Consecur Weekly Update zu den aktuellsten Bedrohungsinfos in KW 46/2025

ConSecur GmbH ConSecur GmbH   |
  • Experte
Consecur Weekly Update

Consecur Weekly Update zu den aktuellsten Bedrohungsinfos in KW 46/2025.

In der vergangenen Woche fand laut Consecur Weekly Update Cyberangriff auf Stadtverwaltung Ludwigshafen statt, wurde eine kritische Sicherheitslücke in Watchguard Firewalls entdeckt und eine Lücke in Cisco Firewalls aktiv für DoS-Angriffe ausgenutzt.

 Zusammenfassung (TL; DR):

  • Cyberangriff auf Stadtverwaltung Ludwigshafen
  • Kritische Sicherheitslücke in Watchguard Firewalls
  • Lücken in Cisco Firewalls aktiv für DoS-Angriffe ausgenutzt
  • SAP fixt kritische Lücke in SQL Anywhere Monitor

Cyberangriff auf Stadtverwaltung Ludwigshafen: Nachdem Mitarbeitern Anomalien im Netzwerk aufgefallen waren, wurden die Datenverarbeitungssysteme der Stadtverwaltung Ludwigshafen Ende vergangener Woche heruntergefahren.

Erste Aktivitäten wurden nach neuesten Angaben bereits am Donnerstag vergangener Woche festgestellt. Nachdem die Monitoring-Systeme alarmierten, wurden die Systeme gegen 10:30 vorsorglich heruntergefahren, um Schäden zu vermeiden. Das erklärte die Behörde in einer PDF zum Stand der Dinge.

Frühe Untersuchungen externer IT-Spezialisten deuten nicht darauf hin, dass Daten abgeflossen sind, wobei noch unklar ist, ob personenbezogene Informationen von Bürgerinnen und Bürgern betroffen sind. Ende letzter Woche erklärte die Behörde: “Die weiteren Überprüfungen des Datennetzes werden noch mindestens die gesamte kommende Woche andauern, möglicherweise auch länger”

Die Stadt ist laut Consecur Weekly Update derweil weder telefonisch noch digital erreichbar.

Kritische Sicherheitslücke in Watchguard Firewalls: Einem neuen Eintrag einer als kritisch eingestuften Schwachstelle mit der Bezeichnung CVE-2025-59396 / EUVD-2025-38053 und CVSS Score 9.8 zufolge, können sich Angreifer möglicherweise Admin-Rechte in Firebox-Firewalls von Watchguard verschaffen.

Der Schwachstelleneintrag lautet: „”Die Standardkonfiguration von Watchguard Firebox-Geräten bis 2025-09-10 ermöglicht administrativen Zugang mittels SSH auf Port 4118 mit dem readwrite-Passwort für das Admin-Konto.” Einer detaillierteren Fehlerbeschreibung zufolge, geht es nicht  um ein zu erlangendes Passwort, sondern der Zugang “admin” wird standardmäßig mit dem Passwort “readwrite” versehen. Während der Einrichtung ermöglicht der Wizard zwar die Modifikation der Zugangsdaten, erzwingt diese aber nicht. Laut Watchguard stelle “Ein Szenario, in dem ein Administrator angewiesen wird, die Standard-Administrator-Anmeldedaten während der Ersteinrichtung zu ändern, und er sich dafür entscheidet, die Standardanmeldedaten wiederzuverwenden, […] keine Sicherheitslücke dar.”

Da die Dokumentation, die die Standardpasswörter beschreibt, sich nicht auf bestimmte Modelle bezieht, scheinen sämtliche Watchguard-Modelle betroffen zu sein. Auch lässt die Fehlermeldung offen, ob lediglich Geräte bis zum 10. September 2025 überprüft wurden, oder ob neuere Firmware-Versionen Änderungen mitbringen. Administratoren sollten deshalb unmittelbar die verwendete Konfiguration prüfen.

Was jetzt zu tun ist: Zugangsdaten prüfen und ggf. ändern

Lücken in Cisco Firewalls aktiv für DoS-Angriffe ausgenutzt: Nach aktuellen Informationen werden derzeit zwei Schwachstellen in Ciscos ASA- und FTD-Firewalls genutzt, um diese durch Neustartschleifen außer Gefecht zu setzen. Nachdem das Unternehmen am 25. September Sicherheitsupdates veröffentlichte, um beide Sicherheitslücken zu beheben, erklärte es, dass CVE-2025-20362 es Angreifern aus der Ferne ermöglicht, ohne Authentifizierung auf eingeschränkte URL-Endpunkte zuzugreifen, während CVE-2025-20333 authentifizierten Angreifern die Ausführung von Remote-Code auf anfälligen Geräten ermöglicht. Miteinander verknüpft ermöglichen sie es nicht authentifizierten Angreifern aus der Ferne, die vollständige Kontrolle über nicht gepatchte Systeme zu erlangen.

Noch am selben Tag forderte die CISA in einer Notfallanweisung US-Bundesbehörden dazu auf, ihre Cisco-Firewall-Geräte innerhalb von 24 Stunden gegen Angriffe mit dieser Exploit-Kette zu sichern. Die Shadowserver Foundation trackt derzeit über 34.000 im Internet exponierte ASA- und FTD-Instanzen, die für Angriffe mit diesen CVEs anfällig sind. Im September waren es noch fast 50.000 ungepatchte Firewalls.

Was jetzt zu tun ist: Unverzüglich patchen

SAP fixt kritische Lücke in SQL Anywhere Monitor: In SAPs November-Updates behebt das Unternehmen unter anderem eine Schwachstelle mit maximaler Schweregradbewertung in der Nicht-GUI-Variante des SQL Anywhere Monitor.

Das Tool dient der Datenbanküberwachung und -warnung und wird in der Regel von Unternehmen verwendet, die verteilte oder Remote-Datenbanken verwalten.

Die als CVE-2025-42890 geführte Schwachstelle besteht aus fest codierten Anmeldedaten, weshalb sie, aufgrund des hohen Risikos, die maximale Schweregradbewertung von 10,0 erhielt. Laut Beschreibung hat „SQL Anywhere Monitor (Non-GUI) […] Anmeldedaten in den Code eingebettet, wodurch die Ressourcen oder Funktionen für unbeabsichtigte Benutzer zugänglich wurden und Angreifern die Möglichkeit zur Ausführung von beliebigem Code geboten wurde“. Das kann dazu führen, dass ein Angreifer, der die Anmeldedaten erhält, diese nutzen kann, um auf Verwaltungsfunktionen zuzugreifen.

Bisher wurde keine aktive Ausnutzung der Lücke festgestellt. Behoben wurde diese vergangenen Dienstag und Systemadministratoren wird empfohlen, die verfügbaren Updates schnellstmöglich zu installieren.

Was jetzt zu tun ist: Unverzüglich patchen

Zurück zu allen News

Weitere Inhalte zum Thema

Logo Newsletter IT-Sicherheit

Nichts mehr verpassen!

Mit Klick auf „Newsletter anmelden“ erhalten Sie unseren Newsletter. Die Anmeldung wird erst aktiv, nachdem Sie den Bestätigungslink in der E-Mail angeklickt haben. Datenschutzerklärung