Nye alvorlige sårbarheder i Solarwinds-software

Solarwinds har lukket de tre nye sikkerhedshuller. Illustration: BalkansCat / Bigstock Photo
Tre nye sårbarheder er funder i Solarwinds' software, men ingen af dem har været brugt i de velkendte supply-chain-angreb, som kom frem i december 2020.

Cybersikkerhedsforskere har fundet tre nye, alvorlige huller i Solarwinds software.

Det skriver The Hacker News, der har flere detaljer om de enkelte sårbarheder.

To af sårbarhederne er i virksomhedens Orion Platform, og den tredje er i Solarwinds Serv-U FTP server til Windows, ifølge it-sikkerhedsfirmaet Trustwave, der har fundet hullerne.

Læs også: Store danske virksomheder ramt af hackerangreb

Ingen af sårbarhederne er brugt i de supply-chain-angreb på Orion-brugere, som kom frem i december 2020.

Solarwinds blev bekendt med de nye sikkerhedshuller d. 30 december og d. 4. januar, hvorefter virksomheden lukkede dem d. 22. og 25. januar.

Man anbefaler brugere at downloade de seneste opdateringer til Orion-platformen og Serv-U FTP, så man undgår sikkerhedsbrud, ifølge mediet.

Læs også: SolarWinds-rådgiver advarede om sløj sikkerhed flere år før hack

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Rune Hansen

Jeg har sat Wazuh op til at overvåge familiens devices og mine servere. Hele Sunburst skandalen har dog givet mig anledning til tvivl/bekymring, ifht. centraliseret information og event håndtering. Dog slår det dog for mig endnu engang fast (med 7” søm) at terminologien “Security by obscurity” er grundlæggende problematisk.

  • 1
  • 0
#2 Michael Cederberg

Jeg er ikke sikker på de seneste afsløringer omkring SolarWinds, men det oprindelige hack gik mod SolarWinds build server. Der hjælper open source ikke alene. Enten skal du bygge softwaren selv eller også så skal du finde nogen du stoler på som gør det for dig.

I øvrigt er open source ikke nogen god sikring mod sikkerhedsfejl. Ved software projekter med "få" brugere, så må man forvente at færre kigger på koden og så slipper fejl nemmere igennem. Og open source hjælper også bad guys ... jeg skal hilse at sige at det er uendeligt meget nemmere at finde fejl i andres kode når man har sourcen i forhold til blot binære filer.

  • 6
  • 1
#3 Rune Hansen

Jeg er ikke uenig med dig Michael. Opensource projekter skal nå en hvis størrelse (og mange kritiske øjne på kode og implementering) før man kan påstå det som jeg gør. Det er et tveægget sværd, da også hele forretningsmodellen skal tilpasses til service frem for kode. Så ligger der vel også en hvis for for ansvarsfraskrivelse i at man ikke har “haft mulighed” for at kontrollere eks. vis kode (dog ikke direkte tilfældet med Sunburst), men APT29 har tilsyneladende nu alligevel haft adgang til kildekoden hos MS, så koden er åbnet for nogen.

  • 3
  • 0
#4 Bjarne Nielsen

Solarwind/Orion har åbenbart ikke kun været i kløerne på russerne, men angiveligt også på kineserne.

Bruce Schneier har et kort indlæg om dette: https://www.schneier.com/blog/archives/2021/02/another-solarwinds-orion-...

Den centrale sentens er vist flg.:

Two takeaways: One, we are learning about a lot of supply-chain attacks right now. Two, SolarWinds’ terrible security is the result of a conscious business decision to reduce costs in the name of short-term profits.

...afsluttende med en kommentar om at lave profit på at tage chancer på andres vegne, uden deres viden eller accept.

  • 5
  • 0
#5 Michael Cederberg

... men APT29 har tilsyneladende nu alligevel haft adgang til kildekoden hos MS, så koden er åbnet for nogen.

Det kender jeg ikke til. Men udvalgte kunder har kunnet få adgang til sourcekoden til Windows i årevis gennem Shared Source programmet. Derfor er jeg ganske sikker på at de statslige aktører det måtte have en interesse i sourcekoden også har adgang.

Jeg er ikke specielt bekymret for at folk finder huller i Windows. Windows er måske det stykke software der er brugt flest penge på nogensinde og et af de centrale mål for Bill Gates Trustworthy Computing kampagne i 2002. Efter 2002 var fokus på sikkerhed meget meget høj.

Men Microsoft er ikke kun Windows. Ikke alle projekter har penge som Windows, så der skal nok være en del huller rundt omkring.

https://www.microsoft.com/en-us/sharedsource/enterprise-source-licensing...

  • 2
  • 0
Log ind eller Opret konto for at kommentere