„Grottenschlechte IT-Sicherheit“ bei SolarWinds
Von Erich Moechel
Zwei Monate nach der schweren Kompromittierung durch mutmaßlich russische staatliche Akteure ist SolarWinds erneut in den Schlagzeilen, und das gleich mehrfach. Der neue CEO des Marktführers im Bereich Netzwerkmonitoring gab bekannt, dass die Angreifer neun Monate lang die E-Mail-Systeme der Firma unentdeckt ausspionieren konnten.
Parallel dazu wurden gleich drei neue Sicherheitslücken in den „Orion“-Systemen des Unternehmens gemeldet, die in fast allen Großkonzernen laufen. Eine der Lücken gehört zur obersten Gefährdungsklasse. Zuletzt meldete Reuters, dass auch eine chinesische Cybertruppe bei SolarWinds eingedrungen sei. Der bekannte Sicherheitsexperte Bruce Schneier konstatiert „grottenschlechte IT-Sicherheit durch eine bewusste Geschäftsentscheidung zur Kostenreduktion“.
Trustwave
Noch Anfang Jänner wurde nach einem zweiten Angriffsvektor gegen SolarWinds gesucht, der mittlerweile identifiziert ist (siehe ganz unten).
Auf dem Wellenkamm einer Kaskade
All das kommt sozusagen auf dem Wellenkamm eines kaskadierenden Angriffs auf die Top-500-US-Konzerne und alle wichtigen US-Ministerien daher, der über SolarWinds, dann die Azure-Cloud von Microsoft in eine noch nie dagewesene Breite ging. Die starken Worte Bruce Schneiers, der wie alle Sicherheitsforscher von Rang eher zum Understatement neigt, kommen also nicht von ungefähr. Das ärgste der drei Sicherheitslöcher hat zwar schon eine Nummer, nämlich CVE-2021-25274, Details vom National Institue of Standards and Technology (NIST) kommen erst am Dienstag.
Die Sicherheitsfirma Trustwave, die alle drei Lücken aufgespürt hatte, wird ihr „Proof of Concept“ ebenfalls erst am Dienstag veröffentlichen, um den betroffenen Unternehmen Zeit zu geben, die inzwischen erschienenen Sicherheitsupdates von SolarWinds einzuspielen. Ein „Proof of Concept“ demonstriert, wie eine Sicherheitslücke ausgenützt werden kann, dadurch kann er auch als Bauanleitung für entsprechende Schadsoftware missbraucht werden.
Solarwinds
Der kaskadierende Angriff wurde Mitte Dezember öffentlich bekannt, nachdem die Sicherheitsfirma FireEye Alarm geschlagen hatte.
Authentifizierung nicht gefragt
Auch wenn die Einstufung noch fehlt, so bestehen wenig Zweifel, dass diese Sicherheitslücke zur obersten Gefährdungskategorie gehört. Angreifer von außen können ohne Benutzernamen oder Passwortabfrage über den TCP Port 1801 einen Prozess namens „Microsoft Messaging Queue“ (MSMQ) manipulieren, hieß es von Trustwave. In der Folge könnten die Angreifer beliebigen Code ausführen und die gesamte „Orion“-Suite übernehmen. Wie viele andere Microsoft-Prozesse hat SolarWinds MSMQ in die „Orion“-Suite іntegriert, die Art der Einbindung ist freilich haarsträubend.
Die Techniker von SolarWinds hatten die von Microsoft vorgesehenen Parameter zur Authentifizierung nicht gesetzt und die Warnungen Microsofts ignoriert (siehe Screenshot oben). Wie lange die „Orion“-Suites, die in so gut wie allen großen Netzen zu multiplen Kontroll- und Verwaltungszwecken laufen, sperrangelweit offen gestanden sind, ist nicht zu sagen. MSMQ wurde von Microsoft um das Jahr 2000 eingeführt und mittlerweile durch einen anderen Prozess ersetzt.
- public domain -
Im Zusammenhang mit SolarWinds hatte der Geheimdienst FSB russische Netzwerkadministratoren Ende Jänner öffentlich vor Cyberangriffen aus den USA gewarnt.
„Kuschelbären“ treffen „Pandas“
Die anderen beiden neuen Schwachstellen in der Software von SolarWinds sind ebenfalls krass genug, die Angreifer müssen dafür nur über eine Bastion im Zielnetz verfügen. Dafür braucht es gerade einmal einen einzigen gehackten Mail-Account, dann können die Angreifer mit wenig Aufwand die Datenbank der „Orion“-Suite übernehmen wie auch die FTP-Server von SolarWinds, mit denen Downloads abgewickelt werden. Damit sollte ganz klar sein, warum die Angreifer von APT29 alias „Cozy Bear“ im Netz von SolarWinds so leichtes Spiel hatten, dass sie bis in den Build-Prozess vordringen konnten, bei dem die Quellcodes der „Orion“-Suite und anderer Systeme von SolarWinds zusammengesetzt werden.
Cc-by-sa-2.0-fr by Rama, Wikimedia Commons
Dem marktführenden Unternehmen für Network Monitoring war erst dann aufgefallen, was in ihrem eigenen Netzwerk vor sich ging, als sie von der Sicherheitsfirma FireEye gewarnt wurde. Die wiederum war davor über die „Orion“-Suite von SolarWinds von den russischen „Kuschelbären“ angegriffen worden. Die jüngste Reuters-Meldung über die Angreifer aus China im Netz von SolarWinds beruft sich auf die (anonymisierten) Aussagen mehrerer FBI-Beamter, eine Bestätigung aus einer zweiten Quelle fehlt bis jetzt. Laut Reuters nützten die mutmaßlich chinesischen Akteure - im Jargon der Sicherheitsbranche gern kollektiv unter „Pandas“ subsummiert - eine andere Sіcherheitslücke als die „Kuschelbären“ aus, um sich in Netzen weiter auszubreiten, in die sie schon vorher eingedrungen waren. Das sieht schon sehr verdächtig nach der Beschreibung einer der drei nun entdeckten Sicherheitslücken aus. Angegriffen wurden jedenfalls Ministerien und Behörden in den USA, das National Finance Center, eine Zahlungsstelle für mehrere US-Behörden hat einen Angriff jedenfalls bestätigt, laut Reuters sollen auch noch weitere US-Regierungsstellen betroffen sein.
Vorläufiges Fazit
Mit Pfusch und Schlamperei allein lässt sich eine solche Schwachstellenepidemie in einem Softwarehaus, das eine Milliarde Dollar pro Jahr umsetzt und 18.000 Konzerne, Behörden, Ministerien und internationale Organisationen als Kunden hat, nicht erklären. Bei SolarWinds wurde offenbar systematisch bei Sicherheitsmaßnahmen gespart, denn interne Compliance-Prozesse, Audits von Software bzw. Protokollen und auch Penetrationstests hätten zumindest einen Teil der Schwachstellen ans Licht gebracht. All das hätte freilich einiges an Geld gekostet, und dafür wiederum haben die Budgets gefehlt. Das nämlich meint Bruce Schneier, wenn er konstatiert: „SolarWinds hat seine Profite durch Erhöhung der Cyberrisiken gesteigert und diese Risiken dann auf seine Kunden übertragen, ohne deren Wissen oder Zustimmung.“
Es gibt wieder einen RSS-Feed für diesen Blog. Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.
Publiziert am 07.02.2021