Viele Meldungen zum entdecktem SolarWinds Sunburst Hack haben uns letztes Jahr begleitet. Doch was ist der Supply-Chain-Angriff Sunburst, wer ist betroffen und sind seine Auswirkungen vielleicht schlimmer als gedacht? Gehen wir der Sache nach und versuchen die Geschehnisse der Reihe nach aufzuarbeiten.
Was ist ein Supply-Chain-Angriff?
Es ist eine moderne Methode Schadcode zu verbreiten, indem der Code legitimer, bekannter Software injiziert wird.
Sunburst, was ist das?
In der von Orion digital signierten Komponente „SolarWinds.Orion.Core.BusinessLayer.dll” befindet sich eine Backdoor welche die Kommunikation über HTTP mit Servern von Drittanbietern ermöglicht. Wie oftmals, bleibt diese eine Zeitlang inaktiv, um übliche Virescanner zu täuschen, danach jedoch führt sie Aufgaben aus wie zum Beispiel: Dateien zu übertragen, Systemdienste zu deaktivieren oder gar Profile am System zu erstellen. Sie tarnt sich mittels des Orion eigenem Improvement Program und bleibt somit unentdeckt. Weiters kann die Backdoor aktive Antivirentools identifizieren.
Wer ist SolarWinds?
SolarWinds ist ein US-amerikanisches Unternehmen, welches Softwareprodukte zur Überwachung und Fehlersuche in Unternehmensnetzwerken anbietet. Mit dem sehr beliebten Netzwerkanalyse Tool Orion machte sich die Firma einen Namen. SolarWinds beliefert außerdem die großen US-Telekommunikationsunternehmen, alle fünf Zweige des US-Militärs, das Pentagon, NASA, Tech Giganten wie Microsoft, Cisco, Fireeye oder auch McDonalds, Visa, Nestle und die New York Times sowie viele weitere namenhafte Firmen.
Wie ist es passiert?
SolarWinds zufolge wurde Orions Software-Build-System im September 2019 kompromittiert und der Schadcode in ein Orion Update eingeschlichen. So konnte sich Sunburst, lange unentdeckt, ungehindert bei vielen Unternehmen einnisten und Daten sammeln.
Wie dies genau passiert ist, ist bis heute unklar. Bezeichnend ist jedoch, der Sicherheitsforscher Vinoth Kumar hat das SolarWinds Sicherheitsteam am 19. September 2019 darauf aufmerksam gemacht, dass er ein Passwort für deren Up- und Download-Server in einem GitHub-Repository gefunden hat. Ein sehr unsicheres angemerkt. Laut SolarWinds, habe man sich umgehend um das Problem gekümmert.
Wer ist betroffen?
Die Frage lässt sich schwer beantworten. Primär sind selbstverständlich alle Unternehmen betroffen welche die Versionen 2019.4 HF5 bis 2020.2.19.0 von SolarWinds Orion einsetzen. Laut SolarWinds wurden die befallenen Versionen rund 18.000 mal installiert. In weiterer Folge ist aber der Umfang der Verbreitung schwer abzuschätzen, denn wenn ein Unternehmen mit Firmendaten anderer Unternehmen arbeitet, kann es zu einem Datenleck für Drittunternehmer gekommen sein. Besonders beunruhigend war hierbei, dass auch Microsoft betroffen war. Als einer der größten Betriebssystemhersteller, hätte der Hack weitreichende Folgen für alle Benutzer haben können. Nach Microsofts Aussage, hatten die Hacker zwar Einsicht in den Windows Quellcode hätten ihn jedoch nicht verändern können. So konnte bislang kein Schaden für Dritte nachgewiesen werden.
Nachbeben
Nach Sunburst wurde vor wenigen Tagen eine weitere Backdoor in Orions „App_Web_logoimagehandler.ashx.b6031896.dll“ gefunden. Der neue Angriff wird Supernova genannt. Experten sind sich uneinig, ob es sich um die gleichen Täter wie bei Sunburst handelt oder ob eine weitere unabhängige Organisation dahintersteckt. Obwohl das Erstellungsdatum von Supernova Parallel zu Sunburst Ende März datiert ist, verfüge der neue Hack im Vergleich über keine digitale Signatur.
Auswirkungen
Diese sind schwer nachvollziehbar. Durch die Komplexität und lange Dauer bis zur Aufdeckung des Angriffes, können die Hacker auch ohne Sunburst oder Supernova bereits Daten gesammelt haben, welche den Zugriff zum Netzwerk ermöglicht. Wir werden also auch in Zukunft wohl noch mehr über Folgen dieser Attacke hören.
Was mache ich nun?
Alle Unternehmen welche die SolarWinds Orion im Einsatz haben, sollten überprüfen ob ihre Softwareversion betroffen ist. Ein Update auf eine aktuelle Version kann hierbei anschließend Abhilfe schaffen. Hier finden Sie weitere Informationen von SolarWinds.
Für den Rest gibt es derzeit keinen dringenden Handlungsbedarf. Jedoch empfehlen wir Unternehmen sich mit der eigenen Netzwerksicherheit auseinandersetzen und folgende Punkte zu evaluieren.
- Welche Bestandteile meiner Infrastruktur besitzen die Fähigkeit nach außen zu Kommunizieren? (Web-, Fileserver, etc.)
- Sind die Passwörter für diese Systeme komplex und bestenfalls durch einen zweiten Faktor abgesichert?
- Welche Software wird in meinem Unternehmen eingesetzt?
- Wie werden Updates auf meine Systeme ausgerollt?
- Habe/Brauche ich einen Anti-Virus/Ransomware/Malware Schutz für Server und Clients?
Falls Sie sich unsicher sind ob Sie ausreichend geschützt sind, stehen wir Ihnen gerne als kompetenter Partner zur Seite.