Mitsubishi Electric: Hack per Trend Micro OfficeScan 0-day

Publiziert am 26. Januar 2020 von Günter Born

Kleine Info für Administratoren zum Lernen. Mir liegen jetzt Hinweise vor, wie der Hack bei Mitsubishi Electric möglich war. Eine ungepatchte 0-day-Schwachstelle im Trend Micro OfficeScan-Paket scheint das Einfallstor gewesen zu sein.

Anzeige

Rückblick: Der Mitsubishi Electric-Hack

Ich hatte am 21. Januar 2020 im Blog-Beitrag Sicherheitsvorfall mit Datenleck bei Mitsubishi Electric über diesen Fall berichtet. Beim japanischen Mischkonzern Mitsubishi hat es einen Sicherheitsvorfall in der Sparte Mitsubishi Electric gegeben.

Der Vorfall ereignete sich bereits im vorigen Jahr, wurde aber erst am 28. Juni 2019 bemerkt. Der Einbruch in die IT-Systeme wurde dann erst im Januar 2020 durch das Unternehmen bekannt gegeben. Ergebnis interner Untersuchungen war, dass Informationen zu sensiblen sozialen Infrastrukturen [sprich Mitarbeiterdaten], streng vertrauliche technische Informationen und weitere wichtige Informationen bei diesem Hack erbeutet wurden.

Vermutet wird, dass eine in China beheimatete Hackergruppe, die wohl staatsnah ist, diesen Angriff ausgeführt hat. Es ging dann wohl um Industriespionage. Der Cyberangriff begann bei den Tochtergesellschaften Mitsubishis in China und weitete sich dann auf das interne Netzwerk des Unternehmens aus.

Hinweis zur Schwachstelle: 0-day in Antivirus

Ich kenne ja die Interessen meiner Blog-Leser aus dem Administrationsbereich, man will wissen, wie das Ganze passieren konnte. Oft kann ich mangels Wissen nichts dazu schreiben, aber ich verfolge die Meldungen Sicherheitsszene und trage ggf. neue Erkenntnisse nach. So bin ich über den nachfolgenden Tweet auf weitergehende Erkenntnisse zum Mitsubishi-Electric-Hack gestoßen.

Catalin Cimpanu deutet an, dass die Hacker eine 0-Day Schwachstelle in der Trend Micro OfficeScan-Antivirus-Software ausnutzten, um bösartige Dateien auf den Servern von Mitsubishi Electric zu platzieren.

Sicherheitslücke CVE-2019-18187

Es geht um die Sicherheitslücke CVE-2019-18187 in Trend Micro OfficeScan, die von Trend Micro am 28. Oktober 2019 öffentlich gemacht wurde. Trend Micro hat zu deisem Zeitpunkt kritische Patches (CP) für Trend Micro OfficeScan 11.0 SP1 und XG veröffentlicht. Damit soll ein willkürlicher Datei-Upload über eine directory traversal Schwachstelle verhindert werden. Die Schwachstelle wurde als 'High' mit einem SVE-Rating von 8.2 bewertet.

Chinesische Hacker kannten die Lücke

Catalin Cimpanu schreibt in diesem ZDNet-Beitrag, dass chinesische Hacker diesen 0-day-Exploit kannten und benutzten, um Malware auf die Mitsubishi Electric-Server zu laden. Die Malware ermöglichte den Hackern sich im Netzwerk des Unternehmens zu bewegen. Mitsubishi Electric hat das nicht offiziell bestätigt oder kommentiert.

Anzeige

Bestätigt ist nur, dass der Einbruch in das Mitsubishi-Netzwerk am 28. Juni 2019 bemerkt wurde. Nach einer monatelangen Untersuchung (die log-Dateien wurden nach dem Hack gelöscht) ist Mitsubishi Electric zum Schluss gekommen, dass etwa 200 MB an Dateien gestohlen wurden. Unter Berufung auf Angaben von Mitsubishi gibt ZDnet an, dass folgende Dokumente gestohlen wurden:

  • Daten über Bewerbungen von 1.987 Personen
  • Die Ergebnisse einer Mitarbeiterbefragung 2012, die von 4.566 Personen aus der Zentrale ausgefüllt wurde
  • Informationen über 1.569 Mitarbeiter von Mitsubishi Electric, die zwischen 2007 und 2019 in den Ruhestand gingen
  • Dateien mit vertraulichen technischen Materialien des Unternehmens, Verkaufsmaterialien und anderes.

Kann man zur Kenntnis nehmen. Aber japanische Medien haben wohl nachgebohrt und sind dann bezüglich des Infektionswegs fündig geworden. Berichten zufolge hat der Hack zunächst bei einer chinesischen Tochtergesellschaft von Mitsubishi Electric begonnen und sich dann auf 14 Abteilungen/Netzwerke des Unternehmens ausgebreitet.

Das Eindringen wurde angeblich entdeckt, nachdem Mitarbeiter von Mitsubishi Electric eine verdächtige Datei auf einem der Server des Unternehmens gefunden hatten. Eine Quelle, die Inside-Informationen zum Angriff hat, teilte ZDNet mit, dass die Hacker die oben erwähnte Schwachstelle CVE-2019-18187 im Trend Micro OfficeScan-Virenschutzprogramm ausnutzten, um einen Server zu infizieren.

Von diesen Informationen wurde nichts durch Mitsubishi Electric bestätig. Vielmehr haben japanische Reporter das ausgegraben. Das einzige technische Detail, was im Zusammenhang mit dem von Mitsubishi Electric bekannt gegebenen Hack auftauchte, war die Information, dass Hacker eine Schwachstelle in einem der Antiviren-Produkte des Unternehmens ausgenutzt hätten.

Ähnliche Artikel:
Sicherheitsvorfall mit Datenleck bei Mitsubishi Electric
Schwachstelle in Citrix Produkten gefährdet Firmen-Netzwerke
Exploit für Citrix ADC/Netscaler-Schwachstelle CVE-2019-19781
Achtung: Weiterer Nachbesserungsbedarf bei Citrix-Netscaler
Ransomware-Befall beim Automobilzulieferer Gedia
Potsdam offline–Ungereimtheiten erzwingen Server-Shutdown
Cyber-Angriffe: Stadt Brandenburg und Gemeinde Stahnsdorf offline
Cyberangriffe: Gedia & Potsdam Opfer des Shitrix-Desasters (Citrix Netscaler-Bug)?

Intel Sicherheitswarnungen (14. Januar 2020)
Microsoft Teams und die Sicherheit …
Edge: Installer-Sicherheit mangelhaft

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit, Software, Virenschutz abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.