Neues aus der IT-Welt

Cyberkriminelle attackieren junge Sicherheitslücken in mehreren Produkten. Betroffen sind Commvault, Brocade Fabric OS und Active! Mail. Auf die Schwachstellen wurden Angriffe in freier Wildbahn beobachtet. Admins sollten die fehlerbereinigten Versionen zügig installieren.

Die US-amerikanische Cybersicherheitsbehörde CISA warnt aktuell vor den laufenden Cyberattacken. Eine der angegriffenen Sicherheitslücken findet sich im Betriebssystem Brocade Fabric OS. Laut Schwachstellenbeschreibung haben die Entwickler seit Version 9.1.0 zwar den root-Zugang entfernt, aber lokale Nutzer mit Admin-Rechten können möglicherweise beliebigen Code mit vollen root-Rechten ausführen. Betroffen ist Fabric OS 9.1.0 bis 9.1.1d6 (CVE-2025-1976, CVSS 8.6, Risiko "hoch"). Laut Broadcoms Sicherheitsmitteilung korrigiert Fabric OS 9.1.1d7 das Problem, Version 9.2.0 ist hingegen nicht verwundbar.

Eigentlich dient Commvault Backup & Recovery der Sicherung und Wiederherstellung von Daten. Eine Sicherheitslücke im Webserver läßt sich von bösartigen Akteuren mißbrauchen, um Webshells einzuschleusen und auszuführen – und das machen die tatsächlich auch im Netz. Dazu benötigen sie Zugangsdaten zu einem Konto, was die Angriffe etwas erschwert. Commvault nennt die Lücke in einer Sicherheitsmitteilung "kritisch" (CVE-2025-3928, CVSS 8.7, Risiko "hoch"). Den Fehler büeln die Commvault-Versionen für Linux und Windows 11.36.46, 11.32.89, 11.28.141 sowie 11.20.217 aus.

Eine dritte aktiv attackierte Schwachstelle betrifft Active! Mail 6. Ein Stack-basierter Pufferüberlauf läßt sich mit sorgsam präparierten Anfragen von Angreifern ohne Authentifizierung aus dem Netz dazu mißbrauchen, den Dienst lahmzulegen oder sogar Schadcode einzuschleusen (CVE-2025-42599, CVSS 9.8, Risiko "kritisch"). Die Meldung stammt vom japanischen CERT, dort dürfte die Software vorrangig auch zum Einsatz kommen. Wo die Software benötigt wird, sollte die Aktualisierung auf Version 6.60.06008562 zügig erfolgen, um die Schwachstelle auszubessern.

Wie die Angriffe aussehen, welchen Umfang sie haben oder wie sie sich erkennen lassen, teilt die CISA nicht mit. IT-Verantwortliche sollten daher die Updates so schnell wie möglich installieren, um die Angriffsfläche zu reduzieren und nicht Opfer der beobachteten Attacken zu werden.

Update vom 07.05.2025:
Vor kurzem wurden Angriffe im Internet auf eine weitere Sicherheitslücke in Commvaults Command Center Innovation Release bekannt. Das von Commvault bereitgestellte Update dichtet die Sicherheitslücke offenbar nicht korrekt ab.

Die Sicherheitslücke mit den Schwachstelleneinträgen EUVD-2025-12275 respektive CVE-2025-34028 besteht darin, daß Angreifer aus dem Netz ohne vorherige Authentifizierung ZIP-Dateien hochladen können, die beim Entpacken auf dem Zielserver zum Ausführen von darin eingeschmuggelten Schadcode führen können (CVSS 10.0, Risiko "kritisch").

Gemäß der üblichen Gepflogenheiten hat Commvault mit einem Softwareupdate auf Commvault 11.38.20 für Linux und Windows reagiert. Commvault stellt auch eine eigene Sicherheitsmitteilung bereit, die am heutigen Mittwoch aktualisiert wurde. Nun veröffentlicht der Hersteller weitere Zusatzupdates für 11.38.20 zusätzlich SP38-CU20-433 sowie SP38-CU20-436 und für 11.38.25 noch SP38-CU25-434 sowie SP38-CU25-438.

Der IT-Sicherheitsforscher Will Dormann hat mit einer virtuellen Maschine mit der Commvault-Software in Version 11.38.25 getestet, ob ein Exploit für die Sicherheitslücke funktioniert.

Dormann schreibt, daß Commvault behauptet, die Versionen 11.38.20 und 11.38.25 besserten die Schwachstelle aus; die IT-Forscher von Watchtowr hätten die Lücke in Version 11.38.20 entdeckt. Da der Proof-of-Concept-Exploit gegen die vermeintlich gefixte Version 11.38.25 funktioniere, habe er da "Vertrauensprobleme". Vor wenigen Stunden hat Dormann die zusätzlichen Updates erwähnt, die Commvault nun in der aktualisierten Sicherheitsmitteilung auflistet. Deren Installation will ihm nicht gelingen. Dadurch ist es ihm auch nicht möglich, deren Wirksamkeit zu prüfen.

IT-Verantwortliche sollten dennoch zügig versuchen, mit dem von Commvault angedachten "Downloading Software On Demand" die Updates und Zusatz-Hotfixes anzuwenden, um sicherzustellen, daß ihre Systeme auf dem aktuellen Stand sind.

Commvault-Sicherheitslücken sind für Cyberkriminelle offenbar attraktiv. Erst in der Vorwoche haben Angreifer eine ebenfalls hochriskante Sicherheitslücke in der Backup-Software mißbraucht, EUVD-2025-12508 respektive CVE-2025-3928 (CVSS 8.8, Risiko "hoch").