Wenn die letzten Monate eines nur allzu deutlich vor Augen geführt haben, dann, wie anfällig selbst vermeintlich gut geschützte Computersysteme für gezielte Attacken sind. Dabei spült es vor allem ein Thema hoch, das in früheren Jahren nur wenige Beachtung erfahren hat: die Sicherheit bei jenen Softwaredienstleistern, die zwar öffentlich wenig bekannt sind, aber trotzdem eine wichtige Rolle in der Infrastruktur von Behörden und Unternehmen einnehmen. So war es etwa unlängst mit der Firma Kaseya, deren Management-Software für eine der bisher schlimmsten Angriffswellen mit Erpressersoftware genutzt wurde.

Solarwinds

Doch es ist ein anderes Unternehmen, dessen Name geradezu stellvertretend für diese Problem steht: Über die Unterwanderung der Software von Solarwinds schafften es staatliche Spione – die US-Geheimdienste vermuten dahinter indirekt den russischen Geheimdienst –, sich unbemerkt bei neun US-Regierungsbehörden sowie mehr als 100 privaten Firmen zu verankern, um in aller Ruhe die Kommunikation mitzulesen, also Spionage zu betreiben.

Dass das möglich war, lag nicht zuletzt an einer in Teilen grob mangelhaften Sicherheit bei Solarwinds, die dazu führte, dass die Angreifer Schadsoftware einschmuggeln und in regulären Updates versteckt an sämtliche Kunden des Softwaredienstleisters schicken konnten. Auch wenn Solarwinds betont, dass es keinerlei Zusammenhang mit den Vorfällen des vergangenen Winters gibt, nährt ein aktueller Vorfall nun doch weitere Zweifel an der Sicherheit bei dem Unternehmen.

Zero Day

Microsoft warnt vor neuen, kritischen Sicherheitslücken in der Serv-U-Softwarereihe von Solarwinds. Vor allem aber: Auch für diese gab es wieder einen Zero-Day-Exploit, sie wurde also bereits aktiv ausgenutzt, noch bevor der Hersteller über die Existenz des Problems informiert war oder gar ein Update anbot. Wie lange dieser Fehler schon ausgenutzt wurde, ist derzeit noch unbekannt. Mittlerweile hat Solarwinds allerdings zumindest eine Reihe von "Hotfixes" veröffentlicht, die einen raschen Schutz für die eigenen Kunden bieten sollen. Betont sei dabei, dass damit nur die aktuellen Angriffe blockiert werden. An einer dauerhaften Lösung, die dann auch wirklich die zugrunde liegenden Sicherheitsdefizite ausräumt, arbeite Solarwinds hingegen derzeit noch.

In einem Security Advisory liefert Solarwinds weitere Details: Die Lücke befindet sich demnach in allen Serv-U-Versionen inklusiv des Anfang Mai freigegebenen Release 15.2.3 HF1. Angreifer konnten darüber beliebigen Schadcode ausführen, um dann in Folge beliebige Programme zu installieren und auszuführen sowie umfassend Daten mitzulesen. Den eigenen Kunden rät Solarwinds insofern dringend, den erwähnten Hotfix zu installieren. Alternativ dazu kann auch der SSH-Zugang auf den betroffenen Servern deaktiviert werden, da dann der Angriff nicht mehr funktioniert.

Reichweite

Uneins scheinen sich die beiden Unternehmen über die betroffenen Firmen zu sein. Während Microsoft eben von gezielten Angriffen gegen einzelne Kunden spricht, gibt sich Solarwinds in seiner Stellungnahme ziemlich vage. Man wisse derzeit nicht, wie viele der eigenen Kunden direkt betroffen sind. (apo, 13.07.2021)