Der Schweizer Hersteller für Sicherheits- und Schließsysteme dormakaba hat mehrere, teils kritische Sicherheitslücken in seinen Produkten behoben. Den Fixes war ein jahrelanger Melde- und Verbesserungsprozess vorangegangen. Angreifer mit Netzwerkzugriff auf die dormakaba-Verwaltungsserver in Unternehmen konnten unter anderem hartkodierte Zugangsdaten und einfach zugängliche Lötstellen missbrauchen.

Manches Mal ist eine „Responsible Disclosure“ an einen Hersteller schnell und unproblematisch: Problemmeldung und Behebung durch den Hersteller liegen im Idealfall nur Stunden oder Tage auseinander. Doch bisweilen dauert es länger, so bei dormakaba. Bereits im April 2024, also vor fast zwei Jahren, nahm der Sicherheitsdienstleister SEC Consult mit dem Unternehmen Kontakt auf und meldete zwanzig, teils kritische Sicherheitslücken. Nachdem der Schweizer Konzern zwei Wochen später die internen Zuständigkeiten geklärt hatte, begann ein anderthalbjähriger Meeting- und Konferenzmarathon, an dessen Ende nun die Veröffentlichung aller Lücken steht.

Die Sicherheitsprobleme beziehen sich hauptsächlich auf die Produkte Kaba exos 3000 und den dormakaba Zutrittsmanager („Access Manager“), professionelle Lösungen zur Zutrittssicherung für Unternehmen. Diese bestehen nicht nur aus Soft-, sondern auch aus Hardware: So ist der Zutrittsmanager ein schwarzes Kästchen, das etwa im Schaltschrank installiert wird. Kaba exos 3000 kommt überall dort zum Einsatz, wo sich Schließberechtigungen häufig ändern, etwa durch regelmäßige Besucher.

Viele Sicherheitslücken, sagte ein Vertreter der Melder von SEC Consult heise security, seien bereits vor Veröffentlichung des Sammeleintrags im Unternehmensblog behoben gewesen. Ein dormakaba-Pressesprecher schränkt weiter ein: Um die Schwachstellen ausnutzen zu können, benötige ein Angreifer vorherigen Zugriff auf das Netzwerk des Kunden. „Insgesamt sind uns keine Fälle bekannt, bei denen die identifizierten Schwachstellen ausgenutzt wurden“, sagte der Hersteller.

Dennoch liest sich die Liste der Sicherheitslücken beunruhigend: Von hartkodierten, schwachen Passwörtern ist da die Rede, von ungesicherten APIs und RPC-Diensten (Application Programming Interface bzw. Remote Procedure Call) und einer lokalen Privilegienausweitung. Einige der Fehler ermöglichten „Schlösserknacken, ohne die Hände zu benutzen“ – diesen Titel wählten die Finder für ihren langen Blogartikel mit Details zu allen Lücken.

Fast zwei Dutzend Lücken

Folgende Lücken mit hohem und kritischem Schweregrad in Kaba exos 9300 sind behoben:

• CVE-2025-59090 (CVSS 9,3 „kritisch“): Ungesichertes SOAP API, behoben in Versionen >= 4.4.0,
• CVE-2025-59091 (CVSS 9,3 „kritisch“): Hartkodierte Zugangsdaten zu vier Benutzerkonten, behoben in Versionen >= 4.4.1,
• CVE-2025-59092 (CVSS 8,7 „hoch“): RPC-Dienst ohne Authentifizierung, behoben ab Version 4.4.0,
• CVE-2025-59093 (CVSS 8,5 „hoch“): Unsichere Passworterstellung mit zu wenig Zufall, manuelle Aktualisierung der Passwörter notwendig,
• CVE-2025-59094 (CVSS 8,4 „hoch“): Lokale Privilegienausweitung, nur manuell zu beheben.

Im „Access Manager 92xx k5/k7“ gab es ebenfalls einige Funde mit hohem oder kritischem Schweregrad. Teilweise sind sie nicht oder nur durch manuelle Intervention behebbar – Details verrät der Blogartikel von SEC Consult.

• CVE-2025-59097 (CVSS 9,3 „kritisch“): Ungesichertes SOAP API,
• CVE-2025-59103 (CVSS 9,2 „kritisch“): Hartkodierte und mangelhafte Passwörter beim SSH-Dienst,
• CVE-2025-59108 (CVSS 9,2 „kritisch“): Das Standardpasswort des Webinterface lautet „admin“,
• CVS-2025-59099 (CVSS 8,8 „hoch“): Pfadmanipulation erlaubt den Download beliebiger Dateien,
• CVE-2025-59098 (CVSS 8,7 „hoch“): Eine Debugging-Funktion plaudert sensible Daten aus,
• CVE-2025-59107 (CVSS 8,5 „hoch“): Statisches Passwort für verschlüsselte Firmware-ZIPs,
• CVE-2025-59104 (CVSS 7,0 „hoch“): Angreifer mit Zugriff auf das Gerät können per Lötverbindung auf den unverschlüsselten Bootloader zugreifen,
• CVE-2025-59105 (CVSS 7,0 „hoch“): Flashspeicher der Geräte ist nicht verschlüsselt und könnte nach dem Auslöten ausgelesen werden.

Nach Behebung aller Lücken bleibt für die Sicherheitsexperten von SEC Consult eine Schwachstellenmeldung der besonderen Art. „Derartiger Research ist selten, weil diese Systeme für unabhängige Tester fast nie realistisch zugänglich sind, und genau deshalb war es besonders spannend, sie ganzheitlich überprüfen zu können, von Web-Komponenten über Infrastruktur bis hin zu Reverse Engineering und das Zerlegen von Hardware“, beschrieb Sicherheitsforscher Werner Schober.

Und ein dormakaba-Sprecher erläuterte, warum man sich fast zwei Jahre Zeit für Bugfixes ließ: „Wir haben über die Zeit schrittweise via Standard-Releases die Schwachstellen geschlossen; dazu gehören auch Feldtests mit ausgewählten Kunden.“

(cku)

Nordkoreanische Cyberkriminelle haben es auf Entwickler mit Blockchain-Zugriff abgesehen. Mit Phishing-Attacken wollen sie diese zur Ausführung von Malware verleiten. Dabei soll Künstliche Intelligenz an der Programmierung der PowerShell-Backdoor mitgewirkt haben.

Das meldet das IT-Sicherheitsunternehmen Checkpoint in einer Analyse. Die kriminelle Vereinigung „Konni“ soll aus Nordkorea stammen oder mit dem Land verbandelt sein. Die Angriffsziele haben die Täter jedoch über ihren sonst üblichen Tätigkeitsbereich hinaus ausgeweitet – ursprünglich konzentrierten sie sich auf Südkorea, nun aber auf die ganze Asien-Pazifik-Region, einschließlich Australien, Indien und Japan.

Sie nehmen dabei Entwickler und Programmier-Teams in den Blick, insbesondere solche, die Zugriff auf mit Blockchain zusammenhängende Ressourcen und Infrastruktur haben. Die Köder-Dokumente sehen aus wie legitime Projektmaterialien und umfassen technische Details wie Architektur, Technik-Stacks und Entwicklungszeitpläne. Daraus leitet Checkpoint ab, dass die Angreifer die Entwicklungsumgebungen unterwandern und dadurch Zugang zu sensiblen Krypto-Assets sowie Infrastruktur, API-Zugangsdaten, Zugänge zu Wallets und schließlich Krypto-Besitztümer ergattern wollen.

KI zur Programmierung genutzt

Es gibt der Analyse zufolge starke Hinweise darauf, dass die Kriminellen sich von Künstlicher Intelligenz haben helfen lassen. Das PowerShell-Script mit der Backdoor weist demnach eine unüblich polierte Struktur auf. Sie fängt mit menschenlesbarer Dokumentation an, die die Script-Funktion erklärt: „This script ensures that only one instance of this UUID-based project runs at a time. It sends system info via HTTP GET every 13 minutes.“ Diese Ausführlichkeit der Dokumentation ist äußerst unüblich für PowerShell-Schadcode von APTs. Der Code ist zudem in klar definierte logische Sektionen eingeteilt, die jeweils eine spezifische Aufgabe erledigen, die eher modernen Konventionen der Softwareentwicklung entsprechen als spontaner Malware-Entwicklung.

Diese Indizien reichen noch nicht zur gesicherten KI-Zuordnung, jedoch soll ein Kommentar im Programmcode schließlich verräterisch sein: # <– your permanent project UUID. Diese Formulierung ist den IT-Forschern zufolge höchst charakteristisch für LLM-generierten Code, in dem das Modell den Menschen explizit anleitet, wie ein Platzhalterwert angepasst werden muss.

Im Artikel erklären die Checkpoint-Analysten noch detaillierter die Funktionen der Skripte und die Infektionsketten. Außerdem liefern sie eine Liste von Hinweisen auf eine Kompromittierung (Indicators of Compromise, IOCs).

(dmk)

Die US-amerikanische IT-Sicherheitsbehörde CISA warnt vor Angriffen auf fünf Produkte. Die Schwachstellen sind offenbar bereits einige Zeit bekannt. Admins sollten unverzüglich Aktualisierungen vornehmen.

Etwa auf Vite Vitejs, Versa Concerto, Prettier und Zimbra konnten in freier Wildbahn Angriffe beobachtet werden, vor denen die CISA in einer Alarmmeldung warnt. Vitejs erlaubt offenbar den Zugriff auf eigentlich blockierte Ressourcen und kann dadurch geschützte Informationen preisgeben (CVE-2025-31125, CVSS 5.3, Risiko „mittel“). In Versa Concerto können Angreifer die Authentifizierung umgehen (CVE-2025-34026, CVSS 9.2, Risiko „kritisch“). „eslint-config-prettier“ hat in einigen Versionen bösartigen Code für einen Lieferkettenangriff enthalten (CVE-2025-54313, CVSS 7.5, Risiko „hoch“).

Angriffe auf weitverbreitete Software

Angreifer attackieren demnach auch eine Sicherheitslücke in Zimbra. Es handelt sich um eine File-Inclusion-Lücke, bei der Angreifer aus dem Netz ohne Anmeldung sorgsam präparierte Anfragen an den API-Endpunkt „/h/rest“ richten und dadurch das Einbinden beliebiger Dateien aus dem Webroot-Verzeichnis erreichen können (CVE-2025-68645, CVSS 8.8, Risiko „hoch“). Anfang Januar warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) davor, dass in Deutschland viele hunderte Zimbra-Server frei zugänglich im Netz stehen und teils noch für Sicherheitslücken anfällig sind.

Zudem wurden Attacken auf eine Root-Lücke in VMware vCenter Server beobachtet (CVE-2024-37079, CVSS 9.8, Risiko „kritisch“). Es handelt sich um einen Heap-basierten Pufferüberlauf, den Angreifer durch Senden sorgsam präparierter Netzwerkpakete auslösen und in der Folge Schadcode einschleusen und ausführen können.

Die Hersteller stopfen die Sicherheitslücken mit Sicherheitsupdates. IT-Verantwortliche sollten aufgrund der beobachteten Angriffe spätestens jetzt dafür sorgen, dass die Aktualisierungen auch angewendet werden.

(dmk)