Unauthenticated Remote Code Execution: Die fehlende Authentifizierung, die das Königreich verrät 👑

In der sich ständig weiterentwickelnden Landschaft der Cybersecurity-Bedrohungen stellen wenige Schwachstellenklassen ein so unmittelbares und katastrophales Risiko dar wie unauthentifizierte Remote Code Execution (RCE). Diese kritischen Schwachstellen sind das Äquivalent dazu, die Tore Ihres Schlosses weit offen zu lassen—keine Schlüssel, Passwörter oder Anmeldeinformationen erforderlich. Angreifer treten einfach durch die Haustür ein und übernehmen die Kontrolle über Ihr gesamtes Königreich.

Die Schwere dieser Schwachstellen kann nicht hoch genug eingeschätzt werden. Wenn Authentifizierungsmechanismen versagen oder vollständig umgangen werden, bricht das grundlegende Sicherheitsprinzip “Vertrauen, aber überprüfen” zusammen. Die Folgen? Vollständige Systemkompromittierung, Datenlecks, laterale Bewegungen im Netzwerk und potenzieller Ransomware-Einsatz—alles ohne ein einziges Passwort zu knacken.

Der Oracle Identity Manager-Breach: Eine Fallstudie zum katastrophalen Versagen

Die kürzliche Entdeckung von CVE-2025-61757 im Oracle Identity Manager zeigt, warum Schwachstellen in unauthentifizierter RCE die Sicherheitsexperten nachts wach halten. Diese vor-Authentifizierungs-Remote-Code-Execution-Schwachstelle betrifft Oracle Identity Manager Versionen 12.2.1.4.0 und 14.1.2.1.0, mit einem CVSS-Score von 9,8 von 10. Oracle hat die Schwachstelle im Critical Patch Update Oktober 2025 behoben, doch nicht bevor Bedrohungsakteure mit aktiver Ausnutzung begannen.

Die Anatomie des Angriffs

Die Schwachstelle verbindet zwei unterschiedliche Schwächen, die zusammen einen perfekten Sturm für Systemkompromittierung erzeugen. Der Fehler liegt in einem Authentifizierungsumgehung in den REST-APIs von Oracle Identity Manager, bei der ein Sicherheitsfilter durch das Anhängen von Parametern wie ?WSDL oder ;.wadl an URL-Pfade dazu verleitet wird, geschützte Endpunkte als öffentlich zugänglich zu behandeln.

Stellen Sie sich vor, ein Türsteher in einem exklusiven Club wurde angewiesen, jedem durchzulassen, wenn er einfach einen bestimmten Suffix an seinen Namen anhängt. Die technische Umsetzung ist täuschend einfach—Angreifer entdeckten, dass das Hinzufügen von “;.wadl” zu URLs die Authentifizierungsfilter vollständig umgeht und Zugriff auf privilegierte Endpunkte gewährt, die niemals öffentlich zugänglich sein sollten.

Sobald sie innerhalb des geschützten Perimeters sind, erhielten Angreifer Zugriff auf einen Groovy-Script-Compiler-Endpunkt. Obwohl dieser Endpunkt nicht dafür ausgelegt war, Code direkt auszuführen, fanden Forscher heraus, dass er durch Groovy-Annotation-Processing-Funktionen für die Ausführung bösartiger Codes während der Kompilierung missbraucht werden konnte. Das Ergebnis: vollständige Systemübernahme ohne Eingabe eines einzigen Credentials.

Beweis für Zero-Day-Ausnutzung

Besonders besorgniserregend ist der Hinweis, dass CVE-2025-61757 vor der Veröffentlichung von Oracle-Patches als Zero-Day ausgenutzt wurde. Analysen der Honeypot-Logs zeigten mehrere Versuche, auf verwundbare URLs via HTTP POST zwischen dem 30. August und 9. September 2025 zuzugreifen—fast zwei Monate vor dem offiziellen Patch.

CISA fügte CVE-2025-61757 am 21. November 2025 in ihren Katalog der bekannten ausgenutzten Schwachstellen auf, mit der Anweisung an Bundesbehörden, die Schwachstelle bis zum 12. Dezember zu beheben. Die Aufnahme bestätigt aktive Ausnutzung in realen Angriffen und erhöht den Handlungsdruck für Organisationen, die betroffene Systeme betreiben.

Das Angriffsmuster in den Honeypot-Daten zeigte eine bemerkenswerte Konsistenz: Mehrere IP-Adressen mit identischen User-Agents, POST-Anfragen mit exakt 556-Byte-Payloads und Versuche, Endpunkte mit dem auffälligen “;.wadl”-Suffix zu erreichen. Dieses Fingerabdruck deutet entweder auf koordinierte Scans durch einen einzelnen Bedrohungsakteur oder auf eine schnelle Verbreitung von Exploit-Code über mehrere Angriffsgruppen hin.

Die breitere Epidemie: Kürzliche Schwachstellen in unauthentifizierter RCE

Oracle Identity Manager ist bei weitem nicht das einzige System, das Schwachstellen in der Authentifizierungsumgehung aufweist, die zu Remote Code Execution führen. Die Cybersecurity-Landschaft 2024 und 2025 hat eine alarmierende Zunahme ähnlicher kritischer Schwachstellen in weitverbreiteten Enterprise-Plattformen erlebt.

React und Next.js: Der Albtraum der Lieferkette

Im Dezember 2025 wurde eine kritische Schwachstelle mit CVE-2025-55182 in React Server Components entdeckt, mit einem maximalen CVSS-Score von 10,0. Die Schwachstelle, genannt “React2shell,” ermöglicht es unautorisierte Angreifern, durch unsichere Deserialisierung im React Flight-Protokoll Remote Code Execution zu erreichen.

Betroffen sind React-Versionen 19.0 bis 19.2.0 sowie Next.js-Versionen mit dem App Router. Schätzungen zufolge sind etwa 39 % der Cloud-Umgebungen anfällig für diese React- und Next.js-Schwachstellen, was eine enorme Angriffsfläche über Hunderttausende von Servern bedeutet.

Besonders gefährlich ist, dass diese Schwachstelle in den Standardkonfigurationen der Frameworks besteht. Organisationen, die nur den üblichen Deployment-Methoden folgten, waren sofort verwundbar—keine besonderen Bedingungen oder Edge Cases erforderlich.

Die Schwachstelle könnte seit dem 14. November 2024 ausgenutzt werden, als React 19.0.0 veröffentlicht wurde, was bedeutet, dass Organisationen über ein Jahr lang verwundbaren Code liefen, bevor Patches verfügbar wurden.

Fortinet FortiWeb: Doppelter Ärger

Im November 2025 wurde eine kritische Schwachstelle in Fortinet FortiWeb Web Application Firewalls (CVE-2025-64446) aktiv ausgenutzt, seit Anfang Oktober 2025. Ironisch ist, dass ein Sicherheitssystem, das speziell zum Schutz von Webanwendungen entwickelt wurde, selbst zum Angriffsvektor wurde.

Die Exploit-Methode zeigt ein ausgeklügeltes Verständnis des Zielsystems. Angreifer kombinierten zwei Schwachstellen: eine Pfad-Traversal-Schwäche in der FortiWeb API und eine Authentifizierungsfunktion, die vertrauenswürdige Client-Informationen ohne ordnungsgemäße Überprüfung akzeptierte. Durch das Erstellen von Anfragen mit bestimmten Pfad-Traversal-Mustern und base64-kodierten Authentifizierungsheadern konnten Angreifer das integrierte Admin-Konto imitieren und eine persistente Hintertür schaffen.

Cisco Identity Services Engine: Das kompromittierte Unternehmens-Backbone

Mehrere unauthentifizierte RCE-Schwachstellen in Cisco Identity Services Engine (ISE) traten 2024 und 2025 auf, die eine Plattform betreffen, die als Authentifizierungs- und Richtliniendurchsetzungssystem für unzählige Unternehmensnetzwerke dient. Diese Schwachstellen könnten es unautorisierten Remote-Angreifern ermöglichen, Befehle im zugrunde liegenden Betriebssystem als root auszuführen.

Wenn die Systeme, die eigentlich die Authentifizierungs- und Autorisierungsrichtlinien durchsetzen sollen, verwundbar werden, hat das Sicherheitsproblem Auswirkungen auf die gesamte Netzwerk-Infrastruktur.

Warum Authentifizierungsumgehung zum vollständigen Systemkompromiss führt

Der Übergang von Authentifizierungsumgehung zur vollständigen Systemübernahme folgt einem vorhersehbaren und verheerenden Muster:

Erster Zugriff ohne Anmeldeinformationen: Der Angreifer umgeht die Authentifizierungsmechanismen vollständig und erhält Zugriff auf geschützte Ressourcen oder Verwaltungsinterfaces, die gültige Anmeldeinformationen erfordern sollten.

Privilegienerhöhung: Sobald er innerhalb des authentifizierten Perimeters ist, findet sich der Angreifer meist in Kontexten mit erhöhten Rechten wieder. Identitätsmanagement-Systeme arbeiten naturgemäß mit hohen Berechtigungen, um Benutzer und Zugriffe in der gesamten Organisation zu verwalten.

Persistenzaufbau: Mit administrativem Zugriff erstellen Angreifer Hintertürkonten, installieren Web-Shells oder modifizieren legitime Systemkomponenten, um auch nach Behebung der Schwachstelle Zugriff zu behalten.

Laterale Bewegung: Vom kompromittierten Identitätsmanagement-System aus können Angreifer Anmeldeinformationen sammeln, Zugriffsrichtlinien ändern und sich frei im Netzwerk bewegen.

Datenexfiltration und Auswirkungen: Die letzte Phase umfasst das Stehlen sensibler Daten, den Einsatz von Ransomware oder die operative Störung—alles ermöglicht, weil die anfängliche Authentifizierungsbarriere einfach nicht vorhanden war.

Die technischen Ursachen: Häufige Muster bei Authentifizierungsfehlern

Das Verständnis, wie diese Schwachstellen entstehen, offenbart häufige Muster in der Softwareentwicklung, die Sicherheitsteams proaktiv angehen können:

Unsichere Deserialisierung

Viele neuere RCE-Schwachstellen resultieren aus unsicherer Handhabung serialisierter Payloads, bei denen Anwendungen Daten aus untrusted Quellen deserialisieren, ohne sie ausreichend zu validieren. Wenn vom Nutzer kontrollierte Daten die Objekterstellung und Methodenaufrufe beeinflussen, können Angreifer bösartige Objekte einschleusen, die während des Deserialisierungsvorgangs Code ausführen.

Das React Server Components-Problem veranschaulicht dieses Muster perfekt. Der Server vertraute eingehenden Datenstrukturen zu sehr und versäumte es, unerwartete Objektformen oder Referenzen abzulehnen. Das System führte bösartige Payloads mit der gleichen Zuverlässigkeit aus wie legitimen Code, weil es genau so funktionierte—nur mit bösartigem Input.

Filter-Umgehung durch Pfadmanipulation

Sicherheitsfilter für Java-Anwendungen enthalten oft Schwachstellen bei der Authentifizierungsumgehung, die mit der Interpretation der Request-URIs zusammenhängen. Angreifer nutzen Inkonsistenzen bei der URL-Analyse zwischen Sicherheitsfiltern und Anwendungs-Handlern aus.

Im Fall von Oracle Identity Manager bewertete der Sicherheitsfilter URLs anders als die Backend-Routing-Logik. Durch das Anhängen bestimmter Suffixe oder die Verwendung von Pfad-Traversal-Techniken machten Angreifer geschützte Endpunkte für den Filter öffentlich, während die Anwendung sie weiterhin als privilegierte Operationen verarbeitete.

Fehlende Authentifizierungsprüfungen bei kritischen Funktionen

Vielleicht das grundlegendste Fehlermuster: Kritische Systemfunktionen, die überhaupt keine Authentifizierungsprüfungen enthalten. Bei der Schwachstelle in Fortinet FortiWeb akzeptierte die Authentifizierungsfunktion client-seitig bereitgestellte Identitätsinformationen, ohne sie gegen eine autoritative Quelle zu verifizieren.

CISA klassifizierte CVE-2025-61757 als eine Schwachstelle wegen fehlender Authentifizierung bei einer kritischen Funktion und betonte, dass das Problem nicht in ausgeklügelten Umgehungstechniken lag, sondern in der völligen Abwesenheit von Authentifizierungsanforderungen, wo sie hätten bestehen sollen.

Fehlendes Vertrauen in interne Header

Die Next.js-Umgehung bei der Autorisierung (CVE-2025-29927) zeigte die Gefahren, die mit der Abhängigkeit von client-kontrollierten Daten für Sicherheitsentscheidungen verbunden sind. Die Schwachstelle resultierte aus inkonsistenter Handhabung benutzerdefinierter x-middleware-subrequest-Header. Während diese für interne Zwecke gedacht sind, um Endlosschleifen zu verhindern, konnten Angreifer diese Header fälschen, um Middleware-basierte Sicherheitsprüfungen vollständig zu umgehen.

Erkennung und Reaktion: Identifikation aktiver Ausnutzung

Organisationen müssen robuste Erkennungsmechanismen implementieren, um Exploit-Versuche frühzeitig zu erkennen:

Netzwerk-Ebene

Überwachen Sie verdächtige Muster im HTTP-Verkehr: - Anfragen an API-Endpunkte mit ungewöhnlichen Suffixen wie “;.wadl”, “?WSDL” oder ähnlichen Pfadmanipulationen - POST-Anfragen an Authentifizierungs-Endpunkte von nicht authentifizierten Quellen - Konsistente Payload-Größen, die bekannten Exploit-Mustern entsprechen (wie die 556-Byte-Payloads bei Oracle Identity Manager) - Spezifische User-Agent-Strings, die mit Scanning-Tools und Exploit-Frameworks in Verbindung stehen

System-Ebene

Suchen Sie nach Hinweisen auf Kompromittierungen auf potenziell betroffenen Systemen: - Unerwartete Administrator-Konten, die während des Schwachstellen-Zeitraums erstellt wurden - Neue lokale Benutzerkonten mit erhöhten Rechten - Vertrauenswürdige Host-Bereiche, die zu permissiv eingestellt sind (0.0.0.0/0 oder ::/0) - Ungewöhnliche Prozesse, die in Webanwendungsordnern ausgeführt werden - Änderungen an legitimen Systemdateien oder Konfigurationen

Log-Analyse

Sicherheits-Teams sollten die Erkennung so konfigurieren, dass HTTP-Verkehr mit verdächtigen Suffixen erkannt wird, insbesondere POST-Anfragen mit bestimmten Payload-Eigenschaften. Diese Ereignisse sollten mit bekannten Angreifer-IP-Adressen und User-Agent-Fingerabdrücken korreliert werden.

Führen Sie eine kontinuierliche Überwachung durch für: - Fehlgeschlagene und erfolgreiche Authentifizierungsversuche aus unerwarteten Quellen - API-Aufrufe an privilegierte Endpunkte ohne entsprechende Authentifizierungsereignisse - Ungewöhnliche Kompilierungs- oder Script-Ausführungsaktivitäten - Plötzliche Zunahme ausgehender Netzwerkverbindungen von Webservern

Strategien zur Schadensbegrenzung: Das Königreich schützen

Sofortmaßnahmen

Patches umgehend anwenden: Für CVE-2025-61757 hat Oracle im Critical Patch Update Oktober 2025 Fixes veröffentlicht. Organisationen sollten die Bereitstellung dieser Patches sofort priorisieren, gemäß den von Oracle vorgegebenen Update-Verfahren und Voraussetzungen.

Für React- und Next.js-Deployments: Upgraden Sie auf die gepatchten Versionen: React 19.0.1, 19.1.2 oder 19.2.1, sowie Next.js Versionen 16.0.7, 15.5.7 oder entsprechende Versionen für Ihre Deployment-Umgebung.

Implementieren Sie Ausgleichskontrollen: Während Sie auf vollständiges Patchen hinarbeiten: - Deployen Sie Web Application Firewall (WAF)-Regeln, um bekannte Exploit-Muster zu blockieren - Begrenzen Sie den Netzwerkzugriff auf betroffene Systeme durch Firewalls und Zugriffskontrolllisten - Für Oracle Identity Manager: Beschränken Sie den Zugriff auf REST-API-Endpunkte auf vertrauenswürdige IP-Adressen - Überlegen Sie, den HTTP/HTTPS-Zugriff auf internetexponierte Management-Schnittstellen vorübergehend zu deaktivieren

Notfallmaßnahmen bei kompromittierten Systemen: Falls Sie einen Angriff vermuten: - Isolieren Sie betroffene Systeme sofort vom Netzwerk - Bewahren Sie Logs und Systemzustände für forensische Analysen auf - Überprüfen Sie alle administrativen Konten auf unautorisierte Änderungen - Setzen Sie Passwörter aller privilegierten Konten zurück - Scannen Sie nach Web-Shells, Hintertüren und anderen Persistenzmechanismen

Langfristige Sicherheitsverbesserungen

Zero Trust-Architektur: Die Verbreitung von Schwachstellen in der Authentifizierungsumgehung unterstreicht die Notwendigkeit von Zero Trust-Prinzipien. Gehen Sie niemals davon aus, dass eine Anfrage innerhalb des Netzwerks oder nach einer einzigen Authentifizierungsprüfung vertrauenswürdig ist.

Implementieren Sie: - Kontinuierliche Verifikation von Identität und Berechtigungen für jede Anfrage - Micro-Segmentierung, um laterale Bewegungen zu begrenzen - Prinzip der minimalen Rechte - Multi-Faktor-Authentifizierung für alle administrativen Funktionen

Sichere Entwicklungspraxis: Organisationen, die eigene Anwendungen entwickeln, sollten priorisieren: - Umfassende Sicherheitstests inklusive Szenarien für Authentifizierungsumgehung - Code-Reviews mit Fokus auf Authentifizierungs- und Autorisierungslogik - Eingabevalidierung und -sanitisierung für alle externen Daten - Sichere Deserialisierung mit strenger Typprüfung - Prinzip des sicheren Scheiterns: Authentifizierungsfehler sollen den Zugriff verweigern, nicht erlauben

Verteidigung in der Tiefe: Schichten Sie Sicherheitskontrollen, sodass das Versagen eines einzelnen Mechanismus nicht zu einem vollständigen Kompromiss führt: - Netzwerksegmentierung und Firewalls - Intrusion Detection und Prevention Systeme - Web Application Firewalls mit aktuellen Regeln - Runtime Application Self-Protection (RASP) - Security Information and Event Management (SIEM) mit Bedrohungsdaten

Schwachstellenmanagement-Programm

Implementieren Sie robuste Prozesse für das Management des Schwachstellenlebenszyklus: - Abonnieren Sie Sicherheitswarnungen von Anbietern und Bedrohungsdatenfeeds - Halten Sie eine genaue Asset-Inventarliste aller Software und Versionen - Führen Sie automatisierte Schwachstellen-Scans und -Bewertungen durch - Legen Sie SLAs für Patch-Implementierungen basierend auf Kritikalität fest - Führen Sie regelmäßige Penetrationstests mit Fokus auf Authentifizierungsmechanismen durch

Die größeren Implikationen: Risiken in der Lieferkette und im Ökosystem

Die Schwachstellen in React und Next.js verdeutlichen eine beunruhigende Realität moderner Softwareentwicklung: Schwachstellen in grundlegenden Bibliotheken und Frameworks schaffen systemisches Risiko im gesamten Ökosystem. React hat 168.640 Abhängigkeiten und erhält mehr als 51 Millionen Downloads pro Woche, was bedeutet, dass eine einzelne Schwachstelle unzählige nachgelagerte Anwendungen betrifft.

Organisationen können Sicherheit nicht mehr nur als ihre eigene Verantwortung betrachten. Sie übernehmen die Sicherheitslage jeder Bibliothek, jedes Frameworks und jeder Abhängigkeit in ihrem Technologiestack. Das erfordert:

Software Composition Analysis: Implementieren Sie automatisierte Tools, um alle Open-Source- und Drittanbieter-Komponenten zu verfolgen, bekannte Schwachstellen zu überwachen und bei kritischen Problemen zu alarmieren.

Lieferanten-Sicherheitsbewertung: Bewerten Sie vor der Einführung neuer Technologien die Sicherheitspraktiken des Anbieters, den Schwachstellen-Disclosur-Prozess und die Patch-Implementierungs-Historie.

Schnelle Update-Fähigkeiten: Bauen Sie Infrastruktur und Prozesse auf, die eine schnelle Bereitstellung von Sicherheitsupdates in Ihrer Anwendungslandschaft ermöglichen.

Fazit: Wachsamkeit im Zeitalter der Authentifizierungsumgehung

Schwachstellen in unauthentifizierter Remote Code Execution stellen die schwerwiegendste Kategorie von Sicherheitslücken dar, die Angreifern einen direkten Weg vom Internet zur vollständigen Systemübernahme ohne das Knacken von Credentials oder komplexe Angriffsketten bieten. Der jüngste Anstieg hochkarätiger Schwachstellen in der Authentifizierungsumgehung—von Oracle Identity Manager bis React Server Components und Fortinet FortiWeb—zeigt, dass selbst ausgereifte, weitverbreitete Enterprise-Plattformen anfällig für diese fundamentalen Sicherheitsfehler bleiben.

Die Warnung des CISA, dass CVE-2025-61757 erhebliche Risiken für die Bundesverwaltung darstellt, gilt gleichermaßen für private Organisationen. Wenn Identitätsmanagement-Systeme selbst zum Angriffsvektor werden, können die Kaskadeneffekte ganze Unternehmensinfrastrukturen kompromittieren.

Der Weg nach vorne erfordert einen vielschichtigen Ansatz: aggressive Patch-Management, Sicherheitsarchitekturen mit Verteidigung in der Tiefe, kontinuierliche Überwachung auf Exploit-Indikatoren und ein grundlegender Wandel hin zu Zero Trust-Prinzipien, die Annahme eines Angriffs und die Überprüfung jeder Zugriffsanfrage unabhängig von der Quelle.

Für Sicherheitsexperten ist die Botschaft klar: Schwachstellen in der Authentifizierungsumgehung werden weiterhin auftreten. Die Organisationen, die überleben und gedeihen, sind jene, die sich proaktiv auf diese Realität vorbereiten durch vorausschauendes Schwachstellenmanagement, schnelle Reaktionsfähigkeit und geschichtete Verteidigungen, die eine einzelne Authentifizierungsfehlfunktion nicht zum Schlüssel für das Königreich machen.

Die Schlossmauern müssen verschlossen, bewacht und kontinuierlich überwacht werden—denn im digitalen Bereich suchen Bedrohungsakteure unaufhörlich nach der fehlenden Authentifizierung, die das Königreich verrät.