Am 17. Juni veröffentlichte Netsarang ein Sicherheitsupdate für eine Reihe seiner Server-Administrationsprodukte. Was der Hersteller nicht wusste: Hackern war es zuvor gelungen, eine Backdoor einzubauen, über die sie wiederum Malware in die IT-Infrastruktur der Unternehmen einschleusen konnten, so
Kaspersky Lab.
Die Shadowpad getaufte Sicherheitslücke betrifft die Programme Xmanager Enterprise 5.0, Xmanager 5.0, Xshell 5.0, Xftp 5.0 und Xlpd 5.0. Inzwischen hat Netsarang ein
weiteres Sicherheits-Update veröffentlicht und empfiehlt es den Anwendern besagter
Software wärmstes, dieses auch einzuspielen.
"Bedenkt man, dass Netsarangs Programm in hunderten unternehmenskritischen Netzwerken in der ganzen Welt verwendet wird, also auf Servern und Desktops von Systemadministratoren, empfehlen wir, dass betroffene Firmen rasch handeln", schreibt Kasperky. Für den IT-Sicherheitsexperten hat dieser Angriff eine neue Dimension. Erstmals hätten Cyberkriminelle, den Distributionskanal einer Softwarefirma missbraucht, um ein Sicherheitsloch und damit Schadcode zu verbreiten.
Allerdings sei bislang erst ein Fall bekannt, bei dem die Hacker die von ihnen gepflanzte Sicherheitslücke auch ausgenutzt hätten. Es habe sich um eine Firma des Finanzsektors in Hong-Kong gehandelt.
Wie die Hacker die Backdoor einrichten konnten und wer genau dahinter steckt, ist noch unklar. Kaspersky hat aber eine Vermutung: Offenbar gibt es Ähnlichkeiten mit den Viren Plugx und Winnti, bei denen mutmaßlich chinesische Hackergruppen am Werk waren.