Solar Winds:
Weitere Sicherheitslücken des Update-Servers geschlossen
Solar Winds:
Weitere Sicherheitslücken des Update-Servers geschlossen
Letztes Jahr wurden zahlreiche Unternehmen und
Behörden wegen einer Sicherheitslücke gehackt. Nun wurden weitere
Schwachstellen geschlossen
Die Schuld am schlechten Passwort des Servers,
der letztes Jahr gehackt wurde, soll laut dem Unternehmen bei einem
Praktikanten liegen.
Foto: AFP/Fred Tanneau
Das US-Softwareunternehmen Solar Winds machte
in den vergangenen Monaten aufgrund des schwerwiegenden Hacks eines
Update-Servers immer wieder Schlagzeilen. Betroffen waren zahlreiche
Unternehmen, aber auch US-Behörden. Bald darauf wurde bekannt, dass das
Passwort des betroffenen Servers "solarwinds123" lautete. Mit einem
erneuten Update schloss das Unternehmen nun weitere Sicherheitslücken
des Netzwerküberwachungs-Tools Orion. Zwei davon hätten das Ausführen
von Code aus der Ferne erlaubt.
Darunter befand sich ein sogenannter
JSON-Deserialisierungsfehler, der authentifizierten Benutzern ermöglicht
hätte, beliebigen Code über die "Test Alert Actions"-Funktion in der
Orion Web Console auszuführen. Mit dieser können Netzwerkereignisse
simuliert werden, die so konfiguriert werden können, dass sie während
der Einrichtung einen Alarm auslösen. Für die Sicherheit sei dies
kritisch gewesen, berichtet "The Hacker News".
Der Praktikant ist schuld?
Ein weiteres Problem betraf eine
Schwachstelle, die ausgenutzt werden konnte, um eine Remote Code
Execution (RCE) im Job Scheduler des Netzwerktools zu erreichen. "Um
diese Schwachstelle auszunutzen, muss ein Angreifer zunächst die
Anmeldeinformationen eines unprivilegierten lokalen Kontos auf dem
Orion-Server kennen", erklärt Solar Winds. Abgesehen davon wurden mit
dem Update einige weitere Sicherheitsverbesserungen eingespielt.
Die Schuld für das unsichere Passwort des
Update-Servers, der vor wenigen Monaten gehackt wurde, schob das
Unternehmen einem Praktikanten in die Schuhe. Laut Solar-Winds-CEO Kevin
Thompson habe dieser nämlich gegen die Passwortrichtlinien des
Unternehmens verstoßen, indem er das Passwort auf dem privaten
Github-Account gepostet habe. (red, 26.3.2021)
Solar Winds: Weitere Sicherheitslücken des
Update-Servers geschlossen - IT-Security - derStandard.at › Web
https://www.derstandard.at/story/2000125391116/solar-winds-weitere-sicherheitsluecken-des-update-servers-geschlossen
Ein Praktikant war Schuld ?
Das Qualitätsmanagement hat total versagt !