Microsoft warnt vor neuer Sicherheitslücke in SolarWinds-Produkten

Vergangene Woche teilte SolarWinds in einer Erklärung mit, dass das Unternehmen von Microsoft über eine Zero-Day-Schwachstelle informiert wurde, die die Produkten Serv-U Managed File Transfer Server und Serv-U Secured FTP betrifft – und somit den Serv-U Gateway, der eine Komponente beider Produkte ist. Die Schwachstelle wurde von einem einzelnen Akteur ausgenutzt, um eine begrenzte Anzahl von Kunden anzugreifen.

Der Warnung zufolge sei der Angreifer in der Lage, aus der Ferne beliebigen Code mit Privilegien auszuführen, wodurch er Programme installieren und Daten auf verwundbaren Systemen sehen, ändern oder löschen könnte.

SolarWinds sagte, dass die Angriffe von Microsoft-Teams aufgedeckt wurden, die bemerkt hatten, dass die Angriffe über eine Remote-Code-Ausführung auf SolarWinds Serv-U durchgeführt wurden. Darüber hinaus präsentierte Microsoft ein Proof of Concept des Eingriffs zusammen mit Beweisen für die Zero-Day-Angriffe.

Die Schwachstelle betrifft die aktuelle Serv-U-Version 15.2.3 HF1, die am 5. Mai 2021 erschienen ist, sowie alle früheren Versionen. Ein Hotfix ist jetzt verfügbar (Serv-U 15.2.3 HF2). Bitte beachten Sie die untenstehende Tabelle mit den Sicherheitsupdates, um das für Ihr System zutreffende Update zu finden. Das Unternehmen empfiehlt seinen Kunden, diese Updates umgehend zu installieren.

Laut SolarWinds steht dieser Zero-Day-Angriff in keinem Zusammenhang mit dem Orion-Fall, in den das Unternehmen Ende 2020 verwickelt war. Manipulierte Updates für das SolarWinds-Produkt Orion hatten einen der größten Supply-Chain-Angriffe der Geschichte verursacht, der mehrere Privatunternehmen, aber vor allem große US-Regierungsbehörden beeinträchtigte.

Bei dem Angriff wurde festgestellt, dass 18.000 Kunden die Updates als echt angesehen und heruntergeladen hatten. Nach der Installation wurde die Tür für weitere Angriffe geöffnet, sodass andere potenziell kriminelle Aktivitäten wie Spionage und der Diebstahl von Staatsgeheimnissen folgen konnten.

Wie können Sie herausfinden, ob Ihr System angegriffen wurde?

SolarWinds zufolge können Sie mit den folgenden Schritten feststellen, ob Ihre Umgebung kompromittiert wurde:

1. Ist SSH für Ihre Serv-U-Installation aktiviert? Wenn SSH in der Umgebung nicht aktiviert ist, besteht die Sicherheitslücke nicht.
2. Gibt Ihre Umgebung Ausnahmesituationen aus? Bei diesem Angriff handelt es sich um einen Return Oriented Programming (ROP)-Angriff. Wenn die Schwachstelle ausgenutzt wird, löst das Serv-U-Produkt eine Ausnahme aus und fängt dann den Code für die Behandlung dieser ab, um Befehle auszuführen.  Bitte beachten Sie, dass es mehrere Gründe für das Auslösen von Ausnahmen gibt, so dass eine Ausnahme an sich nicht zwangsläufig ein Indikator für einen Angriff ist.Bitte sammeln Sie die Protokolldatei DebugSocketlog.txt.In der Protokolldatei DebugSocketlog.txt sehen Sie möglicherweise eine Ausnahme, wie z. B.:07] Tue 01Jun21 02:42:58 – EXCEPTION: C0000005;  CSUSSHSocket::ProcessReceive(); Type: 30; puchPayLoad = 0x041ec066;  nPacketLength = 76; nBytesReceived = 80;  nBytesUncompressed = 156;  uchPaddingLength = 5Ausnahmen können auch aus anderen Gründen ausgelöst werden, daher sollten Sie die Protokolle sammeln, um herauszufinden, in welcher Situation Sie sich befinden.
3. Sehen Sie potenziell verdächtige Verbindungen über SSH? Suchen Sie nach Verbindungen über SSH von den folgenden IP-Adressen, die als potenzieller Indikator für einen Angriff durch den Angreifer gemeldet wurden: 98.176.196.89 68.235.178.32 oder suchen Sie nach Verbindungen über TCP 443 von der folgenden IP-Adresse: 208.113.35.58