Web Help Desk

Die Schwachstelle betrifft SolarWinds Web Help Desk, eine Software für die Verwaltung von IT-Service- und Support-Anfragen. Der Fehler liegt darin, dass die Anwendung von außen empfangene, nicht vertrauenswürdige Daten deserialisiert – also serialisierte Objekte wieder einliest und verarbeitet – ohne sie ausreichend zu prüfen. Ein Angreifer kann präparierte Daten einschleusen, die beim Deserialisieren dazu führen, dass eigener Code zur Ausführung kommt. Auf diese Weise lassen sich Befehle direkt auf dem Host-System ausführen, auf dem die Software läuft. Besonders kritisch ist, dass der Angriff aus der Ferne und ohne jede Authentifizierung gelingt: Es sind weder gültige Zugangsdaten noch eine vorherige Anmeldung erforderlich. Damit kann ein nicht angemeldeter Angreifer das betroffene System übernehmen und beliebige Kommandos darauf absetzen. Betroffen sind Organisationen, die Web Help Desk für ihren IT-Support einsetzen.