Alert!

Angreifer ins Support-System der Sicherheitsfirma Qualys eingedrungen

Unbekannte Angreifer haben erfolgreich Sicherheitslücken in Accellion-FTA-Servern ausgenutzt und Support-Daten von Qualys-Kunden kopiert.

In Pocket speichern vorlesen Druckansicht 6 Kommentare lesen

(Bild: antb/Shutterstock.com)

Update
Lesezeit: 2 Min.

Die Sicherheitsfirma Qualys ist Opfer einer Hacker-Attacke geworden. Angreifer haben den Clop-Trojaner im Support-System platziert, um dort Kunden-Daten zu kopieren. Diese Daten veröffentlichen die Angreifer, um Qualys zu erpressen.

In einer Stellungnahme versichert Qualys, dass die Server in einer DMZ vom Gesamt-Netzwerk abgeschottet waren. Somit sollen die Angreifer keinen Zugriff auf weitere Server des Sicherheitsunternehmens gehabt haben. Qualys gibt an, den im Dezember verfügbaren Hotfix umgehend installiert zu haben. Wie viele Kunden betroffen sind, ist derzeit nicht bekannt.

Als Einstiegspunkt haben die unbekannten Angreifer mehrere "kritische" Sicherheitslücken (CVE-2021-27101, CVE-2021-27102, CVE-2021-27103, CVE-2021-27104) in Accellion-FTA-Servern ausgenutzt haben. Diese Server setzt Qualys im Supportbereich ein, damit Kunden unter anderem Dateien über geschützte Verbindungen hochladen können. Wer solche Server nutzt, sollte mindestens die gegen diese Attacken abgesicherte FTA-Version 9.12.44 installieren. Attacken gibt es bereits seit Dezember 2020.

Angreifer sollen die Lücken aus der Ferne ohne Authentifizierung zur Ausführung von Schadcode ausnutzen können. In einem ausführlichen Bericht von Mandiant findet man weitere Details zu den Angriffen. In der Analyse kommt heraus, dass es sich um vergleichsweise aufwendige Attacken handelt. Die Sicherheitsforscher gehen davon aus, dass die Angreifer die Accellion-FTA-Software via Reverse Engineering auseinandergenommen haben, um ihren Exploit-Code zu schreiben.

Die Schwachstellen in den Accellion-FTA-Servern wurden bereits anderen Firmen wie dem kanadischen Raumfahrunternehmen zum Verhängnis. Insgesamt soll Clop Daten von mehr als 1300 Unternehmen veröffentlicht haben. Berichten zufolge sollen einige Firmen das Lösegeld bereits bezahlt haben.

(UPDATE, 05.03.2020 09:55 Uhr]

Software AG aus Fließtext entfernt. Eine Sprecherin teilte uns mit, dass sie keine Accellion-FTA-Server einsetzen.

(des)