SolarWinds warnt vor vier schweren Sicherheitslücken in seiner Serv-U-Software. Ungepatcht könnten Angreifer ganze Server übernehmen.
Das US-Softwareunternehmen SolarWinds hat einen dringenden Sicherheitsupdate veröffentlicht. Es behebt vier kritische Schwachstellen in der Managed-File-Transfer-Lösung Serv-U. Die Lücken ermöglichen es Angreifern, beliebigen Code mit Administratorrechten auszuführen. Betroffene Server wären damit vollständig kompromittierbar. SolarWinds drängt Administratoren, sofort auf Version 15.5.4 zu aktualisieren.
Angesichts kritischer Sicherheitslücken in weit verbreiteter Software wie Serv-U stehen viele Unternehmen vor der Herausforderung, ihre IT-Infrastruktur effektiv zu schützen. Dieser kostenlose Leitfaden zeigt Geschäftsführern und IT-Verantwortlichen, wie sie die Sicherheit proaktiv stärken können, ohne das Budget zu sprengen. IT-Sicherheit stärken und Unternehmen schützen
Die Entdeckung setzt eine Serie schwerer Sicherheitsprobleme bei SolarWinds fort. Die Serv-U-Software wird von Unternehmen weltweit genutzt, um große Dateien über Protokolle wie FTP, SFTP oder HTTPS auszutauschen. Sie ist damit ein zentraler Baustein der IT-Infrastruktur – und ein lukratives Ziel für Cyberkriminelle.
Das Quartett der kritischen Schwachstellen
Das Update behebt vier separate, aber gleich schwerwiegende Lücken. Alle wurden mit der höchsten Gefahrenstufe „kritisch“ und einem CVSS-Score von 9,1 von 10 bewertet. Es handelt sich um:
* Eine fehlerhafte Zugangskontrolle (CVE-2025-40538)
* Zwei „Type Confusion“-Fehler (CVE-2025-40539, CVE-2025-40540)
* Ein „Insecure Direct Object Reference“-Problem (CVE-2025-40541)
Die schwerwiegendste Lücke (CVE-2025-40538) erlaubt es einem Angreifer, ein neues Administrator-Konto anzulegen. Über dieses könnte er dann mit Root-Rechten beliebigen Code ausführen. Auch die anderen drei Lücken führen zu derselben fatalen Konsequenz: der vollständigen Übernahme des Servers.
So könnten Angreifer vorgehen
Zwar setzt die Ausnutzung der Lücken voraus, dass ein Angreifer bereits über hohe Berechtigungen auf dem Zielserver verfügt. Doch genau das macht die Schwachstellen besonders tückisch. Sie sind das perfekte Werkzeug, um eine bereits bestehende Infiltration massiv auszuweiten – etwa nach dem Diebstahl von Zugangsdaten.
Ein erfolgreicher Angriff hätte verheerende Folgen. Angreifer könnten Ransomware installieren, permanente Hintertüren einrichten, Sicherheitstools ausschalten oder sensible Daten abfließen lassen. Da Serv-U oft mit internen Speichersystemen und Active Directory verbunden ist, könnte sich ein Angriff von einem einzelnen Server auf das gesamte Firmennetzwerk ausbreiten. Die Tatsache, dass viele Unternehmen ihre Serv-U-Instanzen bewusst dem Internet aussetzen, um mit Partnern zu kommunizieren, vergrößert die Angriffsfläche zusätzlich.
Serv-U: Ein altbekanntes Ziel für Hacker
Die neuen Lücken sind kein Einzelfall. Die Serv-U-Plattform steht seit Jahren im Fokus von Cyberkriminellen und staatlichen Hackergruppen. Managed-File-Transfer-Lösungen sind als Daten-Gateways ein attraktives Ziel.
Bereits 2021 nutzte die Clop-Ransomware-Bande eine Remote-Code-Ausführungsschwachstelle (CVE-2021-35211) in Serv-U für groß angelegte Angriffe. Dieselbe Lücke wurde auch von einer china-basierten Hackergruppe als Zero-Day-Exploit eingesetzt. Erst im Juni 2024 wurde eine Pfad-Traversal-Lücke (CVE-2024-28995) aktiv ausgenutzt, nachdem ein Proof-of-Concept veröffentlicht wurde. Diese Vorgeschichte unterstreicht, wie essenziell zeitnahe Updates sind.
Da Cyberkriminelle gezielt Schwachstellen in der Unternehmensinfrastruktur ausnutzen, ist eine fundierte Vorbereitung für Geschäftsführer heute unerlässlich. Erfahren Sie in diesem Experten-Report, wie mittelständische Betriebe effektive Schutzstrategien gegen aktuelle Bedrohungen umsetzen können. Kostenlosen Cyber-Security-Report herunterladen
Analyse: Warum SolarWinds im Visier bleibt
Die anhaltende Entdeckung kritischer Fehler in SolarWinds-Produkten spiegelt die intensive Prüfung wider, der das Unternehmen seit dem verheerenden SUNBURST-Supply-Chain-Angriff 2020 ausgesetzt ist. Sicherheitsforscher und Bedrohungsakteure durchforsten die Software gleichermaßen nach Schwachstellen.
Schätzungen zufolge sind zwischen 1.200 und 12.000 Serv-U-Server direkt aus dem Internet erreichbar – ein enormes Potenzial an Zielen. Die Voraussetzung von Admin-Rechten für die Ausnutzung der aktuellen Lücken bietet zwar einen gewissen Schutz. Sicherheitsexperten warnen jedoch: Determinierte Angreifer könnten diese Schwachstellen mit anderen Exploits kombinieren, um erst die nötigen Rechte zu erlangen und dann zuzuschlagen.
Was Unternehmen jetzt tun müssen
SolarWinds gibt an, dass die vier neuen Lücken derzeit noch nicht aktiv ausgenutzt werden. Doch das kann sich schnell ändern. Angreifer analysieren regelmäßig veröffentlichte Patches, um daraus funktionierende Exploits zu entwickeln.
Die Empfehlung ist eindeutig:
1. Sofortiges Patchen auf Serv-U Version 15.5.4.
2. Überprüfung aller Admin-Konten auf den Serv-U-Instanzen.
3. Einführung von Multi-Faktor-Authentifizierung.
4. Überwachung auf verdächtige Aktivitäten, wie die Anlage neuer Konten oder ungewöhnliche Netzwerkverbindungen.
Angesichts der Historie der Plattform sind höchste Wachsamkeit und konsequente Sicherheitspraktiken der beste Schutz vor zukünftigen Angriffen.
