Solarwinds: Schadcode-LĂĽcke in Security Event Manager
Sicherheitslücken in Solarwinds Secure Event Manager können Angreifer zum Einschleusen von Schadcode missbrauchen. Updates stopfen die Lecks.
Solarwinds hat eine Aktualisierung des Security Event Managers (SEM) veröffentlicht. Insgesamt fünf Sicherheitslücken schließt die erneuerte Fassung, die meisten davon in Dritthersteller-Komponenten. IT-Verantwortliche sollten das Update zeitnah herunterladen und installieren.
Wie Solarwinds Entwickler in den Release-Notes zur SEM-Aktualisierung schreiben, korrigiert sie ein sicherheitsrelevantes Problem, das mit der Deserialisierung von nicht vertrauenswürdigen Daten zusammenhängt und zur Ausführung von untergejubeltem Code führen kann (CVE-2024-0692, CVSS 8.8, Risiko "hoch"). Die Lücke schrammt nur sehr knapp an der Einordnung als "kritisch" vorbei.
Solarwinds Security Event Manager mit kritischer LĂĽcke
Als Dritthersteller-Komponente ist unter anderem Samba mit dabei. Eine sogenannte Path-Traversal-Lücke in einer veralteten Samba-Version beim Verarbeiten von Client-Pipe-Namen zum Verbinden von Unix-Domain-Sockers in einem privaten Verzeichnis können zur Kompromittierung des Systems führen (CVE-2023-3961, CVSS 9.8, kritisch). Zwei weitere Lücken in Samba sind lediglich als mittleres Risiko eingeordnet (CVE-2023-4154, CVE-2023-42670, beide CVSS 6.5). Auch eine veraltete OpenSSH-Version führte zu einer Schwachstelle in SEM, da sie für die Terrapin-Attacke verwundbar ist (CVE-2023-48795, CVSS 5.9, mittel).
Der Solarwinds Security Event Manager schlieĂźt diese SicherheitslĂĽcken mit der jetzt verfĂĽgbaren Version 2023.4.1. IT-Verantwortliche erhalten sie auf den ihnen bekannten Wegen. Da eine der LĂĽcken kritisch ist und eine weitere nur knapp an dieser Risikoeinstufung vorbeischlittert, sollten sie das Update nicht auf die lange Bank schieben.
Vor rund zwei Wochen hatte Solarwinds bereits Schwachstellen im Access Rights Manager (ARM) und Platform (Orion) ausgebessert. Auch sie ermöglichten bösartigen Akteuren, Schadcode einzuschleusen und auszuführen.
(dmk)