CISA fügt zwei hochriskante Schwachstellen zum ausgenutzten Katalog hinzu: Was Sicherheitsteams jetzt tun sollten

Die Cybersecurity and Infrastructure Security Agency (CISA) hat erneut ihren Katalog der bekannten ausgenutzten Schwachstellen (KEV) aktualisiert—eine kritische Informationsquelle sowohl für Verteidiger im öffentlichen als auch im privaten Sektor. Am 2. Mai 2025 wurden zwei Schwachstellen hinzugefügt, die als in freier Wildbahn ausgenutzt verifiziert wurden:

• CVE-2025-34028 – Commvault Command Center Pfad-Traversal-Schwachstelle
• CVE-2024-58136 – YiiFramework Alternativer Pfad-Schwachstelle: Unzureichender Schutz

Diese Erweiterungen unterstreichen die Notwendigkeit für Organisationen in allen Sektoren, wachsam und proaktiv im Umgang mit Schwachstellenmanagement zu bleiben, auch wenn sie nicht unter aktiven föderalen Anforderungen stehen.

Warum diese CVEs wichtig sind

CVE-2025-34028 im Commvault Command Center ist eine Pfad-Traversal-Schwachstelle, die es Angreifern ermöglicht, unautorisierte Verzeichnisse zu lesen oder Code außerhalb der beabsichtigten Dateistrukturen auszuführen. Die Schwachstelle ist besonders besorgniserregend angesichts der sensiblen Natur von Backup- und Datenschutzsystemen, die ein bevorzugtes Ziel von Ransomware-Angreifern und staatlichen Angreifern sind.

CVE-2024-58136 betrifft das Yii PHP Framework, das häufig in Webanwendungen verwendet wird. Es ist das Ergebnis unzureichenden Schutzes alternativer Pfade, die es Angreifern ermöglichen können, Zugriffskontrollen zu umgehen, die dafür vorgesehen sind. Seine Ausnutzung kann zu unautorisierter Nutzung sensibler Funktionen oder Daten führen und stellt somit ein erhebliches Risiko für Entwickler und Plattformadministratoren dar.

Die Rolle von BOD 22-01

Bundesbehörden des zivilen Exekutivzweigs (FCEB), die der verbindlichen operativen Richtlinie 22-01 unterliegen, müssen KEV-gelistete Schwachstellen innerhalb vorgegebener Fristen beheben. Die Richtlinie fordert eine strukturierte, priorisierte Reaktion auf aktiv ausgenutzte CVEs zugunsten robusterer Sicherheitspositionen in Regierungsnetzwerken.
Während die Richtlinie auf Bundesbehörden abzielt, empfiehlt CISA dringend, dass alle Organisationen—private Unternehmen, Anbieter kritischer Infrastrukturen und SaaS-Anbieter—den KEV-Katalog als dringende Liste zur Behebung verwenden.

Expertenrat für Sicherheitsteams

Bei Security Briefing drängen wir auf sofortige Maßnahmen für Administratoren, die Commvault- oder Yii-Installationen überwachen:

• Überprüfen Sie jede Installation des Commvault Command Center und von Webanwendungen, die auf Yii basieren.
• Patchen oder wenden Sie so schnell wie möglich Abhilfemaßnahmen an. Eine verlängerte Verzögerung beim Patchen öffentlich ausgenutzter Schwachstellen kann zu direktem Kompromittieren führen.
• Wenden Sie Dateizugriffskontrollen und Web Application Firewalls (WAFs) an, um Pfad-Traversal- oder alternative Pfad-Zugriffsversuche zu identifizieren und zu verhindern.
• Verfolgen Sie den KEV-Katalog von CISA wöchentlich—integrieren Sie ihn in automatisierte Schwachstellenscans und Abhilfemaßnahmen.
• Überprüfen Sie Zugriffsprotokolle und führen Sie Bedrohungsjagden nach Anzeichen früherer Ausnutzung durch, insbesondere in extern ausgerichteten Systemen.

Abschließender Gedanke: Die kontinuierlichen Updates des KEV-Katalogs durch CISA stellen ein wichtiges Warnsystem dar. Nicht auf diese Warnungen zu reagieren, ist dasselbe wie bekannte Einstiegspunkte für Cyberkriminelle offen zu halten, die aktiv davon profitieren. Unabhängig davon, ob Sie dem privaten oder öffentlichen Sektor angehören, behandeln Sie jede KEV-Ergänzung mit höchster Priorität. Proaktives Schwachstellenmanagement ist keine Wahl mehr—es ist eine Notwendigkeit, um das moderne Unternehmen zu sichern.