ConSecur GmbH
Consecur Weekly Update zu den aktuellsten Bedrohungsinfos in KW 45/2025.
Diese Woche waren laut Consecur Weekly Update eine Schwachstelle in Linux Kernel und Angriffe auf VMware- und XWiki Schwachstellen besonders relevant sowie Konsequenzen aus dem GlassWorm-Angriff zu bemerken.
Zusammenfassung (TL; DR):
- Schwachstelle in Linux Kernel aktiv ausgenutzt
- Angriffe auf VMware- und XWiki Schwachstellen
- Konsequenzen aus GlassWorm-Angriff
Schwachstelle in Linux Kernel aktiv ausgenutzt: Eine schwerwiegende Sicherheitslücke mit der Bezeichnung CVE-2024-1086 im Linux Kernel wird derzeit aktiv durch Ransomware-Angriffe ausgenutzt.
Die Ausnutzung ermöglicht es Angreifern mit lokalem Zugriff, ihre Berechtigungen auf dem Zielsystem zu erweitern, was zu Root-Zugriff auf kompromittierte Geräte und dadurch die Deaktivierung von Abwehrmaßnahmen, Änderung von Dateien oder Installation von Malware führen kann. Die Schwachstelle wurde bereits am 31. Januar 2024 als Use-after-free-Schwachstelle in der Kernel-Komponente netfilter: nf_tables offengelegt und durch einen im Januar 2024 eingereichten Commit behoben.
Betroffen sind Linux-Distributionen wie Debian, Ubuntu, Fedora und Red Hat, die Kernel-Versionen von 3.15 bis 6.8-rc1 verwenden. In einem Update vom 30.10 erklärte die US-Cybersicherheitsbehörde CISA dass die Lücke derzeit nachgewiesenermaßen in Ransomware-Kampagnen genutzt wird, weitere Informationen zu laufenden Ausnutzungsversuchen wurden nicht bekannt gegeben.
Administratoren wird empfohlen, betroffene Systeme zu patchen oder, falls nicht möglich, die Angriffsfläche durch ausgewählte Maßnahmen zu begrenzen.
Was jetzt zu tun ist: Unverzüglich patchen
Konsequenzen aus GlassWorm-Angriff: Nach der Meldung des Sicherheitsunternehmens Koi Security, dass der Open VSX Marktplatz genutzt wurde, um bösartige Erweiterungen zu veröffentlichen, zieht die Stiftung nun Konsequenzen.
Bei der Malware mit der Bezeichnung GlassWorm handelte es sich laut Eclipse jedoch nicht um einen klassischen, sich selbst verbreitenden Wurm, sondern um Schadcode, der gezielt Entwickleranmeldetokens stahl. Nach Veröffentlichung der Berichte wurden sämtliche betroffenen Erweiterungen umgehend gesperrt und kompromittierte Tokens widerrufen, es bestand keine Bedrohung der Infrastruktur.
Nach Angaben der Foundation arbeite man weiter mit Sicherheitsforschern und Projektpartnern zusammen, um Transparenz und Schutzmaßnahmen zu verbessern, der GlassWorm-Vorfall werde seit dem 21.10 allerdings als abgeschlossen betrachtet. Zu den Maßnahmen zählen mehrere strukturelle Änderungen. So sollen Tokens kürzere Lebensdauern erhalten und sich einfacher sperren lassen. Bei jeder Veröffentlichung soll ein automatischer Sicherheitscheck durchgeführt werden und Open VSX arbeitet an einer stärkeren Vernetzung mit anderen Marktplatzbetreibern. Eclipse betont jedoch: Sicherheit in der Lieferkette sei eine geteilte Aufgabe.
Angriffe auf VMware- und XWiki Schwachstellen: Nachdem Broadcom bereits Ende September über eine Sicherheitslücke in VMware Aria Operations und VMware Tools informierte, warnt nun die US-Cybersicherheitsbehörde CISA dass diese derzeit für Angriffe missbraucht werde.
Die als CVE-2025-41244 / EUVD-2025-31589 geführte Lücke mit einer CVSS Score von 7.8 (Risiko “hoch”) ermöglicht lokalen, nicht-administrativen Nutzern mit Zugriff auf eine VM, in der VMware Tools installiert sind und die mittels VMware Aria Operations mit aktiviertem SDMP verwaltet wird, ihre Rechte zu ‘root’ in derselben VM auszuweiten.
Darüber hinaus warnt die Behörde vor laufenden Angriffen auf die Wiki-Plattform XWiki. Eine kritische Schwachstelle mit der Bezeichnung CVE-2025-24893 / EUVD-2025-4562 und einem CVSS Score von 9.8 erlaubt jedem Nutzer mit Gastzugang mithilfe einer Suche mit ‘SolrSearch’ beliebigen Schadcode einschleusen und ausführen.
Beide Lücken können durch bereits bestehende Software-Aktualisierungen geschlossen werden.
Was jetzt zu tun ist: Unverzüglich patchen
