# Kritische Schwachstelle bei der Zugriffskontrolle in OpenCode Systems Messaging Gateways entdeckt ## Zusammenfassung Eine bedeutende Sicherheitslücke wurde im OC Messaging und USSD Gateway von **OpenCode Systems** entdeckt. Eine erfolgreiche Ausnutzung dieser Schwachstelle könnte es einem authentifizierten Benutzer mit geringen Rechten ermöglichen, über einen präparierten Firmen- oder Mandantenidentifikator auf SMS-Nachrichten außerhalb seines autorisierten Mandantenbereichs zuzugreifen. Die Schwachstelle wird als **CVE-2025-70614** verfolgt. Die folgenden Versionen des OpenCode Systems OC Messaging und USSD Gateway sind betroffen: * OC Messaging 6.32.2 (**CVE-2025-70614**) * USSD Gateway 6.32.2 (**CVE-2025-70614**) ## Schwachstellendetails | CVSS | Hersteller | Gerät | Schwachstellen | | :----- | :---------------- | :--------------------------------------------- | :--------------------- | | v3 8.1 | OpenCode Systems | OpenCode Systems OC Messaging und USSD Gateway | Fehlerhafte Zugriffskontrolle | ### Hintergrund * **Kritische Infrastruktursektoren:** Kommunikation * **Eingesetzte Länder/Regionen:** Weltweit * **Standort des Firmensitzes:** Bulgarien --- ## Schwachstellen ### CVE-2025-70614 Das Custom Messaging Gateway 6.32.2 von **OpenCode Systems** enthält eine Web-Zugriffsschwachstelle, die es einem authentifizierten Benutzer ermöglicht, über einen präparierten Identifikator auf die Nachrichten eines anderen authentifizierten Benutzers zuzugreifen. [CVE-Details anzeigen](https://www.cve.org/CVERecord?id=CVE-2025-70614) --- #### Betroffene Produkte ##### OpenCode Systems OC Messaging und USSD Gateway **Hersteller:** OpenCode Systems **Produktversion:** OpenCode Systems OC Messaging: 6.32.2, OpenCode Systems USSD Gateway: 6.32.2 **Produktstatus:** known_affected **Relevante CWE:** [CWE-284 Improper Access Control](https://cwe.mitre.org/data/definitions/284.html) --- #### Metriken ## Empfehlungen zur Abwehr Die **Cybersecurity and Infrastructure Security Agency (CISA)** empfiehlt Benutzern, Abwehrmaßnahmen zu ergreifen, um das Risiko der Ausnutzung dieser Schwachstelle zu minimieren. Wichtige Empfehlungen sind: * Minimieren Sie die Netzwerkaussetzung aller Steuerungsgeräte und/oder -systeme und stellen Sie sicher, dass diese nicht aus dem Internet erreichbar sind. * Platzieren Sie Steuerungsnetzwerke und Fernzugangsgeräte hinter Firewalls und isolieren Sie sie von Geschäftsnetzwerken. * Wenn Fernzugriff erforderlich ist, verwenden Sie sicherere Methoden wie Virtual Private Networks (**VPNs**), wobei zu beachten ist, dass VPNs Schwachstellen aufweisen können und auf die aktuellste verfügbare Version aktualisiert werden sollten. Beachten Sie auch, dass VPNs nur so sicher sind wie die verbundenen Geräte. CISA erinnert Organisationen daran, vor der Implementierung von Abwehrmaßnahmen eine ordnungsgemäße Auswirkungsanalyse und Risikobewertung durchzuführen. ## Zusätzliche Ressourcen CISA stellt auch einen Abschnitt mit empfohlenen Praktiken für die Sicherheit von Steuerungssystemen auf der ICS-Webseite unter cisa.gov/ics zur Verfügung. Mehrere CISA-Produkte, die bewährte Praktiken für die Cyberabwehr beschreiben, stehen zum Lesen und Herunterladen zur Verfügung, darunter "Improving Industrial Control Systems Cybersecurity with Defense-in-Depth Strategies". CISA ermutigt Organisationen, empfohlene Cybersicherheitsstrategien zur proaktiven Verteidigung von ICS-Assets zu implementieren. Zusätzliche Abwehrhinweise und empfohlene Praktiken sind auf der ICS-Webseite unter cisa.gov/ics im technischen Informationspapier ICS-TIP-12-146-01B--Targeted Cyber Intrusion Detection and Mitigation Strategies öffentlich verfügbar. Organisationen, die verdächtige böswillige Aktivitäten beobachten, sollten die etablierten internen Verfahren befolgen und ihre Erkenntnisse an CISA zur Verfolgung und Korrelation mit anderen Vorfällen melden. CISA empfiehlt den Benutzern außerdem, die folgenden Maßnahmen zu ergreifen, um sich vor Social-Engineering-Angriffen zu schützen: * Klicken Sie nicht auf Weblinks und öffnen Sie keine Anhänge in unerbetenen E-Mail-Nachrichten. * Weitere Informationen zur Vermeidung von E-Mail-Betrug finden Sie unter "Recognizing and Avoiding Email Scams". * Weitere Informationen zu Social-Engineering-Angriffen finden Sie unter "Avoiding Social Engineering and Phishing Attacks". Derzeit wurden CISA keine bekannten öffentlichen Ausnutzungen speziell für diese Schwachstelle gemeldet. --- ## Danksagungen Hussein Amer hat diese Schwachstelle an CISA gemeldet. ## Revisionshistorie | Datum | Revision | Zusammenfassung | | :--------- | :------- | :----------------- | | 2026-03-26 | 1 | Erstveröffentlichung | --- [CSAF anzeigen](https://github.com/cisagov/CSAF/blob/develop/csaf_files/OT/white/2026/icsa-26-085-02.json)