Angreifer nutzen derzeit eine „kritische“ Sicherheitslücke im Endpoint-Managementsystem Quest KACE Systems Management Appliance (SMA) aus und kompromittieren öffentlich erreichbare Instanzen. Sicherheitsupdates stehen seit Mai vergangenen Jahres zum Download bereit. Offensichtlich haben diese aber noch nicht alle SMA-Admins installiert.

Kaputte Authentifizierung

Auf die Attacken weisen Sicherheitsforscher von Arctic Wolf in einem Beitrag hin. Die „kritische“ Schwachstelle (CVE-2025-32975) mit dem höchstmöglichen CVSS Score 10 von 10 betrifft einer Warnmeldung des Softwareherstellers Quest zufolge die SSO-Authentifizierung.

Aufgrund von nicht näher beschriebenen Fehlern können Angreifer die Anmeldung umgehen und als beliebiger legitimer Nutzer auf Systeme zugreifen. Im Anschluss sollen sie Instanzen mit Adminrechten komplett übernehmen können.

Systeme schützen

Wie Attacken konkret ablaufen und was Angreifer mit kompromittierten Systemen anstellen, ist bislang unklar. Unbekannt ist derzeit auch, in welchem Umfang die Angriffe ablaufen. Admins sollten sicherstellen, dass eine der abgesicherten SMA-Versionen installiert ist. Die Patches schließen noch weitere Lücken (CVE-2025-32976, CVE-2025-32977, CVE-2025-32978), die den Sicherheitsforschern zufolge bei den aktuell laufenden Angriffen aber keine Rolle spielen.

• 13.0.385
• 13.1.81
• 13.2.183
• 14.0.341 (Patch 5)
• 14.1.101 (Patch 4)

Neben der Installation der Sicherheitsupdates sollten Admins das Endpoint-Managementsystem nicht öffentlich erreichbar machen. Wenn das unabdingbar ist, muss der Zugang zwingend über etwa eine VPN-Verbindung gesichert stattfinden. Das gilt nicht nur für SMA, sondern generell.

(des)

In den Citrix-Produkten „Netscaler ADC“ (Application Delivery Controller) und „Gateway“ behob der Hersteller „Cloud Software Group“ zwei Sicherheitslücken, eine davon mit kritischer Einstufung. Die Fehler waren bei einer internen Überprüfung aufgefallen, Updates sind bereits erschienen. Citrix-Kunden sollten zügig prüfen, ob sie betroffen sind und ihre Appliances aktualisieren.

Die beiden Sicherheitslücken im Einzelnen:

• CVE-2026-3055: Ungenügende Eingabevalidierung führt zu überlangem Speicher-Lesezugriff (CVSS v4 9.3/10, kritisch)
• CVE-2026-4368: Eine Wettlaufsituation (Race Condition) kann zur Vertauschung von Nutzersitzungen führen (CVSS v4 7.7/10, hoch)

Droht CitrixBleed 3?

Details muss der geneigte Leser des Citrix-Sicherheitshinweises mit der Lupe suchen, doch gemahnen einige Details an die fatale Sicherheitslücke CitrixBleed 2 aus dem Jahr 2025. Auch diese bestand aus einem Speicherleck, das Angreifer aus der Ferne nutzen konnten, um Zugangstokens abzugreifen. In Verbindung mit der nun zusätzlich gemeldeten Race Condition könnten sie diese gezielt nutzen, um bestimmte Nutzerkonten zu übernehmen.

Admins sollten zügig auf die aktualisierten Versionen updaten:

• NetScaler ADC und NetScaler Gateway 14.1-66.59 oder neuer,
• NetScaler ADC und NetScaler Gateway 13.1-62.23 oder neuere Releases aus dem Versionsbaum 13.1,
• Für FIPS-zertifizierte Instanzen sind die Fehler in NetScaler ADC 13.1-FIPS und 13.1-NDcPP 13.1.37.262 sowie neueren Versionen von 13.1-FIPS und 13.1-NDcPP behoben.

(cku)

Nutzen Angreifer eine „kritische“ Sicherheitslücke im Authentifizierungs- und Zugriffskontroll-Framework VMware Tanzu Spring Security aus, können sie auf eigentlich geschützte Daten zugreifen. Weitere Softwareschwachstellen gefährden Spring Boot und Framework. Bislang gibt es keine Berichte zu Attacken. Sicherheitsupdates schaffen Abhilfe.

Instanzen vor möglichen Angriffen schützen

Wie aus einer Warnmeldung hervorgeht, sind von der „kritischen“ Lücke (CVE-2026-22732) in Spring Security auch nicht mehr im Support befindliche Versionen bedroht. Im Umgang mit HTTP-Headern kann es zu Fehlern kommen, sodass Angreifer unrechtmäßig auf sensible Daten zugreifen können. Dagegen sind den Entwicklern zufolge die Ausgaben 5.7.22, 5.8.24, 6.3.15, 6.4.15, 6.5.9 und 7.0.4 geschützt.

Im Kontext von Spring Boot können Angreifer unter anderem die Authentifizierung umgehen (etwa CVE-2026-22731 „hoch“). An dieser Stelle sind die Versionen 2.7.32, 3.3.18, 3.4.15, 3.5.12 und 4.0.4 repariert. Nach Attacken auf Spring Framework können Informationen leaken (CVE-2026-22737 „mittel“). Die Schwachstelle ist in den Ausgaben 5.3.47, 6.1.26, 6.2.17 und 7.0.6 geschlossen.

(des)