Angriffe auf Hoster durch SolusVM-Lücken

In der Hosting-Lösung SolusVM klaffen kritische Schwachstellen, durch die ein Angreifer die gesamte Hosting-Infrastruktur kompromittieren kann. Es kursiert ein Exploit, der bereits erste Opfer gefordert hat.

In Pocket speichern vorlesen Druckansicht 12 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Ronald Eikenberg

In der Hosting-Lösung SolusVM klaffen Schwachstellen, durch die man die Kontrolle über den Hauptserver und die von ihm verwalteten virtuellen Kundenserver übernehmen kann. Die Lücke wird bereits aktiv für Cyber-Angriffe ausgenutzt. Wer SolusVM einsetzt, sollte umgehend reagieren.

Die Sicherheitslücken klaffen in der Datei /usr/local/solusvm/www/centralbackup.php. Durch die Lücken kann man offenbar nicht nur beliebige SQL-Befehle einschleusen, sondern auch Shell-Kommandos. Kurzum: Wer den öffentlich zugänglichen Exploit benutzt, hat im Handumdrehen die Kontrolle über die gesamte SolusVM-Infrastruktur.

Der Hersteller stellt einen Patch bereit, den Kunden über die Verwaltungsoberfläche oder direkt über die Kommandozeile auf dem Server einspielen können. Wer das Update nicht einspielen kann, sollte die verwundbare Datei centralbackup.php umgehend via SSH löschen.

Nur zwei Stunden nachdem der Exploit veröffentlicht wurde, gab es einen erfolgreichen Angriff auf den Hoster RamNode, in dessen Rahmen wahllos größere Datenmengen gelöscht wurden. Unbestätigten Berichten zufolge sind davon über 3000 virtuelle Server (Virtual Private Server, VPS) betroffen. Angeblich steckt ein Konkurrent dahinter.

Der Angreifer hat die Kundenoberfläche des Hoster gegen eine PHP-Shell ausgetauscht, über die man die komplette Datenbank herunterladen konnte. Verschlimmert wird die Situation dadurch, dass SolusVM laut einem Leserhinweis Passwörter im Klartext speichern soll – zumindest in der üblichen Standardkonfiguration. (rei)