Lehrstück über Digitalisierung und Sicherheit in Deutschland. Gerade wurde bekannt, dass die Diensttelefone des deutschen Bundesministerium für Digitales und Verkehr (kurz Digitalministerium) wohl über Schwachstellen angreifbar waren. Die IT-Verantwortlichen haben es versäumt, die auch hier im Blog zeitnah thematisierten Schwachstellen im Ivanti Endpoint Manager Mobile (EPMM) zu patchen. Über diese Schwachstellen wurde die IKT-Plattform von 12 norwegischen Ministerien kürzlich gehackt.
Anzeige
Presseberichte zum Fall
Es war nur ein kurzer Kommentare von 1ST1 (danke dafür), der auf diesen Spiegel Online-Beitrag hinwies. Inzwischen haben auch andere Medien wie die Süddeutsche Zeitung (Paywall) das aufgegriffen. Der Artikeltitel beschreibt, dass die Diensttelefone des "Digitalministeriums" tagelang angreifbar waren. Und dies, obwohl das BSI und Sicherheitsbehörden vor einer Schwachstelle warnten. Hat natürlich ein besonderes "Geschmäckle", wenn die IT des deutschen Ministeriums, welches für die Digitalisierung zuständig ist, diesbezüglich patzt.
Das Digitalministerium nutzt Ivantu EPMM
Erst als ich mir gestern Abend den Beitrag mal durchgelesen habe, stieß ich auf das Stichwort Ivanti und mir wurde sofort klar, was passiert war. Auch das Ministerium setzt auf den Ivanti Endpoint Manager Mobile (EPMM) auf, um die Sicherheit seiner IT-Infrastruktur (konkret, die Mobilgeräte und Telefone) zu verbessern. Die Software soll auch sicherstellen, dass dort entsprechende Sicherheitsupdates auf den Geräten installiert und nicht freigegebene Programme zur Installation blockiert werden. Kann man so tun, aber man sollte sicherstellen, dass auch die Ivanti-Software aktuell ist. Und hier beginnt der Skandal.
CERT-Bund/BSI warnte
Das Bundesamt für Sicherheit in der Informationsverarbeitung (BSI) warnte bereits am 25.7.2023 vor einer 0-day-Schwachstelle im Ivanti Endpoint Manager Mobile (EPMM). Auch auf Twitter hatte ich eine Warnung von CERT-Bund zum Thema gelesen. Die Authentifizierungs-Bypass-Schwachstelle CVE-2023-35078 hatte den läppischen CVSS-Score von 10.0 (besser geht nicht).
Die Leserschaft meines Blogs war zeitnah über diese Schwachstelle informiert, weil ich das Thema vor der Freigabe der BSI-Warnung bereits über US-Medien und das Umfeld des Hacks der IKT-Plattform von 12 norwegischen Ministerien angesprochen hatte. Ivanti hatte zeitnah Sicherheitsupdates zum Schließen der ersten 0-day-Schwachstelle für seine Software und eine entsprechende Sicherheitswarnung veröffentlicht. Später musste der Hersteller dann eine zweite Sicherheitswarnung samt Update nachschieben, weil eine zweite 0-day-Schwachstelle entdeckt worden war.
Anzeige
Ivanti schrieb zwar in seinen Sicherheitshinweisen, dass ihm nur einige wenige Angriffe in freier Wildbahn auf konkrete Kunden bekannt seien. Aber die verwundbaren Systeme lassen sich über Suchmaschinen wie Shodan aufspüren, es ist eine Frage der Zeit, bis größere Angriffswellen starten. Einzige Abhilfe ist das unverzügliche Patchen der betroffenen Software.
The Digitalministerium sleeps tonight
Im Digitalministerium von Verkehrsminister Wissing passierte aber genau nichts. Deren IT-Verantwortliche versäumten es tagelang, die betreffenden Updates für den Ivanti Endpoint Manager Mobile (EPMM) einzuspielen. Angreifer wären in der Lage gewesen, über die Ivanti-Software auf die Telefone zuzugreifen, und Daten wie Kontakte abzugreifen. Es wäre sogar möglich gewesen, die Mobilgeräte neu zu konfigurieren.
Laut Spiegel Online war auch Zollkriminalamt durch die Schwachstellen betroffen; auch dort reagierten die Verantwortlichen in der IT nicht auf die betreffende BSI-Warnung, das dringend die zeitnahe Installation der Sicherheitsupdates empfahl.
With a little help from our friends
Das Ganze wäre noch eine Weile so weiter gegangen, aber nach einer Woche meldete sich ein anonymer "friendly Hacker" bei der Süddeutsche Zeitung und informierte die Redaktion über die bestehende Sicherheitslücke im Digitalministerium. Nachdem die Redaktion der Süddeutschen Zeitpunkt sich an das Ministerium wandte, fühlten sich die IT-Verantwortlichen aus dem Schlaf gerissen. Der Ivanti Endpoint Manager Mobile (EPMM) wurde am 31. Juli 2023 auf die aktuelle Version gebracht, so dass die Schwachstellen geschlossen sein sollten.
Der Hack in Norwegen
Für Leser, die nicht so im Thema drin sind: Ich hatte im Blog-Beitrag Norwegens Regierung über Ivanti-Zero-Day gehackt über den Vorfall berichtet, der dazu führte, dass Ivanti die 0-day-Schwachstellen bekannt wurden. Es gab einen erfolgreichen Cyberangriff auf eine IKT-Plattform (Informations- und Kommunikationssystem) der norwegischen Regierung, von der 12 Ministerien betroffen waren. Die Angreifer konnten über die 0-Day-Schwachstelle, CVE-2023-35078, im Produkt Ivanti Endpoint Manager (EPMM), früher bekannt als MobileIron Core, in das System eindringen und dann Daten abziehen.
Zum 31. Juli 2023 hatte ich dann den zweiten Blog-Beitrag Ivanti bestätigt 2. Schwachstelle CVE-2023-35081 bei Hack der norwegischen Regierung veröffentlicht. In der Analyse des Sicherheitsvorfalls war noch eine weitere Schwachstelle CVE-2023-35081 identifiziert worden, die zum 28. Juli 2023 erstmals in diesem Ivanti-Sicherheitshinweis aufgegriffen wurde. Bei CVE-2023-35081 handelt es sich um eine Path-Traversal-Schwachstelle entdeckt, die es einem Angreifer ermöglicht, beliebige Dateien auf die Appliance zu schreiben. Der Angreifer muss bereits als Administrator authentifiziert sein, kann dann aber beliebige Dateischreiboperationen auf dem EPMM-Server durchführen.
Laut Ivanti kann diese Schwachstelle (CVSS-Score von 7.2) in Verbindung mit CVE-2023-35078 genutzt werden, um die Administrator-Authentifizierung und ACL-Beschränkungen (falls zutreffend) zu umgehen. Bei erfolgreicher Ausnutzung können bösartige Dateien auf die Appliance geschrieben werden, was es einem böswilligen Akteur letztendlich ermöglicht, Betriebssystembefehle auf der Appliance als Tomcat-Benutzer auszuführen. Genau dies soll wohl laut Ivanti-Sicherheitshinweis bei dem Hack in Norwegen genutzt worden sein.
Alles in allem eine sehr brisante Gemengelage, und in Norwegen ist man wohl immer noch dabei, den Cyberangriff zu analysieren. Unsere wackeren IT-Verantwortlichen im Digitalministerium sowie beim Zollkriminalamt (und ich vermute in weiteren Behörden und Firmen) belieben, das Ganze auszusitzen.
Warnung: Wohl viele Systeme angreifbar
Von Palo Alto Networks liegt mir seit Montag (31. Juli 2023) ein Report vor, der besagt, dass eine Cortex Xpanse-Datenanalyse (Stand 24. Juli 2023) für das Angriffsflächenmanagement ergeben habe, dass in insgesamt 85 Ländern über 5.500 IEMM-Server in verschiedenen Versionen im Internet öffentlich zugänglich sind. Die regionalen Statistiken dieses Scans zeigen, dass über 80 Prozent dieser Server in westlichen Ländern stehen und sich auf mehrere Bereiche und Branchen erstrecken. Hierzu zählen Regierungsbehörden, das Gesundheitswesen, Anwaltskanzleien, Universitäten, Finanzinstitute, Wohltätigkeitsorganisationen und der Einzelhandel.
Öffentlich zugängliche Ivanti Endpoint Manager Mobile (EPMM) Instanzen; Quelle Palo Alto Networks
In Deutschland und den USA waren es zu diesem Zeitpunkt jeweils über 1.000 Server. Die mit Abstand meisten Angriffe haben die Bedrohungsforscher in Deutschland festgestellt, gefolgt von den USA und Großbritannien (siehe auch obige Grafik).
Angesichts der Anzahl der potenziell gefährdeten Server im Internet, auf denen diese Software läuft, ist es sehr wahrscheinlich, dass viele Institutionen oder Unternehmen in verschiedenen Ländern zum Angriffsziel werden könnten oder bereits geworden sind, heißt es von den Palo Alto-Sicherheitsforschern der Unit 42. Open-Source-Berichte deuten darauf hin, dass erste Angriffe höchstwahrscheinlich stattfanden, bevor Ivanti von der Sicherheitslücke wusste.
Bei einer Recherche, die ich gerade durchgeführt habe, bin ich auf diesen Artikel von Security Week gestoßen. Dort geht man davon aus, dass die Angriffe auf die norwegische IKT-Plattform seit mindestens April 2023 stattfanden. Basis ist wohl diese CISA-Warnung vom 1. August 2023, die mir sogar über Twitter untergekommen war – aktuell wird sie hier thematisiert. Allerdings ging ich – auch auf Grund der Abrufzahlen der Beiträge hier im Blog – davon aus, dass es Deutschland und die Leserschaft nicht tangiert. Ich stelle fest, ich habe die "falschen Leser", aber vom Digitalministerium liest man hier nicht mit. Inzwischen habe ich auch Hinweise von Sicherheitsforschern gefunden, dass sich Angreifer so langsam auf diese Schwachstellen einschießen und aktiv nach angreifbaren Systemen im Internet scannen.
Ähnliche Artikel:
Norwegens Regierung über Ivanti-Zero-Day gehackt
Ivanti bestätigt 2. Schwachstelle CVE-2023-35081 bei Hack der norwegischen Regierung
Diensttelefone des Digitalministeriums über Ivanti-Schwachstellen angreifbar
Schwachstelle CVE-2023-35082 in Ivanti MobileIron Core (bis Version 11.2)
Anzeige
Die werden doch sicher schon die richtige Maßnahme getroffen haben?
Strafanzeige gegen den anonymen Hacker.
Zumindest damit sie diesen Verräter ermitteln und ggf. raus schmeißen können.
Einen wirksamen Whistle blower Schutz haben wir ja immer noch nicht.
Ich finde die Auswahl der Unternehmen die das Schlangeöl gekauft haben auffällig. Könnte es sein, dass der Vertrieb auf "Beamtenmentalität" gebaut hat?
"Laß uns Mal eine weitere Schicht drauf legen, das schiebt unsere Verantwortung weiter weg und was soll schon bei einer Sicherheitssoftware passieren…"
?
Wieso Schlangenöl?
Ist keine Sicherheitssoftware. Vielleicht vorher informieren bevor man Blödsinn schreibt.
Wie verwaltest du denn ca. 2000 Apple und Android Endgeräte weltweit? Zu Fuß? Oder hat jeder sein privates Gerät im Unternehmen im Einsatz?
Microsoft Intune?
Achso. So etwas wie Baramundi oder so?
Die Sorgen aber auch für Sicherheit und nehmen Verantwortung ab…
Hm, und wenn das so ist, wo sind eigentlich die Backups des Handys von Frau VonderLeien?
Eine zentrale Löschung könnte mal wohl triggern…
Man stelle sich vor, auch dort wäre eine unsichere Software verwendet worden und nun hat wer ihre SMS mit der Pharma Industrie…als dezentrales Backup.
Oh man,…
Das Problem hier ist hier wieder die Schnarchnasigkeit unserer Behörden bzw. der zuständigen Leute dort. Die Norweger konnten sich nicht wirklich schützen, da 0-day.
Aber unsere haben da keine Ausrede, da gab es ja das Update bereits.
Wir haben zwar nicht den EPMM im Einsatz sondern nur den "normalen" Endpoint Manager (für PCs/Laptops) von Ivanti, aber wir bekommen bei solch wichtigen Updates vom Hersteller eine E-Mail an die registrierte Adresse mit dem Hinweis auf das SA-Dokument und den Patch (zuletzt erst so geschehen).
Ich kann mir nicht vorstellen, dass Ivanti hier die registrierten Kunden des Produktes nicht informiert hat, nachdem der Patch draußen war. Müsste sich halt nur wer drum kümmern.
Das Problem in den Ministerien und auch den Behörden ist, dass man sich dort nicht so schnell von Mitarbeitern trennt. Hat man ja an Graichen gesehen. Wieso sollte für einen verantwortungslosen IT-Verantwortlichen anderes gelten? Ganz offensichtlich ist da der eine oder andere Mitarbeiter der IT davon überzeugt, dass er lediglich für Anwesenheit bezahlt wird, für mehr aber nicht.
Das sind Beamte.
Die werden nicht nach Leistung bezahlt, wenn man due Anzahl der Kinder und das erreichte Lebensalter trotz privater Krankenversicherung nicht als solche zählt.
Um einen Beamten los zu werden muss der schon dasTafelsiber geklaut haben, wörtlich oder öffentlich rumlallen, Demenz zeigen.
Und selbst dann bekommt er alle seine Bezüge, Alimente weiter.
(Ich glaube das ist erst ab 1 Jahr Freiheitsstrafe weg).
Keine Updates einspielen?
Für mehrere Wochen die Bearbeitung blockieren?
Bürgerdaten öffentlich machen?
Verträge gegen aller Rat abschließen, die 230 Mio Regress enthalten?
Das in der Bananenrepublik Deutschland, BRD völlig normal und straffrei.
Wenn so jemand für seine Fehler haften müsste, würde keiner diese Jobs machen….
Lieber Herr Born, es mag bisschen kleinlich sein, aber die Süddeutsche hat diesen Fall gefunden, recherchiert und berichtet. Spiegel-Online hat die Geschichte dann ausführlich "zitiert".
Bei Ihnen klingt es nun so, als sei es andersherum gewesen. Ansonsten danke für die gute Arbeit, die sie hier machen, mfG, MM
Die Sache ist die: Bei der Süddeutschen ist die Geschichte hinter einer Paywall (ist legitim) – lässt sich für mich also nicht lesen, was die Redaktion berichtet. Daher verlinke ich auch nicht auf die Süddeutsche (das ist für alle Blog-Leser ohne Abo bei der Süddeutschen ziemlich witzlos), sondern auf Spiegel Online als Primärquelle.
Der Blog-Beitrag greift dann aber den Kontext von Ivanti auf, den die Leser zeitnah hier im Blog mitbekommen haben. Ergo ist die Quelle "Süddeutsche Zeitung", die das "zuerst gefunden hatten" in meinen Augen sehr unwichtig. Mag aber jeder gerne anders sehen.