CISA warnt vor Angriffen auf SimpleHelp, Samsung MagicINFO und D-Link-Router
Kritische Sicherheitslücken in Fernwartungstool und Digital-Signage-Plattform werden aktiv ausgenutzt – D-Link-Router seit November ohne Support
Hızlı Bakış
- Die US-Sicherheitsbehörde CISA warnt vor aktiven Angriffen auf drei Produkte: das Fernwartungstool SimpleHelp RMM mit zwei kritischen Lücken (CVSS 9.9 und 7.2), die Samsung Digital-Signage-Plattform MagicINFO 9 mit einer kritischen Schwachstelle (CVSS 9.8) sowie D-Link DIR-823X-Router, die seit November 2024 ohne Support sind und vom Mirai-Botnetz angegriffen werden.
- Admins sollten verfügbare Updates umgehend installieren.
Yapay zekâ özeti
Neden Önemli?
Die CISA warnt vor aktiven Angriffen auf bekannte Sicherheitslücken in Unternehmenssoftware. Viele Admins haben verfügbare Updates trotz kritischer CVSS-Werte nicht installiert. Bei D-Link-Routern ist dies besonders problematisch, da der Herstellersupport bereits ausgelaufen ist.
Die US-amerikanische IT-Sicherheitsbehörde CISA hat Angriffe auf SimpleHelp, Samsung MagicINFO und D-Link DIR-823X beobachtet. Die angegriffenen Sicherheitslücken sind teils ein wenig älter.
In der Warnung der CISA listet die Behörde die Schwachstelleneinträge auf. Am gravierendsten scheinen zunächst die aktuell laufenden Angriffe auf Lücken im Fernwartungstool SimpleHelp RMM. Eine davon erlaubt Angreifern mit niedrigen Rechten, API-Schlüssel mit weitreichenden Rechten zu erstellen und so die Server-Admin-Rolle zu erlangen (CVE-2024-57726, CVSS 9.9, Risiko „kritisch“). Die andere ermöglicht das Hochladen von manipulierten ZIP-Dateien, die Dateien an beliebige Stellen des Dateisystems verfrachten und so das Ausführen eigenen Codes mit den Rechten des SimpleHelp-Servers erlaubt (CVE-2024-57728, CVSS 7.2, Risiko „hoch“). Version 5.5.8 oder neuere korrigieren die Probleme. Die Sicherheitslücken wurden jedoch bereits im Januar 2025 angegriffen. Offenbar haben einige Admins die verfügbaren Aktualisierungen immer noch nicht angewendet.
Samsung MagicINFO 9 Server ist eine Digital-Signage-Plattform zur Steuerung von Displays in Unternehmen und öffentlichen Einrichtungen. Aufgrund einer Schwachstelle können Angreifer beliebige Dateien auf das System schreiben, mit System-Rechten. Das erlaubt offenbar das Ausführen von eingeschleustem Code. Die Lücke CVE-2024-7399 (CVSS 9.8, Risiko „kritisch„) ist bereits etwas älter, Samsung hat sie mit einem Update im August 2024 bedacht. Das Aktivieren des automatischen Updates über „Menü“ – „Support“ – „Software-Update“ sollte die Aktualisierung finden und auf das Gerät befördern.
Auf die D-Link-Router DIR-823X haben es bösartige Akteure ebenfalls abgesehen. Darin können Angreifer aus dem Netz nach einer Anmeldung beliebige Befehle ausführen (CVE-2025-29635, CVSS 7.2, Risiko „hoch“). Der Support für diese Router ist jedoch am 15. November 2024 bereits ausgelaufen. Wer solch ein veraltetes Gerät noch in der IT-Umgebung hat, sollte es schleunigst durch ein Gerät ersetzen, das vom Hersteller mit Sicherheitsupdates versorgt wird. Der Cloud- und Sicherheitsanbieter Akamai hat vergangene Woche über Angriffe auf D-Link-Router durch das Mirai-Botnetz berichtet, das sich auf diesen veralteten Geräten ausbreitet. Das Unternehmen stellt Snort- und Yara-Regeln bereit, mit denen sich bekannte Angriffe und Malware erkennen lassen.
Zu den anderen aktuellen Angriffen sind keine weiteren Informationen etwa zu Art, Umfang oder Indizien für erfolgreiche Angriffe (Indicators of Compromise, IOC) bekannt. IT-Verantwortliche sollten die bereitstehenden Aktualisierungen aber zügig anwenden.
Bundan Sonra Ne Olabilir?
Yapay zekâ öngörüsü — kesinlik taşımaz
Weitere Angriffe auf ungepatchte SimpleHelp-Installationen werden erwartet
Çok muhtemel · Haftalar içinde
Mirai-Botnetz wird sich weiter auf D-Link DIR-823X ausbreiten
Muhtemel · Haftalar içinde
Weitere Hersteller werden ähnliche Warnungen veröffentlichen
Olası · Aylar içinde
Açık Sorular
- Wie viele Systeme wurden bisher kompromittiert?
- Gibt es bekannte Indicators of Compromise für die Angriffe?
- Welche Bedrohungsgruppe steht hinter den Angriffen?







