Solarwinds hat eine aktualisierte Version der Dateitransfer-Software Serv-U veröffentlicht. Darin schließen die Entwickler vier als kritisches Risiko eingestufte Sicherheitslücken. IT-Verantwortliche sollten ihre Instanzen umgehend aktualisieren.

In den Release-Notes zu Serv-U 15.5.4 beschreiben Programmierer die ausgebesserten Schwachstellen. Aufgrund „kaputter Zugriffskontrollen“ können Angreifer einen System-Admin-User anlegen und beliebigen Code als „root“ über Domain-Admin- oder Gruppen-Admin-Rechte ausführen (CVE-2025-40538, CVSS 9.1, Risiko „kritisch“). Eine Schwachstelle aufgrund einer sogenannten Type-Confusion können Angreifer ebenfalls missbrauchen, um nativen Code aus dem Netz als „root“ auszuführen (CVE-2025-40539, CVE-2025-40540, beide CVSS 9.1, Risiko „kritisch“). Bei diesem Schwachstellentyp passen tatsächlich übergebene Datentypen nicht mit den erwarteten überein, wodurch der Inhalt etwa Speicherbereiche überschreiben kann.

Vier kritische Lücken in Serv-U

Die vierte Schwachstelle ist vom Typ „unsichere direkte Objektreferenz“ (Insecure Direct Object Reference IDOR). Auch sie erlaubt bösartigen Akteuren die Möglichkeit, bei erfolgreichem Missbrauch Schadcode aus dem Netz auszuführen, mit „root“-Rechten (CVE-2025-40541, CVSS 9.1, Risiko „kritisch“).

Wie Angreifer die Schwachstellen konkret missbrauchen und wie Admins derartige Versuche erkennen können, schreibt Solarwinds jedoch nicht. Die Sicherheitslücken wurden offenbar im Responsible Disclosure offengelegt und bislang noch nicht im Netz attackiert.

Dennoch sollten Admins aufgrund des Schweregrads der Lücken die Aktualisierung zeitnah vornehmen. Cyberbanden nutzen Schwachstellen in Datentransfer-Software oftmals zum unbefugten Zugriff und Kopieren von Daten, um damit Unternehmen zu erpressen.

Zuletzt hatte Solarwinds Mitte November Sicherheitslücken in Serv-U geschlossen.

(dmk)

Wenn es um Breitbandanschlüsse in Deutschland geht, hat die Telekom die Nase vorn. Damit der ehemals staatliche Konzern seine besondere Stellung nicht missbraucht, hat die Bundesnetzagentur ein kritisches Auge auf dessen Geschäfte. Nun will die Aufsichtsbehörde in vier deutschen Städten erstmals nicht mehr so genau hinschauen – weil sie dafür keinen Bedarf mehr sieht.

In München, Köln, Ingolstadt und Wolfsburg soll die Marktführerin Telekom Deutschland künftig nicht mehr strenger Vorab-Regulierung unterliegen. Das hat die Bundesnetzagentur heute bekanntgegeben. Als Grund nannte die Bonner Behörde die vorläufigen Ergebnisse einer Marktanalyse zum Breitband-Massenmarkt. Demnach gebe es in den vier Städten ausreichend Wettbewerb. Entsprechend bestehe „nach unseren vorläufigen Erkenntnissen zukünftig kein Bedarf an Vorab-Regulierung mehr“, sagt Klaus Müller, Präsident der Bundesnetzagentur.

Die Entscheidung der Behörde markiert eine wichtige Wende. Seit den 1990er-Jahren setzt Europa grundsätzlich auf sogenannten Infrastruktur-Wettbewerb. Um die Dominanz der damals zumindest teil-privatisierten Ex-Monopolisten einzuschränken, müssen sich Unternehmen wie die Telekom an scharfe Auflagen halten. Unter anderem müssen sie Konkurrenten den regulierten Zugang zu ihren Netzen erlauben. Diese asymmetrischen Auflagen sollen in den vier deutschen Städten erstmals entfallen.

Dort ist nach Ansicht der Bundesnetzagentur der Marktanteil der Ex-Monopolistin inzwischen zu gering, um die Vorab-Regulierung zu rechtfertigen. Die Gebiete seien „in hohem Maße von Kabel- und Glasfasernetzen abgedeckt, sodass die Verbraucherinnen und Verbraucher meistens zwischen drei verschiedenen Zugangsnetzen wählen können“, erklärt die Behörde.

Anders sei die Situation im Kreis Segeberg in Schleswig-Holstein. Zwar verfüge die Telekom auch dort nur noch über einen relativ niedrigen Marktanteil. Allerdings würden sich die Glasfaser- und Kabelnetze der alternativen Anbieter überwiegend auf kleine Gebiete beschränken. Deshalb könne man dort auf Vorab-Regulierung derzeit nicht verzichten.

Deregulierung „zum völlig falschen Zeitpunkt“

Um das richtige Maß an Regulierung des Telekommunikationssektors ringen die EU und ihre Mitgliedstaaten seit geraumer Zeit. Manche Länder, Österreich beispielsweise, haben in den vergangenen Jahren damit begonnen, entsprechende Regeln punktuell auszusetzen. Auch im derzeit verhandelten Digital Networks Act spielt das Thema eine zentrale Rolle.

Einerseits will die EU-Kommission von Vorab-Regulierung nur dann abrücken, wenn kein Marktversagen feststellbar ist. Andererseits will sie Regulierungsbehörden die Verfügung symmetrischer Auflagen einfacher machen, sofern bestimmte Bedingungen gegeben sind. In solchen Fällen werden alle Marktteilnehmer regulatorisch gleich behandelt.

Die Ansage aus Bonn stößt bei den Wettbewerbern der Telekom auf Kritik. „Die von der Bundesnetzagentur skizzierte teilweise Entlassung der Telekom aus der Regulierung kommt zum völlig falschen Zeitpunkt“, sagt Sven Knapp vom Bundesverband Breitbandkommunikation (BREKO). In einer Phase, in der die Telekom so aggressiv auftrete wie nie zuvor, würde eine Deregulierung die Marktmacht des Ex-Monopolisten weiter stärken, Investitionssicherheit gefährden und den Glasfaserausbau spürbar ausbremsen, warnt Knapp.

Die Liste der Beschwerden des Verbands ist lang, von wirksamem Wettbewerb könne keine Rede sein. Die Telekom verfolgt BREKO zufolge eine „Re-Monopolisierungsstrategie“, um den Markt weiterhin dominieren zu können. Auch die Methodik der Marktanalyse überzeugt den Verband nicht. „Zwei alternative Netze mit jeweils 60 Prozent Abdeckung bedeuten noch keinen funktionierenden Wettbewerb. Dafür bräuchte es belastbare Marktanteile im Endkunden- und vor allem im Vorleistungsmarkt.“

Dammbruch befürchtet

Ins selbe Horn stößt der Verband der Anbieter von Telekommunikations- und Mehrwertdiensten (VATM). „Dass die Bundesnetzagentur mit ihren Eckpunkten nun einen neuen Weg skizziert – weg von einer bundesweit einheitlichen Regulierung hin zu einer stärker regionalisierten Betrachtung –, ist ein weitreichender Paradigmenwechsel“, sagt VATM-Geschäftsführer Frederic Ufer. Dies dürfe nicht zu einem bundesweiten Dammbruch führen, der dem Wettbewerb massiv schaden würde.

Unter Dach und Fach sind die von der Bundesnetzagentur vorgeschlagenen Maßnahmen noch nicht. Das finale Eckpunktepapier will sie erst am 16. März präsentieren und im Anschluss mit Marktteilnehmern diskutieren. Ob und inwieweit die Regulierungsbehörde von ihren vorläufigen Ergebnissen sowie Regulierungsvorschlägen abrücken wird, bleibt vorerst offen.

Ein großflächiger Regulierungsabbau steht aktuell jedenfalls nicht bevor: Abgesehen von den vier Städten gebe es in Deutschland nach wie vor keinen wirksamen Wettbewerb, betont die Regulierungsbehörde. „Diesen Teilmarkt sieht die Bundesnetzagentur weiterhin als regulierungsbedürftig an, sodass das marktbeherrschende Unternehmen verpflichtet bleibt, sein Netz auch für andere Anbieter zu öffnen.“

Drei Sicherheitslücken in VMware Aria Operations und Cloud Foundation Operations gefährden PCs. Weil Cloud Foundation, Telco Cloud Platform, Telco Cloud Infrastructure und und vSphere Foundation die verwundbare Software nutzen, sind sie ebenfalls verwundbar. Im schlimmsten Fall können Angreifer Schadcode ausführen.

Verschiedene Gefahren

In einer Warnmeldung listen die Entwickler weiterführende Informationen zu den nun geschlossenen Schwachstellen (CVE-2026-22719 „hoch“, CVE-2026-22720 „hoch“, CVE-2026-22721 „mittel“) auf. Nach erfolgreichen Attacken kann unter anderem Schadcode auf Systeme gelangen.

Die Entwickler versichern, die Sicherheitsprobleme in den Ausgaben VMware Cloud Foundation, VMware vSphere Foundation 9.0.2.0 und VMware Aria Operations 8.18.6 gelöst zu haben. Für VMware Cloud Foundation, VMware Telco Cloud Platform und VMware Telco Cloud Infrastructure müssen Admins Systeme mittels Workarounds vor möglichen Angriffen schützen.

(des)