Das Problem mit SolarWinds Orion

Es ist wohl ein “ernst zu nehmender Vorfall”, wenn seit Anfang dieser Woche die Berichte über einen erfolgreichen Angriff gegen diverse Regierungsunternehmen der U.S.A. bekannt gemacht wurden.

Was ist geschehen?

Vermutlich russische Hacker haben über eine Schwachstelle das Produkt “Orion” der Firma “SolarWinds” manipuliert.

Nicht bestätigt ist der Verdacht, dass in einem zentralen Portal für Entwickler “unverschlüsselte Zugangsdaten” zu den Systemen von SolarWinds schon im November 2019 von einem Sicherheitsforscher gefunden wurden.

Es könnte zumindest der Zugang gewesen sein, über den die Angreifer eingedrungen sind.

Im nächsten Schritt wurde eine Datei verändert, die als Teil der oben genannten Software verwendet wird.

Die Kunden (irgendwo zwischen 18.000 und 33.000 Firmen) haben sich diese dann im Rahmen einer üblichen “Aktualisierung” heruntergeladen und installiert.

Nach einer “Ruhezeit” von ca. 14 Tagen hat der Trojaner seine Arbeit aufgenommen.

Dabei gingen die Angreifer sehr vorsichtig vor, haben vieles getan um sich zu tarnen und nicht entdeckt zu werden und sehr gezielt weitere “Schadkomponenten” aus dem Internet nachgeladen.

Informationen dazu, welcher “Schaden” angerichtet wurde, liegen mir aktuell nicht vor.

Es reicht aber schon aus zu wissen, dass Systeme infiltriert wurden – das nun notwendig “Reinigen” wird extrem aufwändig, schwierig und kostenintensiv sein.

Wer ist betroffen?

Neben Solarwinds und einigen Firmen im Bereich der amerikanischen Regierungsbehörden soll auch die Sicherheitsfirma “FireEye” betroffen sein.

Na ja – und darüber hinaus vielleicht noch 18.000 – 33.000 Nutzer der Software.

Was sollte man tun?

Im ersten Schritt sollten alle Firmen die Software von SolarWinds einsetzen prüfen, ob sie auch betroffen sind.

Im “heise Newsticker” findet sich ein Satz, über den man nachdenken kann:

SolarWinds zufolge wurde Orions Software-Build-System – und nicht etwa der Quellcode der Orion-Produkte – kompromittiert und manipuliert.
(Quelle: https://www.heise.de/news/Cyberangriffe-via-SolarWinds-Software-neue-Entwicklungen-im-Ueberblick-4991255.html)

Daraus wäre ableitbar, dass eventuell auch andere Produkte manipuliert sein könnten. Deshalb ist bei allen Produkten von SolarWinds Vorsicht geboten.

Die Zugriffe für alle Computer auf das Internet zu blockieren und über einen Proxy umzuleiten (Der Proxy kann helfen) stellt eine zusätzliche Option dar.

Indem man im Betriebssystem – das ist der wichtige Punkt – diesen Proxy nicht einrichtet, sondern nur im Browser, blockiert man auf der einen Seite die Kommunikation des Schadprogrammes mit seinen Kontrollservern und kann gleichzeitig an der Firewall leichter herausfinden, wer dann noch “nach Hause telefonieren” möchte.

Darüber hinaus soll es einen “Killswitch” geben, also eine Art Schalter, die verhindert, dass die Schadsoftware aktiv wird. Darum kümmert sich aktuell Microsoft.

IT-Mitarbeiter können sich z.B. bei FireEye weitere Details zu dem Angriff holen (FireEye – Details zu “SUNBURST”).

Microsoft hat dazu auch etwas veröffentlicht (zum Artikel …).

Und wer es nicht soundso schon kennt – heise online (zu heise.de Berichten zum Thema)

Was lernen wir für die Zukunft?

Auch Software existiert in einem globalen Markt. Ein kleiner Fehler bei der Sicherheit eines Softwareherstellers kann extreme Folgen haben.

Für die Betreiber von IT-Systemen wurde eine wesentliche Säule des Vertrauens zerstört.

Wie kann man zukünftig überhaupt noch Software zukaufen, im Unternehmen einsetzen oder gefahrlos aktualisieren?

Im Rahmen des ISMS, müssen vieleicht weitere Risiken für Fremdsoftware definiert und bewertet werden. Die Risikoeinstufung sollte (der aktuellen Lage entsprechend) zukünftig höher sein als vielleicht bisher.

Im Rahmen des SIEM müssen Mechanismen gefunden werden um die Kommunikation von “innen nach aussen” besser kontrollieren zu können. SUNBURST nutzte z.B. eine Technik von SolarWinds mit dem Namen “Orion Improvement Program (OIP) “.

Das kennt man unter dem Begriff “Telemetrie” auch bei Microsoft und anderen Firmen wie z.B. VMWare.

Software, die (ohne das grundsätzlich für eine reibungslose Funktionalität zu benötigen) Daten versendet, muss zukünftig verschwinden, blockiert oder sehr genau analysiert werden.

Wie würden Sie es finden, wenn ein Fernseher permanent Information aus Ihrem Haushalt in’s Internet lädt?

Wobei – sind Sie sicher, dass er das nicht schon lange macht?