Die Sicherheitsfirma Trustwave berichtet, dass sie drei neue Schwachstellen bei Solarwinds-Produkten entdeckt habe. Eine erlaube Remotecodeausführung in Solarwinds Orion, wobei nur Netzwerkzugriff erforderlich sei. Die Lücke ermögliche es Hackern, Befehle zu senden, die ein Server ausführen kann.

Die drei Schwachstellen "CVE-2021-25274", "CVE-2021-25275" und "CVE-2021-25276" wurden Ende Dezember 2020 an Solarwinds gemeldet, wie es in einem Blogbeitrag von Trustwave mit weiteren Details dazu heisst.

Solarwinds lieferte daraufhin bis zum 29. Januar im letzten Update einen Patch aus. Das Software-Unternehmen wie auch Trustwave erklären, bis jetzt noch keine Angriffe über die neuen Schwachstellen bemerkt zu haben. Administratoren können den Patch durch die Installation von Orion Platform 2020.2.4 und durch die Anwendung von Hotfix 1 für ServU-FTP 15.2.2 erhalten.

"Schwachstellen unterschiedlichen Ausmasses sind in allen Softwareprodukten üblich, aber wir verstehen, dass Solarwinds im Moment verstärkt unter Beobachtung steht", erklärte das Unternehmen in einem Statement gegenüber 'NBC'. "Wir haben uns schon immer verpflichtet, mit unseren Kunden und anderen Organisationen zusammenzuarbeiten, um Schwachstellen in unserem Produktportfolio auf verantwortungsvolle Art und Weise zu identifizieren und zu beheben." Die aktuelle Ankündigung stehe im Einklang mit diesem Prozess.

Solarwinds steht seit Bekanntwerden des Angriffs auf seine Supply Chain unter besonderer Beobachtung. Seit Dezember 2020 kommen immer neue Opfer und weitere Details zu den beim "Solarwinds-Hack" eingesetzten Malware-Tools ans Licht.

US-Behörden vermuten russische Hacker hinter dem Angriff. Bei der Code-Analyse wurde aber auch eine zweite Malware namens "Supernova" in Solarwinds Orion entdeckt. Deren Entdecker vertraten die Meinung, dass diese von einer zweiten, ebenfalls professionellen Gruppe eingeschleust worden sei.

Unter Berufung auf mit dem Fall vertraute Personen berichtet 'Reuters' nun, mutmasslich chinesische Hacker hätten mittels Supernova das National Finance Center (NFC) angegriffen. Das NFC ist für die Abwicklung der Gehaltsabrechnungen mehrerer US-Regierungsbehörden verantwortlich. Die Quellen von 'Reuters' gehen davon aus, dass die Angreifer ihren Sitz in China haben, da sie Infrastruktur und Tools nutzen würden, die bei früheren staatlich unterstützten chinesischen Cyberangriffen verwendet worden seien.

Obwohl die Schwachstelle nicht benannt wurde, erklärt 'Reuters', dass die Hacker denselben Sicherheitsfehler nutzten, der es Angreifern ermöglichte, die Supernova-Backdoor auf Systemen einzusetzen, auf denen anfällige Versionen der Orion-Plattform installiert waren. Diese Schwachstelle unterscheide sich von der, die von der anderen Hacker-Gruppe genutzt wurde, um die Updates der Orion-Software zu kompromittieren und die Sunburst-Backdoor zu installieren.