{"id":293251,"date":"2024-03-12T16:20:13","date_gmt":"2024-03-12T15:20:13","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=293251"},"modified":"2024-03-12T16:20:13","modified_gmt":"2024-03-12T15:20:13","slug":"it-aus-der-hlle-hunderte-fehlanmeldungen-in-solarwinds-vm-beobachtet","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/03\/12\/it-aus-der-hlle-hunderte-fehlanmeldungen-in-solarwinds-vm-beobachtet\/","title":{"rendered":"IT aus der Hölle: Hunderte Fehlanmeldungen in Solarwinds-VM beobachtet"},"content":{"rendered":"

\"SicherheitIch gehe davon aus, dass die Zahl der Leser, die noch Solarwinds-Produkte in ihrem Umfeld haben, gering sein d\u00fcrfte. Gestern ist mir ein Fundsplitter untergekommen, die in hier im Blog einstellen m\u00f6chte. Einem Benutzer sind Hunderte von fehlgeschlagenen Anmeldeversuchen aus der Solarwinds-VM seines Unternehmens zu anderen internen Servern aufgefallen. K\u00f6nnte eine m\u00f6gliche System-Kompromittierung sein, weshalb er den Fall im Internet diskutiert hat. Ich habe das mal kurz \u00dcberflogen: Fall von IT aus der H\u00f6lle<\/em> – keiner wei\u00df da Bescheid, und mir stellt sich die Frage, \"ob dies der Standard da drau\u00dfen ist\". <\/p>\n

<\/p>\n

\"\"Das Ganze ist mir auf BlueSky in nachfolgendem Tweet<\/a> untergekommen – der Fall wird auf reddit.com im Thread Getting hundreds of failed login attemps from our solarwinds VM to all other servers and VMs. This is not normal, right?<\/a> diskutiert. <\/p>\n

<\/a><\/p>\n

Die Person war neu im Unternehmen und dort war man dabei SIEMs<\/a> (Security Information and Event Management) und IDPS<\/a> (Intrusion Detection and Prevention System)  zu implementieren. Da schaut man dann mal genauer hin, und dabei ist aufgefallen, dass es Hunderte von Anmeldeversuchen gibt, die von einer Solarwinds-VM auf die anderen Server, darunter unser E-Mail-Server, Dateiserver usw., erfolgen.<\/p>\n

Die Arbeitstheorie ist, dass die Maschine kompromittiert ist, und was dort auch immer werkelt (Hacker \/ Malware) versucht, auf andere Systeme \u00fcber Brute-Force zuzugreifen. Er selbst kennt das Solarwinds-System nicht (wurde als Legacy-System von fr\u00fcheren IT-Team implementiert). <\/p>\n

Das Ganze ist ein Alptraum, denn der Benutzer schreibt, dass niemand der IT-Mitarbeiter je mit dem Solarwinds-System in der VM gearbeitet habe. Niemand wei\u00df, wozu das gut ist und was es macht. Das gesamte Team, welches das urspr\u00fcngliche System aufgesetzt hat, hat inzwischen das Unternehmen verlassen. Der einzige Grund, warum der Server noch l\u00e4uft, seit, ist, dass die Leute zu viel Angst haben, etwas kaputt zu machen, wenn sie ihn abschalten. Denn keiner der Angestellten hat die Zugangsdaten f\u00fcr ein Login an der betreffenden VM. Die VM sei auch \"seit Jahren\" nicht mehr gepatcht worden. <\/p>\n

Fall von \"IT aus der H\u00f6lle\". Nun fragte der betreffende Mitarbeiter bei reddit.com nach, ob es eine legitime Erkl\u00e4rung f\u00fcr dieses Verhalten der Solardwinds-VM gebe. Ein Nutzer meint, dass es ein altes Passwort im Solarwinds Oorion Credential Manager sein k\u00f6nne, welches f\u00fcr die gescheiterten Anmeldeversuche zust\u00e4ndig ist. Der Thread ist jetzt zwei Tage alt – aber eine L\u00f6sung (z.B. VM abgeschaltet, nix passiert) habe ich noch nicht gesehen. <\/p>\n

Frage: Ist das die \"Arbeitsumgebung\" die ihr als IT-Freelancer oder Administratoren drau\u00dfen bei den Unternehmen vorfindet – oder ist das alles sauber dokumentiert? Ich frage f\u00fcr einen Freund, der vom \"Job als Systemadministrator tr\u00e4umt, ganz viel dicke Kohle verdienen und einen Porsche fahren will\", und dem ich erz\u00e4hlt habe, dass Firmen und Organisatoren reihenweise gehackt werden. <\/p>\n","protected":false},"excerpt":{"rendered":"

Ich gehe davon aus, dass die Zahl der Leser, die noch Solarwinds-Produkte in ihrem Umfeld haben, gering sein d\u00fcrfte. Gestern ist mir ein Fundsplitter untergekommen, die in hier im Blog einstellen m\u00f6chte. Einem Benutzer sind Hunderte von fehlgeschlagenen Anmeldeversuchen aus … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[4328,3836],"class_list":["post-293251","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/293251","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=293251"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/293251\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=293251"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=293251"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=293251"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}