Vers SolarWinds-gat ontdekt, wordt al misbruikt door aanvallers

Het dringende advies aan klanten is om die hotfix meteen te installeren. In de praktijk lopen er namelijk al aanvallen op deze kwetsbaarheid, die daarmee voldoet aan de definitie van een zeroday. Onderzoekers van Microsoft hebben het beveiligingsprobleem in SolarWinds' software ontdekt en daarbij gezien dat een aanvallende partij beperkte, zeer gerichte aanvallen uitvoert op een specifieke groep klanten.

Van gericht naar algemeen?

Nu de patches zijn uitgebracht en meer details over de kwetsbaarheid naar buiten komen, kan de dreiging flink veranderen. Naast de oorspronkelijke aanvallers die weet hadden van de zeroday kunnen nu immers andere kwaadwillenden hierop springen. Dergelijke opportunistische hackers hanteren in de regel een veel bredere aanpak qua doelwitten en de impact daarop. Dit is ook gebeurd bij de geavanceerde supplychainaanval via SolarWinds' beheersoftware.

De softwareleverancier benadrukt dat deze kwestie geen relatie heeft met de eerdere, wereldwijd uitgevoerde hackaanval via zijn software. "Deze securitykwetsbaarheid raakt alleen Serv-U Managend File Transfer en Serv-U Secure FTP, en raakt geen andere SolarWindws- of N-Able (voorheen SolarWinds MSP) producten." De kwetsbaarheid in die FTP-software zit in alle versies tot en met de nieuwste versie (15.2.3 HF1), die op 5 mei dit jaar is uitgebracht.

Het gaat om een kwetsbaarheid die op afstand valt uit te buiten. Een aanvaller die dit beveiligingsgat weet te benutten kan op het onderliggende systeem eigen code uitvoeren, met diepgaande rechten. SolarWinds waarschuwt dat een inbreker dan programma's kan installeren, data kan bekijken, veranderen en wissen, en daarnaast nog programma's kan draaien.

Updaten voor fixen

De nu uitgebrachte hotfix (HF2) repareert dit. Gebruikers die nog niet op de HF1-release van begin mei zitten, moeten hun installaties eerst updaten naar die nieuwste versie. Voor klanten die nog op een releasereeks van vóór versie 15.2.3 zitten, moeten eerst updaten naar die versie om dan HF1 en vervolgens HF2 te installeren.

De hotfix is beschikbaar in het klantenportaal voor organisaties die een onderhoudscontract bij SolarWinds hebben. Klanten die dit niet hebben, krijgen van de leverancier het advies om een ticket in te dienen bij de klantenserivce.