Cisco Identity Services Engine (ISE) und ISE Passive Identity Connector (ISE-PIC) sind verwundbar. Weil Exploitcode in Umlauf ist, können Attacken bevorstehen. Doch wenn Angreifer Systeme attackieren wollen, müssen sie eine Hürde überwinden. Sicherheitsupdates stehen zum Download bereit.

Softwareschwachstelle

Aus einer Warnmeldung geht hervor, dass Ciscos IT-Zugriffsverwaltungslösung über eine Sicherheitslücke (CVE-2026-20029) mit dem Bedrohungsgrad „mittel“ angreifbar ist. Attacken sind aus der Ferne möglich, aber Angreifer müssen bereits über Administratorrechte verfügen. Das ist natürlich eine hohe Hürde, der verfügbare Exploitcode verschärft die Situation aber.

Sind die Voraussetzungen erfüllt, können Angreifer am Web-Management-Interface von verwundbaren Instanzen ansetzen. Dort können sie präparierte XML-Dateien hochladen. „Diese Sicherheitslücke ist auf eine fehlerhafte Verarbeitung von XML zurückzuführen, das von der webbasierten Verwaltungsschnittstelle von Cisco ISE und Cisco ISE-PIC verarbeitet wird“, erklärt Cisco. Im Anschluss können die bösartigen Akteure im zugrundeliegenden System Daten einsehen, die eigentlich sogar für Admins abgeschottet sind. Was Angreifer konkret mit diesen Daten anstellen können, ist derzeit nicht bekannt. Auf die Lücke sind Sicherheitsforscher von Trend Micro Zero Day Initiative gestoßen.

Noch keine Angriffe beobachtet

Cisco weist auf Exploitcode hin, dem Netzwerkausrüster zufolge gibt es aber derzeit noch keine Attacken. Admins sollten deshalb jedoch nicht zu lange warten und eine der gegen die geschilderte Attacke abgesicherte Version installieren. Für ISE und ISE-PIC vor Ausgabe 3.2 gibt es keine Sicherheitsupdates. Hier ist ein Upgrade auf eine noch unterstützte Version fällig. Version 3.5 ist nicht verwundbar. Abgesichert sind die Ausgaben 3.2 Patch 8, 3.3 Patch 8 und 3.4 Patch 4.

(des)

Die Groupware Zimbra weist wie jede andere Software regelmäßig Sicherheitslücken auf, die durch aktualisierte Pakete geschlossen werden. So wurde erst diese Woche eine hochriskante Cross-Site-Scripting-Schwachstelle darin bekannt. Das CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI) bemängelt jedoch, dass ein großer Anteil der rund 1500 in Deutschland stehenden Zimbra-Server noch einen alten, verwundbaren Softwarestand aufweist.

Die oberste IT-Sicherheitsbehörde Deutschlands schreibt dort: „Es wird – auch von uns – immer wieder auf Exchange-Server geschimpft, die noch mit veralteten und verwundbaren Versionen laufen“. Bei Alternativen wie Zimbra sehe es besser, aber auch nicht rosig aus. „Von den uns bekannten ca. 1500 Zimbra-Servern in Deutschland laufen aktuell 40% mit einer nicht mehr vom Hersteller unterstützten Version (10.0 und älter) oder sind noch für kritische Schwachstellen wie CVE-2025-68645 verwundbar.“

Zimbra: Aktuelle hochriskante Sicherheitslücken

Bei der genannten Schwachstelle handelt es sich um eine File-Inclusion-Lücke, bei der Angreifer aus dem Netz ohne Anmeldung sorgsam präparierte Anfragen an den API-Endpunkt „/h/rest“ richten und dadurch das Einbinden beliebiger Dateien aus dem Webroot-Verzeichnis erreichen können (CVE-2025-68645, CVSS 8.8, Risiko „hoch“). Betroffen sind Zimbra Collaboration (ZCS) 10.0 und 10.1. Erst in dieser Woche wurde zudem eine Stored-Cross-Site-Scripting-Lücke in der Classic-UI bekannt, die durch die „@import“-Direktive in HTML-E-Mails missbrauchbar ist (CVE-2025-66376, CVSS 7.2, Risiko „hoch“).

Auch diese Lücken betreffen Zimbra Collaboration (ZCS) 10.0 und 10.1, wobei die Zimbra-Versionen 10.0.18 und 10.1.13 aus dem November den sicherheitsrelevanten Fehler ausbessern. Auf diesem Stand sind offenbar lediglich 60 Prozent der Zimbra-Server, wie das BSI nun anmerkt. Admins sollten nicht lange fackeln, sondern zügig auf die jüngsten Versionen aktualisieren.

Über veraltete Exchange-Server beschwert sich das BSI regelmäßig seit vielen Jahren. Zuletzt hat die Behörde Ende Oktober davor gewarnt, dass noch mehr als 30.000 veraltete Exchange-Server mit nicht mehr unterstützten Versionen wie Exchange 2016 und 2019 in Deutschland im Netz erreichbar sind.

(dmk)

In Episode 150 des c’t-Datenschutz-Podcasts geht es um IT-Forensik, insbesondere die digitale Spurensicherung nach Cyberangriffen und bei Verdachtsfällen im Unternehmen. Redakteur Holger Bleich und heise-Verlagsjustiziar Joerg Heidrich haben dazu Joanna Lang-Recht eingeladen. Sie leitet den Bereich Forensik bei der Intersoft Consulting Services AG und bringt einen ungewöhnlichen Werdegang mit: Nach einem Germanistikstudium wechselte sie zur IT-Security und erwarb zahlreiche Zertifizierungen im Bereich Forensik.

Lang-Recht beschreibt IT-Forensik als klassische Spurensuche, nur eben komplett digital. Ermittelt wird auf Laptops, Smartphones, Servern oder in ganzen IT-Landschaften. Ziel sei es, sauber zu rekonstruieren: Wer ist eingedrungen, welche Daten sind betroffen und wie groß ist der Schaden. Ihr Team identifiziert Spuren, sichert sie möglichst gerichtsfest und wertet sie neutral aus.

Schwerpunkt Ransomware

Den größten Teil ihrer Einsätze machen laut Lang-Recht Ransomware-Angriffe aus. Mehr als die Hälfte aller Vorfälle drehen sich um erpresste Unternehmen, deren Systeme verschlüsselt wurden. Feiertage gelten dabei als Hochrisikophase: IT-Abteilungen sind dünn besetzt, Angriffe werden später bemerkt, Schäden wachsen.

Ein heikles Thema ist das Zahlen von Lösegeld. Viele Unternehmen verhandeln tatsächlich mit den Erpressern, oft aus purer Not, weil Backups fehlen oder unbrauchbar sind. Lang-Recht schildert, dass diese kriminellen Gruppen professionell auftreten: mit eigenen Chatportalen, Support-Strukturen und einer Art Notrufsystem. Wer zahlt, erhält in der Regel auch funktionierende Entschlüsselungsschlüssel, sonst würde das kriminelle Geschäftsmodell zusammenbrechen.

Datenschutz im Blick

Neben externen Angriffen bearbeiten Forensik-Teams auch interne Fälle in Unternehmen: Verdacht auf Datendiebstahl durch Mitarbeitende, Wirtschaftsspionage oder Arbeitszeitbetrug. Hier sei besondere Vorsicht gefragt, erzählt Lang-Recht. Untersuchungen müssen eng am konkreten Verdacht bleiben, um nicht unnötig in private Daten einzudringen. Bring-your-own-Device-Modelle erschweren solche Ermittlungen erheblich und machen sie manchmal sogar unmöglich.

Im Spannungsfeld zwischen Aufklärung und Datenschutz betont Lang-Recht die Zusammenarbeit mit den Datenschutz-Aufsichtsbehörden der Länder. Meldungen zu Sicherheitsvorfällen laufen demnach meist pragmatisch ab, Nachfragen bleiben sachlich. Betroffenenrechte spielen laut Lang-Recht bei der Spurensuche eine Rolle, bremsen die Ermittlungen aber selten, solange die Datensicherung gut begründet ist. Vor jeder Analyse prüfe das Team, ob ein berechtigtes Interesse gemäß DSGVO vorliege und ob Privatnutzung der Geräte erlaubt war. Bei unklaren Situationen lehne man Aufträge ab.

Episode 150:

Hier geht es zu allen bisherigen Folgen:

(hob)