Solarwinds Serv-U: Update stopft vier kritische Sicherheitslücken
Vier kritische Sicherheitslecks stopft Solarwinds mit dem aktuellen Serv-U-Update. Angreifer können betroffene Systeme kompromittieren.
(Bild: heise online / dmk)
Solarwinds hat eine aktualisierte Version der Dateitransfer-Software Serv-U veröffentlicht. Darin schließen die Entwickler vier als kritisches Risiko eingestufte Sicherheitslücken. IT-Verantwortliche sollten ihre Instanzen umgehend aktualisieren.
In den Release-Notes zu Serv-U 15.5.4 beschreiben Programmierer die ausgebesserten Schwachstellen. Aufgrund „kaputter Zugriffskontrollen“ können Angreifer einen System-Admin-User anlegen und beliebigen Code als „root“ über Domain-Admin- oder Gruppen-Admin-Rechte ausführen (CVE-2025-40538, CVSS 9.1, Risiko „kritisch“). Eine Schwachstelle aufgrund einer sogenannten Type-Confusion können Angreifer ebenfalls missbrauchen, um nativen Code aus dem Netz als „root“ auszuführen (CVE-2025-40539, CVE-2025-40540, beide CVSS 9.1, Risiko „kritisch“). Bei diesem Schwachstellentyp passen tatsächlich übergebene Datentypen nicht mit den erwarteten überein, wodurch der Inhalt etwa Speicherbereiche überschreiben kann.
Vier kritische Lücken in Serv-U
Die vierte Schwachstelle ist vom Typ „unsichere direkte Objektreferenz“ (Insecure Direct Object Reference IDOR). Auch sie erlaubt bösartigen Akteuren die Möglichkeit, bei erfolgreichem Missbrauch Schadcode aus dem Netz auszuführen, mit „root“-Rechten (CVE-2025-40541, CVSS 9.1, Risiko „kritisch“).
Wie Angreifer die Schwachstellen konkret missbrauchen und wie Admins derartige Versuche erkennen können, schreibt Solarwinds jedoch nicht. Die Sicherheitslücken wurden offenbar im Responsible Disclosure offengelegt und bislang noch nicht im Netz attackiert.
Videos by heise
Dennoch sollten Admins aufgrund des Schweregrads der Lücken die Aktualisierung zeitnah vornehmen. Cyberbanden nutzen Schwachstellen in Datentransfer-Software oftmals zum unbefugten Zugriff und Kopieren von Daten, um damit Unternehmen zu erpressen.
Zuletzt hatte Solarwinds Mitte November Sicherheitslücken in Serv-U geschlossen.
(dmk)
