In der aktuellen Version des Backup Systems Acronis Cyber Protect 16 wurden mehrere teils schwerwiegende Sicherheitslücken entdeckt, die es Angreifern ermöglichen, unbefugt Daten auszulesen, zu ändern oder höhere Rechte im System zu erlangen. Betroffen sind Linux- und Windows-Installationen vor der Build‐Nummer 39938. Folgende CVEs stechen besonders hervor:
- CVE-2025-30411 (CVSS 10.0, kritisch): Unzureichende Authentifizierung in Acronis Cyber Protect 16 (Linux & Windows). Angreifer können ohne gültige Zugangsdaten sensible Dateien auslesen und manipulieren.
- CVE-2025-30416 (CVSS 10.0, kritisch): Fehlende Autorisierung in Acronis Cyber Protect 16 (Linux & Windows). Gleiches Risiko: beliebige Datenzugriffe und -manipulation.
- CVE-2025-30412 (CVSS 10.0, kritisch): Weitere Lücke in der Authentifizierung von Cyber Protect 16 (Linux & Windows) mit identischem Schadenpotenzial.
Zusätzlich sind ältere Builds betroffen:
- CVE-2025-30410 (CVSS 9.8, kritisch): In Acronis Cyber Protect 16 und im Acronis Cyber Protect Cloud Agent (Linux, macOS, Windows) vor Build 39870 fehlt eine Authentifizierung, sodass sensible Daten unbefugt entwendet oder verändert werden können.
- CVE-2025-48961 (CVSS 7.3, hoch): Unsichere Ordner-Berechtigungen in Cyber Protect 16 für Windows (vor Build 39938) erlauben Privilegienausweitung.
- CVE-2025-48960 (CVSS 5.9, mittel): Schwacher TLS-Server‐Key in Cyber Protect 16 (Linux, macOS, Windows) vor Build 39938, der Man‐in‐the‐Middle‐Angriffe begünstigt.
- CVE-2025-48962 (CVSS 4.3, mittel): SSRF‐Lücke (Server‐Side‐Request‐Forgery) in Cyber Protect 16 (Linux & Windows), mit der Angreifer sensible Informationen ausspähen können (unter macOS nicht vorhanden).
Acronis bietet bereits seit etwa einem Monat Updates an:
- Acronis Cyber Protect 16 Update 4 (für Linux, macOS und Windows)
- Acronis Cyber Protect Cloud Agent Update C25.03 Hotfix 2
Betroffene Anwender sollten die Aktualisierungen umgehend installieren, um das Risiko unbefugter Datenzugriffe und Systemkompromittierungen zu minimieren.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: