Kritische Schwachstellen in Acronis Backup Systemen

In der aktuellen Version des Backup Systems Acronis Cyber Protect 16 wurden mehrere teils schwerwiegende SicherheitslĂŒcken entdeckt, die es Angreifern ermöglichen, unbefugt Daten auszulesen, zu Ă€ndern oder höhere Rechte im System zu erlangen. Betroffen sind Linux- und Windows-Installationen vor der Build‐Nummer 39938. Folgende CVEs stechen besonders hervor:

  • CVE-2025-30411 (CVSS 10.0, kritisch): Unzureichende Authentifizierung in Acronis Cyber Protect 16 (Linux & Windows). Angreifer können ohne gĂŒltige Zugangsdaten sensible Dateien auslesen und manipulieren.
  • CVE-2025-30416 (CVSS 10.0, kritisch): Fehlende Autorisierung in Acronis Cyber Protect 16 (Linux & Windows). Gleiches Risiko: beliebige Datenzugriffe und -manipulation.
  • CVE-2025-30412 (CVSS 10.0, kritisch): Weitere LĂŒcke in der Authentifizierung von Cyber Protect 16 (Linux & Windows) mit identischem Schadenpotenzial.

ZusÀtzlich sind Àltere Builds betroffen:

  • CVE-2025-30410 (CVSS 9.8, kritisch): In Acronis Cyber Protect 16 und im Acronis Cyber Protect Cloud Agent (Linux, macOS, Windows) vor Build 39870 fehlt eine Authentifizierung, sodass sensible Daten unbefugt entwendet oder verĂ€ndert werden können.
  • CVE-2025-48961 (CVSS 7.3, hoch): Unsichere Ordner-Berechtigungen in Cyber Protect 16 fĂŒr Windows (vor Build 39938) erlauben Privilegienausweitung.
  • CVE-2025-48960 (CVSS 5.9, mittel): Schwacher TLS-Server‐Key in Cyber Protect 16 (Linux, macOS, Windows) vor Build 39938, der Man‐in‐the‐Middle‐Angriffe begĂŒnstigt.
  • CVE-2025-48962 (CVSS 4.3, mittel): SSRF‐LĂŒcke (Server‐Side‐Request‐Forgery) in Cyber Protect 16 (Linux & Windows), mit der Angreifer sensible Informationen ausspĂ€hen können (unter macOS nicht vorhanden).

Acronis bietet bereits seit etwa einem Monat Updates an:

  • Acronis Cyber Protect 16 Update 4 (fĂŒr Linux, macOS und Windows)
  • Acronis Cyber Protect Cloud Agent Update C25.03 Hotfix 2

Betroffene Anwender sollten die Aktualisierungen umgehend installieren, um das Risiko unbefugter Datenzugriffe und Systemkompromittierungen zu minimieren.

Related Posts

FTC verpflichtet GoDaddy zu umfassenden Sicherheitsmaßnahmen nach wiederholten Datenschutzpannen

Die US-Verbraucherschutzbehörde Federal Trade Commission (FTC) hat eine finale Anordnung gegen den Webhosting-Anbieter GoDaddy erlassen. Diese verpflichtet das Unternehmen zu umfangreichen Sicherheitsvorgaben, nachdem es seit 2018 zu mehreren schwerwiegenden Datenpannen gekommen war. GoDaddy, das rund fĂŒnf Millionen Kunden betreut, hatte laut FTC grundlegende Sicherheitsstandards nicht eingehalten und seine Nutzer ĂŒber den Schutz ihrer Daten getĂ€uscht.

Read More

Kritische Schwachstelle in NETGEAR-Router erlaubt Admin-Zugriff ohne Authentifizierung

Sicherheitsforscher haben eine schwerwiegende Schwachstelle (CVE-2025-4978) in NETGEARs DGND3700v2-Routern entdeckt, die es Angreifern ermöglicht, ohne Login-Daten vollstĂ€ndigen Administratorzugriff zu erlangen. Die LĂŒcke wird mit einem CVSSv4-Score von 9.3 als kritisch eingestuft.

Read More

Microsoft und Europol zerschlagen Lumma-Malware

Microsoft und Europol ist gemeinsam mit Partnern aus der Sicherheitsbranche ein bedeutender Schlag gegen die Schadsoftware Lumma-Stealer gelungen. Die Malware hatte sich weltweit auf knapp 400.000 Windows-PCs eingenistet und sensible Daten wie Zugangsdaten, Krypto-Wallets und Dokumente gestohlen.

Read More