Solarwinds Platform 2023.4 schließt Codeschmuggel-Lücken
Solarwinds hat das Platform-Update auf Version 2023.4 veröffentlicht. Neben diversen Fehlerkorrekturen schließt es auch Sicherheitslücken.
(Bild: AFANASEV IVAN/Shutterstock.com)
Solarwinds hat das Platform-Update 2023.4 seiner Netzwerksverwaltungs-Software herausgegeben. Neben diversen kleineren Fehlerkorrekturen enthält es auch Flicken zum Stopfen von Sicherheitslücken.
Solarwinds: Lücke erlaubt Codeschmuggel
Eine der Schwachstellen erlaubt Solarwinds' Releasenotes zufolge Angreifern mit niedrigen Rechten das Einschleusen von beliebigem Code aus dem Netz. Konkrete Details nennt der Hersteller nicht, aber die Schwachstelle ist der Bezeichnung nach eine "Unvollständige Liste von nicht erlaubten Inputs Remote Code Execution-Schwachstelle" (CVE-2023-40060, CVSS 8.0, Risiko "hoch"). In der Sicherheitsmeldung dazu beschreibt Solarwinds eine potenzielle Umgehung von Mehrfaktorauthentifizierung (MFA) im Serv-U-FTP-Server; das Risiko dort stuft sie als mittlere Bedrohung ein mit einem CVSS-Wert von 6.6. Bei der beim NIST hinterlegten Beschreibung liegt der CVSS-Score bei 7.2, um noch mehr zur Verwirrung beizutragen. Immerhin geht es auch dort um den Solarwinds Serv-U FTP-Server.
Die zweite Sicherheitslücke beschreibt Solarwinds als "Unsicheren Job-Ausführungsmechanismus". Diese könne zu "anderen Angriffen" führen (CVE-2023-40061, CVSS 7.1, hoch). Nähere Details dazu gibt es noch nicht. Anders als für die Serv-U-Lücke hat Solarwinds die Sicherheitsnotiz für diese Schwachstelle noch nicht veröffentlicht.
Für Neuinstallationen sollen IT-Verantwortliche die Installationsdateien etwa aus dem Solarwinds-Kundenportal herunterladen. In bestehenden Installationen soll unter "Settings" – "My Deployment" die Möglichkeit des Upgrades angeboten werden. Der Installer aktualisiere dann das vollständige Deployment, sowohl Solarwinds Platform als auch jedwede "scalability engine".
Im April hatte Solarwinds das Platform Update 2023.2 herausgegeben. Auch darin schlossen die Entwickler zwei als hochriskant eingestufte Sicherheitslücken. Die Netzwerkverwaltungssoftware von Solarwinds gelangte Ende 2020 zu größerer Bekanntheit, als Cyberkriminelle Sicherheitslecks darin sie für Lieferkettenangriffe missbraucht und damit unter anderem Ministerien, Behörden und zahlreiche Unternehmen attackiert haben und in deren Netze eingebrochen sind.
(dmk)
