SolarWinds: Update für Orion-Software, Angreifer hatten Zugriff auf Top DHS-Konten

[English]Kleines Update in Sachen SolarWinds-Hack. Die Angreifer hatten wohl Zugriff auf die E-Mails von Top-Leuten der US Homeland Security (DHS). Und der Hersteller SolarWinds hat ein Sicherheitsupdate für seine Orion-Software freigegeben, die eine neue Schwachstelle schließt.


Anzeige

Bekannt war ja, dass es mutmaßlich russischen Staatshackern gelungen ist, 2020 die Orion-Software des US-Herstellers SolarWinds zu kompromittieren. Anschließend wurde der Trojaner samt Backdoor durch ein von SolarWinds ausgerollte Updates in Zehntausende Rechner einschleusen. Dadurch wurden in Behörden, Organisationen und Firmen über die SUNBURST-Schwachstelle angreifbar. Zudem gelang es weiteren Angreifern über nicht geschlossene Schwachstellen in die Netzwerke der SolarWinds-Kunden einzudringen und die IT-Infrastruktur auszuspähen.

Die Netzwerk- und Sicherheitsprodukte von SolarWinds werden von mehr als 300.000 Kunden weltweit eingesetzt, darunter Top Unternehmen, Regierungsbehörden und Bildungseinrichtungen. SolarWinds beliefert außerdem die großen US-Telekommunikationsunternehmen, alle fünf Zweige des US-Militärs und andere prominente Regierungsorganisationen wie das Pentagon, das Außenministerium, die NASA, die Nationale Sicherheitsbehörde (NSA), die Post, die NOAA, das Justizministerium und das Büro des Präsidenten der Vereinigten Staaten  – die Aufarbeitung läuft noch immer (siehe auch die Artikel am Beitragsende).

SolarWinds-Hack: DHS-Konten betroffen

Nun berichtet Associated Press (AP) in diesem Artikel, dass die Hacker Zugang zu E-Mail-Konten der Trump-Administration der Leiter des Department of Homeland Security (DHS) und zu den Konten der Mitglieder der Abteilung der Cybersicherheit Personal hatten. Zu deren Aufgaben gehört die Jagd auf Cyberbedrohungen aus dem Ausland. Auch weitere E-Mail-Konten von hochrangigen Regierungsmitarbeitern wurden gehackt.

Der Hack des damals amtierenden Ministers Chad Wolf im Rahmen des SolarWinds-Hackst wirft natürlich Fragen auf. Dazu gehört, wie die US-Regierung Einzelpersonen, Unternehmen und Institutionen im ganzen Land, schützen will, wenn es das quasi im eigenen Laden nicht gebacken bekommt? Sicherheitsspezialisten meinen, dass dieser Schutz nicht gewährleistet sei, wenn sich nicht gravierend etwas ändere.

SolarWinds patcht RCE-Bug in Orion

Der Hersteller SolarWinds hat letzte Woche Sicherheitsupdates veröffentlicht, um vier Schwachstellen zu beheben, die die IT-Überwachungsplattform Orion des Unternehmens betreffen. Zwei dieser geschlossenen Schwachstellen ermöglichen Remote Code Execution (RCE) und sind als kritisch eingestuft.

Die Sicherheitslücke mit dem höchsten Schweregrad ist ein kritischer Fehler bei der JSON-Deserialisierung, den entfernte Angreifer ausnutzen können, um beliebigen Code über die Testalarm-Aktionen des Orion Platform Action Managers auszuführen. Die Ausnutzung ist nur durch authentifizierte Nutzer möglich.

Eine zweite, als schwerwiegend eingestufte RCE-Schwachstelle, ermöglicht Angreifern beliebigen Code remote als Administrator auszuführen (RCE) und befindet sich im SolarWinds Orion Job Scheduler. Auch hier benötigen Angreifer die Anmeldedaten eines unprivilegierten lokalen Kontos auf dem anvisierten Orion-Server, um die Schwachstelle auszunutzen. Bleeping Computer hat in diesem Beitrag einige Details zu den Sicherheitsupdates für die Orion-Plattform zusammen getragen.

Ähnliche Artikel:
FireEye: Wenn Hacker eine Sicherheitsfirma plündern
US-Finanzministerium und weitere US-Behörde gehackt
SolarWinds SUNBURST-Schwachstelle: Die Folgen und Schutzmaßnahmen
SolarWinds-Produkte mit SunBurst-Backdoor, Ursache für FireEye- und US-Behörden-Hacks
SUNBURST-Malware: Analyse-Tool SolarFlare, ein ‚Kill-Switch‘ und der Einstein-Überwachungsflopp
Schlamperei bei SolarWinds für kompromittierte Software verantwortlich?
Neues im Kampf gegen die SUNBURST-Infektion, Domain beschlagnahmt
SUNBURST-Malware wurde in SolarWinds Quellcode-Basis eingeschleust
SUNBURST: Auch US-Atomwaffenbehörde gehackt, neue Erkenntnisse
SolarWinds-Hack: Auch Microsoft & Co. betroffen?
SUNBURST-Hack: Microsofts Analysen und Neues
SolarWinds-Systeme mit 2. Backdoor gefunden
SolarWinds-Hacker hatten Zugriff auf Microsoft-Quellcode
SolarWinds-Hack: Motive der Angreifer; Outsourcing als Schwachstelle?
Gibt es deutsche Opfer des SolarWinds-Hacks?
Neues vom SolarWinds-Hack; JetBrains-Software als Einfallstor?
Kaspersky: SolarWinds Sunburst-Backdoor gleicht russischer ATP-Malware
SolarLeaks bietet angeblich Sourcecode von Cisco, Microsoft und SolarWinds an
Auch Malwarebytes von den SolarWinds-Angreifern erfolgreich gehackt
Vier Sicherheitsanbieter bestätigen SolarWinds-Vorfälle
Neues vom SolarWinds-Hack: 3 neue Bugs, alte Bugs durch chinesische Hacker missbraucht
Microsoft-Untersuchung zu Solarigate: 1.000 Cyber-Krieger und Zugriff auf Quellcode von Azure, Exchange, Intune
Vorwurf: Microsoft hat beim SolarWinds-Hack bei der Sicherheit gepatzt
SolarWinds: Microsoft kritisiert Amazon und Google wegen fehlender Offenlegung
SolarWinds-Hackerangriff: 300 deutsche Ziele im Fokus


Anzeige


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit, Software, Update abgelegt und mit Sicherheit, Software verschlagwortet. Setze ein Lesezeichen auf den Permalink.

1 Antwort zu SolarWinds: Update für Orion-Software, Angreifer hatten Zugriff auf Top DHS-Konten

  1. Detlev Beck sagt:

    Hallo Günter,

    was muss ich als ISMB machen, wenn unser „Lieferant“ Solarwinds einsetzt. Muss ich etwas am Audit ändern (Annex) um als Kunde eines Systemhauses für die 27001 gut aufgestellt zu sein.

    LG aus Nürnberg

    Detlev Beck

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.