SolarWinds patcht kwetsbaarheid die volledige controle over het systeem geeft

solarwinds

SolarWinds heeft oplossingen uitgebracht voor drie ernstige kwetsbaarheden. Het gaat om twee kwetsbaarheden in Orion (de tool die werd gehackt tijdens de beruchte SolarWinds aanvallen) en een derde kwetsbaarheid in een product genaamd Serv-U FTP for Windows. Er is geen bewijs dat de kwetsbaarheden actief zijn misbruikt. 

Tot een paar maanden geleden had nog bijna niemand van SolarWinds gehoord. Dankzij een van de grootste beveiligingsinbreuken ooit is daar in korte tijd verandering in gekomen. Via een inbreuk in netwerk monitoring tool Orion kregen hackers toegang tot de systemen van de Amerikaanse overheid en talloze grote tech-bedrijven, waaronder Microsoft. 

De SolarWinds aanvallen kwamen aan het licht toen ontdekt werd dat hackers maandenlang inzage hadden in e-mailverkeer van het Amerikaanse ministerie van financiën. Al snel bleek dat de hack stukken groter was dan alleen dat. Ook Microsoft en veel andere grote tech-bedrijven, waaronder Cisco, Intel en Nvidia waren slachtoffer van de aanval. Naar verluid zitten Russische hackers achter de SolarWinds-aanval. Ook Chinese aanvallers zouden via een ander lek de software misbruikt hebben. 

Welke kwetsbaarheden zijn gepatcht?

Dankzij één van de gepatchte kwetsbaarheden kunnen aanvallers vanop afstand code uitvoeren die volledige controle neemt over het onderliggende besturingssysteem. De kwetsbaarheid krijgt de naam CVE-2021-25274 en wordt veroorzaakt doordat Orion gebruik maakt van Microsoft Message Queue. De tool bestond voor meer dan 20 jaar, maar wordt niet meer standaard geïnstalleerd op Windows apparaten. 

De tweede kwetsbaarheid (genaamd CVE-2021-25275) wordt veroorzaakt doordat Orion inloggegevens voor databases op een onveilige manier opslaat. Orion bewaart de inloggegevens in een bestand dat leesbaar is voor gebruikersaccounts die daar niet het recht toe hebben. 

Hoewel Orion de gegevens niet geheel veilig opslaat, zijn ze wel versleuteld. Martin Rakhamanov, onderzoeker bij Trustwave SpiderLabs, ontdekte de kwetsbaarheid. Ook vond hij de code die het versleutelde wachtwoord terug omzet naar tekst. Hierdoor kwam hij tot de conclusie dat iedereen zomaar toegang kan krijgen tot de inloggegevens van Orion database gebruikers. 

De derde kwetsbaarheid (CVE-2021-25276 genaamd) bevindt zich in de Serv-U FTP for Windows. Het programma slaat de details voor elk account op in een apart bestand. Elke geauthenticeerde Windows gebruiker kan deze accounts creëren. “Iedereen die kan inloggen via Remote Desktop kan een bestand toevoegen over een nieuwe gebruiker. Serv-U FTP pakt het automatisch op”, zegt Rakhamanov. Kwaadwillenden kunnen op die manier zo een admin account maken en zichzelf volledige rechten toekennen. 

De patches voor Orion en Serv-U FTP zijn hier en hier te downloaden. Gebruikers van deze producten kunnen het beste zo snel mogelijk de updates installeren.

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.
terug naar home