Cyber-Security
Backdoor in Server-Management-Software
von
Jens
Stark - 21.08.2017
Foto: BeeBright / shutterstock.com
Hacker haben das Sicherheitsupdate der Server-Management-Software von Netsarang gekapert und mit einer Hintertüre versehen. Hunderte von Großfirmen könnten laut Kaspersky gefährdet sein.
Am 17. Juni veröffentlichte Netsarang ein Sicherheitsupdate für eine Reihe seiner Server-Administrationsprodukte. Was der Hersteller nicht wusste: Hackern war es zuvor gelungen, eine Backdoor einzubauen, über die sie wiederum Malware in die IT-Infrastruktur der Unternehmen einschleusen konnten, so Kaspersky Lab.
Die Shadowpad getaufte Sicherheitslücke betrifft die Programme Xmanager Enterprise 5.0, Xmanager 5.0, Xshell 5.0, Xftp 5.0 und Xlpd 5.0. Inzwischen hat Netsarang ein weiteres Sicherheits-Update veröffentlicht und empfiehlt es den Anwendern besagter Software wärmstes, dieses auch einzuspielen.
"Bedenkt man, dass Netsarangs Programm in hunderten unternehmenskritischen Netzwerken in der ganzen Welt verwendet wird, also auf Servern und Desktops von Systemadministratoren, empfehlen wir, dass betroffene Firmen rasch handeln", schreibt Kasperky. Für den IT-Sicherheitsexperten hat dieser Angriff eine neue Dimension. Erstmals hätten Cyberkriminelle, den Distributionskanal einer Softwarefirma missbraucht, um ein Sicherheitsloch und damit Schadcode zu verbreiten.
Allerdings sei bislang erst ein Fall bekannt, bei dem die Hacker die von ihnen gepflanzte Sicherheitslücke auch ausgenutzt hätten. Es habe sich um eine Firma des Finanzsektors in Hong-Kong gehandelt.
Wie die Hacker die Backdoor einrichten konnten und wer genau dahinter steckt, ist noch unklar. Kaspersky hat aber eine Vermutung: Offenbar gibt es Ähnlichkeiten mit den Viren Plugx und Winnti, bei denen mutmaßlich chinesische Hackergruppen am Werk waren.
"Bedenkt man, dass Netsarangs Programm in hunderten unternehmenskritischen Netzwerken in der ganzen Welt verwendet wird, also auf Servern und Desktops von Systemadministratoren, empfehlen wir, dass betroffene Firmen rasch handeln", schreibt Kasperky. Für den IT-Sicherheitsexperten hat dieser Angriff eine neue Dimension. Erstmals hätten Cyberkriminelle, den Distributionskanal einer Softwarefirma missbraucht, um ein Sicherheitsloch und damit Schadcode zu verbreiten.
Allerdings sei bislang erst ein Fall bekannt, bei dem die Hacker die von ihnen gepflanzte Sicherheitslücke auch ausgenutzt hätten. Es habe sich um eine Firma des Finanzsektors in Hong-Kong gehandelt.
Wie die Hacker die Backdoor einrichten konnten und wer genau dahinter steckt, ist noch unklar. Kaspersky hat aber eine Vermutung: Offenbar gibt es Ähnlichkeiten mit den Viren Plugx und Winnti, bei denen mutmaßlich chinesische Hackergruppen am Werk waren.
