Server-Motherboards und Rechenzentrumshardware von Supermicro sind verwundbar. Nach erfolgreichen Attacken können Angreifer sich dauerhaft über eine Hintertür Zugriff verschaffen. Admins sollten ihre Instanzen zeitnah absichern.

Unvollständiger Patch

Wie aus einem Beitrag hervorgeht, sind Sicherheitsforscher von Binarly auf zwei Sicherheitslücken (CVE-2025-7937 „hoch„, CVE-2025-6198 „hoch„) gestoßen. In beiden Fällen können Angreifer Sicherheitsprüfungen des Baseboard Management Controllers (BMC) umgehen und mit Schadcode präparierte Firmwareimages installieren. Im Anschluss sind Systeme dauerhaft vollständig kompromittiert.

Supermicro listet die Schwachstellen, die betroffenen Motherboards und die Sicherheitsupdates in einer Warnmeldung auf. In dem Beitrag versichern sie, dass sie bislang keine Hinweise auf laufende Attacken entdeckt haben.

Die erste Lücke geht auf eine Schwachstelle (CVE-2025-10237 „hoch„) von Anfang dieses Jahres zurück. Wie die Sicherheitsforscher eigenen Angaben zufolge herausfanden, war der Sicherheitspatch unvollständig und sie konnten den Schutz umgehen. Die zweite Schwachstelle haben sie neu entdeckt.

Hintergründe

Aufgrund von Fehlern bei der Überprüfung von Firmwareimages ist es nach wie vor möglich, Images mit Schadcode zu versehen, ohne dass Sicherheitschecks anschlagen. Den Sicherheitsforschern zufolge stuft der BMC manipulierte Images als korrekt signiert und gültig ein und installiert sie.

Durch das erfolgreiche Ausnutzen der neuen Lücke können Angreifer zusätzlich die BMC-Sicherheitsfunktion Root of Trust (RoT) umgehen. Die prüft beim Booten, ob die Firmware legitim ist. Wie das im Detail abläuft, führen die Sicherheitsforscher in einem Beitrag aus.

(des)

Derzeit nutzen unbekannte Angreifer zwei Sicherheitslücken in Cisco Secure Firewall Adaptive Security Appliance (ASA) Software und Cisco Secure Firewall Threat Defense (FTD) Software aus. Darüber verschaffen sie sich Zugriff auf eigentlich geschützte Bereiche oder führen sogar Schadcode aus. Sicherheitsupdates sind verfügbar.

In welchem Umfang die Attacken ablaufen, ist zurzeit unklar. Um passende Patches zu finden, müssen Admins in den unterhalb dieses Beitrags verlinkten Warnmeldungen bestimmte Rahmenbedingungen in Formularfelder eingeben, sodass als Ergebnis das jeweils passende Update angezeigt wird.

Root-Attacken

Die beiden ausgenutzten Schwachstellen (CVE-2025-20333 „kritisch„, CVE-2025-20362 „mittel„) betreffen die VPN-Web-Server-Komponente von ASA und FTD. In beiden Fällen sind Attacken aus der Ferne möglich, zum Ausnutzen der kritischen Lücke müssen Angreifer aber bereits authentifiziert sein.

Verfügt ein Angreifer über gültige VPN-Zugangsdaten, kann er präparierte HTTP(S)-Anfragen an verwundbare Instanzen schicken. Im Anschluss ist die Ausführung von Schadcode mit Root-Rechten möglich. Das führt in der Regel zu einer vollständigen Kompromittierung von Systemen.

Im Fall der anderen attackierten Lücke ist keine Authentifizierung vonnöten, und Angreifer können über einen identischen Angriffsweg auf eigentlich abgeschottete URL-Endpoints zugreifen.

Weitere Sicherheitsupdates

Weiterhin haben die Entwickler noch eine weitere „kritische“ Schwachstelle (CVE-2025-20363) in ASA, FTD, IOS, ISO XE und IOS XR geschlossen. Auch hier werden HTTP-Anfragen nicht ausreichend überprüft, sodass Schadcode auf Instanzen gelangen kann.

Erst kürzlich sorgten Root-Sicherheitslücken in Ciscos Netzwerkbestriebssystem IOS und IOS XE für Schlagzeilen.

Liste nach Bedrohungsgrad absteigend sortiert:

(des)

Der IT-Dienstleister NTT Data will künftig nicht mehr mit dem Hersteller für Security-Appliances Ivanti zusammenarbeiten. Das schreibt das Unternehmen in einer internen E-Mail, die heise security auszugsweise vorliegt. Der Dienstleister geht hart mit seinem Lieferanten ins Gericht und bezeichnet dessen Geräte dank verschiedener Sicherheitslücken als „inakzeptables Risiko“.

In der Nachricht, die offenbar NTT-Data-intern versandt wurde, heißt es wörtlich: „Trotz kontinuierlicher Überwachung und Kontaktaufnahme konnten wir keine wesentliche Verbesserung der Sicherheitslage feststellen. Daher stellt die weitere Nutzung ein inakzeptables Risiko für unseren Betrieb, die Datenintegrität und das Vertrauen unserer Kunden dar“.

Unsicherheit jahrelang bekannt

Ivanti fällt immer wieder durch teilweise schwere Sicherheitslücken in seinen Security Appliances auf, zuletzt vor zwei Wochen. Im vergangenen Jahr hatte die US-Cybersicherheitsbehörde CISA gar angeordnet, dass ihr unterstellte Behörden bestimmte Ivanti-Geräte abschalten müssen. Der CEO des Unternehmens hatte dann in einem offenen Brief Besserung gelobt. Die ist jedoch offenbar nur teilweise eingetreten: Zwar hat Ivanti im Vorjahresvergleich etwa zwei Drittel weniger CVE-Nummern für Sicherheitslücken veröffentlicht. Das kann an weniger Fehlern, aber auch weniger Fehlersuche liegen. Doch auch im Jahr 2025 musste die CISA vor einer Schadsoftware warnen, die sich direkt auf den Geräten des Herstellers einnistet – dessen eigenes Sicherheitsteam übersah eine kritische Sicherheitslücke und stufte sie als normalen Programmfehler ein.

Die Sicherheitsprobleme bei Ivanti sind also bereits seit Jahren bekannt, dennoch ist die nun angeblich erfolgende Auslistung bei NTT Data ein ungewöhnlicher Schritt. Das Unternehmen will künftig, so die interne Mitteilung weiter, auf alle Ivanti-Produkte verzichten. Das gelte nicht nur für die eigenen Systeme, sondern insbesondere auch für den Weiterverkauf an Dritte. Auch Verlängerungen für bestehende Verträge sollen unterbleiben und interne Security-Spezialisten würden bei der Umstellung unterstützen, so das Memo. Die japanische NTT Data ist mit ihrer Tochterfirma in Deutschland an mehreren Standorten aktiv und bietet unter anderem Security-Dienstleistungen wie „Managed SOC“ an.

Eine offizielle Bestätigung des Unternehmens steht noch aus. Auf die E-Mail angesprochen, versprach eine Sprecherin des Unternehmens am gestrigen Mittwoch interne Klärung – sowie diese erfolgt ist, werden wir diese Meldung aktualisieren. Ivanti war kurzfristig nicht für eine Stellungnahme zu erreichen.

(cku)