Pro die triumphierend attackierte Orion-Plattform und zu Händen Serv-U FTP stillstehen Updates gegen insgesamt vier Lücken bereit liegend. Nächste Woche folgt Exploit-Code.
(Bild: Daniel Tadevosyan/Shutterstock.com)
Security Von
- Olivia von Westernhagen
Ein Mitarbeiter der Firma Trustwave hat drei Sicherheitslücken in Produkten der Firma Solarwinds entdeckt. Zwei von ihnen, darunter auch die gefährlichste, aus der Ferne ausnutzbare, betreffen die Orion-Plattform; eine weitere steckt in der FTP-Server-Software Serv-U FTP. Angreifer könnten die Orion-Lücken missbrauchen, um aus der Ferne beliebigen Code auszuführen (CVE-2021-25274), Informationen aus Datenbanken abzugreifen oder neue Nutzer mit Admin-Rechten hinzuzufügen (CVE-2021-25275). Die Serv-U FTP-Lücke CVE-2021-25276 erlaubt das Anlegen von Admin-Accounts für die FTP-Software und den anschließenden vollen Zugriff auf Dateien.
Aus der Orion-Plattform wurde darüber hinaus noch eine weitere kritische Sicherheitslücke beseitigt, die von der Zero Day Initiative (ZDI) an SolarWinds gemeldet wurde. In den Release-Notes zur abgesicherten Orion Version wird sie als "Improper Access Control Privilege Escalation" beschrieben; weitere Informationen oder gar eine CVE-ID fehlen bislang jedoch.
Die drei Orion-Lücken wurden in Version 2020.2.4 der Orion-Plattform geschlossen. ServU-FTP 15.2.2 Hotfix 1 beseitigt das Sicherheitsproblem aus Serv-U FTP.
Vorgeschichte & Proof-of-Concept-Ankündigung
Was die Lückenfunde besonders brisant und das zügige Einspielen der verfügbaren Updates besonders wichtig macht ist die Tatsache, dass die Orion-Plattform im vergangenem Jahr im großen Stil als Einfallstor in Netzwerke zahlreicher großer Unternehmen und Behörden weltweit missbraucht wurde. Zu diesem Zweck hatten sich Angreifer Anfang 2020 Zugang zu Orions Software-Build-System verschafft, um Malware-Code ("Sunburst") in Orion-Updates zu injizieren. Der hatte dann eine Backdoor auf kompromittierten Systemen installiert und weiterem Schadcode die Tür geöffnet. Wir haben die Vorgänge in mehreren Meldungen thematisiert – unter anderem hier:
- Cyberangriffe via SolarWinds-Software
- Einbrecher verscherbeln Windows-Quellcode und FireEye-Angriffs-Tools
- Weitere Malware der SolarWinds-Angriffskette entdeckt
- US-Ermittler: Massiver Hackerangriff geht weit über SolarWinds hinaus
Hinzu kommt, dass das Trustwave-Team angekündigt hat, bereits am 9. Februar Proof-of-Concept-Code für die drei von ihm entdeckten Sicherheitslücken zu veröffentlichen. Damit steigt ab diesem Zeitpunkt die Wahrscheinlichkeit aktiver Angriffe mittels des Codes.
Trustwave betont, dass die drei Lücken ihres Wissens nach in der Vergangenheit noch nicht ausgenutzt wurden und ihnen bislang kein öffentlich verfügbarer Exploit-Code bekannt ist. Insbesondere spielten sie auch im Zuge der früheren Angriffe auf Orion keine Rolle.
Details zu den Sicherheitslücken
Die aus der Ferne ausnutzbare Orion-Lücke CVE-2021-25274 fußt auf einer fehlerhaften Verwendung der Microsoft Message Queue (MSMQ). Die über zwanzig Jahre alten Technologie kommt laut dem Trustwave-Forscher auf modernen Windows-Systemen kaum noch zum Einsatz – und erregte im Zuge der Analysen gerade deshalb seine Aufmerksamkeit. Die Lücke erlaubt Nutzern mit normalen Nutzerprivilegien die Remote Code Execution mit höchstmöglichen Rechten.
Die zweite Orion-Sicherheitslücke (CVE-2021-25275) ist durch lokale Nutzer unabhängig von deren Zugriffsrechten ausnutzbar. Unzureichende Sicherheitsmechanismen bei der Speicherung von Credentials ermöglichen laut Trustwaves Beschreibung die vollständige Übernahme der Orion-Datenbank.
Auch die Sicherheitslücke in Serv-U FTP (CVE-2021-25276) erfordert lokalen Nutzerzugriff (ebenfalls mit beliebigen Zugriffsrechten). Ihr Missbrauch erfolgt durch das Anlegen einer speziellen Datei, die einen neuen, speziell konfigurierten Admin-Account erzeugt. Dieser Admin habe, da das FTP-Programm über den LocalSystem-Account läuft, vollen Zugriff auf alle Dateien auf Laufwerk C:. Detailliertere Informationen zu allen drei Lücken liefern ein Eintrag im TrustWave-Blog sowie ein Fact Sheet mit den wichtigsten Informationen.
Im Gegensatz dazu fehlen eigene Advisories (oder auch nur Hinweise via Twitter und Co.) von SolarWinds zu den aktuellen Vorfällen. Damit bleibt das Unternehmen deutlich hinter den Standards zurück, die sich in den vergangenen Jahren bei Herstellern durchgesetzt haben. Angesichts des Vertrauensverlusts durch die Kompromittierung im letzten Jahr und die Notwendigkeit, ein solides Image in Security-Dingen widerzuerlangen, ist dieses Versäumnis umso weniger nachvollziehbar.
(ovw)
Quelle: www.heise.de