FM4-Logo

jetzt live:

Aktueller Musiktitel:

Sonnenaktivität

CC0

Erich Moechel

„Grottenschlechte IT-Sicherheit“ bei SolarWinds

Gleich drei neue schwere Sicherheitslücken und eine Reuters-Meldung, dass neben russischen auch chinesische Cyberangreifer in den Systemen der Firma waren, deren Software in den größten US-Konzernen läuft.

Von Erich Moechel

Zwei Monate nach der schweren Kompromittierung durch mutmaßlich russische staatliche Akteure ist SolarWinds erneut in den Schlagzeilen, und das gleich mehrfach. Der neue CEO des Marktführers im Bereich Netzwerkmonitoring gab bekannt, dass die Angreifer neun Monate lang die E-Mail-Systeme der Firma unentdeckt ausspionieren konnten.

Parallel dazu wurden gleich drei neue Sicherheitslücken in den „Orion“-Systemen des Unternehmens gemeldet, die in fast allen Großkonzernen laufen. Eine der Lücken gehört zur obersten Gefährdungsklasse. Zuletzt meldete Reuters, dass auch eine chinesische Cybertruppe bei SolarWinds eingedrungen sei. Der bekannte Sicherheitsexperte Bruce Schneier konstatiert „grottenschlechte IT-Sicherheit durch eine bewusste Geschäftsentscheidung zur Kostenreduktion“.

Screenshot aus Dokument

Trustwave

Die Entwickler von SolarWinds hatten es offenbar nicht der Mühe wert gefunden, die Sicherheitseinstellungen der MSMQ-Prozesse (siehe weiter unten) in Augenschein zu nehmen, als sie diesen Service in die „Orion“-Suite integrierten. Die Warnungen von Microsoft sind an sich kaum zu übersehen. Der Screenshot stammt aus der Analyse der Sicherheitsfirma Trustwave.

Noch Anfang Jänner wurde nach einem zweiten Angriffsvektor gegen SolarWinds gesucht, der mittlerweile identifiziert ist (siehe ganz unten).

Auf dem Wellenkamm einer Kaskade

All das kommt sozusagen auf dem Wellenkamm eines kaskadierenden Angriffs auf die Top-500-US-Konzerne und alle wichtigen US-Ministerien daher, der über SolarWinds, dann die Azure-Cloud von Microsoft in eine noch nie dagewesene Breite ging. Die starken Worte Bruce Schneiers, der wie alle Sicherheitsforscher von Rang eher zum Understatement neigt, kommen also nicht von ungefähr. Das ärgste der drei Sicherheitslöcher hat zwar schon eine Nummer, nämlich CVE-2021-25274, Details vom National Institue of Standards and Technology (NIST) kommen erst am Dienstag.

Die Sicherheitsfirma Trustwave, die alle drei Lücken aufgespürt hatte, wird ihr „Proof of Concept“ ebenfalls erst am Dienstag veröffentlichen, um den betroffenen Unternehmen Zeit zu geben, die inzwischen erschienenen Sicherheitsupdates von SolarWinds einzuspielen. Ein „Proof of Concept“ demonstriert, wie eine Sicherheitslücke ausgenützt werden kann, dadurch kann er auch als Bauanleitung für entsprechende Schadsoftware missbraucht werden.

Screenshot aus Dokument

Solarwinds

Im Oktober hatte SolarWinds die Integration von MS Office 365 in seine Suite bekanntgegeben. Damit könnten alle PCs mit dieser Konfiguration zentral vom SolarWinds-Dashboard aus überwacht und serviciert werden, was mittlerweile eher nach einer gefährlichen Drohung als nach einem neuen Feature klingt. Hier wird das NIST am Dienstag den Gefährdungsgrad veröffentlichen.

Der kaskadierende Angriff wurde Mitte Dezember öffentlich bekannt, nachdem die Sicherheitsfirma FireEye Alarm geschlagen hatte.

Authentifizierung nicht gefragt

Auch wenn die Einstufung noch fehlt, so bestehen wenig Zweifel, dass diese Sicherheitslücke zur obersten Gefährdungskategorie gehört. Angreifer von außen können ohne Benutzernamen oder Passwortabfrage über den TCP Port 1801 einen Prozess namens „Microsoft Messaging Queue“ (MSMQ) manipulieren, hieß es von Trustwave. In der Folge könnten die Angreifer beliebigen Code ausführen und die gesamte „Orion“-Suite übernehmen. Wie viele andere Microsoft-Prozesse hat SolarWinds MSMQ in die „Orion“-Suite іntegriert, die Art der Einbindung ist freilich haarsträubend.

Die Techniker von SolarWinds hatten die von Microsoft vorgesehenen Parameter zur Authentifizierung nicht gesetzt und die Warnungen Microsofts ignoriert (siehe Screenshot oben). Wie lange die „Orion“-Suites, die in so gut wie allen großen Netzen zu multiplen Kontroll- und Verwaltungszwecken laufen, sperrangelweit offen gestanden sind, ist nicht zu sagen. MSMQ wurde von Microsoft um das Jahr 2000 eingeführt und mittlerweile durch einen anderen Prozess ersetzt.

Email

- public domain -

Auf der Entwicklerplattform Github lag 18 Monate ein öffentlich einsehbares Script, das die Log-in-Daten für den Softwareupdate-Server von SolarWinds im Klartext enthielt. Im November 2019 hatte der Sicherheitsforscher Vinoth Kumar SolarWinds darauf hingewiesen, das sich artig dafür bedankte, das Passwort änderte - und sonst nichts weiter unternahm. Da waren die Angreifer längst im Netz der Firma unterwegs und brachten sich in Stellung, denn die ersten Angriffsartefakte in den Log-Dateien datieren bereits von Anfang Oktober 2019. Das Passwort war übrigens „SolarWinds123“.

Im Zusammenhang mit SolarWinds hatte der Geheimdienst FSB russische Netzwerkadministratoren Ende Jänner öffentlich vor Cyberangriffen aus den USA gewarnt.

„Kuschelbären“ treffen „Pandas“

Die anderen beiden neuen Schwachstellen in der Software von SolarWinds sind ebenfalls krass genug, die Angreifer müssen dafür nur über eine Bastion im Zielnetz verfügen. Dafür braucht es gerade einmal einen einzigen gehackten Mail-Account, dann können die Angreifer mit wenig Aufwand die Datenbank der „Orion“-Suite übernehmen wie auch die FTP-Server von SolarWinds, mit denen Downloads abgewickelt werden. Damit sollte ganz klar sein, warum die Angreifer von APT29 alias „Cozy Bear“ im Netz von SolarWinds so leichtes Spiel hatten, dass sie bis in den Build-Prozess vordringen konnten, bei dem die Quellcodes der „Orion“-Suite und anderer Systeme von SolarWinds zusammengesetzt werden.

Bruce Schneier 2013

Cc-by-sa-2.0-fr by Rama, Wikimedia Commons

Bruce Schneier, Autor mehrerer Verschlüsselungsalgorithmen, ist seit mehr als 20 Jahren eine der bekanntesten kritischen Stimmen im Bereich Informationssicherheit. Foto CC BY SA 2.0 von Rama

Dem marktführenden Unternehmen für Network Monitoring war erst dann aufgefallen, was in ihrem eigenen Netzwerk vor sich ging, als sie von der Sicherheitsfirma FireEye gewarnt wurde. Die wiederum war davor über die „Orion“-Suite von SolarWinds von den russischen „Kuschelbären“ angegriffen worden. Die jüngste Reuters-Meldung über die Angreifer aus China im Netz von SolarWinds beruft sich auf die (anonymisierten) Aussagen mehrerer FBI-Beamter, eine Bestätigung aus einer zweiten Quelle fehlt bis jetzt. Laut Reuters nützten die mutmaßlich chinesischen Akteure - im Jargon der Sicherheitsbranche gern kollektiv unter „Pandas“ subsummiert - eine andere Sіcherheitslücke als die „Kuschelbären“ aus, um sich in Netzen weiter auszubreiten, in die sie schon vorher eingedrungen waren. Das sieht schon sehr verdächtig nach der Beschreibung einer der drei nun entdeckten Sicherheitslücken aus. Angegriffen wurden jedenfalls Ministerien und Behörden in den USA, das National Finance Center, eine Zahlungsstelle für mehrere US-Behörden hat einen Angriff jedenfalls bestätigt, laut Reuters sollen auch noch weitere US-Regierungsstellen betroffen sein.

Vorläufiges Fazit

Mit Pfusch und Schlamperei allein lässt sich eine solche Schwachstellenepidemie in einem Softwarehaus, das eine Milliarde Dollar pro Jahr umsetzt und 18.000 Konzerne, Behörden, Ministerien und internationale Organisationen als Kunden hat, nicht erklären. Bei SolarWinds wurde offenbar systematisch bei Sicherheitsmaßnahmen gespart, denn interne Compliance-Prozesse, Audits von Software bzw. Protokollen und auch Penetrationstests hätten zumindest einen Teil der Schwachstellen ans Licht gebracht. All das hätte freilich einiges an Geld gekostet, und dafür wiederum haben die Budgets gefehlt. Das nämlich meint Bruce Schneier, wenn er konstatiert: „SolarWinds hat seine Profite durch Erhöhung der Cyberrisiken gesteigert und diese Risiken dann auf seine Kunden übertragen, ohne deren Wissen oder Zustimmung.“

Es gibt wieder einen RSS-Feed für diesen Blog. Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.

Aktuell: