Beobachtungen
Die Cybersecurity and Infrastructure Security Agency (CISA) veröffentlichte eine Warnmeldung zu einer Schwachstelle (CVE-2025-54253) in Adobe Experience Manager (AEM) Forms. Die Schwachstelle wird bereits aktiv ausgenutzt und ermöglicht es Angreifern, Code auf betroffenen Systemen auszuführen.
Methoden
Die Schwachstelle betrifft die Java Enterprise Edition (JEE) von AEM Forms. JEE wird häufig von Unternehmen und Organisationen zur Erstellung digitaler Zeichen und Dokumente verwendet. Bei erfolgreicher Ausnutzung der Schwachstelle, können Angreifer zunächst unautorisierten Zugriff auf das Zielsystem erlangen. Anschließend können sie Befehle mit erweiterten Berechtigungen ausführen.
Die Schwachstelle birgt hohe Risiken, da sie bei Ausnutzung zu einer Ausbreitung im Netzwerk führen kann ("lateral movement"), Systeme kompromittiert werden können und der unautorisierte Zugriff auf vertrauliche Daten möglich ist.
Attribution
Aktuell liegen der Cyberabwehr keine Informationen vor, welche Gruppierungen die Schwachstelle aktiv ausnutzen und ob es bereits zu erfolgreichen Angriffen in Baden-Württemberg oder Deutschland kam. Aufgrund der Verbreitung von AEM besteht jedoch aus unserer Sicht eine erhöhte Gefahr für all jene Unternehmen und Organisationen, die das Produkt einsetzen.
Empfehlungen
Adobe veröffentlichte bereits ein Sicherheitsupdate für die Schwachstelle. Wir empfehlen daher allen Unternehmen und Organisationen, das Update einzuspielen. Für Umgebungen, in denen ein unverzügliches Einspielen des Updates nicht möglich ist, sollten Unternehmen Monitoring betreiben oder vorübergehend die Deaktivierung betroffener Dienste in Betracht ziehen, bis Updates bereitgestellt werden können.
Sicherheitsteams sollten auch ihre AEM Forms-Dienste auf Anzeichen für Kompromittierung überwachen und Zugriffsprotokolle auf verdächtige Aktivitäten überprüfen, die auf eine Ausnutzung der Schwachstelle hinweisen könnten.