SolarWinds
Weltweite Ausfälle durch digitale Sonnenwinde
I’m sorry, I could not resist. Das Wortspiel drängte sich in diesem Kontext geradezu auf.
2020 begann mit Shitrix und endete mit einem Security-Desaster bei dem Softwarehersteller Solarwinds, das letztendlich gut 18.000 Firmen betraf, die deren Software einsetzten. Der Begriff “Supply Chain Attack” war schon vorher bekannt, durch diesen Vorfall jedoch war er plötzlich in aller Munde. Was war passiert?
Digitale Lieferketten
Die als “Sunburst” bekannt gewordene Hintertür in der Software “Orion”, die vom Hersteller Solarwinds weltweit vertrieben wird und in vielen Unternehmen zum Einsatz kam, wurde zuerst von der IT Security-Firma FireEye entdeckt, als Angreifer auf diesem Weg das Unternehmen angriffen. Die Angreifer hatten eigenentwickelte Tools für fortschrittliche Penetrationstests entwendet, die auch für reale Angriffe verwendet werden können. FireEye veröffentlichte zeitnah Informationen, wie man sich gegen diese Tools wappnen und diese erkennen konnte und untersuchte den Vorfall intern.
Doch der Angriff auf FireEye war nur die Spitze des Eisbergs. Bereits wenige Tage nach bekanntwerden kristallisierte sich heraus, dass das Problem größer war als die Sicherheitsgemeinschaft bis dato angenommen hatte. FireEye fand heraus, dass der Angriff über die Orion-Software stattgefunden hatte. Orion kam bei unterschiedlichsten Firmen und Organisationen zum Einsatz, unter anderem auch beim US-Handelsministerium, das US-Außenministerium und das Pentagon. Auch viele Deutsche Firmen waren betroffen. Doch wie war das möglich?
Orion ist eine Software, die zur IT-Verwaltung und -Überwachung eingesetzt wird. Wo sie im Einsatz ist, hat sie weitreichende Berechtigungen auf den überwachten Systemen. Wie die meisten Programme erhielt auch Orion regelmäßig Updates seitens des Herstellers, und genau hier setzten die Angreifer an. Sie lieferten manipulierte Updates an die Solarwinds-Kunden aus, indem sie einen Build-Server des Unternehmens übernahmen.
Triviale Kennwörter für Kerninfrastruktur
Bereits Mitte November 2019 hatte der Sicherheitsforscher Vinoth Kumar dem Unternehmen mitgeteilt, dass er in einer öffentlich zugänglichen Github-Repository Zugangsdaten zu einem FTP-System bei Solarwinds gefunden hatte, das für die Updateverteilung für Solarwinds-Produkte zuständig war. Er hatte als Nachweis, dass damit ein Zugriff möglich war, sogar eine harmlose Datei dort hochgeladen. Besonders brisant: Das Passwort war denkbar trivial: “solarwinds123”. Das Unternehmen meldete sich einige Tage später und bestätigte, sich um die Zugangsdaten “gekümmert” zu haben. Was genau das beinhaltete ließen sie offen. Die geleakten Zugangsdaten waren zu diesem Zeitpunkt jedenfalls bereits mehrere Wochen im Internet abrufbar gewesen. Auch die Quelle sei nun nicht mehr öffentlich verfügbar, was darauf schließen lässt, dass das Github-Projekt möglicherweise von Solarwinds selbst betrieben wurde - Kumar selbst lieferte diesbezüglich keine Details.
Es ist bis heute unklar, ob dieser öffentliche Zugang zu Update-Komponenten dazu führte, dass wenige Monate später Angreifer Manipulationen an den Build-Systemen der Firma vornahmen. Auszuschließen ist es nicht. Denkbar ist aber auch, dass auch andere Dienste, die öffentlich erreichbar waren, ähnlich schwache Passwörter oder andere Sicherheitslücken aufwiesen, die den Angreifern Zugang gewährten. Offensichtlich hatten die Angreifer jedenfalls sowohl Zugriff auf das Build-System selbst als auch auf den verwendeten Signaturschlüssel, die den manipulierten Updates einen offiziellen Anstrich gaben.
Wie sich herausstellte, hatten die Angreifer bereits seit Frühjahr 2020, als zeitgleich die Shitrix-Sicherheitslücke die IT-Fachleute weltweit in Atem hielt, damit begonnen, mit der Sunburst-Hintertür versehene Updates auszuliefern. Ob der Fokus auf die Citrix-Thematik damals eine schnellere Entdeckung verhinderte ist unklar, er könnte aber durchaus ein Faktor gewesen sein.
Mangelhafte Absicherung und Täuschung
Solarwinds verkaufte seinen Kunden die eigene Software als sicher und unbedenklich - wie sich im Nachgang jedoch herausstellte, war dem Unternehmen sehr wohl bewusst, dass es um die eigene Sicherheits-Infrastruktur und die Sicherheit der Produkte selbst nicht gut bestellt war. Bereits 2018 wurde in internen Berichten davon gesprochen, dass der Fernzugriff nicht sonderlich gut abgesichert sei. In weiteren Präsentationen bis 2019 wurde sogar explizit erwähnt, dass der aktuelle Stand der Sicherheit das Unternehmen sehr verwundbar hinterlasse und auch der Zugang zu kritischen Daten nicht angemessen abgesichert sei. Das Unternehmen wusste also schon länger, dass die eigene Infrastruktur einem Angreifer kaum Hürden in den Weg stellte. Auch mehrere Mitarbeiter des Unternehmens erklärten, sie seien nicht überzeugt davon, dass das Unternehmen seine Vermögenswerte angemessen vor digitalen Angriffen schütze.
Dass der Angriff auf die zahlreichen Kundensysteme schließlich beendet werden konnte lag hauptsächlich daran, dass Microsoft die von den Angreifern verwendete Domain zur Koordinierung der Angriffe, die auf einen sogenannten Command&Control-Server (C&C) zeigte, übernahm und damit unschädlich machte. Auch wenn Microsoft dies nicht offiziell bestätigte, ließ ein Verantwortlicher es zwischen den Zeilen durchblicken, man müsse eben tun, was getan werden müsse.
Lessons learned?
Das Thema Solarwinds beschäftigte sowohl die betroffenen Unternehmen als auch Sicherheitsexperten noch eine ganze Zeit. Doch hatte Solarwinds aus der Katastrophe gelernt?
Bereits Mitte 2021 stand Solarwinds erneut im Mittelpunkt. Die hauseigene Software Serv-U, die zur Übertragung von Daten verwendet wird, hatte eine kritische Zero-Day-Schwachstelle (0-Day), die das Ausführen von beliebigem Code auf dem System erlaubte, auf dem ser Service lief. Das Unternehmen lieferte schnell ein Patch, nachdem erste Angriffe auf die verwundbaren Dienste von Microsofts Sicherheitsforschern beobachtet und gemeldet wurden. Glücklicherweise war die Schwachstelle nur unter bestimmten Voraussetzungen ausnutzbar, doch der erneute Vorfall hinterlässt ein sehr mulmiges Gefühl.
Supply Chain-Angriffe sind deswegen so gefährlich, weil Firmen der Software vertrauen, die sie einsetzen. Dass sie das tun, ist ganz natürlich und auch eigentlich kein Problem, doch der Fall Solarwinds zeigt, dass es auch eine Kehrseite gibt. Ein zulieferndes Unternehmen kann noch so vertrauenswürdig sein, eine einzige Sicherheitslücke bei einem zentralen Unternehmen reicht aus, um riesige Auswirkungen zu haben. Manche Schwachstellen wie triviale Kennwörter oder schlecht abgesicherte zentrale Systeme lassen mich kopfschüttelnd zurück, aber moderne Angreifer sind auf so etwas nicht zwingend angewiesen. Und irgendwo schlummert immer eine Sicherheitslücke, die bisher alle übersehen haben. Kriminelle Gruppen werden jedenfalls aus diesem und ähnlichen Vorfällen gelernt haben uns sich auch in Zukunft vermehrt auf Anbieter weit verbreiteter Softwarelösungen einschießen. Versprochen.