Erfahrungen und Erkenntnisse aus dem Cyberangriff auf SolarWinds Rückblick und Lehren aus dem Sunburst-Angriff

Autor / Redakteur: Sascha Giese / Peter Schmitz

Der SUNBURST-Angriff war einer der raffiniertesten und komplexesten Cyberangriffe der Geschichte. Die fortlaufenden weltweiten Untersuchungen durch Regierungen, Geheimdienste, Strafverfolgungsbehörden und Branchenexperten aus dem privaten Sektor deckten auf, dass es sich um einen Supply-Chain-Angriff handelte. SolarWinds war nicht das einzige Ziel, sondern lediglich ein Mittel, über das die Angreifer in andere für sie interessante Umgebungen gelangten.

Firmen zum Thema

Auch wenn der Sunburst-Angriff auf die Orion-Platform von SolarWinds abzielte, waren Unterelemente auf spezifische Kundenumgebungen ausgerichtet.
Auch wenn der Sunburst-Angriff auf die Orion-Platform von SolarWinds abzielte, waren Unterelemente auf spezifische Kundenumgebungen ausgerichtet.
(© Sergey Nivens - stock.adobe.com)

Während der Untersuchungen wurde eine weitere, in keinem Zusammenhang stehende Schwachstelle namens SUPERNOVA entdeckt. Bei SUPERNOVA handelt es sich nicht wie bei SUNBURST um in die Builds eingebetteten Schadcode, sondern um eine Malware, die eine bisher unentdeckte API-Schwachstelle der Plattform ausnutzte. In manchen Umgebungen konnten die Täter die Perimetersicherheit umgehen und unbefugten Zugriff auf die Orion Platform erlangen. Sie setzten eine unsignierte Datei ein, die speziell für den Angriff auf das System geschrieben wurde, und wendeten in einem zweiten Schritt weiteren Schadcode an. Auch diese Schwachstelle wurde in den verfügbaren Updates behoben.

Die US-Regierung sowie Experten aus dem privaten Sektor teilen die Annahme, dass ein fremder Nationalstaat diese Operation als Teil eines breit angelegten Angriffs durchgeführt haben könnte, der sich hauptsächlich gegen Cyberinfrastrukturen in den USA richtete. Bisher konnten die Untersuchungen die Identität der Täter nicht unabhängig verifizieren.

Erfahrungen und Erkenntnisse

Angesichts der Komplexität des Angriffs und der branchenweit genutzten Verfahren in Softwareentwicklungsumgebungen ist anzunehmen, dass dieselben Strategien und Tools auch für den Angriff auf andere Anbieter verwendet wurden.

Jedes Unternehmen sollte sich die Frage stellen: „Wer ist in unserer Lieferkette?“, um dann mögliche Risiken mit seinen Lieferanten, Vertragspartnern und Dienstleistern zu besprechen. Wir haben einen Angriff auf das Vertrauen innerhalb der Lieferkette erlebt und sehen die Gründe für eine Zero-Trust-Umgebung weiter bestärkt: Unternehmen sollten davon ausgehen, dass sie bereits kompromittiert wurden.

Zudem stellte sich heraus, dass die Angreifer die Operation über einen langen Zeitraum hinweg geplant und durchgeführt haben, und konnten die Ereignisse glücklicherweise rekonstruieren, da die Protokolle bis zurück ins Jahr 2019 noch verfügbar waren. Daraus haben wir gelernt, dass es nicht ausreicht, Protokolle 90 Tage lang aufzubewahren, wie es für viele Geräte, Softwarelösungen und Infrastrukturen der Standard ist. Diese Praxis sollte neu überdacht werden.

Wir werden „Secure by Design“

Der Angriff war ein Weckruf für die Branche und macht deutlich, dass die aktuellen Softwareentwicklungsverfahren, von denen viele als Best Practice und Branchenstandard gelten, nicht länger sicher sind.

Mit all dem Wissen, dass wir bei der Untersuchung des Angriffs gewonnen haben, und mit Hilfe von führenden Cybersicherheitsexperten wollen wir SolarWinds daher zu einem Unternehmen machen, das wir als „Secure by Design“ bezeichnen können. Diese transformativen Vorhaben erfordern einen enormen Fokus auf sicherheitsbezogene Programme, Richtlinien, Teams und Kulturen.

Überblick der ersten Maßnahmen

Wir haben einige Sofortmaßnahmen ergriffen, um unsere interne Umgebung weiter zu sichern. Dazu zählt beispielsweise der Einsatz zusätzlicher, leistungsstarker Software zur Bedrohungserkennung und suche auf all unseren Netzwerkendpunkten mit Fokus auf unseren Entwicklungsumgebungen.

Außerdem wurde für alle Benutzer in Unternehmens- und Entwicklungsbereichen die Zurücksetzung der Kennwörter angefordert. Die Anmeldeinformationen für alle privilegierten Konten und alle Konten, die für den Aufbau der Orion Platform und zugehöriger Produkte verwendet werden, wurden zurückgesetzt. Remote- und Cloud-Zugriff wurden konsolidiert und der Zugriff auf alle internen SolarWinds-Ressourcen erfordert eine mehrstufige Authentifizierung.

Zu den Schritten zur Verbesserung der Produktentwicklungsumgebung gehören fortlaufende forensische Analysen der Umgebung, um die zugrunde liegende Ursache der Sicherheitsverletzung zu identifizieren und Abhilfemaßnahmen umzusetzen. Noch wichtiger ist die Umstellung auf eine vollkommen neue Build-Umgebung mit strengeren Zugriffskontrollen und Bereitstellungsmechanismen, um reproduzierbare Builds aus mehreren unabhängigen Pipelines zu ermöglichen. Zusätzlich stellen automatisierte und manuelle Prüfungen sicher, dass unsere kompilierten Versionen mit dem Quellcode übereinstimmen.

Zusätzlich erweitern wir das Schwachstellen-Management-Programm zur Reduzierung unserer durchschnittlichen Time-to-Patch und für eine bessere Zusammenarbeit mit der externen Sicherheitscommunity. Zusätzliche externe Tools ermöglichen eine erweiterte Sicherheitsanalyse des Quellcodes und umfangreiche Penetrationstests der Orion Platform-Software und zugehöriger Produkte unterstützen das Identifizieren potenzieller Probleme.

Aktualisierung digitaler Code-Signing-Zertifikate

Zu den sichtbarsten bereits unternommenen Schritten gehört die Neusignierung aller Orion Platform- und zugehöriger Produkte sowie vieler weiterer SolarWinds-Lösungen mit neuen digitalen Zertifikaten. Diese digitalen Code-Signing-Zertifikate verifizieren die Authentizität des Herausgebers sowie des Codes. Anbieter beantragen ein Zertifikat und bestimmte Zertifizierungsstellen geben einen privaten und einen öffentlichen Schlüssel aus. Der öffentliche Schlüssel wird vor der Veröffentlichung in den Code eingebettet.

Moderne Betriebssysteme überprüfen bei der Installation von Software die Integrität digitaler Zertifikate und geben eine Warnung aus, wenn ein Zertifikat ungültig, abgelaufen oder gar nicht verfügbar ist. Die meisten Endpunktsicherheitslösungen prüfen kontinuierlich die Gültigkeit von Zertifikaten und können je nach Einstellung die Ausführung von Dateien mit ungültigen oder widerrufenen Zertifikaten blockieren.

Im Falle eines kompromittierten Zertifikats ist es branchenübliche Best Practice, die Software neu zu signieren. SolarWinds hat nicht nur die Produkte der Orion Platform neu signiert, sondern alle eigenen Produkte und Tools, die das kompromittierte Zertifikat verwendet haben. So konnten wir das kompromittierte Zertifikat widerrufen und die Kunden konnten ohne weitere Änderungen oder Leistungsprobleme weiterhin aktualisierte Lösungen in ihren Umgebungen ausführen.

Um Kunden bei der Aktualisierung des digitalen Code-Signing-Zertifikate zu unterstützen, hat SolarWinds das Orion Assistance Program (OAP) ins Leben gerufen. Das OAP bietet Kunden mit aktivem Wartungsvertrag Unterstützung bei Upgrades und Hotfixes durch professionelle Berater, die sich mit der Orion Platform und ihren Produkten auskennen. Diese Beratungs- und Supportdienste stehen unseren Kunden mit aktivem Wartungsvertrag, die eine der von SUNBURST oder SUPERNOVA betroffenen Orion Platform-Versionen ausführen oder ausgeführt haben, ohne zusätzliche Kosten zur Verfügung.

Fazit

Diese Maßnahmen und Pläne werden uns den Weg dahin ebnen, ein noch sichereres Unternehmen zu werden. Dieser Weg wird nicht leicht und nicht jeder Anbieter wird Änderungen wie die Einführung von zwei unabhängigen Softwareentwicklungslinien auch umsetzen können. Doch wir sehen es als unsere Verpflichtung, die Zufriedenheit unserer Kunden an die erste Stelle zu setzen und sie bestmöglich zu unterstützen.

Über den Autor: Sascha Giese ist Head Geek bei SolarWinds.

(ID:47571312)