In der umfangreichen Virenschutz- und Backup-Software Acronis Cyber Protect hat der Hersteller mehrere, teils höchst kritische Sicherheitslücken entdeckt. Diese stopfen die Entwickler mit aktualisierter Software.
Angreifer können durch die Schwachstellen vertrauliche Daten abgreifen und manipulieren oder ihre Rechte im System ausweiten. Drei Schwachstellen stellen den schlimmstmöglichen Fall dar und erreichen die Höchstwertung CVSS 10 von 10 möglichen "Punkten". Details nennt Acronis keine, lediglich eine knappe Beschreibung. Einmal können Angreifer sensible Daten auslesen und verändern aufgrund unzureichender Authentifizierung (CVE-2025-30411 / noch kein EUVD, CVSS 10.0, Risiko "kritisch"). Denselben Effekt hat eine fehlende Autorisierung (CVE-2025-30416 / noch kein EUVD, CVSS 10.0, Risiko "kritisch") sowie eine weitere unzureichende Authentifizierung (CVE-2025-30412 / noch kein EUVD, CVSS 10.0, Risiko "kritisch"). Die Schwachstellen betreffen Acronis Cyber Protect 16 für Linux und Windows vor der Build-Nummer 39938.
Weitere Sicherheitslücken in Acronis-Software
Aufgrund einer weiteren fehlenden Authentifizierung gelingen unbefugte Zugriffe und potenzielle Manipulationen von sensiblen Daten neben der älteren vorgenannten Acronis-Cyber-Protect-16-Builds auch unter Linux und zudem im Acronis Cyber Protect Cloud Agent für Linux, macOS und Windows vor Build 39870 (CVE-2025-30410 / kein EUVD, CVSS 9.8, Risiko "kritisch"). In Acronis Cyber Protect 16 für Windows vor dem Build 39938 klafft zudem eine Sicherheitslücke, die Angreifern aufgrund von unsicheren Ordner-Berechtigungen ermöglicht, ihre Rechte im System auszuweiten (CVE-2025-48961 / EUVD-2025-16875, CVSS 7.3, Risiko "hoch").
Acronis Cyber Protect 16 für Linux, macOS und Windows nutzt vor Build 39938 außerdem einen schwachen Server Key für die TLS-Verschlüsselung (CVE-2025-48960 / EUVD-2025-16874, CVSS 5.9, Risiko "mittel"). Außer unter macOS können Angreifer darin zudem eine Server-Side-Request-Forgery (SSRF) zum Ausspähen sensibler Informationen missbrauchen (CVE-2025-48962 / EUVD-2025-16876, CVSS 4.3, Risiko "mittel").
Updates stehen seit etwa einem Monat in Form von Acronis Cyber Protect 16 Update 4 für Linux, macOS und Windows sowie Acronis Cyber Protect Cloud Agent Update C25.03 Hotfix 2 bereit. Wer Acronis einsetzt, sollte die Aktualisierungen zügig installieren, um die Angriffsfläche zu minimieren.
Sicherheitslücken in Acronis-Software ist für Cyberkriminelle interessant. Mitte vergangenen Jahres haben sie eine Sicherheitslücke zum Einschleusen und Ausführen von Schadcode in Acronis Cyber Infrastructure angegriffen.
(dmk)
English (US) ·