{"id":257632,"date":"2021-09-14T12:51:20","date_gmt":"2021-09-14T10:51:20","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=257632"},"modified":"2021-10-11T23:00:09","modified_gmt":"2021-10-11T21:00:09","slug":"deutsche-evergabe-portal-nach-ransomwareangriff-down","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/09\/14\/deutsche-evergabe-portal-nach-ransomwareangriff-down\/","title":{"rendered":"Deutsche eVergabe-Portal nach Ransomwareangriff down"},"content":{"rendered":"

\"SicherheitDas Portal Deutsche eVergabe<\/a> ist Opfer eines Ransomware-Angriffs geworden. Der Angriff erfolgte bereits vorige Woche (8. auf den 9. Sept. 2021), wobei eine Reihe Server verschl\u00fcsselt wurden. Aktuell ist das betreffende Portal immer noch nicht funktionsf\u00e4hig. Das hat Auswirkungen auf \u00f6ffentliche Ausschreibungen, die \u00fcber dieses Portal abgewickelt werden. Der Angriff erfolgte \u00fcber die ungepatchte Confluence-Schwachstelle, die ich Anfang September 2021 im Blog thematisiert hatte.<\/p>\n

<\/p>\n

\"\"Blog-Leser Tobias hat in diesem Kommentar<\/a> auf den Sachverhalt aufmerksam gemacht und schreibt dazu folgendes. <\/p>\n

\n

Das Vergabeportal deutsche-evergabe.de<\/a> ist durch Ransomware down. Wie aus der Statusmeldung vom 12.9. hervorgeht ist das mittelbar auf die Confluence-L\u00fccke zur\u00fcckzuf\u00fchren.<\/p>\n<\/blockquote>\n

Die Confluence-Schwachstelle<\/h2>\n

Confluence<\/a> ist eine kommerzielle Wiki-Software, die vom australischen Unternehmen Atlassian entwickelt und als Enterprise Wiki haupts\u00e4chlich f\u00fcr die Dokumentation und Kommunikation von Wissen und den Wissensaustausch in Unternehmen und Organisationen verwendet wird, aber zunehmend auch als Basis f\u00fcr \u00f6ffentliche Wikis im Internet zum Einsatz kommt. Zur Confluence-L\u00fccke hatte ich am 2. September 2021 im Blog-Beitrag Massen-Scans und Angriffe auf Confluence Enterprise Server<\/a> auf die Problematik hingewiesen. <\/p>\n

In der Software Confluence Server und Confluence Data Center gibt es die Schwachstelle CVE-2021-26084 in der OGNL Scriptsprache (Object-Graph Navigation Language). Das ist eine einfache Skriptsprache zur Interaktion mit Java-Code (in der die meiste Confluence-Software geschrieben wurde). Die Schwachstelle kann von Angreifern ausgenutzt werden, um die Authentifizierung zu umgehen und b\u00f6sartige OGNL-Befehle einzuschleusen. Diese erm\u00f6glichen es, ungepatchte Systeme zu \u00fcbernehmen. <\/p>\n

Der Schweregrad wurde inzwischen von 9,8 von maximal 10 bewertet, da die Schwachstelle Remote-Angriffe erm\u00f6glicht. Am 25. August 2021 wurden Sicherheitsupdates zum Schlie\u00dfen der Schwachstelle freigegeben. Eine Woche sp\u00e4ter begannen dann die Angriffe auf die Confluence-Server. <\/p>\n

Der Ransomwareangriff auf Deutsche eVergabe<\/h2>\n

In einer Statusmeldung vom 12.09.2021 best\u00e4tigt der Betreiber des Portals, dass in  der Nacht vom 08.09.2021 auf den 09.09.2021 ein Ransomware-Angriff mit L\u00f6segeldforderung auf die Server des Portals stattgefunden habe. Binnen k\u00fcrzester Zeit wurde eine hohe Anzahl von Servern verschl\u00fcsselt – damit war die Plattform down und nicht mehr arbeitsf\u00e4hig. <\/p>\n

Der Betreiber arbeitet seitdem mit einem 10-k\u00f6pfigen Team bestehend aus Technikern und Forensikern daran die Systeme zu entschl\u00fcsseln und wieder komplett neu aufzusetzen. Dabei werden die Betreiber von der hessischen Polizei, dem Landeskriminalamt Hessen, Hessisches Ministerium des Innern und Experten der Firmen Sec-Consult, Atos und Heimdal unterst\u00fctzt. Zum Angriffsvektor schreiben die Betreiber:<\/p>\n

\n

Die Forensik hat die bisherige Annahme best\u00e4tigt, dass das Eintrittstor ein Atlassian Confluence Server (Drittanbieter) war, dessen Software von einem uns verbundenen Unternehmen eingesetzt wurde. Healy Hudson selbst nutzt dieses System nicht. Die eVergabesysteme waren nicht das explizite Angriffsziel. <\/p>\n

Dem Angreifer ging es vordergr\u00fcndig darum in kurzer Zeit automatisiert eine gro\u00dfe Anzahl von Serversystemen zu verschl\u00fcsseln. Dies war keine Virusattacke, demnach sind auch keine Computer von Anwendern betroffen.<\/p>\n

Anhand der Zeitspanne und der Tatsache, dass die Systeme nach dem Angriff dann auch f\u00fcr den Angreifer verschl\u00fcsselt und nicht mehr nutzbar waren, schlie\u00dfen wir nach jetzigen Sachstand mit sehr hoher Wahrscheinlichkeit einen Datendiebstahl aus. Hierf\u00fcr h\u00e4tte der Angreifer f\u00fcr Reverse-Engineering Aktivit\u00e4ten mehr Zeit und interne Kenntnisse ben\u00f6tigt. Auch eine Datenkopie w\u00e4re aufgrund der extremen Dateigr\u00f6\u00dfen in der Zeit nicht m\u00f6glich gewesen.<\/p>\n<\/blockquote>\n

Als Ironie stufe ich aber die folgende Passage in der Statusmeldung der Betreiber ein:<\/p>\n

\n

Am 03.09.2021 warnte die Firma Heise vor einer m\u00f6glichen L\u00fccke im System der Firma Atlassian und empfahl ein Update der Software. Dieses Patch sollte an diesem Wochenende eingespielt werden. Die Ironie des Schicksals lies es zu, dass der Angriff uns zuvorkam. Wir m\u00f6chten eindringlich jedes Unternehmen bitten Cyber-Kriminalit\u00e4t ernst zu nehmen und Softwaresysteme stetig aktuell zu halten.<\/p>\n<\/blockquote>\n

Aktuell schreibt der Betreiber<\/a>, dass es dem Team gelungen sei, einen Gro\u00dfteil der Server wieder zu entschl\u00fcsseln. Es wurden neue Netzwerksegmente fertiggestellt. Die Applikationen des Portals werden nun auf neue, unbelastete Servertemplates installiert und sukzessive ausgerollt. Jeder Server erh\u00e4lt nach umfassender Pr\u00fcfung die Freigabe der Forensik. Da es sich um sehr umfangreiche Systeme handelt, k\u00f6nnen diese Pr\u00fcfungen vereinzelnd lange dauern, so der Betreiber. Diese gehen aktuell davon aus, dass die Freigabe am heutigen Dienstagabend (14.09.2021) erfolgen kann.<\/p>\n

Die Deutsche eVergabe<\/h2>\n

Blog-Leser Tobias hat in diesem Kommentar<\/a> die Aufgabe zusammen gefasst. \u00dcber das Portal schreiben Firmen und Beh\u00f6rden Leistungen aus. Da diese \u00f6ffentlichen Ausschreibungen Fristen haben, ist dieser Ausfall vergaberechtlich gar nicht so trivial. Da m\u00fcssen ggf. Abgabefristen verl\u00e4ngert werden, was Zuschl\u00e4ge verz\u00f6gern wird mit entsprechenden weiteren Auswirkungen (sp\u00e4tere Lieferungen etc.).<\/p>\n","protected":false},"excerpt":{"rendered":"

Das Portal Deutsche eVergabe ist Opfer eines Ransomware-Angriffs geworden. Der Angriff erfolgte bereits vorige Woche (8. auf den 9. Sept. 2021), wobei eine Reihe Server verschl\u00fcsselt wurden. Aktuell ist das betreffende Portal immer noch nicht funktionsf\u00e4hig. Das hat Auswirkungen auf … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4715,4328],"class_list":["post-257632","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-ransomware","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/257632","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=257632"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/257632\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=257632"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=257632"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=257632"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}