Angreifer können an einer Sicherheitslücke in MOVEit Transfer ansetzen, um Dateiübertragungen zu stören. Ein Update steht zum Download bereit.

Instanzen vor Attacken schützen

Die Entwickler weisen in einem Beitrag auf die Schwachstelle (CVE-2025-10932 „hoch„) hin. Sie raten zu einem zügigen Update. Bislang gibt es keine Berichte, dass Angreifer die Lücke bereits ausnutzen. Das Sicherheitsproblem betrifft konkret das AS2-Modul. Die Beschreibung der Lücke liest sich so, als können Angreifer Schadcode hochladen und so dafür sorgen, dass die Dateiübertragungssoftware nicht mehr nutzbar ist.

Davon sind die Versionen bis jeweils einschließlich 2023.0, 2023.1.15 (15.1.15), 2024.0, 2024.1.6 (16.1.6) und 2025.0.2 (17.0.2) bedroht. Die Entwickler versichern, die Lücke in den folgenden Ausgaben geschlossen zu haben:

• MOVEit Transfer 2023.1.16 (15.1.16)
• MOVEit Transfer 2024.1.7 (16.1.7)
• MOVEit Transfer 2025.0.3 (17.0.3)

Weil der Support für 2023.0 und 2024.0 ausgelaufen ist und es keine Sicherheitsupdates mehr gibt, müssen Admins auf eine noch unterstützte Version upgraden. Alternativ gibt es eine Übergangslösung: Um Systeme abzusichern, müssen Admins unter C:\MOVEitTransfer\wwwroot die Dateien AS2Rec2.ashx und AS2Receiver.aspx löschen.

Nach der Installation des Sicherheitsupdates ist noch Arbeit vonnöten: Weil der Patch den Zugriff durch eine Liste mit erlaubten IP-Adressen einschränkt, müssen Admins die jeweiligen Adressen manuell in den Einstellungen (Settings->Security Policies->Remote Access->Default Rules) eintragen. Im Onlinedienst MOVEit Cloud soll bereits eine abgesicherte Ausgabe laufen.

MOVEit sorgte Mitte 2023 für viele Schlagzeilen, weil eine attackierte kritische Lücke weltweite Auswirkungen hatte.

(des)

Eine Schwachstelle in der Netzwerk-Monitoring-Software Checkmk kann dazu führen, dass Angreifer Javascript-Code einschleusen – oder sogar unbefugt Befehle ins Betriebssystem durchreichen. Es handelt sich um eine Cross-Site-Scripting-Lücke, die die Entdecker als kritisch einordnen.

Die Sicherheitslücke beschreibt SBA-Research konkret als Stored-Cross-Site-Scripting-Schwachstelle. Sie kann auftreten, wenn Checkmk in einem verteilten Monitoring-Setup betrieben wird. In dem Fall kann jede verbundene Remote-Site Javascript-Code in das Userinterface der zentralen Site injizieren (CVE-2025-39663, CVSS 9.1, Risiko „kritisch„). Angreifer, die Kontrolle über eine verbundene Remote-Site haben, können demzufolge durch Ansicht des Status der Hosts oder Dienste der Remote-Site die Kontrolle über Web-Sessions übernehmen. Attackieren bösartige Akteure eine Admin-Session, ermöglicht das die Ausführung von Code aus dem Netz (RCE) in der zentralen Site.

Proof-of-Concept verfügbar

Die IT-Forscher zeigen in der Schwachstellenbeschreibung auch einen Proof-of-Concept (PoC), der die Lücke ausnutzt. Sie führen weiter vor, wie es bei attackierten Admin-Sitzungen dadurch zur Ausführung von Befehlen im Betriebssystem kommen kann.

Die vor Kurzem veröffentlichten Versionen 2.4.0p14 sowie 2.3.0p39 von Checkmk schließen die Sicherheitslücke. In der Sicherheitsmitteilung empfehlen die Autoren, zügig auf diese Versionen zu aktualisieren. Admins sollten die Aktualisierungen auch deshalb rasch anwenden, da Angreifer mit dem verfügbaren PoC die Schwachstelle leicht missbrauchen können. Die IT-Forscher von SBA-Research empfehlen zudem, die Option „Trust this site completely“ für alle Remote-Sites zu deaktivieren.

Erst vor kurzem hatte Checkmk aktualisierte Software herausgegeben, die eine Rechteausweitungslücke im Windows-Agent schloss. Mit einem CVSS-Wert von 8.8 galt sie als hochriskant und schrammte nur knapp am kritschen Status vorbei.

(dmk)

Weite Teile des Internets, insbesondere wenn es um Geld geht, sind fein säuberlich gestaltet. Nicht nur von Techniker:innen oder Grafiker:innen, sondern vor allem von Psycholog:innen. Die Tech-Branche beschäftigt Heerschaaren speziell ausgebildeter Leute, die genau wissen, wie das menschliche Unterbewusstsein tickt – und wie es sich in Geld verwandeln lässt.

Oft setzen sie dabei auf manipulatives Design, auch bekannt als Dark Patterns. Sie sind seit langem Methode, durchziehen viele Online-Dienste und sollen Nutzer:innen beeinflussen: Der Zähler, der zum schnellen Kauf eines angeblich billigeren Flugtickets animieren soll; die verwirrend gestaltete Cookie-Abfrage, die im frustrierten Akzeptieren aller Partnerangebote endet; endloses Scrollen und automatisch abspielende Videos, um Nutzer:innen möglichst lange auf der Plattform zu halten.

Verantwortung nicht auf Nutzer:innen abwälzen

Solchen systemischen Problem will die EU im kommenden Jahr mit einem eigenen Gesetz begegnen, dem Digital Fairness Act. Es soll die Lücken schließen, die andere Gesetze offenlassen, etwa das Gesetz über digitale Dienste (DSA) oder sonstige Regeln zum Verbraucherschutz.

Generell sollte dabei die Verantwortung nicht mehr auf einzelne Nutzer:innen abgewälzt werden, da dies „ineffektiv und kontraproduktiv“ sei, fordern etwa die beiden Forscher:innen Lorena Sánchez Chamorro und Thomas Eßmeyer. Die beiden haben sich an der jüngst zu Ende gegangenen EU-Konsultation zu den bislang nur grob skizzierten Plänen beteiligt.

Über 4.000 Stellungnahmen sind dabei bei der EU-Kommission eingegangen. Einer der Ausgangspunkte war ein „Fitness Check“ der Kommission aus dem Vorjahr. In dem Bericht hat sie potenzielle Lücken bestehender Gesetze im Digitalbereich untersucht und dabei Nachholbedarf festgestellt. Sonst drohe, dass die digitale Wirtschaft das EU-Verbraucherschutzrecht aushöhlt. Bereits jetzt soll sich der Schaden auf mindestens acht Milliarden Euro pro Jahr belaufen, schätzt die Kommission.

„Grundlegende Neujustierung“ gefordert

Mit der Materie vertraute Organisationen teilen diese Sicht. So stelle die zunehmende Digitalisierung sowohl die Wirksamkeit des europäischen Verbraucherrechts als auch das Vertrauen, das für ein faires Miteinander auf Märkten notwendig sei, auf eine „harte Probe“. Das schreibt der Verbraucherzentrale Bundesverband (vzbv) in einem ausführlichen Positionspapier zum geplanten Digitalgesetz. Entsprechend sei es mit kleinen Anpassungen nicht getan. Nötig sei eine „grundlegende Neujustierung des europäischen Verbraucherrechts“, mahnt der vzbv.

Zum einen soll das mit dem Verbot oder der Einschränkung einzelner manipulativer Praktiken gelingen, etwa mit einem Verbot von „domain- und geräteübergreifendem Tracking“. Auch das „Zusammenführen gesammelter Daten in Profilen zu Werbezwecken“ solle verboten werden. Bei personalisierten Angeboten oder Preisen sei mindestens mehr Transparenz notwendig, so die Verbraucherschützer:innen.

Darüber hinaus brauche es aber eine „Generalklausel für digitale Fairness by Design und by Default auf allen verbraucherrelevanten Online-Schnittstellen wie Webseiten oder Apps“, argumentiert der Verband. Vor allem im digitalen Bereich seien Unternehmen gegenüber Nutzer:innen „ganz überwiegend im Vorteil“. Mit Hilfe von Tracking und Big Data könnten Algorithmen unser Verhalten analysieren, unsere Vorlieben berechnen und Kaufimpulse anreizen, die gegen die eigenen Interessen gehen können, heißt es im Positionspapier.

Betrugsversuche im Netz steigen an

Für einen „holistischen Ansatz“ wirbt auch BEREC, der Dachverband europäischer Regulierungsstellen für Telekommunikation. Die Behörde hat in den vergangenen Jahren diverse Aspekte der digitalen Ökonomie untersucht. Neben der zunehmenden Nachfrage nach breitbandigen und vor allem mobilen Internetverbindungen sei demnach ein „signifikanter Anstieg betrügerischen Datenverkehrs und Betrugsversuche“ zu beobachten, schreibt BEREC über die aus seiner Sicht wichtigsten Entwicklungen der jüngeren Vergangenheit.

Dieser Trend dürfte sich fortsetzen. Bei der Behebung von Schutzlücken müsse die EU jedoch sorgsam vorgehen, fordert der Dachverband. Neben horizontalen, für alle Anbieter geltenden Regeln zum Verbraucherschutz stünden sektorspezifische Vorschriften, die weiter ihre Berechtigung hätten. Neue Regeln müssten deshalb „komplementär“ ausgestaltet sein und eine Doppelung oder gar Konflikte mit bestehenden Gesetzen vermeiden.

Dies dürfte im Interesse der EU-Kommission sein. Die hat sich für die laufende Regierungsperiode einen drastischen Abbau von Bürokratie und generell Deregulierung vorgenommen, um die europäische Wirtschaft anzukurbeln. Eine florierende Ökonomie und Verbraucherschutz gehen aus Sicht von BEREC allerdings Hand in Hand. Demnach könnten auf Online-Dienste ausgerichtete, „klare, vorhersehbare und durchsetzbare Rechte“ Vertrauen fördern, und damit auch „Wettbewerb und Innovation“.