Wichtige Information zum Sicherheitsvorfall „Sunburst“

18.12.2020

Am 08.12.2020 teilte die Firma FireEye mit, dass sie Opfer eines Cyberangriffs wurde. Um nicht vorschnell zu handeln, haben wir den Vorfall mit dem Titel „Sunburst“ zunächst beobachtet und intern bewertet, um nun sinnvolle Handlungsempfehlungen aussprechen zu können.

Zunächst einmal die Frage: Was ist passiert?

Die Firma FireEye ist ein amerikanisches IT-Security-Unternehmen mit Fokus auf Schwachstellenanalyse, Forensik und Prävention. Dementsprechend hat das Unternehmen für Penetrationstests von Infrastruktur ein eigens entwickeltes Arsenal an Programmen und Skripten, das auf bekannte und unbekannte Sicherheitslücken angewendet werden kann. Im Rahmen des Angriffs wurden Teile des Arsenals entwendet. Laut FireEye handelt es sich hierbei jedoch NICHT um Software zur Ausnutzung von Zero Days (unbekannte Sicherheitslücken), sondern lediglich um bekannte CVEs. 

Eine Liste (Angaben von FireEye) der in den entwendeten Werkzeugen verwendeten CVEs findet sich im Folgenden.

  • Pulse Connect Secure File Disclosure (CVE-2019-11510)
  • Microsoft Netlogon Elevation of Privilege (CVE-2020-1472)
  • Fortinet FortiOS SSL VPN Directory Traversal (CVE-2018-13379)
  • Adobe ColdFusion Remote Code Execution (CVE-2018-15961)
  • Microsoft SharePoint Remote Code Execution (CVE-2019-0604)
  • Microsoft Remote Desktop Services Remote Code Execution (CVE-2019-0708)
  • Atlassian Crowd Remote Code Execution (CVE-2019-11580)
  • Citrix Multiple Products Directory Traversal (CVE-2019-19781)
  • Zoho ManageEngine Remote Code Execution (CVE-2020-10189)
  • Microsoft Group Policy Preferences Password Elevation of Privilege (MS14-025: CVE-2014-1812)
  • Atlassian Confluence Directory Traversal (CVE-2019-3398)
  • Microsoft Exchange Server Remote Code Execution (CVE-2020-0688)
  • Microsoft Outlook Security Feature Bypass (CVE-2017-11774)
  • Microsoft Exchange Server Privilege Escalation (CVE-2018-8581)
  • Zoho ManageEngine SDP Arbitrary File Upload (CVE-2019-8394)
  • Microsoft Windows Privilege Escalation (CVE-2016-0167)

Die nächste Frage ist: Was hat das mit Sunburst zu tun?

Sunburst bezeichnet den Angriffsvektor, über den unter anderem die Firma FireEye attackiert wurde. Der Ablauf ist ähnlich wie bei dem Angriff bei NotPetya: Ein Update-Server eines Softwareherstellers wurde durch eine Hackergruppe kompromittiert. Mithilfe des gekaperten Update-Servers wurden im Anschluss Patches verteilt, die Schadprogramme enthielten. Der besagte Update-Server stammte von der Firma Solarwinds. Unter dem folgenden Link finden Sie eine täglich aktuelle Übersicht des Herstellers über die betroffenen Produkte sowie eine Empfehlung zur Behebung der Sicherheitslücken: www.solarwinds.com/securityadvisory

Was bedeutet das nun für Sie und Ihr Unternehmen?

Von diesem Angriff war nicht nur FireEye betroffen, sondern, wie sich herausgestellt hat, über 18.000 Firmen. Wir empfehlen daher zwei Handlungsschritte.
Im ersten Schritt gilt es zu prüfen, ob man selbst von dem Angriff betroffen ist. Wenn ja müssen schnellstmöglich die empfohlenen Schritte des Herstellers zum Beheben der Sicherheitslücke durchgeführt werden.
Ist es nicht möglich, das Update einzuspielen, gibt es von Sophos, Fortinet und CheckPoint vorbeugende Maßnahmen, die einen Angriff verhindern.

Die Informationen der Hersteller finden sich unter den folgenden Links:

Sophos: news.sophos.com/en-us/2020/12/14/solarwinds-breach-how-to-identify-if-you-have-been-affected/

Fortinet: www.fortiguard.com/threat-signal-report/3770/supply-chain-attack-on-solarwinds-orion-platform-affecting-multiple-organizations-worldwide-apt29

CheckPoint: supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk171000&t=1608146784253

Im zweiten Schritt sollten präventive Maßnahmen ergriffen werden, um sicherzustellen, dass man nicht zum Opfer der entwendeten Werkzeuge aus dem Arsenal von FireEye wird. Im optimalen Fall patcht man alle betroffenen Systeme. Wenn dies auf die Schnelle nicht umsetzbar ist, gibt es die Möglichkeit, über IPS mit entsprechenden Patterns ein virtual Patching durchzuführen. Langfristig sollte aber das Patching der Systeme das IPS „ablösen“.

Sollten Sie bei der Umsetzung der Maßnahmen Unterstützung benötigen, sind wir gerne jederzeit, auch über die Weihnachtszeit, für Sie da!

Kennen Sie in diesem Zusammenhang bereits unsere netlogix Managed Services? Bei diesen einzigartigen Betriebsunterstützungspaketen auf Basis eines monatlichen Services übernehmen wir in Absprache mit Ihnen diese Tätigkeiten periodisch im Vorfeld, damit Sie sich nicht mehr mit derartigen Problemen befassen müssen. Sie behalten den vollen Zugriff auf Ihre Infrastruktur – wir kümmern uns als Ihr verlängerter Arm unter anderem um die Bewertung und Installation kritischer Updates sowie die aktive Störungsbeseitigung und beraten Sie bei Einstellungen und Konfigurationsänderungen.

Haben wir Ihr Interesse geweckt? Wenn Sie Fragen haben oder Unterstützung benötigen, können Sie sich gerne an meine Kollegen unter support@netlogix.de oder direkt an mich wenden. Wir helfen wie immer so schnell wir können!

Marco Witzgall
Business Development Manager

marco.witzgall@netlogix.de
+49 911 539909-0