Angriffe auf Sicherheitslücken in Commvault, Brocade Fabric OS und Active! Mail

Cyberkriminelle attackieren junge Sicherheitslücken in mehreren Produkten. Betroffen sind Commvault, Brocade Fabric OS und Active! Mail. Auf die Schwachstellen wurden Angriffe in freier Wildbahn beobachtet. Admins sollten die fehlerbereinigten Versionen zügig installieren.

Die US-amerikanische Cybersicherheitsbehörde CISA warnt aktuell vor den laufenden Cyberattacken. Eine der angegriffenen Sicherheitslücken findet sich im Betriebssystem Brocade Fabric OS. Laut Schwachstellenbeschreibung haben die Entwickler seit Version 9.1.0 zwar den root-Zugang entfernt, aber lokale Nutzer mit Admin-Rechten können möglicherweise beliebigen Code mit vollen root-Rechten ausführen. Betroffen ist Fabric OS 9.1.0 bis 9.1.1d6 (CVE-2025-1976, CVSS 8.6, Risiko „hoch„). Laut Broadcoms Sicherheitsmitteilung korrigiert Fabric OS 9.1.1d7 das Problem, Version 9.2.0 ist hingegen nicht verwundbar.

Backup- und Wiederherstellungssoftware attackiert

Eigentlich dient Commvault Backup & Recovery der Sicherung und Wiederherstellung von Daten. Eine Sicherheitslücke im Webserver lässt sich von bösartigen Akteuren missbrauchen, um Webshells einzuschleusen und auszuführen – und das machen die tatsächlich auch im Netz. Dazu benötigen sie Zugangsdaten zu einem Konto, was die Angriffe etwas erschwert. Commvault nennt die Lücke in einer Sicherheitsmitteilung „kritisch“ (CVE-2025-3928, CVSS 8.7, Risiko „hoch„). Den Fehler bügeln die Commvault-Versionen für Linux und Windows 11.36.46, 11.32.89, 11.28.141 sowie 11.20.217 aus.

Eine dritte aktiv attackierte Schwachstelle betrifft Active! Mail 6. Ein Stack-basierter Pufferüberlauf lässt sich mit sorgsam präparierten Anfragen von Angreifern ohne Authentifizierung aus dem Netz dazu missbrauchen, den Dienst lahmzulegen oder sogar Schadcode einzuschleusen (CVE-2025-42599, CVSS 9.8, Risiko „kritisch„). Die Meldung stammt vom japanischen CERT, dort dürfte die Software vorrangig auch zum Einsatz kommen. Wo die Software benötigt wird, sollte die Aktualisierung auf Version 6.60.06008562 zügig erfolgen, um die Schwachstelle auszubessern.

Wie die Angriffe aussehen, welchen Umfang sie haben oder wie sie sich erkennen lassen, teilt die CISA nicht mit. IT-Verantwortliche sollten daher die Updates so schnell wie möglich installieren, um die Angriffsfläche zu reduzieren und nicht Opfer der beobachteten Attacken zu werden.

Vergangene Woche musste die CISA vor aktiven Angriffen auf eine Schwachstelle in Microsofts NTLM-Authentifizierung warnen. Die Windows-Updates aus dem März stopfen das Sicherheitsleck.

(dmk)