Sicherheits-Anbieter patcht Zero-Day-Lücke nicht, wird selbst zum Opfer

Für Sicherheitsunternehmen, die kommerzielle Software anbieten, ist kaum etwas so wichtig wie eine möglichst perfekte Erkennungsrate von Zero-Day-Lücken sowie sofortiges Patchen. Das US-Unternehmen Comodo hat sich diesbezüglich eine Kardinalsünde geleistet. Ende September ist nämlich in Version 5 der beliebten Forensoftware vBulletin eine Zero-Day-Schwachstelle entdeckt und veröffentlicht worden, mit der es sehr einfach war, einen Server über das Internet zu kapern. Damit war es möglich, Daten zu stehlen, Informationen zu manipulieren oder Angriffe auf andere Systeme zu starten. Kurzum: Das Wort schwerwiegend trifft hier zweifellos zu.

Glücklicherweise wurden schnell Patches bereitgestellt, mit denen man die Lücke schließen konnte. Das war am 25. September. Nun könnte man meinen, dass ein auf Sicherheit spezialisiertes Unternehmen das sofort berücksichtigt, vor allem dann, wenn es sich um einen so schwerwiegenden Exploit handelt.

Lücke offen, Angreifer drin

Doch wie The Register berichtet, hat sich Comodo ganze fünf Tage Zeit gelassen, um das eigene, auf vBulletin basierende Foren-System zu aktualisieren. Das wäre vermutlich noch zu verschmerzen gewesen, wenn man nicht gleichzeitig gestanden hätte, dass Comodo und sein Forum zum Opfer eines Hacks geworden wäre - genau über die ungepatchte vBulletin-Zero-Day-Lücke.

Betroffen sind davon 245.000 Nutzer, derzeit versucht man bei Comodo noch herauszufinden, ob und welche Daten entwendet worden sind. Möglich ist, dass Nutzername, Name, E-Mail-Adresse, letzte IP-Adresse und (wenn angegeben) Social-Media-Nutzernamen betroffen sind. Die Passwörter seien laut Comodo verschlüsselt gewesen, diese sollten also sicher sein, als Methode kommt bcrypt zum Einsatz.

Es ist zu hoffen, dass die Folgen für betroffene Nutzer nicht allzu schwerwiegend sind. Für Comodo dürfte der Image-Schaden aber signifikant sein, denn das Motto des Unternehmens lautet: "Creating Trust Online".