Angriffe auf SimpleHelp, Samsung MagicINFO und D-Link DIR-823X beobachtet

Die US-amerikanische IT-Sicherheitsbehörde CISA hat Angriffe auf SimpleHelp, Samsung MagicINFO und D-Link DIR-823X beobachtet. Die angegriffenen Sicherheitslücken sind teils ein wenig älter.

In der Warnung der CISA listet die Behörde die Schwachstelleneinträge auf. Am gravierendsten scheinen zunächst die aktuell laufenden Angriffe auf Lücken im Fernwartungstool SimpleHelp RMM. Eine davon erlaubt Angreifern mit niedrigen Rechten, API-Schlüssel mit weitreichenden Rechten zu erstellen und so die Server-Admin-Rolle zu erlangen (CVE-2024-57726, CVSS 9.9, Risiko „kritisch“). Die andere ermöglicht das Hochladen von manipulierten ZIP-Dateien, die Dateien an beliebige Stellen des Dateisystems verfrachten und so das Ausführen eigenen Codes mit den Rechten des SimpleHelp-Servers erlaubt (CVE-2024-57728, CVSS 7.2, Risiko „hoch“). Version 5.5.8 oder neuere korrigieren die Probleme. Die Sicherheitslücken wurden jedoch bereits im Januar 2025 angegriffen. Offenbar haben einige Admins die verfügbaren Aktualisierungen immer noch nicht angewendet.

Samsung MagicINFO 9 Server ist eine Digital-Signage-Plattform zur Steuerung von Displays in Unternehmen und öffentlichen Einrichtungen. Aufgrund einer Schwachstelle können Angreifer beliebige Dateien auf das System schreiben, mit System-Rechten. Das erlaubt offenbar das Ausführen von eingeschleustem Code. Die Lücke CVE-2024-7399 (CVSS 9.8, Risiko „kritisch“) ist bereits etwas älter, Samsung hat sie mit einem Update im August 2024 bedacht. Das Aktivieren des automatischen Updates über „Menü“ – „Support“ – „Software-Update“ sollte die Aktualisierung finden und auf das Gerät befördern.

Botnetz auf EOL-Router

Auf die D-Link-Router DIR-823X haben es bösartige Akteure ebenfalls abgesehen. Darin können Angreifer aus dem Netz nach einer Anmeldung beliebige Befehle ausführen (CVE-2025-29635, CVSS 7.2, Risiko „hoch“). Der Support für diese Router ist jedoch am 15. November 2024 bereits ausgelaufen. Wer solch ein veraltetes Gerät noch in der IT-Umgebung hat, sollte es schleunigst durch ein Gerät ersetzen, das vom Hersteller mit Sicherheitsupdates versorgt wird. Der Cloud- und Sicherheitsanbieter Akamai hat vergangene Woche über Angriffe auf D-Link-Router durch das Mirai-Botnetz berichtet, das sich auf diesen veralteten Geräten ausbreitet. Das Unternehmen stellt Snort- und Yara-Regeln bereit, mit denen sich bekannte Angriffe und Malware erkennen lassen.

Zu den anderen aktuellen Angriffen sind keine weiteren Informationen etwa zu Art, Umfang oder Indizien für erfolgreiche Angriffe (Indicators of Compromise, IOC) bekannt. IT-Verantwortliche sollten die bereitstehenden Aktualisierungen aber zügig anwenden.

(dmk)