Datenschutz & Sicherheit
Angriffe auf Solarwinds Web Help Desk, FreePBX und Gitlab beobachtet
Die US-amerikanische IT-Sicherheitsbehörde CISA hat eine Warnung vor derzeit laufenden Angriffen auf Sicherheitslücken in Solarwinds Web Help Desk, FreePBX und Gitlab herausgegeben. Teils sind die Lücken bereits deutlich älter. IT-Verantwortliche sollten die bereitstehenden Aktualisierungen spätestens jetzt anwenden.
Weiterlesen nach der Anzeige
In der Sicherheitsmitteilung hält sich die CISA mit weiterreichenden Informationen zu den Angriffen wie üblich zurück. Die Behörde nennt jedoch die attackierte Schwachstelle und in welcher Software sie sich befindet. So wurden demnach Angriffe auf eine vergangene Woche bekannt gewordene Sicherheitslücke in Solarwinds Web Help Desk (WHD) beobachtet. In der Versionsankündigung zur aktuellen Fassung 2026.1 von WHD nennt Solarwinds mehrere Sicherheitslücken, die damit geschlossen werden. Auf eine Lücke davon (CVE-2025-40551, CVSS 9.8, Risiko „kritisch“) sollen bösartige Akteure es abgesehen haben: WHD nimmt eine Deserialisierung nicht vertrauenswürdiger Daten vor, wodurch Angreifer Schadcode aus dem Netz ausführen können, da sie Befehle auf dem Hostsystem starten können – zu allem Unglück zudem ohne vorherige Authentifizierung.
Die Open-Source-Telefoniesoftware FreePBX von Sangoma hatte 2019 mit fehlerhaften Zugriffskontrollen zu kämpfen (CVE-2019-19006, CVSS 9.8, Risiko „kritisch“) und im vergangenen November mit einer Schwachstelle im Endpoint Manager, wodurch authentifizierte Angreifer Fernzugriff als Asterisk-User auf verwundbare Systeme erlangen können (CVE-2025-64328, CVSS 8.8, Risiko „hoch“). Diese beiden Sicherheitslücken haben laut CISA in jüngerer Vergangenheit Angriffe im Internet stattgefunden.
Dritte angegriffene Software
Im Jahr 2021 hatte GitLab CE/EE eine Sicherheitslücke gestopft, durch die Angreifer aus dem Netz ohne vorherige Authentifizierung eine Server-Side-Request-Forgery-Attacke durch die CI-Lint-API ausführen konnten (CVE-2021-39935, CVSS 7.5, Risiko „hoch“). Auch hierauf wurden Angriffe im Internet beobachtet.
In welchem Umfang Angriffe auf die aufgeführten Schwachstellen laufen, erörtert die CISA nicht. Es fehlen auch jedwede Hinweise auf Indizien für erfolgreiche Angriffe oder Angriffsversuche, nach denen Admins suchen könnten. Es stehen jedoch Softwareupdates bereit, die sie umgehend installieren sollten, sofern das noch nicht geschehen ist.
(dmk)