CVE-2025–27364 in MITRE Caldera: Ausnutzung einer neuen Maximal-Schwere RCE-Schwachstelle durch Manipulation von Linker-Flags kann zur vollständigen Kompromittierung des Systems führen
Eine neuartige maximale Schwere RCE Verwundbarkeit (CVE-2025-27364) in MITRE Caldera stellt ein ernsthaftes Risiko einer Systemkompromittierung dar. Der Fehler kann auch mit einem weiteren Sicherheitsproblem in Parallels Desktop, CVE-2024-34331, kombiniert werden, um das Risiko von Bedrohungen zu verdoppeln. Wenn diese Sicherheitsprobleme ausgenutzt werden, könnten sie Hackern die volle Systemkontrolle verschaffen, was zu unbefugtem Zugriff, Datenverletzungen und weiterer lateraler Bewegung innerhalb eines betroffenen Netzwerks führen könnte.
Mit dem schnellen Anstieg an waffenfähigen CVEs war die Notwendigkeit für proaktive Bedrohungserkennung noch nie so dringend. Zu Beginn des Jahres 2025 hat die NIST NVD bereits 6.480 neue Sicherheitsprobleme registriert, von denen viele bereits in realen Angriffen genutzt wurden. Da sich Cyberbedrohungen weiterhin entwickeln, müssen Sicherheitsteams weltweit Prioritäten auf frühzeitige Erkennungsstrategien setzen, um Exploit-Versuche vorherzusehen und Risiken effektiv zu mindern.
Die SOC Prime Plattform für kollektive Cyberverteidigung ermöglicht es Sicherheitsteams, mithilfe eines globalen Feeds über aktive Bedrohungen, Echtzeit-CTI und kuratierten Erkennungsalgorithmen Angriffe zu erkennen und abzuwehren, die waffenfähige CVEs nutzen, und das bereits in den frühesten Stadien. Registrieren Sie sich auf der Plattform , um auf eine umfangreiche Bibliothek von Sigma-Regeln zuzugreifen, die von einer vollständigen Produktsuite für fortschrittliche Bedrohungserkennung und -jagd unterstützt werden. Außerdem können Sie unsere Regelbibliothek mit dem Filter „CVE“-Tag durchsuchen, indem Sie Erkennungen erkunden unten auswählen, damit Ihnen keine Bedrohung entgeht, die potenziell Ihr Geschäft herausfordern könnte, da täglich Erkennungen hinzugefügt werden.
Alle Regeln können in verschiedenen Sicherheitsanalysetools verwendet werden und sind auf das MITRE ATT&CK Framework abgebildet, um die Bedrohungsforschung zu erleichtern. Zusätzlich sind die Erkennungen mit ausführlichen Metadaten angereichert, einschließlich CTI Referenzen, Angriffschronologien, Empfehlungen zur Einschätzung und mehr.
Analyse von CVE-2025-27364
Verteidiger haben kürzlich eine neuartige RCE-Schwachstelle in MITRE Caldera-Versionen bis 4.2.0 und 5.0.0 (vor dem Commit 35bc06e) aufgedeckt, die als CVE-2025-27364 verfolgt wird (CVSS 10.0). Letzteres beeinträchtigt die Fähigkeit des Servers, dynamische Agenten (Implants) zu kompilieren. Diese Schwachstelle höchster Schwere ist besonders gefährlich, da keine Authentifizierung erforderlich ist, damit Angreifer sie waffenfähig machen. Hacker können die betroffene API ausnutzen, um bösartigen Code in den Kompilierungsprozess einzuschleusen, was zur Installation von unbefugten Sandcat- oder Manx-Agenten führt. Gegner können diese Schwachstelle durch Missbrauch der gcc -extldflags Linker-Flagge mit Unterbefehlen waffenfähig machen. Angesichts der umfangreichen Rolle von Caldera im Bereich Penetrationstests und Gegneremulation stellt dieses Sicherheitsrisiko ein erhebliches Risiko für Unternehmen dar, die auf die Plattform für Red Teaming und Sicherheitsautomatisierung angewiesen sind.
Die Veröffentlichung eines CVE-2025-27364 Proof of Concept erhöht die Risiken einer realen Ausbeutung erheblich. Das Ausführen eines bestimmten curl-Befehls macht das Ausnutzen der Schwachstelle einfach. Ein erfolgreicher Angriff startet eine Reverse-Shell, die ein Python-Skript ausführt, das Bedrohungsakteuren Root-Zugang verschafft.
Bemerkenswerterweise kann CVE-2025-27364 auch in der Angriffskette zusammen mit CVE-2024-34331 genutzt werden, einer älteren, ungelösten Sicherheitslücke in Parallels Desktop, die zu einer lokalen Privilegienerweiterung auf macOS-Systemen führen kann. Wenn beide Schwachstellen ausgenutzt werden, könnten Hacker die volle Kontrolle über das Zielsystem erlangen, was zu unbefugtem Zugriff, Datenverletzungen und einer Gefährdung des Netzwerks führen könnte.
Um die Ausbeutungsrisiken von CVE-2025-27364 zeitnah zu addressieren, empfehlen Verteidiger dringend ein Update auf die neueste behobene Version durchzuführen, indem entweder der Master-Branch oder die Version 5.1.0 und höher abgerufen wird. Darüber hinaus werden Benutzer aufgefordert, den Zugang zur Caldera-API durch Netzwerksegmentierung und strenge Kontrollen einzuschränken und ständig ungewöhnliche Agentenkompilationen oder API-Aktivitäten zu überwachen, um Bedrohungen proaktiv zu erkennen. SOC Prime Plattform für kollektive Cyberverteidigung hilft Organisationen, Cyberbedrohungen auszusteuern, ungeachtet ihrer Komplexität, indem sie sich auf ihre vollständige Produktsuite verlassen, die von KI, umsetzbarer Bedrohungsintelligenz und fortschrittlichen automatisierten Fähigkeiten unterstützt wird, um nahtlos eine Next-Gen-SOC-Strategie zu übernehmen.
