92 ist die hälfte von 99

Neuigkeiten aus der KW27.2025

Hier für euch neun interessante Beiträge aus der Woche 30.6 – 6.7 (KW27-2025) zusammen gestellt und zusammengefasst, zwei davon ausführlich betrachtet und mit mehr Details versehen – quasi einmal quer durch meine „Wews“ Welt.

sudo chwoot | The Xbox 9000 | USB-C++ | 80k BTC | Hightech Doro | Citrix Bleed 2 | MF Resurrection | Nvidia $4B | Cisco ssh CUCM

Artikel 1

Kritische sudo Lücke in vielen Linux Distributionen

Das Thema welches die komplette Woche überschattet hat war wohl die CVE-2025-32463 | EUVD-2025-19673 welche prinzipiell jedem unprivilegierten Benutzer root Rechte per sudo ermöglicht.
Exploit chwoot bereits im Umlauf

Die Kernpunkte sind:

Die Gefahr: Eine kritische Schwachstelle in sudo (CVSS 9,3) ermöglicht es lokalen Benutzern, durch einen Fehler in der chroot-Funktion Root-Rechte zu erlangen. Ein funktionsfähiger Exploit-Code namens „chwoot“ steht öffentlich zur Verfügung und wurde erfolgreich auf Ubuntu 24.04 und Fedora 41 getestet. Weitere Details findet Ihr beispielsweise bei den Jungs von Golem.de:
Kritische Schwachstelle CVE-2025-32463 in sudo gefährdet Linux-Systeme

Betroffene Systeme: Die Sudo-Versionen 1.9.14 bis 1.9.17 sind definitiv betroffen, was Millionen Linux-Systeme gefährdet. Quellen: borncity | heise. Debian 11 und 12 sind nicht betroffen, da sie ältere sudo-Versionen verwenden.

Lösung: Die Schwachstelle wurde in sudo 1.9.17p1 vom 28. Juni 2025 behoben. Die meisten Distributionen haben bereits Sicherheitsupdates bereitgestellt.

Dringlichkeit: Da ein öffentlicher Exploit verfügbar ist und die Ausnutzung einfach möglich ist, sollten Administratoren umgehend die verfügbaren Updates installieren – besonders bei Mehrbenutzersystemen und Cloud-Umgebungen.

Gehen wir etwas mehr ins Detail:
Überblick

Eine kritische Sicherheitslücke im weit verbreiteten Linux-Tool sudo gefährdet Millionen von Linux-Systemen weltweit. Die als CVE-2025-32463 bezeichnete Schwachstelle ermöglicht es unprivilegierten Benutzern, mit minimalem Aufwand Root-Rechte zu erlangen und damit die vollständige Kontrolle über das System zu übernehmen.

Technische Details

Die Schwachstelle

  • CVE-ID: CVE-2025-32463
  • CVSS-Score: 9,2 (kritisch)
  • Betroffene Komponente: chroot-Funktion in sudo
  • Ausnutzung: Lokale Privilegien-Eskalation

Funktionsweise des Angriffs

Der Fehler liegt in der Implementierung der chroot-Funktion von sudo. Zwischen zwei Funktionsaufrufen ruft diese den „Name Service Switch“ (NSS) auf, der die Datei /etc/nsswitch.conf lädt. Ein Angreifer kann diese Funktion dazu bringen, eine manipulierte Datei mit C-Code (eine dynamische .so-Bibliothek) zu laden und mit Root-Rechten auszuführen.

Die Forscher haben den Exploit-Code „chwoot“ genannt – eine Wortspiel aus „chroot“ und „root“, das die Natur der Schwachstelle widerspiegelt.

Betroffene Systeme

Sudo-Versionen

  • Definitiv betroffen: Sudo-Versionen 1.9.14 bis 1.9.17
  • Nicht betroffen: Versionen vor 1.8.32 (fehlerhafte Code wurde erst in 1.8.32 eingeführt)
  • Unklar: Versionen zwischen 1.8.32 und 1.9.14 (nicht vollständig getestet)

Linux-Distributionen

Bestätigte betroffene Systeme:

  • Ubuntu 24.04.2 (Noble Numbat)
  • Ubuntu 24.10 (Oracular Oriole)
  • Ubuntu 25.04 (Plucky Puffin)
  • Ubuntu LTS-Versionen: 22.04 (Jammy), 20.04 (Focal), 18.04 (Bionic), 16.04 (Xenial), 14.04 (Trusty)
  • Fedora 41
  • openSUSE Tumbleweed (vor Snapshot vom 02.07.2025)

Nicht betroffene Systeme:

  • Debian 11 (Bullseye) – verwendet sudo 1.9.5
  • Debian 12 (Bookworm) – verwendet sudo 1.9.13

Entdeckung und Veröffentlichung

Die Schwachstelle wurde von Rich Mirch von der „Stratascale Cyber Research Unit“ entdeckt und am 30. Juni 2025 öffentlich dokumentiert.

Proof of Concept

Ein funktionsfähiger Exploit-Code steht öffentlich zur Verfügung und wurde erfolgreich auf verschiedenen Systemen getestet. Der Angriff erfordert lediglich einen C-Compiler und ist in der Standardkonfiguration von sudo ausnutzbar.

Behebung und Updates

Offizielle Lösung

  • Gepatchte Version: sudo 1.9.17p1 (verfügbar seit 28. Juni 2025)
  • Lösung: Die problematischen Änderungen aus Version 1.9.14 wurden rückgängig gemacht
  • Zukunft: Die chroot-Funktion wird in künftigen sudo-Versionen vollständig entfernt

Distributionsspezifische Updates

Ubuntu:

  • Alle betroffenen Versionen haben Sicherheitsupdates erhalten
  • Advisory: USN-7604-1
  • Updates portieren den Bugfix in die jeweils verwendete sudo-Version

Debian:

  • Bookworm: sudo 1.9.13p3-1+deb12u2 (vorsorglich gepatcht)
  • Bullseye: sudo 1.9.5p2-3+deb11u2 (vorsorglich gepatcht)

openSUSE:

  • Tumbleweed: sudo 1.9.17p1 ab Snapshot vom 02.07.2025

Evlt. auch noch interessant:

Zweite Sicherheitslücke: CVE-2025-32462

Parallel wurde eine weitere sudo-Schwachstelle entdeckt:

Details

  • CVE-ID: CVE-2025-32462
  • CVSS-Score: 2,8 (niedrige Priorität)
  • Problem: Umgehung von Host-Beschränkungen in sudoers-Konfiguration
  • Voraussetzung: Spezielle Konfiguration in /etc/sudoers erforderlich
  • Versteckt seit: 12 Jahren in sudo

Ausnutzung

Diese Lücke ist nur ausnutzbar, wenn:

  1. Der Angreifer Zugang zu einem lokalen Konto hat
  2. Die sudoers-Datei Regeln für andere Systeme (Remote-Hosts) enthält

Risikobewertung

Hohe Gefahr

  • Einfache Ausnutzung: Geringe Angriffskomplexität
  • Weite Verbreitung: Betrifft Millionen von Linux-Systemen
  • Vollständige Kompromittierung: Root-Rechte = komplette Systemkontrolle
  • Öffentlicher Exploit: Funktionsfähiger Code verfügbar

Einschränkungen

  • Lokaler Zugang erforderlich: Angreifer muss bereits ein Konto auf dem System haben
  • Standardkonfiguration: Funktioniert mit Standard-sudo-Konfiguration

Empfohlene Maßnahmen

Sofortige Schritte

  1. Updates installieren: Priorität haben alle verfügbaren sudo-Updates
  2. Systeme prüfen: Betroffene sudo-Version identifizieren (sudo --version)
  3. Cloud-Templates aktualisieren: VM-Vorlagen auf neuesten Stand bringen
  4. Monitoring verstärken: Ungewöhnliche sudo-Aktivitäten überwachen

Langfristige Maßnahmen

  1. Regelmäßige Updates: Automatisierte Update-Prozesse implementieren
  2. Zugangskontrolle: Lokale Benutzerkonten minimieren und überwachen
  3. Monitoring: Logs auf verdächtige Privilegien-Eskalationen prüfen

Workarounds

Für CVE-2025-32462 empfiehlt Red Hat als Zwischenlösung:

  • Entfernung von Remote-Host-Regeln aus sudoers-Dateien
  • Beschränkung auf lokale Konto-Definitionen

Fazit

Diese kritische Sicherheitslücke unterstreicht die Wichtigkeit zeitnaher Sicherheitsupdates in Linux-Umgebungen. Die Kombination aus weiter Verbreitung, einfacher Ausnutzung und verfügbarem Exploit-Code macht diese Schwachstelle zu einer der bedeutendsten Linux-Sicherheitslücken des Jahres 2025. Systemadministratoren sollten umgehend handeln und die verfügbaren Updates einspielen.

Artikel 2

Microsoft haut „over 9000“ Mann bei XBox raus

Die Referenz ist zwar putzig, der Anlass leider eher zum heulen. Laut Bloomberg und SeattleTimes wird in der Gaming Sparte von Microsoft gerade Tabula Rasa gemacht.

Microsoft setzt massive Entlassungswelle aus 2023 und 2024 fort

Microsoft hat zu Beginn seines neuen Geschäftsjahres erneut Tausende von Mitarbeitern entlassen und damit eine der größten Entlassungsserien in der Unternehmensgeschichte fortgesetzt. Bis zu 4% der Belegschaft, etwas über 9.000 Mitarbeiter, könnten von den aktuellen Kürzungen betroffen sein. Allein im Bundesstaat Washington verloren 830 Beschäftigte ihren Arbeitsplatz.

Entlassungen im größeren Kontext

Diese Entlassungen folgen auf zwei frühere Wellen im Mai und Juni, bei denen Microsoft bereits über 6.000 Mitarbeiter entließ. Seit Mai hat das Unternehmen weltweit mehr als 15.000 Arbeitsplätze abgebaut – mehr als 3.100 davon in Washington. Microsoft betont, dass die Kürzungen nicht leistungsbedingt seien und darauf abzielen, Managementebenen zu reduzieren und die Agilität zu erhöhen.

Betroffene Bereiche

Besonders betroffen sind verschiedene Unternehmensbereiche, einschließlich Vertrieb, Marketing und Gaming. Gaming-Chef Phil Spencer bestätigte Kürzungen in seinem Bereich, obwohl die Gaming-Sparte erfolgreich läuft. Laut dem Bloomberg Artikel sind von der aktuellen Kündigungswelle hauptsächlich Mitarbeiter aus dem Gaming betroffen, was insbesondere nach der Rekord-Übernahme von Activision-Blizzard-King auch sicher einige in Europa betreffen wird bzw. bereits betroffen hat.
Sidenote: Für die damaligen Kollegen die noch den Kahlschlag in Cork überlebt hatten und nun möglicherweise betroffen sind, die alte Blizzard 600 Gruppe aus 2012 steht nach wie vor als Netzwerk für euch bereit!

KI-Investitionen als Kostentreiber

Während Microsoft Personal abbaut, investiert das Unternehmen massiv in Künstliche Intelligenz. Für das laufende Geschäftsjahr plant Microsoft Infrastrukturausgaben von über 80 Milliarden Dollar – eine Steigerung um 25 Milliarden gegenüber dem Vorjahr. Die hohen KI-Kosten zwingen das Unternehmen dazu, an anderen Stellen zu sparen.

Paradoxe Situation

Bemerkenswert ist, dass diese Entlassungen nach einem der besten Quartale in der Unternehmensgeschichte erfolgen, mit fast 26 Milliarden Dollar Gewinn bei 70 Milliarden Dollar Umsatz. Experten sehen dies als Fortsetzung der „Rightsizing“-Bewegung der Tech-Branche nach dem pandemiebedingten Wachstum.

Artikel 3

FAQ/Artikel über die vielen Standards von USB-C

heise.de hilft beim hin schauen:
Nicht jedes USB-C-Kabel ermöglicht sämtliche Funktionen!

Wichtigste Erkenntnisse aus diesem Heise-Artikel lautet: Nur weil USB-C drauf steht und der Stecker passt, heißt dass noch lange nicht dass auch alle Funktionen möglich sind. Wie so oft geht es nur wenn man sich die Zeit nimmt und eben genauer hin schaut.

Hauptproblem: Vielfalt trotz Standardisierung

USB-C sollte eigentlich für Vereinheitlichung sorgen, doch die Realität sieht anders aus. Es gibt weiterhin viele unterschiedliche USB-C-Kabel mit verschiedenen Funktionen und Qualitäten.

Grund für die Unterschiede: Kostenoptimierung

Funktionseinschränkungen: Resultat sind Kabel mit eingeschränktem Funktionsumfang

Preisdruck: Verbraucher kaufen oft das billigste verfügbare Kabel

Herstellerreaktion: Unternehmen reduzieren Fertigungskosten durch Weglassen von Adern

Die Kollegen von ct3003 haben dazu auch ein hübsches Video und Artikel mit viel mehr Background am Start, viel Spaß mit Keno und Christoph:

Auch da wird aber die Quintessenz sein, wenn keine Angabe auf dem Kabel steht, hilft nur ausprobieren, was es tatsächlich kann.

Ach, noch als Faustformel: Kürzere Kabel bis maximal 1m sind tendenziell eher schneller bzw. können mehr Watt übertragen, einfach weil längere Kabel da von der Physik ausgebremst werden. Viel Erfolg.

Fazit: Beim USB-C-Kabel-Kauf sollte man nicht nur auf den Preis schauen, sondern besser die gewünschte Funktionalität zu Erst berücksichtigen – je nach benötigtem Anwendungszweck (nur Laden vs. schnelle Datenübertragung).

Artikel 4

80k Bitcoin am Independence Day „on the move“

Das Netz diskutiert seit Freitag eine recht spektakuläre Transaktion von nicht weniger als 80.000 Bitcoin, die seit 2011 nicht mehr bewegt wurden.

Über Twitter – ähm X natürlich – gibt es ein paar Einblicke in die Transaktion, unter anderem auch dass die 80000 Coins auf 8 verschiedene Adressen zu je 10000 aufgesplittet wurden. Spektakuläre 8,6 Milliarden Dollar stellt die Transaktion dar bei einem Bitcoin Stückpreis von 107.774 am 4.7 – YAY!

80k BTC moved on Independence Day

Es wohl im Vorfeld auch keine Testüberweisung einer kleinen Teilmenge gab (mutig oder siegessicher?) und dass aufgrund des Alters der Coins wohl jemand vermutlich nur relativ kleines Handgeld dafür löhnen musste.

Auch wird fleißig diskutiert wieviel Geduld man an den Tag legen muss, selbst bei 1000er oder 20000er Kurs nicht zu verkaufen und dann jahrelange Flauten mit ansieht.

Wer dran bleiben will folgt am besten dem Account, zumindest wurden regelmäßige Updates versprochen!

Artikel 5

Hightech-Agenda fördert Schlüsseltechnologien

Hightech-Agenda Deutschland – Zentrale Punkte vorgetragen von Forschungsministerin Doro Bär!

Zielsetzung: Die Initiative soll Deutschlands Wettbewerbsfähigkeit, Sicherheit und Souveränität durch Forschung und Technologie stärken. Dabei steht im Fokus, dass neue Technologien das Leben der Bürger verbessern, Wohlstand schaffen und Abhängigkeiten reduzieren sollen.

Federführung und Timing: Das Bundesministerium für Forschung, Technologie und Raumfahrt führt die Offensive, die in diesem Sommer startet. Das Motto lautet: Wettbewerbsfähigkeit, Wertschöpfung und Souveränität „made in Germany“.

Budget: 5,5 Milliarden Euro will der Bund investieren, primär in Hightech.

Die sechs Schlüsseltechnologien:

  1. Künstliche Intelligenz
  2. Quantentechnologien
  3. Mikroelektronik
  4. Biotechnologie
  5. Fusion und klimaneutrale Energieerzeugung
  6. Technologien für klimaneutrale Mobilität

Ausgangslage: Deutschland hat in allen genannten Bereichen bereits eine starke Basis mit einem international attraktiven Wissenschafts- und Forschungssystem, hoher technologischer Leistungsfähigkeit und innovativen Unternehmen.

Die Agenda zielt darauf ab, diese vorhandenen Stärken gezielt auszubauen und Deutschland als führenden Technologiestandort zu positionieren.

Umsetzungsstrategie und Zeitplan:

Konkrete Maßnahmen:

  • Flaggschiff-Initiativen für jede der sechs Schlüsseltechnologien mit klaren Zeitplänen, dass Agenda Papier ist bereits bei den anderen Ministerien.
  • Erste Schritte werden noch 2025 eingeleitet
  • Ab Herbst 2025 werden Länder und Akteure aus Wissenschaft, Wirtschaft und Gesellschaft zur gemeinsamen Ausgestaltung eingeladen

Kernproblem: Deutsche Transferschwäche Ein zentraler Fokus liegt darauf, Deutschlands chronische Transferschwäche zu überwinden – also die Lücke zwischen Forschung und praktischer Anwendung zu schließen. Dafür sollen neue Ansätze in der Förderung und Innovationsfinanzierung etabliert werden.

Gemeinschaftlicher Ansatz: Die Agenda versteht sich als „gemeinsamer Gestaltungsauftrag“ und richtet sich an Umsetzungspartner aus allen relevanten Bereichen: Wissenschaft, Wirtschaft, Gesellschaft und Verwaltung.

Wirtschaftliche Argumentation: Bundesministerin Dorothee Bär betont die enorme Hebelwirkung: Laut EU-Kommission bringt jeder in Forschung investierte Euro bis zu elf Euro für die EU-Wirtschaft zurück. Sie warnt: „Wer heute nicht in Innovationen investiert, wird morgen abhängig sein.“

Philosophie: Innovationen werden nicht als Luxus, sondern als Deutschlands Geschäftsmodell und Grundlage für zukünftigen Wohlstand definiert. Die Agenda soll Deutschland wieder an die Spitze des internationalen Technologiewettbewerbs bringen.

Quelle: Handelsblatt | Handelsblatt

Artikel 6

Citrix, das war wohl nix – Citrix Bleed 2 geht um

Aktueller Stand 30.6 – mindestens 1200 Citrix NetScaler ADC und NetScaler Gateway Instanzen sind aktuell ungepatcht im Netz erreichbar.
Party on, Wayne?

Mehr als 1.200 öffentlich zugängliche Citrix NetScaler ADC und NetScaler Gateway-Geräte sind noch nicht gegen eine kritische Sicherheitslücke gepatcht, die als aktiv ausgenutzt gilt. Die Schwachstelle ermöglicht es Angreifern, die Authentifizierung zu umgehen, indem sie Benutzersitzungen kapern.

Die Schwachstelle (CVE-2025-5777 | EUVD-2025-18497):

  • Wird als „Citrix Bleed 2“ bezeichnet, in Anlehnung an eine ähnliche 2023 ausgenutzte Lücke
  • Ermöglicht unauthentifizierten Angreifern den Zugriff auf gesperrte Speicherbereiche
  • Angreifer können Sitzungs-Token, Anmeldedaten und andere sensible Daten stehlen
  • Sogar Multi-Faktor-Authentifizierung (MFA) kann umgangen werden

Aktuelle Bedrohungslage:

  • Die Shadowserver Foundation entdeckte über 2.100 verwundbare Geräte
  • Citrix bestätigt noch keine aktive Ausnutzung
  • Die Cybersicherheitsfirma ReliaQuest berichtet jedoch mit mittlerer Sicherheit von gezielten Angriffen
  • Verdächtige Aktivitäten umfassen gekaperte Web-Sitzungen und LDAP-Abfragen für Active Directory-Aufklärung

Empfohlene Maßnahmen: Citrix empfiehlt Administratoren, sofort alle NetScaler-Geräte zu patchen und nach der Aktualisierung alle aktiven ICA- und PCoIP-Sitzungen zu beenden. Zusätzlich sollten Unternehmen ihre Zugangskontrollen überprüfen und die Geräte auf verdächtige Benutzeraktivitäten überwachen.

FunFact:
Parallel dazu sind über 2.100 NetScaler-Geräte auch gegen eine andere kritische Schwachstelle (CVE-2025-6543) mit Score 9,2 nicht gepatcht, die bereits in Denial-of-Service-Angriffen ausgenutzt wird.

Wow… Party on, Wayne! Party on, Garth!

Artikel 7

Mindfactory Resurrection: Heise übernimmt

Heise übernimmt Hardware-Händler Mindfactory – Die wichtigsten Fakten

Der Deal: Die heise group übernimmt wie geplant den Hardware-Händler Mindfactory. Die Übergabe findet zum 31. Juli 2025 statt, woraufhin das Unternehmen in die heise mindfactory gmbh umbenannt wird.
Das Bundeskartellamt hat grünes Licht gegeben.

Hintergrund der Übernahme: Das Medienhaus Heise hat am 30. Juni 2025 einen bemerkenswerten Schritt gewagt und den vollständigen Geschäftsbetrieb der Mindfactory GmbH übernommen. Die Übernahme erfolgt im Rahmen eines Asset-Deals. Mindfactory war zuvor in einem Insolvenzverfahren und suchte nach einem Investor.

Neue Führung: Als neuer Geschäftsführer wird Marcel Kirchner ernannt. Er war zuvor knapp 16 Jahre bei Mindfactory im Einkauf als Purchasing Manager tätig und beteiligt sich mit 3,57 Prozent am Unternehmen.

Bedeutung: Geschieht das, wechselt einer der größten deutschen Online-Händler von PC-Komponenten den Besitzer. Deutschlands führender Gaming-Händler „Mindfactory“ hat die gerichtliche Sanierung in Eigenverwaltung erfolgreich abgeschlossen.

Geschäftsstrategie: Das neue Unternehmen, welches den neuen Geschäftsbereich Commerce neben Content, Connect und Compare konstituieren soll, geht am 31. Juli 2025 ganz offiziell an den Start.

Die Übernahme rettet einen der wichtigsten deutschen Hardware-Händler vor der Insolvenz und erweitert Heises Geschäftsfeld um den E-Commerce-Bereich.

Artikel 8

NVDA ist am 3.7 kurzzeitig das wertvollste Unternehmen der Welt

Nvidia erreicht kurz den historischen Meilenstein als wertvollstes Unternehmen der Welt.

Lang hat es nicht gehalten, aber der Trend ist wohl deutlich erkennbar.
Am 3.7 schließt Nvidia mit einem Börsenwert von 3 Billionen und 920 Millarden – ganz knapp über dem bisherigen Rekordhalter Apple der am 26.12.2024 mit 3,915 Billionen zum Börsenschluss als das wertvollste Unternehmen der Welt galt.

Vier Billionen Dollar Börsenwert. Das ist fast vier gefolgt von zwölf Nullen – Okay, fast, ausgeschrieben: 3920000000000 Dollar. Wahnsinn.
Gerade einmal 4 Jahre ist es übrigens her als Apple für die hälfte dieses Börsenwerts gefeiert wurde (2020) mit dem Hinweis, dass sie Ihren Wert ja bereits innerhalb von nur 2 Jahren verdoppeln konnten. Anscheinend verlangsamt sich jetzt das Wachstum, oder anders ausgedrückt hat die nächste Verdopplung auch die doppelte Zeit gebraucht.

Bitte dies deshalb nicht ganz ernst nehmen: Extrapolieren wir dieses Wachstum aus der jüngeren Vergangenheit von Apple auf die mittelfristige Zukunft von Nvidia sollte also die 8 Billionen-Zielmarke ca. gegen 2033 gerissen werden.

Update nur eine Woche später: Der Chipriese Nvidia hat einen historischen Meilenstein erreicht: Als erstes Unternehmen weltweit knackte der auf Grafikkarten KI-Hardware 😉 spezialisierte Konzern die Marke von vier Billionen US-Dollar Börsenwert.

4 Billionen US-Dollar: Nvidia wertvollstes Unternehmen

Damit hat sich Nvidia zur wertvollsten Aktiengesellschaft der Welt entwickelt.

Der Aufstieg von Nvidia ist eng mit dem Boom der künstlichen Intelligenz verbunden. Das Unternehmen profitiert massiv von der hohen Nachfrage nach KI-Hardware und Grafikprozessoren, die für maschinelles Lernen und KI-Anwendungen benötigt werden.

Nvidia ist inzwischen mehr als doppelt so viel wert wie alle 40 DAX-Unternehmen zusammen. Nvidia war im Juni zeitweise das wertvollste Unternehmen der Welt und hat diese Position nun weiter ausgebaut.

Ranking der wertvollsten Unternehmen der Welt 2025

Die beeindruckende Marktkapitalisierung spiegelt die Erwartungen der Investoren wider, dass Nvidia vom anhaltenden KI-Boom weiter profitieren wird. Das Unternehmen hat sich als führender Anbieter von Chips etabliert, die für KI-Training und -Inferenz unerlässlich sind.

Quelle: Reuters Artikel

Artikel 9

Cisco SSH Sicherheitslücke im CUCM

BaseScore 10/10 – Obacht Leute! CVE-2025-20309 | EUVD-2025-21714

Zusammenfassung der Cisco-Sicherheitslücke CVE-2025-20309 sowie aktueller Stand direkt beim Hersteller Cisco

Betroffenes Produkt: Cisco Unified Communications Manager (CUCM) Cisco, Sicherheitslücke CVE-2025-20309 birgt hohes Risiko der Remote-Ausnutzung – ZAM für alle Cisco Unified CM und Unified CM SME Engineering Special (ES) Versionen 15.0.1.13010-1 bis 15.0.1.13017-1

Art der Sicherheitslücke: Die Schwachstelle stammt von einem schlechten Management der SSH-Zugriffskontrollen, wodurch ein nicht autorisierter Angreifer die etablierten Sicherheitsmechanismen umgehen kann.

Besonders pikant: Der Zugriff erfolgt über einen Entwickler-Root-Account mit statischen SSH-Zugangsdaten, die auch gar nicht geändert werden können. Angeblich ein Überbleibsel aus der Entwicklung. Beispielsweise im Heise Forum wird in so einem Fall gern vermutet, dass das möglicherweise wenig mit Versehen zu tun hatte.

Schweregrad: UPDATE: CVSS v3.1-Ergebnis: 8.6 (Hoher Schweregrad) mit hohem Risiko der Remote-Ausnutzung

Ausnutzung: Dieser Fehler kann ausgenutzt werden Remote über eine SSH-Sitzung falsch konfiguriert, ohne vorherige Authentifizierung erforderlich. Die Schwachstelle wird laut CERT-FR bereits aktiv ausgenutzt.

Auswirkungen: Ein erfolgreicher Angriff ermöglicht:

  • Unbefugten Systemzugriff
  • Umgehung von Netzwerksicherheitsrichtlinien
  • Wiederherstellung vertraulicher Daten
  • Störung der Telefoniedienste

Gegenmaßnahmen:

  • Fix per Software-Update verfügbar im CUCM
  • Es ist keine praktikable Problemumgehung bekannt
  • Cisco empfiehlt, SSH-Zugriff zu deaktivieren wenn nicht zwingend erforderlich und Netzwerkzugriff einzuschränken

Veröffentlichung: Das Sicherheitsbulletin wurde am 2. Juli 2025 von Cisco veröffentlicht und am 3. Juli 2025 vom französischen CERT-FR gemeldet.

Die Sicherheitslücke stellt eine ernste Bedrohung dar, besonders für VoIP-Infrastrukturen, da sie als Einstiegspunkt für größere Netzwerkangriffe genutzt werden kann. Darüber können entfernte Angreifer völlig ohne Authentifizierung auf diese Systeme zugreifen. Im Anschluss können sie Schadcode mit Root-Rechten ausführen, der absoluter Supergau.



Quellen: nicolascoolman.eu | dfn-cert.de | cisco.com

So, das war es auch schon wieder für die KW27 – diesmal mit eindeutigem Fokus auf Verteidigung – ich hoffe wir lesen uns bald wieder.

Bis dahin, frei nach Sun-Tsu:
Lerne aus jeder Schlacht, ob gewonnen oder verloren

Analysiere jeden Vorfall, ob erfolgreich abgewehrt oder schädigend, um Lehren zu ziehen und deine IT-Verteidigung kontinuierlich zu verbessern.
Nur so kannst du zukünftige Bedrohungen besser meistern.

Stephan
| | |
| | | | | | |
nach oben | Startseite | zur Suche