• RMM-Systeme im Visier –N-able N-central Schwachstellen

    VonJ. Benjamin Espagné

    Am 15. August 2025 meldete die Shadowserver Foundation, dass über 1.000 N-able N-central Instanzen weltweit noch ungepatcht gegen die Sicherheitslücken CVE-2025-8875 und CVE-2025-8876 waren. Beide Schwachstellen wurden in den Known Exploited Vulnerabilities (KEV)-Katalog der CISA aufgenommen — eine Bestätigung, dass sie bereits aktiv ausgenutzt werden.

    Warum RMM-Systeme hochwertige Ziele sind

    N-central ist eine Remote-Monitoring-and-Management-Lösung (RMM), die vor allem von Managed Service Providern (MSPs) genutzt wird, um Kundensysteme zentral zu überwachen und zu administrieren. Ein kompromittiertes RMM-System ist für Angreifer der Jackpot: Es bietet administrative Kontrolle über hunderte oder tausende Endpunkte gleichzeitig — über alle Kunden des MSP hinweg.

    Die Angriffsfläche ist enorm: RMM-Tools haben per Design privilegierten Zugriff auf alle verwalteten Systeme. Wer das RMM kontrolliert, kann Software installieren, Konfigurationen ändern, Daten exfiltrieren und Ransomware ausrollen — auf allen verwalteten Geräten gleichzeitig. Der Kaseya-Vorfall im Juli 2021 demonstrierte dieses Szenario in der Praxis: Über eine Schwachstelle in Kaseya VSA wurden mehr als 1.500 Unternehmen weltweit mit REvil-Ransomware infiziert.

    Die Schwachstellen im Detail

    CVE-2025-8875 und CVE-2025-8876 ermöglichen Angreifern die nicht autorisierte Ausführung von Befehlen auf verwundbaren N-central-Instanzen. Laut Shadowserver sind die USA, Kanada, die Niederlande und Großbritannien besonders stark betroffen.

    N-able hat die Schwachstellen mit Version N-central 2025.3.1 behoben. Shadowserver integrierte die Erkennung beider CVEs Mitte August 2025 in seine täglichen Scans und benachrichtigt betroffene Betreiber direkt.

    Supply-Chain-Risiko durch MSPs

    Der Fall verdeutlicht ein strukturelles Problem: MSPs sind Single Points of Failure für ihre Kunden. Ein kompromittierter MSP kompromittiert potenziell alle seine Kunden — ein klassisches Supply-Chain-Risiko. Die NIS2-Richtlinie adressiert dieses Risiko explizit: Unternehmen müssen die Sicherheit ihrer IT-Dienstleister in ihr Risikomanagement einbeziehen.

    Für Unternehmen, die MSP-Dienste nutzen, stellen sich konkrete Fragen:

    • Welche RMM-Lösung nutzt mein MSP — und ist sie aktuell gepatcht?
    • Hat mein MSP einen dokumentierten Patch-Management-Prozess?
    • Wie schnell reagiert mein MSP auf CISA-KEV-Einträge?
    • Gibt es Netzwerksegmentierung zwischen den Kunden des MSP?

    Handlungsempfehlungen

    • Sofort patchen: Alle N-central-Instanzen auf Version 2025.3.1 oder höher aktualisieren
    • MSP-Kunden: Ihren Dienstleister aktiv nach dem Patch-Status fragen — nicht darauf warten, dass er sich meldet
    • RMM-Zugriffe im SIEM überwachen: Alle administrativen Aktionen über RMM-Tools protokollieren und auf Anomalien prüfen
    • Netzwerksegmentierung: RMM-Server in einem dedizierten Segment betreiben, nicht im gleichen Netz wie Produktionssysteme
    • Conditional Access: RMM-Zugriffe auf autorisierte IPs und Geräte beschränken

  • Citrix NetScaler CVE-2025-7775: Patching-Fortschritt im Fokus

    VonJ. Benjamin Espagné

    Am 26. August 2025 wurde eine kritische Zero-Day-Sicherheitslücke in Citrix NetScaler ADC und NetScaler Gateway bekannt. CVE-2025-7775 ist ein Memory Overflow, der Remote Code Execution (RCE) oder Denial of Service (DoS) ohne Authentifizierung ermöglicht. Citrix bestätigte aktive Angriffe in freier Wildbahn und empfahl sofortige Updates.

    CISA reagiert mit Notfall-Frist

    Die CISA nahm CVE-2025-7775 in ihren Known Exploited Vulnerabilities (KEV)-Katalog auf und setzte US-Bundesbehörden eine Frist bis zum 28. August 2025 — nur zwei Tage nach Bekanntwerden. Eine derart kurze Frist signalisiert: Die Bedrohung ist akut und der Exploit wird aktiv eingesetzt.

    Patching-Fortschritt: Europa patcht schneller

    Shadowserver-Scans zeigen den globalen Patching-Fortschritt in Echtzeit. Die Zahlen:

    • Ausgangslage: Rund 28.200 verwundbare NetScaler-Instanzen weltweit
    • Nach zwei Wochen: Etwa 12.400 Instanzen noch ungepatcht — ein Rückgang von 56 Prozent
    • Regionale Unterschiede: Europa patcht deutlich schneller als Nordamerika

    Dass nach zwei Wochen noch über 12.000 Instanzen verwundbar sind, ist alarmierend. NetScaler ADC und Gateway sind Per-Design aus dem Internet erreichbar — sie sind Load Balancer, VPN-Gateways und Application Delivery Controller. Jede ungepatchte Instanz ist ein offenes Tor.

    NetScaler: Wiederkehrendes Angriffsziel

    CVE-2025-7775 ist nicht die erste kritische NetScaler-Schwachstelle. Die Geschichte wiederholt sich:

    • CVE-2023-3519 (Juli 2023): RCE ohne Authentifizierung, aktiv ausgenutzt, CISA-KEV
    • CVE-2023-4966 „Citrix Bleed” (Oktober 2023): Session-Hijacking, massenhaft ausgenutzt durch LockBit und andere
    • CVE-2024-3519 (2024): Weitere RCE in NetScaler Gateway

    Das Muster ist konsistent: NetScaler-Appliances stehen am Netzwerkrand, haben hohe Privilegien und werden von Angreifern systematisch auf neue Schwachstellen gescannt. Organisationen, die NetScaler einsetzen, müssen Patching dieser Systeme als höchste Priorität behandeln — nicht als regulären Wartungszyklus.

    Warum Patching allein nicht reicht

    Der Zeitraum zwischen Bekanntwerden einer Schwachstelle und dem vollständigen Patching aller Instanzen beträgt selbst bei kritischen Zero-Days Wochen. In dieser Zeit sind ungepatchte Systeme exponiert. Zusätzliche Maßnahmen:

    • Web Application Firewall (WAF) Rules: Virtuelle Patches können die Ausnutzung blockieren, bis der offizielle Patch eingespielt ist
    • Network-Level-Einschränkungen: Management-Interfaces und unnötige Dienste von außen unzugänglich machen
    • SIEM-Monitoring: NetScaler-Logs in das zentrale Monitoring einbinden. Ungewöhnliche Anfragemuster, Zugriffe auf bekannte Exploit-Pfade und verdächtige Prozesse auf der Appliance überwachen
    • Compromise Assessment: Bei Systemen, die vor dem Patching exponiert waren, prüfen, ob bereits eine Kompromittierung stattgefunden hat. Patchen allein beseitigt keine bereits platzierten Backdoors

    Handlungsempfehlungen

    • Sofort patchen: Alle NetScaler ADC und Gateway-Instanzen auf die von Citrix empfohlene Version aktualisieren
    • Exponierte Instanzen identifizieren: Shadowserver-Benachrichtigungen prüfen oder eigene Scans durchführen
    • Post-Patch-Forensik: Systeme, die vor dem Patch aus dem Internet erreichbar waren, auf Kompromittierungsindikatoren prüfen
    • Schwachstellenmanagement-Prozess etablieren: CISA-KEV-Einträge als automatischen Trigger für Notfall-Patching definieren

  • Komprimierte Katastrophe – WinRAR-Schwachstelle als Einfallstor

    VonJ. Benjamin Espagné

    Im Sommer 2023 wurde eine gravierende Sicherheitslücke in WinRAR entdeckt: CVE-2023-38831 ermöglicht es Angreifern, beliebigen Code auf den Systemen der Opfer auszuführen. Obwohl die Schwachstelle mit WinRAR Version 6.23 gepatcht wurde, sind weltweit Millionen Systeme weiterhin ungepatcht — und staatlich unterstützte Hackergruppen nutzen die Lücke gezielt aus.

    Wie der Exploit funktioniert

    Die Schwachstelle liegt in der Art, wie WinRAR Dateinamen innerhalb von ZIP-Archiven verarbeitet. Angreifer erstellen manipulierte Archive, die auf den ersten Blick harmlose Dateien enthalten — etwa ein PDF oder ein Bild. Beim Öffnen der vermeintlich harmlosen Datei wird jedoch automatisch ein verstecktes Skript ausgeführt, das Malware nachlädt.

    Das Perfide: Der Nutzer sieht eine erwartete Datei, klickt sie an und merkt nicht, dass im Hintergrund Code ausgeführt wird. Es gibt keinen offensichtlichen Warnhinweis, kein verdächtiges Verhalten — bis es zu spät ist.

    Group-IB, das Unternehmen, das die Schwachstelle entdeckte, dokumentierte, dass CVE-2023-38831 bereits seit April 2023 aktiv ausgenutzt wurde — Monate bevor sie öffentlich bekannt wurde. Die ersten Angriffe richteten sich gegen Händler auf Finanzmärkten.

    Staatliche Akteure steigen ein

    Nach der Veröffentlichung der Schwachstelle übernahmen staatlich unterstützte Gruppen den Exploit. Google Threat Analysis Group (TAG) dokumentierte Angriffe durch:

    • APT28 (Fancy Bear / Forest Blizzard): Russische Gruppe, Angriffe auf ukrainische Institutionen
    • APT40 (Leviathan): Chinesische Gruppe, Ziele in Papua-Neuguinea
    • Sandworm: Russische Gruppe, Angriffe auf ukrainische Energieinfrastruktur

    Die Angreifer verbreiten die manipulierten Archive über Spear-Phishing-E-Mails und kompromittierte Websites. Die Archive tarnen sich als Dokumente, Berichte oder Tabellenkalkulationen — Dateitypen, die im Geschäftsalltag routinemäßig geöffnet werden.

    Warum so viele Systeme ungepatcht bleiben

    WinRAR hat eine geschätzte Nutzerbasis von über 500 Millionen Installationen weltweit. Das Problem: WinRAR hat keinen automatischen Update-Mechanismus. Updates müssen manuell heruntergeladen und installiert werden. In Unternehmensumgebungen ohne zentrales Software-Deployment wird WinRAR oft vergessen — es ist „nur ein Hilfsprogramm”.

    Genau das macht es zum idealen Angriffsvektor: Eine Anwendung, die auf fast jedem Windows-Rechner installiert ist, aber in keinem Patch-Management-Prozess auftaucht.

    Handlungsempfehlungen

    • Sofort aktualisieren: WinRAR auf Version 6.23 oder höher. Alternativ auf das in Windows 11 integrierte native ZIP/RAR-Handling umsteigen
    • Software-Inventar erstellen: Identifizieren Sie alle WinRAR-Installationen in Ihrer Umgebung. Tools wie SCCM, Intune oder Open-Source-Alternativen helfen
    • Application Whitelisting evaluieren: In sicherheitskritischen Umgebungen sollte nur explizit freigegebene Software ausführbar sein
    • E-Mail-Security: Archive als Anhänge besonders streng prüfen. Sandbox-Analyse kann manipulierte Archive erkennen, bevor sie den Endnutzer erreichen
    • Endpoint-Monitoring: Verdächtige Prozessstarts nach dem Öffnen von Archiven überwachen — wenn WinRAR plötzlich PowerShell oder cmd.exe startet, ist das ein klarer Alarm

  • Die Gefahren von OneNote-Dokumenten

    VonJuliane Heinen

    Eine neue bösartige OneNote-Datei wurde entdeckt. OneNote-Dokumente sind Microsoft-Produkte und haben die Erweiterung “.one”. Trustwave fand die bösartige “.one”-Datei erstmals Anfang Dezember.

    Die Experten erhielten die Datei mit einer typischen Phishing-E-Mail. Die “.one”-Datei bestand aus bösartigen Skripten, die PowerShell-Befehle enthielten. Diese bestanden aus Anweisungen, um Dateien (sog. Payloads) von der Domain des Bedrohungsakteurs – a0745450[.]xsph[.]ru – herunterzuladen.

    Die Datei lädt andere bösartige Komponenten nicht automatisch herunter. Sie verleitet den Benutzer dazu, die Skriptausführung zu starten, indem er auf die einzige angezeigte Schaltfläche klickt, doch darunter befindet sich ein bösartiges Skript.

    Normalerweise warnt das System den Benutzer vor dem Öffnen einer Ausführungsdatei, aber diese Meldungen werden von den Benutzern häufig ignoriert.

    was der Benutzer sieht
    was wirklich vor sich geht

    Der weitere Weg der Malware ist schwer zu erkennen. Die Forscher behaupten, dass ein Formbook-Trojaner heruntergeladen wird, der aber jederzeit geändert werden kann.

    Formbook selbst ist ein Malware-as-a-Service, aber der gesamte Angriff könnte Teil eines Phishing-as-a-Service-Angriffs sein, worüber wir bereits geschrieben haben. Hierbei ist es wahrscheinlich, dass die Malware Browserdaten stiehlt und Screenshots macht, und die Folgen können mit der Zeit immer größer werden.

    Um die Risiken zu mindern, sollten Sie “.one”-Anhänge besser kennzeichnen, Mitarbeiter über Bedrohungen informieren und eine Mail Security Gateway Regeln konfigurieren. Es handelt sich (noch) nicht um einen typischen Angriff, aber je früher Sie sich vorbereiten, desto sicherer sind Sie.

  • Neue Zero-Day-Schwachstellen wurden entdeckt

    VonJuliane Heinen

    Microsoft Exchange 0-Day-Schwachstellen

    Kürzlich entdeckten Forscher von GTSC zwei neue Zero-Day-Schwachstellen. Es wurden bereits erfolgreiche Angriffe verzeichnet, die diese Schwachstellen ausnutzten. Anfällig sind Microsoft Exchange Server 2013, 2016 und 2019. Noch eher könnten Sie zum Opfer dieser Schwachstelle werden, wenn die automatische Erkennung aus dem Internet aktiviert ist.

    Die Wirkung des Angriffs

    Bisher ist nur wenig über erfolgreiche Angriffe bekannt, sodass der praktische Schaden nicht genau abgeschätzt werden kann. Aber nach theoretischen Schätzungen kann er riesig sein. Angreifer können die Zugangsdaten auf dem Exchange-Server fälschen und sogar andere Malware installieren, um die Daten weiter zu stehlen.

    Antwort von Microsoft und BSI

    Microsoft hat bereits mit einem Blogbeitrag auf das Problem reagiert. Darin sprachen sie über das Problem und kündigten an, es so schnell wie möglich zu beheben. Das BSI warnt vor Angriffen und hat Schutzhinweise vorgelegt.

    Es ist wichtig zu beachten, dass die in diesen Berichten präsentierten Daten keinen angemessenen Schutz bieten. Insbesondere wenn Ihr System bereits unbemerkt mit bösartiger Software infiziert ist. Außerdem werden die Empfehlungen fast täglich aktualisiert, was für Verwirrung sorgen kann.

    Verfügbare Schutzlösungen

    Microsoft veröffentlicht die aktuellsten Minderungsmaßnahmen in seinem Blog. Im Allgemeinen umfassen sie das Deaktivieren von Einstellungen im IIS-Manager mithilfe regulärer Ausdrücke, das Konfigurieren des Exchange Emergency Mitigation Service (EEMS) und das Einschränken der Powershell-Funktionalität. Schritt-für-Schritt-Anleitungen mit den wichtigsten Tipps werden dort auch beschrieben.

    Wie der Angriff ausgeführt wird

    Der Angriff erfolgt in mindestens zwei Phasen, theoretisch können es aber auch mehr sein. Gleichzeitig wird der Verlust mit jeder neuen Stufe zunehmen. Zunächst versuchen Angreifer, eine legitime Serverfunktion auszunutzen. Beispielsweise suchen sie automatisiert nach Servern, die die automatische Erkennung aktiviert haben. Bei Erfolg nutzen sie eine andere Schwachstelle aus, die es ihnen ermöglicht, Code in Powershell aus der Ferne auszuführen. Dies gibt Angreifern die Möglichkeit, weitere Schadsoftware herunterzuladen. Kontaktieren SIe uns, und wir helfen Ihnen die Angiffsfläche zu minimieren, um potentiellen Schaden gering zu halten.

Keine weiteren News.

Keine weiteren News.

Sicherheitslücken schließen. Risiken senken. Jetzt handeln!

Unsere Experten zeigen Ihnen live, wie wir Angriffe erkennen, stoppen und Ihr Unternehmen schützen.

Blog

Aktuelle Sicherheitsereignisse