SolarWinds Hack und der FireEye-Verstoß

Anfang dieser Woche gab SolarWinds bekannt, einen angeblich staatlich geförderten Kompromiss für ihre SolarWinds Orion-Plattform entdeckt zu haben. Dieser soll für den FireEye-Verstoß in der vergangenen Woche verantwortlich sein, bei dem Angreifer sensible Hacking-Tools des „roten Teams“ und potenzielle Informationen zu bestimmten Regierungskunden gestohlen haben.

Wissenswertes:

Die US-amerikanische Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) hat eine Richtlinie veröffentlicht, in der alle zivilen Bundesbehörden aufgefordert werden, ihre Netzwerke auf Kompromissindikatoren (IoCs) zu überprüfen und alle laufenden SolarWinds Orion-Server zu trennen. Darüber hinaus fordert SolarWinds seine Kunden auf, ihre Orion-Installationen so schnell wie möglich auf 2020.2.1 HF 1 zu aktualisieren, um die gefährdeten Komponenten zu minimieren. SolarWinds hat Anfang dieser Woche die Version 2020 2.1 HF 2 veröffentlicht, die die gefährdeten Komponenten ersetzen und „mehrere zusätzliche Sicherheitsverbesserungen bieten“ wird.

SolarWinds Orion Kunden werden aktiv:

Wenn Sie ein SolarWinds Orion-Kunde sind, installieren Sie die Updates vom SolarWinds-Kundenportal so schnell wie möglich, um diese Bedrohung zu minimieren. Über diesen Link können Sie überprüfen, welche Version der Orion-Plattform Sie ausführen, und über diesen Link können Sie überprüfen, welche Hotfixes Sie angewendet haben.

  • Es gilt, zeitnahe das Update als beste Lösung einzuspielen.
  • Zudem können Sie auch Ihre Firewalls (z. B. WatchGuard-Produkte) konfigurieren, um dieses Problem zu beheben und potenzielle zukünftige SolarWinds Orion-Risiken zu begrenzen.
  • Dieser Angriff nutzt die SolarWinds Orion-Serverports 17776-17778 (TCP).
  • Sofern Sie diese Ports nicht extern (für das Internet) verfügbar machen müssen, sollten Sie sie mit Ihrer Firebox blockieren.
  • Wenn Sie einen Remotezugriff auf diese Ports bereitstellen müssen, sollten Sie diesen Zugriff zumindest einschränken.
  • Sie können entweder eine Richtlinie aus einer begrenzten Gruppe von IPs, Domänen oder Benutzern konfigurieren
  • Besser VPN (vorzugsweise mit Multi-Faktor-Authentifizierung) einsetzen
  • damit Remoteclients die IP-Adresse und die Ports des Orion-Servers erreichen können.

Was WatchGuard tut, um zu helfen

  • WatchGuard versucht nicht nur, Partner und Benutzer über dieses Problem zu informieren, sondern arbeitet auch daran, Abwehrmaßnahmen in deren Produkte zu implementieren, um einige bei größerem Verstoß verbundene Folgen zu erkennen und zu verhindern.
  • Denn dieser Vorfall Teil eines umfassenderen Angriffs, den FireEye betraf.
  • Bei diesem Angriff stahlen die Bedrohungsakteure proprietäre und gefährliche FireEye-Tools für das „rote Team“, die böswillige Akteure jetzt gegen andere Opfer einsetzen konnten.
  • FireEye hat ein Github-Repository mit vielen Kompromissindikatoren (IoC) für diese Tools veröffentlicht.
  • Die WatchGuard-Produkt- und Entwicklungsteams arbeiten diese IoCs aktiv in sinnvolle Produkte ein, um Kunden vor neuen Gegnern zu schützen, die sie böswillig einsetzen.
  • Um mehr über den Vorfall zu erfahren, wie er passiert ist und was Sie als Sicherheitsanbieter beachten sollten, lesen Sie unseren Beitrag, der im Secplicity-Blog veröffentlicht wurde.
AnfragenEDR | MFA