Die US-amerikanische Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat kürzlich fünf neue Schwachstellen in ihren Katalog der aktiv ausgenutzten Sicherheitslücken (KEV) aufgenommen. Dies bestätigt, dass eine kürzlich entdeckte Schwachstelle in Oracle E-Business Suite (EBS) bereits für reale Angriffe missbraucht wird. Unternehmen und Behörden sind dringend aufgefordert, ihre Systeme zu überprüfen und entsprechende Patches zu installieren, um kritische Daten zu schützen.
Wichtige Erkenntnisse
- Fünf neue Schwachstellen wurden dem CISA KEV-Katalog hinzugefügt.
- CVE-2025-61884 in Oracle EBS wird aktiv ausgenutzt und ermöglicht unautorisierten Datenzugriff.
- CVE-2025-61882 in Oracle EBS erlaubt unauthentifizierten Angreifern die Ausführung beliebigen Codes.
- Auch Microsoft Windows SMB Client, Kentico Xperience CMS und Apple JavaScriptCore sind betroffen.
- US-Bundesbehörden müssen die Schwachstellen bis zum 10. November 2025 beheben.
Oracle E-Business Suite im Fokus der Angreifer
Besondere Beachtung findet die Schwachstelle mit der Kennung CVE-2025-61884. Diese betrifft die Runtime-Komponente des Oracle Configurator in der Oracle E-Business Suite (EBS) und wird als Server-Side Request Forgery (SSRF) eingestuft. Sie ermöglicht es Angreifern, ohne Authentifizierung aus der Ferne auf kritische Daten zuzugreifen.
Laut CISA ist diese Schwachstelle ohne Authentifizierung aus der Ferne ausnutzbar. Der CVSS-Score liegt bei 7.5, was auf eine hohe Kritikalität hinweist. Diese Lücke ist nicht die einzige in Oracle EBS, die aktiv ausgenutzt wird. Bereits zuvor wurde CVE-2025-61882 (CVSS-Score: 9.8) als kritische Schwachstelle identifiziert. Sie erlaubt es unauthentifizierten Angreifern, beliebigen Code auf anfälligen Systemen auszuführen.
Faktencheck: Oracle EBS-Schwachstellen
- CVE-2025-61884: SSRF-Schwachstelle im Oracle Configurator Runtime. CVSS-Score 7.5. Ermöglicht unautorisierten Datenzugriff.
- CVE-2025-61882: Kritische Schwachstelle, die Remote Code Execution (RCE) ohne Authentifizierung erlaubt. CVSS-Score 9.8.
Hintergrund der Angriffe
Anfang des Monats berichteten die Google Threat Intelligence Group (GTIG) und Mandiant über die Auswirkungen der Ausnutzung von CVE-2025-61882. Dutzende von Organisationen könnten bereits betroffen sein. Zander Work, Senior Security Engineer bei GTIG, äußerte sich dazu:
„Aktuell können wir keine spezifische Ausnutzungsaktivität einem bestimmten Akteur zuordnen. Es ist jedoch wahrscheinlich, dass zumindest ein Teil der beobachteten Angriffe von Akteuren durchgeführt wurde, die jetzt Cl0p-Erpressungsoperationen durchführen.“
Diese Aussage unterstreicht die Ernsthaftigkeit der Bedrohung und die Notwendigkeit für Unternehmen, ihre Sicherheitsmaßnahmen zu verstärken.
Weitere Schwachstellen in Microsoft, Kentico und Apple
Neben den Oracle-Lücken hat CISA vier weitere Schwachstellen in den KEV-Katalog aufgenommen. Diese betreffen weit verbreitete Software und Systeme, was die potenzielle Reichweite der Bedrohungen erhöht.
Microsoft Windows SMB Client
Eine Schwachstelle im Microsoft Windows SMB Client, CVE-2025-33073 (CVSS-Score: 8.8), ermöglicht eine unzureichende Zugriffskontrolle, die zur Privilegienerhöhung führen kann. Microsoft hat diese Lücke bereits im Juni 2025 behoben. Organisationen, die ihre Systeme nicht regelmäßig aktualisieren, bleiben jedoch anfällig.
Kentico Xperience CMS
Gleich zwei kritische Authentifizierungs-Bypass-Schwachstellen wurden im Kentico Xperience CMS entdeckt: CVE-2025-2746 und CVE-2025-2747. Beide weisen einen CVSS-Score von 9.8 auf. Sie erlauben es Angreifern, administrative Objekte zu kontrollieren. Dies geschieht durch Ausnutzung der Passwortbehandlung des Staging Sync Servers für leere SHA1-Benutzernamen bzw. den Server-definierten 'None'-Typ in der Digest-Authentifizierung. Kentico hat diese Probleme im März 2025 behoben.
Hintergrund: KEV-Katalog der CISA
Der KEV-Katalog der CISA listet Sicherheitslücken auf, die bekanntermaßen aktiv ausgenutzt werden. Für US-Bundesbehörden ist die Behebung dieser Schwachstellen innerhalb einer vorgegebenen Frist obligatorisch. Dies soll die Netzwerke der Regierung vor aktuellen Bedrohungen schützen und dient als Richtlinie für private Unternehmen.
Apple JavaScriptCore
Auch Apple-Nutzer sind betroffen: CVE-2022-48503 (CVSS-Score: 8.8) ist eine Schwachstelle im JavaScriptCore-Komponente von Apple. Eine fehlerhafte Validierung des Array-Index kann bei der Verarbeitung von Webinhalten zur Ausführung beliebigen Codes führen. Apple hat diese Schwachstelle bereits im Juli 2022 behoben. Dies zeigt, dass auch ältere, behobene Schwachstellen weiterhin eine Gefahr darstellen können, wenn Systeme nicht auf dem neuesten Stand sind.
Dringender Handlungsbedarf für Unternehmen
Obwohl es zu den vier zuletzt hinzugefügten Schwachstellen keine Details zur aktuellen Ausnutzung gibt, wurden Informationen über CVE-2025-33073, CVE-2025-2746 und CVE-2025-2747 von Forschern von Synacktiv bzw. watchTowr Labs geteilt. Dies deutet darauf hin, dass entsprechende Exploits im Umlauf sein könnten.
US-Bundesbehörden des Federal Civilian Executive Branch (FCEB) müssen die identifizierten Schwachstellen bis zum 10. November 2025 beheben. Diese Frist unterstreicht die Dringlichkeit der Situation. Für alle anderen Organisationen gilt die Empfehlung, ebenfalls umgehend zu handeln. Regelmäßige Updates und Patch-Management sind entscheidend, um Netzwerke gegen aktive Bedrohungen zu sichern.
Unternehmen sollten ihre Systeme sofort auf die genannten Schwachstellen überprüfen. Das Einspielen der neuesten Sicherheitspatches ist der effektivste Weg, um sich vor potenziellen Angriffen zu schützen. Cyberkriminelle nutzen bekannte Lücken oft schnell aus, sobald diese öffentlich werden.
Wichtige Schritte für Unternehmen
- Überprüfen Sie alle Oracle EBS-Systeme auf die Schwachstellen CVE-2025-61884 und CVE-2025-61882.
- Stellen Sie sicher, dass Microsoft Windows SMB Clients auf dem neuesten Stand sind (Patch vom Juni 2025).
- Aktualisieren Sie Kentico Xperience CMS auf die Version mit den Patches vom März 2025.
- Prüfen Sie Apple-Systeme auf das JavaScriptCore-Update vom Juli 2022.
- Implementieren Sie ein robustes Patch-Management und regelmäßige Sicherheitsaudits.
Die kontinuierliche Überwachung und schnelle Reaktion auf neue Bedrohungen sind essenziell. Nur so können kritische Infrastrukturen und sensible Daten effektiv geschützt werden. Die CISA-Warnung dient als wichtiger Hinweis, die eigenen Sicherheitsstrategien zu überprüfen und gegebenenfalls anzupassen.
