Ein Sicherheitsforscher gibt an, bereits Ende 2021 83 Sicherheitslücken in der Druckerautomatisierungssoftware Vasion Print (ehemals PrinterLogic) an den Softwarehersteller gemeldet zu haben. Seitdem gab es ihm zufolge einen stetigen Kontakt, aber ob mittlerweile alle Sicherheitsprobleme gelöst sind, ist kaum durchschaubar.

Nun listen das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das National Institute of Standards and Technology (NIST) einige der Schwachstellen auf. Eine Antwort zur Anfrage von heise security an den Softwarehersteller zum Status quo der Sicherheitsprobleme steht noch aus.

Hintergründe

In einem im April dieses Jahres veröffentlichten Beitrag führt der Sicherheitsforscher den zeitlichen Ablauf und detaillierte Informationen zu den Sicherheitslücken auf. Daraus geht unter anderem hervor, dass er den Softwarehersteller erstmals im November 2021 kontaktiert hat. Seitdem stand er eigenen Angaben zufolge bis Frühling 2025 im stetigen Kontakt, und man habe sich über die Sicherheitsprobleme ausgetauscht. Von den Softwareschwachstellen sind die Linux-, macOS- und Windows-Clients betroffen.

Wie aus dem Beitrag hervorgeht, wurden für einige Lücken noch keine CVE-Nummern vergeben. Bei anderen steht auch noch die Einstufung des Bedrohungsgrads aus. Für andere Lücken sind wiederum ausführlichere Informationen vorhanden.

Alle Sicherheitsprobleme gelöst?

So können Angreifer unter Linux oder macOS an einer Schwachstelle (CVE-2025-34192 „kritisch“) ansetzen und eine schon seit 2019 nicht mehr im Support befindliche Kryptografie-Komponente in Vasion Print Virtual Appliance Host ausnutzen, um TLS-Verbindungen zu schwächen. Dagegen sollen die Versionen ab 20.0.2140 und 22.0.893 gerüstet sein.

Durch das erfolgreiche Ausnutzen einer weiteren Lücke (CVE-2025-34193 „hoch“) können sich Angreifer Systemrechte verschaffen. An dieser Stelle bleibt unklar, ob es bereits ein Sicherheitsupdate gibt. Aus dem Sicherheitsbereich der Vasion-Website zur SaaS-Version und zu Virtual Appliance Host ist nicht konkret ersichtlich, ob mittlerweile alle vom Sicherheitsforscher gemeldeten Lücken geschlossen wurden.

Er gibt an, dass der Softwareanbieter im Zuge der Kommunikation manche Schwachstellen nicht als Gefahr anerkannt und die Lösungen dafür als Verbesserungsvorschlag und nicht als Sicherheitspatch an die Entwicklungsabteilung weitergegeben hat.

Weil der Patchstatus aller vom Sicherheitsforscher genannten Probleme derzeit noch unklar ist, sollten Admins sicherstellen, dass sie die aktuelle Ausgabe installiert haben. Wenn Vasion sich mit einer Stellungnahme meldet, aktualisieren wir diese Meldung.

(des)

Der britische Automobilhersteller Jaguar Land Rover (JLR) kann die Produktion auch fast einen Monat nach einem IT-Vorfall nicht wieder aufnehmen, das ist jetzt für den 1. Oktober geplant. Eigentlich sollten die Werke am 24. September wieder hochgefahren werden, aber der Konzern benötigt mehr Zeit für den stufenweisen Neustart des Betriebs und die internen Untersuchungen, heißt es in einer Stellungnahme.

Die BBC ergänzt, dass die wochenlange Produktionsunterbrechung zu einem immer größeren Problem für Zulieferbetriebe wird und das Risiko steigt, dass einige die Folgen finanziell nicht stemmen können. Ein Wirtschaftsexperte hat dem Nachrichtensender bereits erklärt, dass JLR selbst schon umgerechnet 140 Millionen an Gewinn und fast zwei Milliarden Euro an Umsatz verloren hat.

„Hilferufe“ von Zulieferbetrieben

JLR hat den „Cybervorfall“ Anfang September publik gemacht und erklärt, dass die eigenen Systeme „proaktiv heruntergefahren“ wurden. Anfangs hieß es, dass es keine Hinweise darauf gebe, dass Kundendaten gestohlen wurden, „aber unser Verkauf und die Produktion wurden erheblich gestört.“ Tage später erklärte der zum indischen Tata-Konzern gehörende Automobilhersteller, dass doch „einige Daten“ betroffen sein dürften, die Behörden seien informiert. Jetzt versichert JLR, dass man um die Schwierigkeiten wisse, die die anhaltende Produktionsunterbrechung mit sich bringt, man konzentriere sich darauf, die Kundschaft, die Zulieferbetriebe und die Vertriebsstellen zu unterstützen. Von dort kommen laut BBC immer mehr Hilferufe, teilweise könnten Angestellte nicht mehr bezahlt werden.

Zu dem IT-Angriff hat sich schon unmittelbar nach Bekanntwerden die Bande Scattered Lapsus$ Hunters bekannt und als Beweis Screenshots veröffentlicht, die darauf hindeuten, dass JLR erpresst wird. Die Gruppe will den Eindruck erwecken, dass sie sich aus versprengten Mitgliedern dreier krimineller Gruppen zusammensetzt, die vor allem aus jungen Briten bestanden. Dazu gehört Scattered Spider, die im April und Mai die Einzelhändler M&S (Marks & Spencer), Co-op und Harrods angegriffen hat. Lapsus$ wiederum ist seit Jahren bekannt und hat beispielsweise Rockstar Games, das brasilianische Gesundheitsministerium, Nvidia, Samsung, Ubisoft, T-Mobile, Microsoft, Uber und die British Telecom angegriffen. Beide Gruppen sind vorwiegend mittels Social Engineering in Firmennetze eingedrungen.

(mho)