{"id":238926,"date":"2020-12-15T17:34:58","date_gmt":"2020-12-15T16:34:58","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=238926"},"modified":"2023-11-28T17:38:44","modified_gmt":"2023-11-28T16:38:44","slug":"schlamperei-bei-solarwinds-fr-kompromittierte-software-verantwortlich","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/12\/15\/schlamperei-bei-solarwinds-fr-kompromittierte-software-verantwortlich\/","title":{"rendered":"Schlamperei bei SolarWinds für kompromittierte Software verantwortlich?"},"content":{"rendered":"

[English<\/a>]War wom\u00f6glich Schlamperei und Schlendrian oder zumindest eine laxe Sicherheitskultur beim US-Softwarehersteller SolarWinds daf\u00fcr verantwortlich, dass deren Updates der Orion-Produkte \u00fcber Monate mit dem SUNBURST-Trojaner infiziert werden konnten? \u00dcber diesen Trojaner wurden in den letzten Monaten zahlreiche US-Beh\u00f6rden und der Sicherheitsanbieter FireEye gehackt. Hier ein Blick in einen sicherheitstechnischen Abgrund …<\/p>\n

<\/p>\n

Kurzer R\u00fcckblick auf den 'SUNBURST-Hack'<\/h2>\n

\"\"Seit wenigen Tagen ist ja bekannt, dass der Sicherheitsanbieter FireEye und eine Reihe von US-Beh\u00f6rden gehackt wurden. In den Beitr\u00e4gen US-Finanzministerium und weitere US-Beh\u00f6rde gehackt<\/a> und FireEye: Wenn Hacker eine Sicherheitsfirma pl\u00fcndern<\/a> hatte ich \u00fcber erfolgreiche Hacks des US-Sicherheitsunternehmens FireEye sowie des US-Finanzministeriums und weiterer US-Beh\u00f6rden berichtet. Hacker konnten sich seit Monaten in deren IT-Systemen umsehen, Mails mitlesen und Dokumente abziehen.<\/p>\n

In den entsprechenden Ver\u00f6ffentlichungen, die als Quelle eine Analyse des Sicherheitsanbieters FireEye haben, ist immer von einem 'ausgefuchsten Cyberangriff' durch staatliche Hacker die Rede. Denen ist ein Coup gelungen, haben die doch in einem Lieferkettenangriff (Chain-Supply-Attack) den Update-Prozess des Software-Herstellers SolarWinds kompromittiert. SolarWinds liefert mit seiner Orion-Produktpalette eine Monitoring-Software f\u00fcr Windows, mit der sich eine IT-Infrastruktur und deren Netzwerke \u00fcberwachen l\u00e4sst. Die Software besitzt also entsprechende Privilegien, um auf die Active Directory-Strukturen etc. zuzugreifen.<\/p>\n

Die Netzwerk- und Sicherheitsprodukte von SolarWinds<\/a> werden von Top Unternehmen, Regierungsbeh\u00f6rden und Bildungseinrichtungen eingesetzt. SolarWinds beliefert au\u00dferdem die gro\u00dfen US-Telekommunikationsunternehmen, alle f\u00fcnf Zweige des US-Milit\u00e4rs und andere prominente Regierungsorganisationen wie das Pentagon, das Au\u00dfenministerium, die NASA, die Nationale Sicherheitsbeh\u00f6rde (NSA), die Post, die NOAA, das Justizministerium und das B\u00fcro des Pr\u00e4sidenten der Vereinigten Staaten. Auch NATO und Co. sind darunter. Wer die SolarWinds Orion-Produkte\u00a0 kompromittiert, kann in die Infrastruktur, die von den Tools \u00fcberwacht wird eindringen. Das ist alles in meinen oben bzw. am Beitragsende verlinkten Artikeln nachzulesen.<\/p>\n

Brauchte es einen ausgekl\u00fcgelten SolarWinds-Hack?<\/h2>\n

Die spannende Frage ist nun: Wie haben es die (mutma\u00dflich staatsnahen) Hacker (aus dem Umfeld des mutma\u00dflich russischen Auslandsgeheimdienst) blo\u00df geschafft, die SolarWinds-Sicherheitsh\u00fcrden um \u00fcberwinden, um ihren Trojaner in eine signierte DLLS, die per signiertem Update-Paket ausgerollt wurde, einzuf\u00fcgen?<\/p>\n

Kurze Antwort: Ich wei\u00df es aktuell nicht. Aber nach 35 Jahren als IT-Autor und 13 Jahren als Blogger ist nichts mehr fremd. Da sind Server offen, Kennw\u00f6rter der Art Password123 im Einsatz oder ein Administrator braucht schlicht ein bisschen Geld, und schon ist die Sache geritzt. Allerdings gestehe ich, dass mir doch die Kinnlade herunter fiel, als ich im heise-Forum auf meinen Post<\/a> einen besonderen Kommentar erhielt.<\/p>\n

Der Sicherheitsforscher Vinoth Kumar hat das SolarWinds Sicherheitsteam am 19. September 2019 – also vor einem Jahr – darauf aufmerksam gemacht, dass er ein Passwort f\u00fcr deren Up- und Download-Server in einem GitHub-Repository gefunden habe.<\/p>\n

\"SolarWinds<\/a><\/p>\n

Wenn man den Screenshot in obigem Tweet<\/a> entsprechend vergr\u00f6\u00dfert, findet man die Informationen f\u00fcr den FTP-Zugang samt Passwort im Klartext in einer XML-Konfigurationsdatei (Kumar hat die Informationen im Screenshot allerdings entfernt).<\/p>\n

Er lud damals als Proof of Concept eine .txt-Datei hoch und schreibt, dass jeder Hacker \u00fcber diesen Weg sch\u00e4dliche Programmdateien (.exe) hochladen k\u00f6nne. Diese w\u00fcrden dann mit jedem Release von SolarWinds-Produkten verteilt. Kumar hat das Product Security Response Team (PSIRT) seinerzeit per Mail \u00fcber diese Erkenntnis informiert. Am 22. November 2019 kam dann die Antwort von den SolarWinds-Sicherheitsleuten.<\/p>\n

\"SolarWinds<\/p>\n

Das Sicherheitsteam bedankt sich und gibt an, diese Schwachstelle geschlossen zu haben. Die Geschichte hat SaveTheBreach am 14. Dezember 2020 in diesem Artikel<\/a> zusammen getragen. Inzwischen ist bekannt, dass das verwendete FTP-Passwort *****123 lautete (es wird admin123 kolportiert, ich habe aber auch solarwind123 gelesen). Ist auch egal, solche Passw\u00f6rter sind per Credential-Stuffing (wo Listen bekannter Kennw\u00f6rter ausprobiert werden) sehr fix geknackt.<\/p>\n

Um es klar auszudr\u00fccken: Der obige Fall ist kein Beweis, dass der letztendlich erfolgreiche Angriff auf die Lieferkette mit der Platzierung des Trojaners in einer digital von SolarWinds signierten DLL \u00fcber den simplen FTP-Ansatz erfolgte. Erg\u00e4nzung: Inzwischen wird dieser Ansatz sogar bestritten. Vinoth Kumar schreibt denn auch in einer Q&A auf SaveTheBreach, dass er von einem ausgekl\u00fcgelten Angriff ausgeht. Aber er gibt an, dass der Vorfall schon ein bezeichnendes Licht auf die Sicherheitskultur des Unternehmens, welches \u00dcberwachungssoftware anbietet, wirft. Wenn die Sicherheitskultur einer Firma solche Schw\u00e4chen aufweist, ist es schon zul\u00e4ssig, von weiteren Problemstellen auszugehen, die m\u00f6glicherweise von den Angreifern ausnutzbar waren.<\/p>\n

In einer Meldung das die U.S. Securities and Exchange Commission<\/a> gibt SolarWinds zudem an, dass sie von Microsoft informiert wurden, dass ihr Office 365 auch gehackt wurde (siehe z.B. diesen Beitrag<\/a>). Daher ist aktuell total unklar, was bei SolarWinds in der IT-Infrastruktur kompromittiert wurde.<\/p>\n

Abschlie\u00dfend Anmerkung: Der Sicherheitsanbieter Volexity berichtet hier<\/a>, dass die Angreifer hinter dem SolarWinds-Hack von ihnen bei einem Startup beobachtet wurden. Die gleichen Angreifer habe diese Firma gleich drei Mal gehackt und konnten seinerzeit eine Multifactor Authentifizierung (MFA) aushebeln. Sind also keine dummen Script-Kiddies, die irgendwo ein FTP-Passwort im Internet gefunden haben.<\/p>\n

Nach 35 Jahren als IT-Schreiberling und 13 Jahren als Blogger \u00fcberrascht mich das \u00fcbrigens keineswegs. Ich poste hier ja nicht alles, was mir aus Sicherheitskreisen unter die Augen kommt. Aber manchmal f\u00e4llt mir doch die Kinnlade herunter, wenn mal wieder eine Mail als Kopie in meinem Postfach landet, wo ein Emergency Response Team auf einen vertraulichen Hinweis zu einer Schwachstelle in einem Produkt antwortet (Tenor: 'ist kein Problem …'). Es geh\u00f6rt auch ein bekannter Betriebssystemhersteller zu dieser Klientel. Die andere Seite der Medaille: Oft genug werden ich in Sicherheitsartikeln, in denen ich Schwachstellen in Produkten thematisiere, in Kommentaren angeschissen, was mir einf\u00e4llt. Ich habe ja noch nie programmiert und solle mal zeigen, dass ich es besser k\u00f6nnen – und \u00fcberhaupt sei alles ja nicht so schlimm und wenn jemand Admin-Rechte habe …<\/p>\n

Aktuell f\u00fchle ich mich in einem Software- und sicherheitstechnischen Alptraum gefangen und warte, dass ich aufwache und feststelle 'haste alles nur getr\u00e4umt'. Samstag habe ich ein Rezensionsexemplar des am 17. Dezember 2020 erscheinenden Titels Hacking Multifactor Authentication (Affiliate Link) quer gelesen. Geschrieben wurde der Titel von einem Sicherheitsforscher, der 20 Jahre in dem Bereich t\u00e4tig war. Danach habe ich meine 'vermeintlichen Gewissheiten' \u00fcber Bord geworfen. Es ist keine Frage, ob ein System gehackt werden kann, sondern nur wann.<\/p><\/blockquote>\n

\u00c4hnliche Artikel:<\/strong>
\nFireEye: Wenn Hacker eine Sicherheitsfirma pl\u00fcndern<\/a>
\nUS-Finanzministerium und weitere US-Beh\u00f6rde gehackt<\/a>
\nSolarWinds SUNBURST-Schwachstelle: Die Folgen und Schutzma\u00dfnahmen<\/a>
\nSolarWinds-Produkte mit SunBurst-Backdoor, Ursache f\u00fcr FireEye- und US-Beh\u00f6rden-Hacks<\/a>
\nSchlamperei bei SolarWinds f\u00fcr kompromittierte Software verantwortlich?<\/a>
\nNeues im Kampf gegen die SUNBURST-Infektion, Domain beschlagnahmt<\/a>
\nSUNBURST-Malware wurde in SolarWinds Quellcode-Basis eingeschleust<\/a>
\nSolarWinds-Hack: Auch Microsoft & Co. betroffen?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]War wom\u00f6glich Schlamperei und Schlendrian oder zumindest eine laxe Sicherheitskultur beim US-Softwarehersteller SolarWinds daf\u00fcr verantwortlich, dass deren Updates der Orion-Produkte \u00fcber Monate mit dem SUNBURST-Trojaner infiziert werden konnten? \u00dcber diesen Trojaner wurden in den letzten Monaten zahlreiche US-Beh\u00f6rden und der … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-238926","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/238926","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=238926"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/238926\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=238926"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=238926"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=238926"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}