SolarWinds hat vier kritische Sicherheitslücken in seiner Dateitransfer-Software Serv-U geschlossen. Alle vier Schwachstellen sind auf der CVSS-Skala mit dem Höchstwert-nahen Score von 9,1 bewertet. Bei erfolgreicher Ausnutzung erlauben sie die Ausführung von Schadcode aus der Ferne.

Nach Angaben von SolarWinds setzt eine erfolgreiche Ausnutzung administrative Rechte voraus. Für Windows-Installationen bewertet der Hersteller das Sicherheitsrisiko daher als mittel: Die betroffenen Dienste laufen dort “standardmäßig häufig unter weniger privilegierten Dienstkonten”.

Betroffen ist SolarWinds Serv-U in der Version 15.5. Behoben wurden die vier Schwachstellen mit der Version 15.5.4, auf die Anwender wechseln sollten.

SolarWinds macht keine Angaben dazu, dass die aktuellen Lücken bereits aktiv ausgenutzt würden. Allerdings wurden frühere Schwachstellen in der Software nachweislich von Angreifern missbraucht – konkret CVE-2021-35211, CVE-2021-35247 und CVE-2024-28995. Zu den daran beteiligten Akteuren zählt eine in China verortete Gruppierung, die unter der Bezeichnung Storm-0322 (früher DEV-0322) geführt wird.