Cyberangriffe via SolarWinds-Software – neue Entwicklungen im Überblick
FTP-Zugangsdaten für SolarWinds Update-Server standen wohl offen im Netz. Außerdem gibt es neue Informationen zu Angriffsweg und potenziell Betroffenen.
(Bild: asharkyu/Shutterstock.com)
Vor einigen Tagen wurden Angriffe auf verschiedene US-Behörden publik. Die wohl staatlich gesponserte Gruppe, die auch für den gelungenen Einbruch bei der IT-Sicherheitsfirma Fireye verantwortlich sein soll, nutzte dabei als Angriffswerkzeug verseuchte Updates für die Netzwerkmanagement-Software Orion der Firma SolarWinds. Diese schleuste sie, versehen mit einer gültigen digitalen SolarWinds-Signatur, auf die Update-Server der Firma und von da aus auf die Zielsysteme.
Die vorliegende Meldung fasst neue Informationen unter anderem zu möglichen Angriffspunkten und ergriffenen Schutzmaßnahmen zusammen. Sie ergänzt damit die Berichterstattung der vergangenen Tage:
- Cyberangriffe gegen US-Ministerien – Moskau unter Verdacht
- Trojaner in SolarWinds-Updates ermöglicht Cyberangriffe
Angriffszeitraum und Zahl der potenziell Betroffenen
In einem so genannten "FORM 8-K", einem genormten Bericht, der Anleger und Öffentlichkeit über wichtige Ereignisse informiert, hat SolarWinds Angaben zu dem Zeitraum, in dem manipulierte Orion-Updates ausgeliefert wurden, sowie auch zur Zahl der potenziell betroffenen Kunden gemacht. Als "relevanten Zeitraum" nennt SolarWinds Bericht die Zeit von März bis Juni 2020; das deckt sich weitgehend mit den Erkenntnissen aus einer detaillierten Analyse der Firma FireEye.
Produkte, die vor oder nach diesem Zeitraum heruntergeladen oder implementiert worden sei, enthielten laut SolarWinds keinen Schadcode. Beobachtungen, die Sicherheitsforscher via Twitter teilten, widersprechen dieser Darstellung allerdings: Geteilte Screenshots und Links sollen dokumentieren, dass über das Download-Portal des Unternehmens noch am vergangenen Montag, also nach Bekantwerden der Vorfälle, weiterhin Schadcode-verseuchte "Updates" verfügbar waren.
SolarWinds zufolge wurde Orions Software-Build-System – und nicht etwa der Quellcode der Orion-Produkte – kompromittiert und manipuliert. Das Unternehmen habe Gegenmaßnahmen ergriffen und untersuche die Vorfälle weiterhin. Hinweise darauf, dass weitere Produkte betroffen sein könnten, gebe es derzeit nicht. Während und nach dem "relevanten Zeitraum" hätten etwa 33.000 Kunden die Orion-Plattform verwendet; das Unternehmen gehe allerdings davon aus, dass weniger als 18.000 Kunden eine manipulierte Orion-Installation genutzt hätten.
Mittlerweile hat das Unternehmen zwei Hotfixes für die Orion-Plattform veröffentlicht.
Älteres Zugangsdaten-Leak als initialer Angriffspunkt?
Auf welche Weise sich die Angreifer initial Zugriff auf SolarWinds Netzwerkinfrastruktur und letztlich auf das Build-System verschafften, ist noch unklar. SolarWinds untersuche unter anderem, ob eine unentdeckte Schwachstelle in den Orion-Produkten verantwortlich sein könnte, heißt es im Bericht.
Interessant sind in diesem Zusammenhang die Beobachtungen, die der Sicherheitsforscher Vinoth Kumar via Twitter teilte: Er wies auf ein öffentliches GitHub-Repository hin, das offenbar FTP-Zugangsdaten für einen Software-Update-Server von SolarWinds im Klartext enthielt. Gegenüber The Register gab Kumar an, SolarWinds bereits am 19. November 2019 per E-Mail auf das Datenleck hingewiesen zu haben. Unter Verwendung des (extrem unsicheren) Passworts "solarwinds123" habe er als Beweis für die Angreifbarkeit eine Datei auf den Server geladen. Darüber hinaus habe er das Unternehmen in seiner Mail sogar davor gewarnt, dass kriminelle Hacker auf diesem Wege etwa eine schädliche .exe-Datei als gefälschtes Update für SolarWinds-Produkte hochladen könnte. Details zu besagtem GitHub-Repository nennt der Artikel von The Register nicht.
(Bild: @vinodsparrow via Twitter )
Das Unternehmen habe seine E-Mail am 22. November 2019 beantwortet; zu dem Zeitpunkt seien die Zugangsdaten aber wohl schon mindestens seit zwei bis drei Wochen abrufbar gewesen. In der E-Mail, die Kumar als Screenshot via Twitter teilte, heißt es, dass das Repository nun nicht mehr öffentlich zugänglich sei. Außerdem habe man sich um die geleakten Credentials "gekümmert".
Ob "sich kümmern" mit "ändern" oder gar mit "künftig stärkere Passwörter nutzen und Leaks vermeiden" gleichzusetzen ist, ist noch unklar. Auch eine Stellungnahme von SolarWinds dazu, ob irgendeine Verbindung zwischen dem Leak von vergangenem Jahr und den aktuellen Vorfällen besteht, liegt bislang nicht vor. Ein positives Licht auf SolarWinds bisherigen Umgang mit dem Thema Netzwerksicherheit wirft Kumars Schilderung jedenfalls nicht. Und sie wirft die Frage auf, ob das Gelingen des Angriffs, wie ausgefeilt dieser tatsächlich gewesen sein mag, nicht auch ein Stück weit auf Nachlässigkeit zurückzuführen ist.
Wie es zur gültigen digitalen Signatur der manipulierten Updates kam, ist weiterhin unklar.
Microsoft übernimmt C&C-Domain
Der IT-Sicherheitsblogger Brian Krebs hat darauf hingewiesen, dass die Domain avsvmcloud[.]com, die die Angreifer zur Kommunikation mit kompromittierten Systemen verwendet hatten, offenbar von Microsoft übernommen wurde. Das Unternehmen hat bereits in der Vergangenheit in Abstimmung mit (US-)Sicherheitsbehörden die Kontrolle über Malware-Domains übernommen, um etwa bei der Zerschlagung des Necurs-Botnetzes mitzuwirken oder die Infrastruktur der Trickbot-Gang unter Beschuss zu nehmen.
Microsoft hat die Domain-Übernahme seinerseits nur indirekt bestätigt: Senior Director Jeff Jones antwortete auf Krebs' Tweet sinngemäß, dass im Bereich Cybersicherheit eben jeder seinen Beitrag leisten müsse. (ovw)
