Sendergeräte mit Schwachstellen
- Warnmeldung
UAXT- und VAXT-Sender des Herstellers GatesAir offenbarten drei Sicherheitslücken, darunter eine kritische. Ein Proof-of-Concept ist veröffentlicht, der es Angreifenden vereinfacht, die Schwachstellen auszunutzen. Patches stehen bislang nicht zur Verfügung; Betreiber sollten deshalb rasch präventive Maßnahmen umsetzen.
© CSBW
Geräteübernahme möglich
Ein Sicherheitsforscher legte drei Schwachstellen in den Maxiva™ UAXT- und VAXT-Sendern von GatesAir offen (CVSS-Base-Score in Klammern):
- CVE-2025-22960 (9.1/10): Übernahme von Sitzungen, Rechteerweiterung
- CVE-2025-22961 (7.5/10): Offenlegung von Informationen
- CVE-2025-22962 (7.2/10): RCE-Angriff (Remote Code Execution)
Angreifer könnten über diese Schwachstellen auf sensible Daten zugreifen, die Rechte erweitern und sogar die vollständige Kontrolle über die Geräte übernehmen.
Vor allem in Branchen wie Rundfunk, Transport und öffentliche Sicherheit sind die Sender weit verbreitet. GatesAir hat seinen Hauptsitz in Mason im US-Bundesstaat Ohio.
Empfehlungen
Da der Hersteller bislang keine Patches zur Verfügung gestellt hat, sollten Betreiber der Geräte folgende präventiven Maßnahmen umsetzen.
- Schränken Sie den Zugriff auf sensible Daten und Verzeichnisse ein.
- Wenden Sie strenge Berechtigungsregeln für Log- und Backup-Dateien an.
- Vermeiden Sie, dass sensible sitzungsbezogene Daten ins Log geschrieben werden.
- Deaktivieren Sie in Produktionsumgebungen den Debug-Modus.
- Verschlüsseln Sie sensible Daten.
- Führen Sie ausreichend strenge Authentifizierungs- und Sitzungsmanagementverfahren ein.
- Prüfen Sie regelmäßig, ob Updates des Herstellers verfügbar sind.