auch auf USB-Sticks speichern lassen. Beim nächsten Start werden sie automatisch angewendet. Sofern Interessierte die Option aktivieren, speichert Tails diese Informationen unverschlüsselt auf dem USB-Stick. Das soll insbesondere für die Eingabe der Passphrase zum Entsperren des persistenten Speichers nützlich sein und das vereinfachen.

Tails: Aktualisierte Softwarepakete

Die mitgelieferte Software haben die Tails-Maintainer wie gewohnt auf aktuelle Stände gebracht. Der Tor-Browser kommt in Version 15.0.4 mit, der Mailer Thunderbird hingegen in Fassung 140.6.0. Den Linux-Kernel hieven die Entwickler auf Version 6.12.63.

Kleinere Problemchen haben sie zudem ausgebessert. In Kleopatra klappt das Öffnen von .gpg-verschlüsselten Dateien mittels Doppelklick oder „Öffnen mit Kleopatra“-Verknüpfung wieder. Beim Entsperren von VeraCrypt-verschlüsselten Laufwerken führt eine falsche Passworteingabe nicht mehr zum Absturz des Desktops. Das 24-Stunden-Zeitformat soll nun konsistent in der oberen Navigationsleiste und auf dem Sperrbildschirm genutzt werden.

Die Unterstützung für Bittorrent-Downloads hat das Tails-Projekt jetzt aufgegeben. Es ist eine Verschiebung von Bittorrent v1 zu v2 im Gange, und dabei können die bisherigen v1-Dateien zu Sicherheitsbedenken führen. Worin das Problem genau liegt, erörtert das Tails-Team nicht. Die Tails-Macher verweisen jedoch darauf, dass eine Migration zu Bittorrent v2 die Migrations- und Wartungskosten nicht rechtfertigt und der direkte Download von einem der offiziellen Download-Mirrors üblicherweise schneller ist. Es sind weiterhin Versionen zum Verfrachten auf USB-Stick und ISO-Abbilder etwa zum DVD-Brennen verfügbar.

Im vergangenen Dezember haben die Entwickler die Version 7.3.1 der anonymisierenden Linux-Distribution Tails herausgegeben. Dabei haben sie Version 7.3 übersprungen und eine Sicherheitslücke in einer Softwarebibliothek geschlossen, bevor die Fassung veröffentlicht wurde. Ansonsten hatte das Release im Wesentlichen die Kernkomponenten auf aktuellen, sicheren Softwarestand gebracht.

(dmk)

Der Netzwerkausrüster Cisco hat endlich einen Sicherheitspatch für Secure Email Gateway und Secure Email und Web Manager veröffentlicht, der eine seit Dezember vergangenen Jahres ausgenutzte Lücke schließt. Sind Attacken erfolgreich, verfügen Angreifer über Root-Rechte und übernehmen die volle Kontrolle über Instanzen.

Hintergründe

Die Sicherheitslücke (CVE-2025-20393) gilt als „kritisch“ und sie ist mit dem höchstmöglichen CVSS Score 10 von 10 eingestuft. Cisco gibt an, bereits am 10. Dezember 2025 eine Angriffskampagne beobachtet zu haben. Zu diesem Zeitpunkt gab es noch kein Sicherheitsupdate und Admins mussten ihre Netze mittels einer Übergangslösung schützen. Nun hat der Netzwerkausrüster seine Warnmeldung mit Details zur Schwachstelle und Hinweisen auf gegen die Attacken abgesicherte Versionen ergänzt.

Die Lücke betrifft AsyncOS für Cisco Secure Email Gateway und Secure Email und Web Manager. In der überarbeiteten Warnmeldung sprechen die Entwickler von einer begrenzten Anzahl von Geräten, bei denen bestimmte Ports öffentlich erreichbar sind. Einem Bericht der Sicherheitsforscher von Cisco Talos zufolge gehen die Attacken auf das Konto einer chinesischen APT-Gruppe. In welchem Umfang die Angriffe konkret ablaufen, ist derzeit unklar. Der Netzwerkausrüster gibt an, dass sich Angreifer auf kompromittierten Systemen eine Hintertür für weitere Zugriffe einrichten.

Instanzen jetzt absichern

Um dem vorzubeugen, müssen Admins umgehend eine der folgenden gegen die geschilderte Attacke abgesicherte AsyncOS-Ausgabe installieren:

15.0.5-016
15.5.4-012
16.0.4-016

• Secure Email und Web Manager:

15.0.2-007
15.5.4-007
16.0.4-010

(des)