Eaton warnt vor kritischer Sicherheitslücke in USV-Software

Das deutsche IT-Sicherheitsamt warnt vor einer schwerwiegenden Schwachstelle in Eatons USV-Managementsoftware. Angreifer könnten darüber beliebigen Code ausführen und so kritische Infrastrukturen gefährden.

Kritische Lücke in Stromversorgungs-Management

Die Warnung des Bundesamts für Sicherheit in der Informationstechnik (BSI) trägt die Kennung WID-SEC-2025-2919 und stuft das Risiko als “hoch” ein. Betroffen ist die Eaton UPS Companion Software, mit der Unternehmen ihre unterbrechungsfreien Stromversorgungen (USV) überwachen und steuern. Die Schwachstelle mit der CVE-Nummer CVE-2025-67450 ermöglicht es lokalen Angreifern, beliebigen Programmcode auf betroffenen Systemen auszuführen.

“Die Schwachstelle ermöglicht es einem lokalen Angreifer, beliebigen Code auszuführen”, heißt es in der Advisory des BSI. Besonders tückisch: Solche Lücken dienen oft als Sprungbrett für weitere Angriffe. Ein Angreifer mit eingeschränkten Zugriffsrechten könnte so die vollständige Kontrolle über ein System erlangen.

Viele IT‑Teams unterschätzen, wie schnell Angreifer nach der öffentlichen Bekanntgabe einer CVE‑Nummer Exploits entwickeln. Unser kostenloses E‑Book erklärt, welche organisatorischen Kontrollen und technischen Prüfungen jetzt oberste Priorität haben, um Code‑Execution‑Lücken in OT‑ und USV‑Systemen zu erkennen und zu schließen. Enthalten sind eine Prioritäts‑Checkliste, praktische Log‑Analyse‑Anleitungen, ein 48‑Stunden‑Patch‑Fahrplan für Administratoren und Templates für Notfallprozesse — speziell für Rechenzentren und Betreiber kritischer Infrastruktur. Jetzt kostenlosen Cyber‑Security‑Guide anfordern

Technische Details und Risikobewertung

Das BSI bewertet die Schwachstelle mit einem CVSS-Basis-Score von 7,8. Zwar ist für einen Angriff zunächst lokaler Zugriff auf das System nötig – doch genau das macht die Lücke in Unternehmensumgebungen so gefährlich. In Rechenzentren oder bei kritischer Infrastruktur, wo mehrere Administratoren Zugang haben, wird daraus ein ernstzunehmendes Risiko.

Was bedeutet das konkret? Ein erfolgreicher Angreifer könnte die USV-Einstellungen manipulieren, Batterie-Backups umgehen oder sogar vorgebliche Hardware-Fehler vortäuschen. Aus einer Sicherheitskomponente würde so ein Einfallstor für Sabotage. “Die Kompromittierung von Software, die die Stromversorgung steuert, kann Sicherheitsvorrichtungen in eine Schwachstelle verwandeln”, kommentieren Branchenbeobachter die Meldung.

So schützen Sie sich

Eaton hat bereits reagiert und eine Aktualisierung bereitgestellt. Das BSI bestätigt, dass ein Update die Sicherheitslücke schließt.

Administratoren sollten jetzt drei Schritte umsetzen:
1. Bestandsaufnahme: Prüfen Sie alle Systeme auf Installationen der Eaton UPS Companion Software in Versionen vor 3.0.
2. Sofortiges Update: Laden Sie die neuesten Patches von Eatons offiziellem Support-Portal herunter und installieren Sie sie umgehend.
3. Zugriff beschränken: Sorgen Sie dafür, dass der physische und logische Zugang zu Systemen mit USV-Managementsoftware strikt auf autorisiertes Personal beschränkt ist.

Der Zeitpunkt der Veröffentlichung – kurz vor den Weihnachtsfeiertagen – stellt IT-Teams vor Herausforderungen. “Updates, die am 23. und 24. Dezember veröffentlicht werden, sind logistisch schwierig”, gibt ein Cybersicherheitsexperte zu bedenken. “Doch eine bekannte Code-Execution-Lücke über die Feiertage ungepatcht zu lassen, ist ein Risiko, das sich viele Unternehmen nicht leisten können.”

OT-Sicherheit rückt in den Fokus

Die aktuelle Warnung passt in ein größeres Bild: Die Sicherheit von Operational Technology (OT) – also softwaregesteuerter physischer Infrastruktur – gewinnt zunehmend an Bedeutung. Je “smarter” Geräte wie USV-Anlagen werden und je stärker sie in IT-Netzwerke integriert sind, desto mehr erben sie die Schwachstellen traditioneller Computersysteme.

Bereits 2021 hatte Eaton kritische Lücken in seinem Intelligent Power Manager (IPM) gepatcht, die Remote-Angriffe ermöglicht hätten. Die aktuelle Schwachstelle von 2025 erfordert zwar lokalen Zugang, unterstreicht aber dieselbe Notwendigkeit: Software für die Stromversorgung muss denselben rigorosen Patch-Zyklen unterliegen wie Betriebssysteme oder Webbrowser.

Was jetzt zu tun ist

Für die kommenden 24 bis 48 Stunden hat die Installation von Version 3.0 oberste Priorität. Sicherheitsteams sollten zudem die Logs auf verdächtige lokale Aktivitäten auf Servern mit USV-Software überprüfen – besonders, wenn diese Server einem breiteren Nutzerkreis zugänglich sind.

Das BSI wird seine Advisory aktualisieren, sollten neue Informationen über aktive Angriffe oder weitere betroffene Produkte bekannt werden. Stand 24. Dezember 2025 sind noch keine aktiven Angriffe in freier Wildbahn gemeldet. Doch die öffentliche Bekanntgabe einer CVE-Nummer beschleunigt typischerweise die Entwicklung von Exploits durch Angreifer.

PS: IT‑Teams stehen jetzt vor der Frage, welche Sofortmaßnahmen wirklich wirken. Der kostenlose Leitfaden zeigt konkret priorisierte Hardening‑Schritte für USV‑ und OT‑Software, Checklisten für Log‑Analysen, ein 48‑Stunden‑Patch‑Schema sowie sofort einsetzbare Templates für Incident‑Response. Ideal für Sicherheitsverantwortliche in kritischen Infrastrukturen, die schnell und effizient Risiken mindern wollen. Kostenlosen Leitfaden zur Cyber‑Safety herunterladen