24
SolarWinds-Produkte mit SunBurst-Backdoor
Keine Ahnung, wie häufig SolarWinds-Produkte in Deutschland im Einsatz sind. Aber momentan brennt die Hütte und Admins, die so etwas im Einsatz haben, müssen reagieren.
Die Woche wurde bekannt, dass der NSA-gesponsorte Anbieter FireEye gehackt wurde. Denen wurden die Red Team Tool-Sammlung gestohlen. Sonntag wurde ein Hack auf das US-Finanzministerium und auf eine Abteilung des US-Wirtschaftsministeriums bekannt. Mutmaßlich staatliche Hacker (Cosy Bear wird genannt) konnten den E-Mail-Verkehr von Office365/Microsoft 365 seit Monaten mit verfolgen.
Ist natürlich alles recht fern, drüben in Amerika. Seit wenigen Stunden kristallisiert sich aber die vermutliche Ursache heraus. Es gab wohl einen Supply-Chain-Angriff auf SolarWindows. Die stellen Netzwerk- und Sicherheitsprodukte her, die unter Windows laufen und wohl (zumindest in den USA recht breit in Behörden und Top 500 Unternehmen im Einsatz sind). Im Frühjahr hat SolarWinds dann einen Hotfix ausgeliefert, der unbemerkt mit einem Trojaner verseucht ist. Über den Trojaner verfügen die Hacker über eine SunBurst genannte Backdoor auf betroffenen Systemen, um auf deren Informationen zuzugreifen. Ich habe einige Informationen in folgendem Artikel verlinkt.
SolarWinds-Produkte mit SunBurst-Backdoor, Ursache für FireEye- und US-Behörden-Hacks
Ergänzung: Ich habe inzwischen bei heise.de eine Zusammenfassung publiziert.
FireEye etc.: Trojaner in SolarWinds-Updates ermöglicht Cyberangriffe
Und es gibt einen Nachfolgebeitrag bei mir im Blog, der noch einige ergänzende Informationen enthält - u.a. gibt es inzwischen Informationen, wie SIEMS-Lösungen Manipulationen, die von der Backdoor durchgeführt werden, erkennen und alarmieren kann.
SolarWinds SUNBURST-Schwachstelle: Die Folgen und Schutzmaßnahmen
Vielleicht kann jemand was von brauchen. Wer SolarWinds Orion-Produkte im Einsatz hat/hatte, kommt imho aber nicht um eine forensische Analyse der IT-Umgebung herum.
Die Woche wurde bekannt, dass der NSA-gesponsorte Anbieter FireEye gehackt wurde. Denen wurden die Red Team Tool-Sammlung gestohlen. Sonntag wurde ein Hack auf das US-Finanzministerium und auf eine Abteilung des US-Wirtschaftsministeriums bekannt. Mutmaßlich staatliche Hacker (Cosy Bear wird genannt) konnten den E-Mail-Verkehr von Office365/Microsoft 365 seit Monaten mit verfolgen.
Ist natürlich alles recht fern, drüben in Amerika. Seit wenigen Stunden kristallisiert sich aber die vermutliche Ursache heraus. Es gab wohl einen Supply-Chain-Angriff auf SolarWindows. Die stellen Netzwerk- und Sicherheitsprodukte her, die unter Windows laufen und wohl (zumindest in den USA recht breit in Behörden und Top 500 Unternehmen im Einsatz sind). Im Frühjahr hat SolarWinds dann einen Hotfix ausgeliefert, der unbemerkt mit einem Trojaner verseucht ist. Über den Trojaner verfügen die Hacker über eine SunBurst genannte Backdoor auf betroffenen Systemen, um auf deren Informationen zuzugreifen. Ich habe einige Informationen in folgendem Artikel verlinkt.
SolarWinds-Produkte mit SunBurst-Backdoor, Ursache für FireEye- und US-Behörden-Hacks
Ergänzung: Ich habe inzwischen bei heise.de eine Zusammenfassung publiziert.
FireEye etc.: Trojaner in SolarWinds-Updates ermöglicht Cyberangriffe
Und es gibt einen Nachfolgebeitrag bei mir im Blog, der noch einige ergänzende Informationen enthält - u.a. gibt es inzwischen Informationen, wie SIEMS-Lösungen Manipulationen, die von der Backdoor durchgeführt werden, erkennen und alarmieren kann.
SolarWinds SUNBURST-Schwachstelle: Die Folgen und Schutzmaßnahmen
Vielleicht kann jemand was von brauchen. Wer SolarWinds Orion-Produkte im Einsatz hat/hatte, kommt imho aber nicht um eine forensische Analyse der IT-Umgebung herum.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 631583
Url: https://administrator.de/contentid/631583
Printed on: April 16, 2024 at 13:04 o'clock
24 Comments
Latest comment
Lieber Günter,
vielen Dank für die Information.
Ich habe nichts von SolarWinds im Einsatz. Ich weiß aber, daß bspw. die Webseite www.windowspro.de (die ich sehr gerne lese und sehr schätze) regelmäßig über SolarWinds-Produkte informiert und berichtet. Ob die das auch schon wissen?
Viele Grüße
von
departure69
vielen Dank für die Information.
Ich habe nichts von SolarWinds im Einsatz. Ich weiß aber, daß bspw. die Webseite www.windowspro.de (die ich sehr gerne lese und sehr schätze) regelmäßig über SolarWinds-Produkte informiert und berichtet. Ob die das auch schon wissen?
Viele Grüße
von
departure69
Sonntag wurde ein Hack auf das US-Finanzministerium und auf eine Abteilung des US-Wirtschaftsministeriums bekannt. Mutmaßlich staatliche Hacker (Cosy Bear wird genannt) konnten den E-Mail-Verkehr von Office365/Microsoft 365 seit Monaten mit verfolgen.
Das finde ich weitaus kritischer. und, betrifft das nur die Ministerien ("nur") oder den gesamten Traffic - ggf. global?
Hallo,
danke für diese Information.
Wir haben bei uns tatsächlich ein SolarWinds Produkt im Einsatz - den TFTP-Server für Windows. Standardmäßig hat dieser über unsere Firewall keinen Netzwerkzugriff ins Internet, nur ins lokale Netz, und ist seit der Installation 2014 auch nicht mehr aktualisiert worden.
Sehe ich das richtig, dass ich von keiner "Gefahr" umgeben bin, die von SolarWinds ausgeht?
danke für diese Information.
Wir haben bei uns tatsächlich ein SolarWinds Produkt im Einsatz - den TFTP-Server für Windows. Standardmäßig hat dieser über unsere Firewall keinen Netzwerkzugriff ins Internet, nur ins lokale Netz, und ist seit der Installation 2014 auch nicht mehr aktualisiert worden.
Sehe ich das richtig, dass ich von keiner "Gefahr" umgeben bin, die von SolarWinds ausgeht?
Moin,
wenn du eine SW seit 6 Jahren nicht mehr Up2date gebracht hast - wer weiss das schon, ich würde nicht darauf wetten.
wenn du eine SW seit 6 Jahren nicht mehr Up2date gebracht hast - wer weiss das schon, ich würde nicht darauf wetten.
1
Naja, ich hab es jetzt so verstanden, dass in einem Patch 2019/2020 dieses "Hintertürchen eingebaut wurde". Klar kann man nicht sagen, dass früher bereits ein in irgendeiner Form vorhanden war - jedoch konnte ich bisher im Firewall-Log keine einzige Kommunikation in das Internet feststellen.
Zitat von @c0d3.r3d:
Naja, ich hab es jetzt so verstanden, dass in einem Patch 2019/2020 dieses "Hintertürchen eingebaut wurde". Klar kann man nicht sagen, dass früher bereits ein in irgendeiner Form vorhanden war - jedoch konnte ich bisher im Firewall-Log keine einzige Kommunikation in das Internet feststellen.
Naja, ich hab es jetzt so verstanden, dass in einem Patch 2019/2020 dieses "Hintertürchen eingebaut wurde". Klar kann man nicht sagen, dass früher bereits ein in irgendeiner Form vorhanden war - jedoch konnte ich bisher im Firewall-Log keine einzige Kommunikation in das Internet feststellen.
Das ist wohl der aktuelle "Stand" der Ermittlung, ich geh davon aus, dass auch der Hack auf FireEye nicht letzte Woche erfolgte, sondern bereits vor Monaten, ggf. länger und erst nun erkannt wurde. Wenn so ein Unternehmen an einem Tag gehackt und der Essentielle Datenbestand abgezogen werden würde...
FireEye hat IoC für die gestohlenen Offensive tools veröffentlicht:
FireEye
Auch wenn ich dort keinen link zu einer "weaponized" MS-Word-Datei gefunden habe, auf youtube, channel dist67 gibt es eine Analyse.
Der VBA-Code ist nur wenig verschieden von bei Crooks verwendeten und m.M.n. "guter Durchsschnitt". Das PE-file kann ich nicht beruteilen.
FireEye
Auch wenn ich dort keinen link zu einer "weaponized" MS-Word-Datei gefunden habe, auf youtube, channel dist67 gibt es eine Analyse.
Der VBA-Code ist nur wenig verschieden von bei Crooks verwendeten und m.M.n. "guter Durchsschnitt". Das PE-file kann ich nicht beruteilen.
Man muss ja sagen ein schöner Angriff: Hersteller hacken, die malware ins nächste Update einbauen, schön signieren, ausliefern - wie soll man sowas schon detektieren als abnehmer?
Tja, und jetzt mal überlegen welche Software eigentlich so Updater bietet... hm.... FAST JEDE?!
Also wenn das die Paranoia nicht anheizt
MFG N-Dude
Tja, und jetzt mal überlegen welche Software eigentlich so Updater bietet... hm.... FAST JEDE?!
Also wenn das die Paranoia nicht anheizt
MFG N-Dude
@certifiedit.net :
Es wurden m.W. nur ausgesuchte Ministerien über die Backdoor in SolarWinds Orion infiltiert und dort deren E-Mail-Verkehr (ich tippe auf SharePoint) mitgelesen. Aber heute habe ich gelernt, das auch das Department of Homeland Security (DoH) gehackt wurde. Die Angreifer waren so immer im Bild, ob es von dort Maßnahmen oder Alarme in Sachen Cybersicherheit gab.
Aus dem Bauch heraus würde ich sagen: Der Fehler, den die Hacker begangen haben, war: FireEye zu hacken und deren Red Team-Besteck zu klauen. Das hat 'schlafende Hunde' geweckt und eine Untersuchung getriggert - und ab da brannte dann die Hütte.
Von Microsoft gibt es seit Sonntag das Dokument Customer Guidance on Recent Nation-State Cyber Attacks mit weiteren Details zum Angriff und zu Abwehrmaßnahmen. Wäre die erste Lektüre für Admins, die SolarWinds Orion-Produkte im Einsatz haben.
Nachbemerkung: Aktuell ist überhaupt noch nicht abschätzbar, was da alles passiert ist.
Solarwinds hat so um die 300.000 Kunden. Neueste Zahlen vom 15.12.2020 besagen, dass ca. 18.000 Kunden kompromittiert sein können.
Betroffen von der SUNBURST-Backdoor bzw. dem Trojaner sind nur Systeme, auf denen
Orion Platform Software-Builds der Versionen 2019.4 HF 5 bis 2020.2.1 installiert wurden. Diese Software-Versionen wurden zwischen März 2020 und Juni 2020 veröffentlicht und sind durch die Sunburst-Malware infiziert.
Die aktuellen Cyberangriffe richten sich gegen ausgesuchte Ziele unter den kompromittierten Systemen. Zitat eines Insiders: 'Die Hacker sind sehr wählerisch, wen sie angreifen, sie arbeiten sozusagen mit dem Skalpell'. Das heißt aber nicht, dass solche Operationen nicht ausgeweitet werden können.
Und: Die SolarWinds Orion-Produkte sind ja Monitoring-Tools, denen zum Daten sammeln eine umfangreiche Berechtigungs- und Vertrauenstellung zugebilligt werden muss. Wenn ich weiß, dass faktisch alle US-Provider, die NATO, das Pentagon und viele weitere US-Institutionen sowie Fortune-500-Firmen diese Produkte im Einsatz haben, könnten die aktuellen Meldungen die Spitze eines Eisbergs sein - der Schaden ist imho nur begrenzt durch die Kapazitäten der Hacker. Aber insgesamt ist das Spekulation am grünen Tisch.
Die initiale Meldung von mir hatte einen Zweck: Admins hier im Forum darüber zu informieren, dass da was ist. Wurde die SolarWinds Orion-Lösung eingesetzt, ist eine forensiche Analyse angesagt. Andernfalls kann man sich diesbezüglich vermutlich zurücklehen.
Es wurden m.W. nur ausgesuchte Ministerien über die Backdoor in SolarWinds Orion infiltiert und dort deren E-Mail-Verkehr (ich tippe auf SharePoint) mitgelesen. Aber heute habe ich gelernt, das auch das Department of Homeland Security (DoH) gehackt wurde. Die Angreifer waren so immer im Bild, ob es von dort Maßnahmen oder Alarme in Sachen Cybersicherheit gab.
Aus dem Bauch heraus würde ich sagen: Der Fehler, den die Hacker begangen haben, war: FireEye zu hacken und deren Red Team-Besteck zu klauen. Das hat 'schlafende Hunde' geweckt und eine Untersuchung getriggert - und ab da brannte dann die Hütte.
Von Microsoft gibt es seit Sonntag das Dokument Customer Guidance on Recent Nation-State Cyber Attacks mit weiteren Details zum Angriff und zu Abwehrmaßnahmen. Wäre die erste Lektüre für Admins, die SolarWinds Orion-Produkte im Einsatz haben.
Nachbemerkung: Aktuell ist überhaupt noch nicht abschätzbar, was da alles passiert ist.
Solarwinds hat so um die 300.000 Kunden. Neueste Zahlen vom 15.12.2020 besagen, dass ca. 18.000 Kunden kompromittiert sein können.
Betroffen von der SUNBURST-Backdoor bzw. dem Trojaner sind nur Systeme, auf denen
Orion Platform Software-Builds der Versionen 2019.4 HF 5 bis 2020.2.1 installiert wurden. Diese Software-Versionen wurden zwischen März 2020 und Juni 2020 veröffentlicht und sind durch die Sunburst-Malware infiziert.
Die aktuellen Cyberangriffe richten sich gegen ausgesuchte Ziele unter den kompromittierten Systemen. Zitat eines Insiders: 'Die Hacker sind sehr wählerisch, wen sie angreifen, sie arbeiten sozusagen mit dem Skalpell'. Das heißt aber nicht, dass solche Operationen nicht ausgeweitet werden können.
Und: Die SolarWinds Orion-Produkte sind ja Monitoring-Tools, denen zum Daten sammeln eine umfangreiche Berechtigungs- und Vertrauenstellung zugebilligt werden muss. Wenn ich weiß, dass faktisch alle US-Provider, die NATO, das Pentagon und viele weitere US-Institutionen sowie Fortune-500-Firmen diese Produkte im Einsatz haben, könnten die aktuellen Meldungen die Spitze eines Eisbergs sein - der Schaden ist imho nur begrenzt durch die Kapazitäten der Hacker. Aber insgesamt ist das Spekulation am grünen Tisch.
Die initiale Meldung von mir hatte einen Zweck: Admins hier im Forum darüber zu informieren, dass da was ist. Wurde die SolarWinds Orion-Lösung eingesetzt, ist eine forensiche Analyse angesagt. Andernfalls kann man sich diesbezüglich vermutlich zurücklehen.
@NetzwerkDude: Supply-Chain-Attacks sind nicht wirklich neu. Hat es immer wieder in den letzten Jahren gegeben, bei ASUS-Produkten, bei China-Handys und so weiter.
Nebenbemerkung: Ich habe gerade den Buchtitel 'Hacking Multifactor Authentification', geschrieben von Roger A Crimes, publiziert von Wiley - soll am 17. Dez. 2020 in den Handel kommen - zur Rezension auf dem Tisch. Habe es Sonntag mal quer gelesen.
Die gute Nachricht: Es gibt ein Buch, welches zeigt, was alles schief gehen kann.
Die schlechte Nachricht lässt sich in einem Satz zusammen fassen: Es gibt kein System, welches nicht gehackt werden kann. Die Frage ist nur wann.
Wenn ich mir die 542 Seiten durchlese - Roger A Crimes ist seit über 20 Jahren als Sicherheitsforscher im Geschäft - sträuben sich einem die Haare, was alles schief gehen und angegriffen werden kann. Dabei sind nicht mal eingebaute Schwachstellen oder dicke Sicherheitsfehler berücksichtigt, sondern nur das Szenario, was alles bei bestimmungsgemäßem Gebrauch schief gehen kann.
Und nein, es hilft nicht 'wir müssen nur besser werden, härter arbeiten und Sicherheitslösung xyz einsetzen'. Auch die Cracks der Branche wie Google, Microsoft & Co. wurden schon gehackt. MFA - lässt sich hacken. Google Titan-Key zur Authentifizierung oder OneTimeKey-Generatoren: Crimes zeigt auch dort, wo ein Angreifer ansetzen kann. Beim Querlesen des Buches sind all die vermeintlichen und schönen Gewissheiten, die ich mich so im stillen Kämmerlein zurecht gelegt hatte, zerstoben.
Mit dem Vernetzungs-, Cloud- und IoT-Wahn gräbt sich die IT-Branche imho das eigene Grab. Die Folgen können wir täglich bzgl. Ransomware-Angriffen und Datenlecks verfolgen. ich veröffentliche längt nicht alles, was so unter der Hand auf den Tisch bekomme.
Und aktuell basiert das ganze Gebäude ja darauf, dass die geläufigen kryptografischen Verfahren halten und in endlicher Zeit nicht per Computer geknackt werden können. Spätestens wenn dort ein Dammbruch erfolgt - weil jemand eine 'Optimierung' findet oder die Zeit bis zum Knacken eines Crypto-Keys so stark verkürzen kann, dass Schlüssel binnen Stunden ermittelbar sind, wird es lustig.
Nun ja, das werde ich beruflich vermutlich nicht mehr erleben
Nebenbemerkung: Ich habe gerade den Buchtitel 'Hacking Multifactor Authentification', geschrieben von Roger A Crimes, publiziert von Wiley - soll am 17. Dez. 2020 in den Handel kommen - zur Rezension auf dem Tisch. Habe es Sonntag mal quer gelesen.
Die gute Nachricht: Es gibt ein Buch, welches zeigt, was alles schief gehen kann.
Die schlechte Nachricht lässt sich in einem Satz zusammen fassen: Es gibt kein System, welches nicht gehackt werden kann. Die Frage ist nur wann.
Wenn ich mir die 542 Seiten durchlese - Roger A Crimes ist seit über 20 Jahren als Sicherheitsforscher im Geschäft - sträuben sich einem die Haare, was alles schief gehen und angegriffen werden kann. Dabei sind nicht mal eingebaute Schwachstellen oder dicke Sicherheitsfehler berücksichtigt, sondern nur das Szenario, was alles bei bestimmungsgemäßem Gebrauch schief gehen kann.
Und nein, es hilft nicht 'wir müssen nur besser werden, härter arbeiten und Sicherheitslösung xyz einsetzen'. Auch die Cracks der Branche wie Google, Microsoft & Co. wurden schon gehackt. MFA - lässt sich hacken. Google Titan-Key zur Authentifizierung oder OneTimeKey-Generatoren: Crimes zeigt auch dort, wo ein Angreifer ansetzen kann. Beim Querlesen des Buches sind all die vermeintlichen und schönen Gewissheiten, die ich mich so im stillen Kämmerlein zurecht gelegt hatte, zerstoben.
Mit dem Vernetzungs-, Cloud- und IoT-Wahn gräbt sich die IT-Branche imho das eigene Grab. Die Folgen können wir täglich bzgl. Ransomware-Angriffen und Datenlecks verfolgen. ich veröffentliche längt nicht alles, was so unter der Hand auf den Tisch bekomme.
Und aktuell basiert das ganze Gebäude ja darauf, dass die geläufigen kryptografischen Verfahren halten und in endlicher Zeit nicht per Computer geknackt werden können. Spätestens wenn dort ein Dammbruch erfolgt - weil jemand eine 'Optimierung' findet oder die Zeit bis zum Knacken eines Crypto-Keys so stark verkürzen kann, dass Schlüssel binnen Stunden ermittelbar sind, wird es lustig.
Nun ja, das werde ich beruflich vermutlich nicht mehr erleben
Aus dem Bauch heraus würde ich sagen: Der Fehler, den die Hacker begangen haben, war: FireEye zu hacken und deren Red Team-Besteck zu klauen. Das hat 'schlafende Hunde' geweckt und eine Untersuchung getriggert - und ab da brannte dann die Hütte.
Ich würde behaupten, die waren da auch schon ne Weile drin. Nur irgendwer hat sich da dann irgendwann wohl doch gedacht. dass das vielleicht bisschen komisch ist.
Nachbemerkung: Aktuell ist überhaupt noch nicht abschätzbar, was da alles passiert ist.
Da geh ich mit dir - siehe obige Überlegung. Man kann schliesslich auch nicht sagen, ob das ein 2019/2020 Ding ist, oder ob das nicht auch in RIchtung 2018, 2017, ff zielt. Die SolarWinds Tools sind schliesslich bereits eine Weile am Markt.
Solarwinds hat so um die 300.000 Kunden. Neueste Zahlen vom 15.12.2020 besagen, dass ca. 18.000 Kunden kompromittiert sein können.
Und auch das kann man wohl in der kürze der Zeit schlecht sagen.
Und: Die SolarWinds Orion-Produkte sind ja Monitoring-Tools, denen zum Daten sammeln eine umfangreiche Berechtigungs- und Vertrauenstellung zugebilligt werden muss. Wenn ich weiß, dass faktisch alle US-Provider, die NATO, das Pentagon und viele weitere US-Institutionen sowie Fortune-500-Firmen diese Produkte im Einsatz haben, könnten die aktuellen Meldungen die Spitze eines Eisbergs sein - der Schaden ist imho nur begrenzt durch die Kapazitäten der Hacker. Aber insgesamt ist das Spekulation am grünen Tisch.
Das ist das Problem und abgehend aus dem Internen Netz in die Cloud "irgendwohin" kann man auch alles wunderbar verstecken.
Die initiale Meldung von mir hatte einen Zweck: Admins hier im Forum darüber zu informieren, dass da was ist. Wurde die SolarWinds Orion-Lösung eingesetzt, ist eine forensiche Analyse angesagt. Andernfalls kann man sich diesbezüglich vermutlich zurücklehen.
Nein, Aversion gegen undurchsichtige Cloudtools. Aber, zurücklehnen ist deswegen auch nicht...
Die schlechte Nachricht lässt sich in einem Satz zusammen fassen: Es gibt kein System, welches nicht gehackt werden kann. Die Frage ist nur wann.
Altbekannte Binsenweisheit. Leider ist Sie aber anscheinend doch etwas komplexer...
Wenn ich mir die 542 Seiten durchlese - Roger A Crimes ist seit über 20 Jahren als Sicherheitsforscher im Geschäft - sträuben sich einem die Haare, was alles schief gehen und angegriffen werden kann. Dabei sind nicht mal eingebaute Schwachstellen oder dicke Sicherheitsfehler berücksichtigt, sondern nur das Szenario, was alles bei bestimmungsgemäßem Gebrauch schief gehen kann.
Ist aber kein IT-Thema mehr. Du kannst auch mit 30 in einer 50er Zone in eine Menschengruppe fahren - ungewollt, Herzkasper. Die Problematik ist, wenn du dich komplett aus der Handlungsfähigkeit nimmst hast du eben so verloren.
Mit dem Vernetzungs-, Cloud- und IoT-Wahn gräbt sich die IT-Branche imho das eigene Grab. Die Folgen können wir täglich bzgl. Ransomware-Angriffen und Datenlecks verfolgen. ich veröffentliche längt nicht alles, was so unter der Hand auf den Tisch bekomme.
Nein, mit dem billigen, schnell, schnell Minimax Ansatz tut Sie das.
Und aktuell basiert das ganze Gebäude ja darauf, dass die geläufigen kryptografischen Verfahren halten und in endlicher Zeit nicht per Computer geknackt werden können. Spätestens wenn dort ein Dammbruch erfolgt - weil jemand eine 'Optimierung' findet oder die Zeit bis zum Knacken eines Crypto-Keys so stark verkürzen kann, dass Schlüssel binnen Stunden ermittelbar sind, wird es lustig.
Der Dammbruch ist schon da, Backdoors, Staatliche Einmischung, schlechte Updates, nur "vollumfang-Updates" und keine modularen...
Nun ja, das werde ich beruflich vermutlich nicht mehr erleben
Wenn die Chinesen wirklich Quantenüberlegenheit haben...wait for it...
Laut Angaben von Solarwinds sind von der Schadsoftware Sunburst 300.000 Kunden, neben Behörden und Ministerien betroffen. Darunter auch große Firmen wie AT&T, Cisco, Mastercard, Microsoft oder Siemens.
Hier der offizielle UNITED STATES SECURITIES AND EXCHANGE COMMISSION Report:
https://d18rn0p25nwr6d.cloudfront.net/CIK-0001739942/57108215-4458-4dd8- ...
Gruß
Frank
Hier der offizielle UNITED STATES SECURITIES AND EXCHANGE COMMISSION Report:
https://d18rn0p25nwr6d.cloudfront.net/CIK-0001739942/57108215-4458-4dd8- ...
Gruß
Frank
1
Hallo,
update von einem SolarWinds Vertriebspartner:
unser Herstellerpartner SolarWinds MSP hat uns darüber informiert, dass es einen Hacker-Angriff auf die SolarWinds Orion-Plattform gegeben hat.
Es gibt – Stand heute – keinerlei Anzeichen dafür, dass die Produkte Solarwinds MSP RMM oder N-Central davon betroffen sind. Nach unserem Wissen nutzen die MSP-Produkte wie das Remote-Management-System (RMM), N-Central und MSP Backup keine Module von der Orion-Plattform.
Daher ist davon auszugehen, dass Ihre und die Daten Ihrer Kunden nach wie vor sicher sind.
Sollten Sie das Produkt SolarWinds Orion einsetzen, so finden Sie hier weitere Handlungsempfehlungen.
https://www.solarwinds.com/securityadvisory
Je zentralisierter umso effektiver umso spannender für Hacker.
Stefan
update von einem SolarWinds Vertriebspartner:
unser Herstellerpartner SolarWinds MSP hat uns darüber informiert, dass es einen Hacker-Angriff auf die SolarWinds Orion-Plattform gegeben hat.
Es gibt – Stand heute – keinerlei Anzeichen dafür, dass die Produkte Solarwinds MSP RMM oder N-Central davon betroffen sind. Nach unserem Wissen nutzen die MSP-Produkte wie das Remote-Management-System (RMM), N-Central und MSP Backup keine Module von der Orion-Plattform.
Daher ist davon auszugehen, dass Ihre und die Daten Ihrer Kunden nach wie vor sicher sind.
Sollten Sie das Produkt SolarWinds Orion einsetzen, so finden Sie hier weitere Handlungsempfehlungen.
https://www.solarwinds.com/securityadvisory
Je zentralisierter umso effektiver umso spannender für Hacker.
Stefan
Es gibt – Stand heute – keinerlei Anzeichen dafür, dass die Produkte Solarwinds MSP RMM oder N-Central davon betroffen sind. Nach unserem Wissen nutzen die MSP-Produkte wie das Remote-Management-System (RMM), N-Central und MSP Backup keine Module von der Orion-Plattform.
Vor 2 Wochen hätte das wohl auch für den seit 1?2?3? Jahre aktiven Angriffsvektor auf Orion gegolten...
Zitat von @NetzwerkDude:
Man muss ja sagen ein schöner Angriff: Hersteller hacken, die malware ins nächste Update einbauen, schön signieren, ausliefern - wie soll man sowas schon detektieren als abnehmer?
Man muss ja sagen ein schöner Angriff: Hersteller hacken, die malware ins nächste Update einbauen, schön signieren, ausliefern - wie soll man sowas schon detektieren als abnehmer?
Prinzipiell kann man es natürlich durch andere Komponenten in seiner IT erkennen bzw. sollte Endpunkt- vs. Netzwerksicherheit, Log-Management vs. SIEM etc. so strukturieren, dass es möglich ist. Aber es ist zweifellos sehr schwierig und kein Verlass darauf.
An der Stelle müsste Risikomanagement greifen. Da allerdings kommen Glaubensfragen, die typischen Schwächen in den Verantwortungsketten von angestellten Entscheidungsträgern, und im öffentlichen Beschaffungswesen auch meiste eine - rechtlich oder politisch begründete - Tendenz "im Zweifel für den Bieter" zusammen.
Ich habe in der Vergangenheit einzelne SolarWinds-Produkte evaluiert und bin vor allem überrascht, in welchem Ausmaß und Größenordnung diese eingesetzt werden. Diese Tools bzw. das ganze Portfolio haben sicher ihren berechtigten Platz auf dem Markt, aber mir kann keiner erzählen, dass er bei einer Lieferantenbeurteilung die strukturellen Probleme von SolarWinds und ähnlich positionierten Herstellern übersehen konnte:
Einerseits Produkte, die ihrer Funktion nach höchst sensibel sind. Andererseits ein Hersteller, der sich durch Zukäufe als One-Stop-Shop platziert, unterschiedlichste Software unter eine Marke zwängt und damit als "großer Player" die Sicht auf die praktische Umsetzung von Sichereitsstandards in der Entwicklung bei de facto sehr kleinen Organisationseinheiten versperrt. Da kann aus Käufersicht - in Relation zum Kaufpreis - kein hohes Investment in die Sicherheitsproblematik eines Einzelprodukts erwartet werden. Der Begriff "Supply-Chain-Angriff" in den aktuellen Meldungen hat insofern eine gewisse Doppeldeutigkeit, und ich hatte es beim ersten Lesen gar nicht auf das Verhältnis von Solarwinds zu seinen Kunden bezogen. Schematisch ausgeführtes Supply-Chain-Management versagt unweigerlich, sobald die Supply-Chain bzw. ein Teil davon durch rechtliche Strukturierung verborgen wird.
Vielen ist das schlicht egal, oder sie haben keinen Sinn dafür, oder sie übersehen es tatsächlich.
Es ist in vielerlei Hinsicht anders gelagert, aber nur als Beispiel: Über Jahre hinweg wurde mir oft erzählt, dass Veeam ja als ein Schweizer Unternehmen völlig unproblematisch sei (in Fällen, in denen das grundsätzlich eine Rolle spielt). Die Realität in dieser Zeit war, dass, sobald man auf deren Webseite seine Daten angab, die erste Kontaktaufnahme aus St. Petersburg erfolgte, und auch in bestehenden Kundenbeziehungen Daten nach Russland flossen. Veeam wäre heute sicher nicht so aufgestellt, wenn das bei westlichen Kunden keine Bedenken ausgelöst hätte.
Grüße
Richard
Ist die Frage wo Du anfängst.
Windows Updates, Firmwareupdates für Hardware, Treiber, etc....
Alles mit kritischen Folgen...
Man startet Filezilla und der fragt ob er das Update installieren darf.
Dazu ein Hack des DNS-Servers und ein falsches Update, keine Zertifiktsüberprüfung und tot....
Stefan
Windows Updates, Firmwareupdates für Hardware, Treiber, etc....
Alles mit kritischen Folgen...
Man startet Filezilla und der fragt ob er das Update installieren darf.
Dazu ein Hack des DNS-Servers und ein falsches Update, keine Zertifiktsüberprüfung und tot....
Stefan
Hast du ohne Frage Recht. Das ist alles verdammt problematisch.
Mich wundert nichts mehr.
Die Cloud klaut. Ist doch egal, wie sie das tut.
In dem Moment, indem SaaS oder cloudbetriebene Plattformen ins Spiel kommen, öffnet man meiner Meinung nach eine Tür zu seinem Heim-/Unternehmensnetz, über die man keine durchgehende Kontrolle hat.
Deswegen bin ich ein Freund von disconnected systems oder eigens gehosteten oder selbst implementierten Lösungen.
Grüße an alle
bdmvg
Die Cloud klaut. Ist doch egal, wie sie das tut.
In dem Moment, indem SaaS oder cloudbetriebene Plattformen ins Spiel kommen, öffnet man meiner Meinung nach eine Tür zu seinem Heim-/Unternehmensnetz, über die man keine durchgehende Kontrolle hat.
Deswegen bin ich ein Freund von disconnected systems oder eigens gehosteten oder selbst implementierten Lösungen.
Grüße an alle
bdmvg
Zitat von @beidermachtvongreyscull:
Mich wundert nichts mehr.
Die Cloud klaut. Ist doch egal, wie sie das tut.
In dem Moment, indem SaaS oder cloudbetriebene Plattformen ins Spiel kommen, öffnet man meiner Meinung nach eine Tür zu seinem Heim-/Unternehmensnetz, über die man keine durchgehende Kontrolle hat.
Deswegen bin ich ein Freund von disconnected systems oder eigens gehosteten oder selbst implementierten Lösungen.
Grüße an alle
bdmvg
Mich wundert nichts mehr.
Die Cloud klaut. Ist doch egal, wie sie das tut.
In dem Moment, indem SaaS oder cloudbetriebene Plattformen ins Spiel kommen, öffnet man meiner Meinung nach eine Tür zu seinem Heim-/Unternehmensnetz, über die man keine durchgehende Kontrolle hat.
Deswegen bin ich ein Freund von disconnected systems oder eigens gehosteten oder selbst implementierten Lösungen.
Grüße an alle
bdmvg
unterschreib ich.
Oh sehr schön, wenn man genauer nachschaut, war da noch eine andere Backdoort drin, von komplett anderen Leuten:
https://www.heise.de/news/SolarWinds-Zweite-unabhaengige-Backdoor-Malwar ...
:D
https://www.heise.de/news/SolarWinds-Zweite-unabhaengige-Backdoor-Malwar ...
:D
Öhm, was hat das nun mit der Cloud zu tun? Deine selbstgehosteten Sachen musst du ja auch Updaten.
Mir fallen eigentlich nur 2 Softwareprojekte ein die seit Jahren ohne Updates sicher sind: qmail und pond - alles andere wird regelmäßig gepatcht - und da ist so ein Angriff denkbar.
Und selbst wenn du das System airgapst, man kann immer noch Infos via RAM-Wifi Sender rausfunken :D
https://www.zdnet.com/article/academics-turn-ram-into-wifi-cards-to-stea ...
Mir fallen eigentlich nur 2 Softwareprojekte ein die seit Jahren ohne Updates sicher sind: qmail und pond - alles andere wird regelmäßig gepatcht - und da ist so ein Angriff denkbar.
Und selbst wenn du das System airgapst, man kann immer noch Infos via RAM-Wifi Sender rausfunken :D
https://www.zdnet.com/article/academics-turn-ram-into-wifi-cards-to-stea ...
Das Problem ist eher, Solarwinds ist darauf ausgelegt alles easy zu halten....
Öhm, für mich alles!
Mir fallen eigentlich nur 2 Softwareprojekte ein die seit Jahren ohne Updates sicher sind: qmail und pond - alles andere wird regelmäßig gepatcht - und da ist so ein Angriff denkbar.
Schön.
Und selbst wenn du das System airgapst, man kann immer noch Infos via RAM-Wifi Sender rausfunken :D
https://www.zdnet.com/article/academics-turn-ram-into-wifi-cards-to-stea ...
Und wenn Deine Freundin sich nach dem Sex mit Deinem Sperma aus dem Kondom dennoch selbst schwängert, zahlst Du dennoch,
wenn es klappt.
Deine selbstgehosteten Sachen musst du ja auch Updaten.
Tue ich auch, aber ich habe volle Kontrolle!Mir fallen eigentlich nur 2 Softwareprojekte ein die seit Jahren ohne Updates sicher sind: qmail und pond - alles andere wird regelmäßig gepatcht - und da ist so ein Angriff denkbar.
Schön.
Und selbst wenn du das System airgapst, man kann immer noch Infos via RAM-Wifi Sender rausfunken :D
https://www.zdnet.com/article/academics-turn-ram-into-wifi-cards-to-stea ...
Und wenn Deine Freundin sich nach dem Sex mit Deinem Sperma aus dem Kondom dennoch selbst schwängert, zahlst Du dennoch,
wenn es klappt.