Das US-Softwareunternehmen Solar Winds machte in den vergangenen Monaten aufgrund des schwerwiegenden Hacks eines Update-Servers immer wieder Schlagzeilen. Betroffen waren zahlreiche Unternehmen, aber auch US-Behörden. Bald darauf wurde bekannt, dass das Passwort des betroffenen Servers "solarwinds123" lautete. Mit einem erneuten Update schloss das Unternehmen nun weitere Sicherheitslücken des Netzwerküberwachungs-Tools Orion. Zwei davon hätten das Ausführen von Code aus der Ferne erlaubt.

Darunter befand sich ein sogenannter JSON-Deserialisierungsfehler, der authentifizierten Benutzern ermöglicht hätte, beliebigen Code über die "Test Alert Actions"-Funktion in der Orion Web Console auszuführen. Mit dieser können Netzwerkereignisse simuliert werden, die so konfiguriert werden können, dass sie während der Einrichtung einen Alarm auslösen. Für die Sicherheit sei dies kritisch gewesen, berichtet "The Hacker News".

Der Praktikant ist schuld?

Ein weiteres Problem betraf eine Schwachstelle, die ausgenutzt werden konnte, um eine Remote Code Execution (RCE) im Job Scheduler des Netzwerktools zu erreichen. "Um diese Schwachstelle auszunutzen, muss ein Angreifer zunächst die Anmeldeinformationen eines unprivilegierten lokalen Kontos auf dem Orion-Server kennen", erklärt Solar Winds. Abgesehen davon wurden mit dem Update einige weitere Sicherheitsverbesserungen eingespielt.

Die Schuld für das unsichere Passwort des Update-Servers, der vor wenigen Monaten gehackt wurde, schob das Unternehmen einem Praktikanten in die Schuhe. Laut Solar-Winds-CEO Kevin Thompson habe dieser nämlich gegen die Passwortrichtlinien des Unternehmens verstoßen, indem er das Passwort auf dem privaten Github-Account gepostet habe. (red, 26.3.2021)