IT-Sicherheit: Neue Sicherheitslücke bei Solarwinds

Im vergangenen Jahr wurden durch einen Hack des Softwareherstellers Solarwinds Tausende Unternehmen und öffentliche Einrichtungen mit der Sunburst-Schadsoftware kompromittiert. Nun wurden neue Probleme bei dem US-amerikanischen Softwarehersteller bekannt.

Mit dem früheren Angriff haben sie laut Solarwinds nichts zu tun, die Sicherheitslücke betreffe ausschließlich Solarwinds-Produkte Serv-U Managed File Transfer und Serv-U Secure FTP, gab das Unternehmen bekannt. Microsoft habe Solarwinds über das Problem informiert und dass die Sicherheitslücke aktiv ausgenutzt werde. Dabei handle es sich aktuell vermutlich um einen einzelnen Akteur, der einige, gezielt ausgewählte Kunden angreife. Wie viele und welche das sind, sei Solarwinds bisher nicht bekannt.

Die Lücke gab Angreifern die Möglichkeit, aus der Ferne beliebigen Code auszuführen und dadurch etwa Programme auszuführen oder Daten auszulesen und zu manipulieren. Grund scheint ein Problem beim Exception-Handling zu sein. Solarwinds fordert seine Kunden in seinen Sicherheitshinweisen auf, den seit vergangenem Freitag verfügbaren Hotfix sofort zu installieren.

Damit Angreifer die Sicherheitslücke ausnutzen können, müssen SSH-Verbindungen aktiviert sein. Solarwinds empfiehlt, verdächtige SSH-Verbindungen zu beobachten und veröffentlichte einige IP-Adressen, die auf einen Angriff hindeuten können. Ebenso könnten bestimmte Exceptions ein Indikator sein.

Solarwinds bewirbt seine Serv-U-Datenaustausch-Produkte als besonders sicher und bietet auf der Produkt-Website Lösungen für Regierungseinrichtungen, Militär sowie den Gesundheitsbereich an. Bei der massenhaften Sunburst-Infektion vor einigen Monaten waren auch zahlreiche US-Ministerien betroffen. Auch einige deutsche Bundesbehörden nutzten Solarwinds-Produkte, ein Datenabfluss wurde jedoch nicht bekannt.