HiSolutions Research

Kettenreaktion: Supply-Chain bleibt ein schwaches Glied

Spätestens seit den Enthüllungen um #Sunburst aka #Solorigate zum Ende des vergangenen Jahres ist immer klarer geworden, wie tiefgehend und schwer zu beheben das Problem der Supply-Chain-Security ist. Wie die französische Nationale Agentur für Sicherheit der Informationssysteme (ANSSI) nun mitteilte, wurde auch Centreon, ein französischer Mitbewerber zu SolarWinds, zum indirekten Angriff auf mehrere französische Unternehmen und Behörden missbraucht. Hierbei soll eine Schwachstelle in einem Webserver das Einfallstor gewesen sein.

https://www.heise.de/news/Frankreich-Centreon-Server-waren-jahrelang-infiltriert-5055835.html

HiSolutions Research

Warnung: SolarWinds #Sunburst Supply Chain Angriff

Dass Supply-Chain-Angriffe verheerend sein können, ist spätestens seit 2017 klar, als die im Update einer ukrainischen Steuersoftware versteckte Malware NotPetya IT-Infrastrukturen weltweit verkrüppelte und Schäden in Milliardenhöhe verursachte. Nun haben Angreifer – amerikanische Dienste verdächtigen den russischen Auslandsgeheimdienst – einen noch viel effektiveren Vektor in potenziell 300.000 für die Spionage (und evtl. auch Sabotage) äußerst wertvollen Unternehmen und Behörden gefunden: Ein manipuliertes Update der beliebten Netzwerkmonitoring-Lösung Orion hat bequeme Einstiegspunkte bei Kunden des Herstellers SolarWinds geöffnet, die in mehreren Fällen auch schon konkret ausgenutzt worden sind.

Aufgefallen war der Angriff, weil eines der Opfer der amerikanische Security-Spezialist FireEye ist. Experten dort hatten den Missbrauch von Microsoft-Authentifizierungstechniken durch die Angreifer bemerkt und eine Untersuchung gestartet, die zunächst die Spitze des Eisbergs sichtbar machte.

Inzwischen ist klar, dass nicht nur viele Fortune 500-Unternehmen, sondern auch kritische Infrastrukturen und der Verteidigungssektor betroffen sind – eine Goldgrube für die Angreifer.

„Sunburst“, wie der Angriff genannt wird, ist relativ leicht im Netzwerk zu detektieren und zu stoppen. Die Sisyphusarbeit liegt jedoch darin, Netzwerke, die möglicherweise durch die Lücke schon kompromittiert wurden, zu untersuchen und – in vielen Fällen der einzig wirklich sichere Weg – neu aufzusetzen. Die Aufräumarbeiten hierzu haben gerade erst begonnen.

Meta Thread von Sven Herpig, Stiftung Neue Verantwortung (SNV)