Forsyningskæderisiko i populært installationsværktøj

Eskil Sørensen

11.07.2025 10:50

Kan matche SolarWinds-angrebet

Et nyt sikkerhedsproblem i det udbredte installationsværktøj Advanced Installer kan potentielt udnyttes til angreb i samme skala som SolarWinds-hændelsen. Værktøjet anvendes af nogle af verdens største softwarevirksomheder – og antageligvis også forsknings- og uddannelsesmiljøer.

Det skriver Dark Reading baseret på en analyse af cybersikkerhedsfirmaet Cyderes, der har identificeret en alvorlig designsvaghed i Advanced Installers opdateringsfunktion. Svagheden gør det muligt for angribere at udnytte værktøjets fleksible opdateringsmekanisme til at distribuere ondsindet kode via softwareopdateringer – uden at det nødvendigvis bliver opdaget.

Problemet ligger i, at opdateringsværktøjet accepterer både signerede og usignerede opdateringspakker. Det betyder, at hvis en angriber får adgang til en udviklers system, kan de manipulere opdateringskonfigurationen og pege på en ondsindet fil, som derefter automatisk hentes og installeres hos slutbrugerne – alt sammen via et legitimt værktøj.

Ingen sårbarhed – men et valg

Det er vigtigt at understrege, skriver Dark Reading, at der ikke er tale om en klassisk softwarefejl. Det er en designbeslutning, som prioriterer brugervenlighed over sikkerhed. Advanced Installer tilbyder dog en mulighed for at kræve digitale signaturer på opdateringer – men denne funktion er som standard slået fra, og ifølge Cyderes bliver den sjældent aktiveret i praksis.

Ironisk nok håndhæver udvikleren bag Advanced Installer, Caphyon, ikke selv signaturkrav for opdateringer til deres eget produkt.

Selvom der endnu ikke er observeret aktive angreb, vurderer Cyderes, at truslen er reel og stigende. Derfor bør organisationer ifølge Cyderes

gennemgå brugen af Advanced Installer og tilsvarende værktøjer i egne udviklingsmiljøer.
aktivere krav om digitale signaturer for alle opdateringspakker.
teste opdateringer i isolerede miljøer, før de rulles ud bredt.
overvåge installeringsværktøjer for unormal aktivitet, især hvis de anvender -url-parametre til at hente eksterne filer.

Læs mere

https://www.darkreading.com/application-security/risk-solarwinds-popular-software-tool-update

Trusselsvurdering