SolarWinds beschuldigt Praktikant für durchgesickertes Passwort ist Symptom für ‘Sicherheitsmängel’

Cyber Security News

In einer Aussage vor dem U.S. House Oversight and Homeland Security Committee in der vergangenen Woche gaben der ehemalige und der aktuelle CEO von SolarWinds einem Praktikanten die Schuld für die Erstellung eines schwachen FTP-Server-Passworts und dessen Veröffentlichung auf GitHub – eine Handlung, die möglicherweise zu einem Supply-Chain-Hack beigetragen hat, der sich auf die Benutzer der Orion IT Performance Monitoring Plattform des Technologieunternehmens auswirkte.

Aber Infosec-Vordenker sagen, dass die Schuldzuweisung an einen Praktikanten die wahren Wurzeln des Problems ignoriert, einschließlich unzureichender Richtlinien für Anmeldeinformationen und Zugriffsverwaltungspraktiken – was zum Teil durch die Einfachheit des Passworts selbst belegt wird: “solarwinds123”.

“Indem wir einem Praktikanten die Schuld für das Setzen eines Produktionspassworts im Jahr 2017 gegeben haben… hat Solarwinds tiefe, systemische Cybersicherheitsfehler auf vielen Ebenen der Organisation aufgedeckt”, sagte Marc Rogers, Executive Director of Cybersecurity bei Okta. “Die Fähigkeit dieses Praktikanten, ein Passwort von ‘solarwinds123’ auf einem kritischen Produktionssystem zu setzen, wirft ein Schlaglicht auf grundlegende Probleme mit Passwortrichtlinien, Systemmanagement und Auditing.”

“All diese Fehler deuten auf eine Organisation hin, die mit systemischen Sicherheitsproblemen, einem ineffektiven Sicherheitsmanagementprogramm und einem Mangel an technischen Kontrollen oder der Einhaltung von Industriestandards behaftet ist”, so Rogers weiter. “Indem sie sich auf die Tatsache konzentrieren, dass ein Praktikant das Passwort über ihr privates GitHub geleakt hat, verfehlen sie auch noch eindeutig den Punkt. Ja, dieses Ereignis war beunruhigend, aber der Weg dorthin war übersät mit Fehlern und verpassten Gelegenheiten, die verhindert hätten, dass es überhaupt erst passiert.”

Auf die Frage nach “solarwinds123” während der Anhörung vor dem Kongress am vergangenen Freitag, nannte der ehemalige CEO Kevin Thompson das Passwort “einen Fehler, den ein Praktikant gemacht hat. Sie haben gegen unsere Passwortrichtlinien verstoßen und dieses Passwort … auf ihrem eigenen privaten GitHub-Konto veröffentlicht. Sobald es identifiziert und meinem Sicherheitsteam zur Kenntnis gebracht wurde, haben sie es entfernt.”

Der aktuelle SolarWinds-CEO Sudhakar Ramakrishna, der den kürzlich in den Ruhestand getretenen Thompson am 7. Dezember 2020 ersetzte, sagte in ähnlicher Weise aus, dass ein Praktikant das Unternehmenspasswort auf einem seiner oder ihrer GitHub-Server im Jahr 2017 festgelegt hat. In all dieser Zeit haben sich die Anmeldedaten von SolarWinds nie geändert.

“Ein Praktikant, der nur 3 Monate (2017) gearbeitet hat, hatte also Zugriff auf den FTP-Server und die Anmeldedaten wurden nicht rotiert, nachdem er gegangen war. Also ist solarwinds123 das Passwort für mehr als 2,5 Jahre”, twitterte der unabhängige Forscher Vinoth Kumar und fügte ein lachendes-so-hart-I’m-crying-Emoji hinzu. Es war Kumar, der das exponierte Passwort entdeckte, das mindestens seit Juni 2018 online zugänglich war, bis SolarWinds das Problem im November 2019 korrigierte.

Die frühesten verdächtigen Aktivitäten im Zusammenhang mit dem Sunburst-Malware-Angriff auf die Lieferkette von SolarWinds fanden im September 2019 statt, bevor das Passwort des Servers von GitHub heruntergenommen wurde. Allerdings konnte bisher kein Zusammenhang mit dem SolarWinds-Angriff und dem geleakten Passwort hergestellt werden. In einer Erklärung, die SolarWinds SC Media zur Verfügung gestellt hat, heißt es außerdem, dass das Passwort eigentlich für eine Anwendung eines Drittanbieters war, die nicht mit den IT-Systemen von SolarWinds verbunden war – obwohl dies angeblich während der öffentlichen Aussage nicht erwähnt wurde.

“Wir haben festgestellt, dass die Anmeldedaten mit diesem Passwort für eine Anwendung eines Drittanbieters und nicht für den Zugriff auf die IT-Systeme von SolarWinds bestimmt waren”, heißt es in der Stellungnahme. “Außerdem stellte die Anwendung des Drittanbieters keine Verbindung zu den IT-Systemen von SolarWinds her. Daher haben wir festgestellt, dass die Zugangsdaten mit diesem Passwort nichts mit dem Sunburst-Angriff oder einem anderen Angriff auf unsere IT-Systeme zu tun hatten.”

Der Passwort-Fauxpas setzte SolarWinds dem Spott der Abgeordneten Katie Porter, D-Calif. aus, die Ramakrishna sagte: “Ich habe ein stärkeres Passwort als Solarwinds123, um meine Kinder davon abzuhalten, zu viel YouTube auf ihrem iPad zu schauen.”

Infosec-Experten rügten das Unternehmen in ähnlicher Weise für einen Mangel an starken Anmeldeinformationen.

“Die jüngsten Entwicklungen in Bezug auf die schlechte Passwortwahl des SolarWinds-Praktikanten zeigen, wie schlecht die Passworthygiene wird und wie wichtig es für Unternehmen ist, der Passwortverwaltung Priorität einzuräumen”, sagte Joseph Carson, Chief Security Scientist und beratender CISO bei Thycotic.

“Passworthygiene sollte Teil der Mitarbeiterschulung und des Cyber-Awareness-Trainings sein”, so Carson weiter. “Unternehmen müssen ihren Mitarbeitern helfen, Passwörter in den Hintergrund zu rücken, damit sie keine Passwörter wählen oder sich merken müssen.” Auf diese Weise machen sie keine klassischen Fehler wie die Verwendung von schwachen oder wiederverwendeten Passwörtern oder sogar leicht abgewandelte Variationen von gängigen oder wiederverwendeten Passwörtern.

“Viele Passwort-Manager sind kostenlos”, so Carson. “Verwenden Sie eindeutige, lange Passwörter wie Passphrasen, und nutzen Sie einen Passwort-Manager, um alle Ihre Passwörter eindeutig, aber einfach zu halten.”

Wie Kumar in seinem Tweet anmerkte, machte SolarWinds auch einen schweren Fehler, indem es seine Passwörter nicht rotierte. “Indem er zugab, dass das Passwort tatsächlich 2017 eingeführt und erst 2020 geändert wurde, machte der ehemalige CEO von Solarwinds überdeutlich, dass diese Probleme wahrscheinlich schon lange bestehen und systemisch sind”, sagte Rogers.

Es stellt sich auch die Frage, wie viel Netzwerkzugang niedrigrangigen, temporären Praktikanten überhaupt hätte gewährt werden dürfen. Rogers nannte es ein “komplettes Versagen, rollenbasierte Zugriffskontrolle (RBAC) zu implementieren oder durchzusetzen” und fragte: “Auf welche anderen Produktionssysteme hatte dieser Praktikant oder andere auf dieser Ebene Zugriff?”

“Meiner Erfahrung nach sind Unternehmen, die Nachwuchskräften privilegierten Zugriff auf Produktionssysteme wie dieses erlauben, typischerweise ein ‘Wilder Westen’, wenn es darum geht, den Zugriff auf alle Systeme zu kontrollieren, nicht nur auf ein einziges.””Jedes Unternehmen mit einem effektiven rollenbasierten Sicherheitsmodell, einer Technologie, die RBAC durchsetzt, und einer rigorosen Überprüfung der Benutzerzugriffsprotokolle wird sich nicht mit den Aktivitäten von Praktikanten befassen müssen, weil dieses spezielle Problem bereits gelöst ist”, so Rogers weiter.

Anstelle von oder zusätzlich zu rollenbasiertem Zugriff könnten Unternehmen auch einen risikobasierten Ansatz verfolgen, indem sie die meisten Zugriffskontrollen auf ihre “Kronjuwelen” setzen – diejenigen, die die schwerwiegendsten Konsequenzen nach sich ziehen würden, wenn sie durchbrochen und auf sie zugegriffen würde, sagte Brandon Hoffman, CISO bei Netenrich.

“Zusätzlich hätte das Verständnis der Identität und die Kontrolle des Zugriffs von einem föderierten Standpunkt aus dieses Problem ebenfalls verhindert”, so Hoffman weiter. “Beides sind grundlegende Sicherheitsprozesse, die eingeführt werden sollten, bevor andere, komplexere Kontrollen implementiert werden. Es ist wahrscheinlich, dass SolarWinds über diese Prozesse verfügt, aber vielleicht wurden sie nicht in der erforderlichen Häufigkeit aktualisiert oder etwas ist durch die Maschen gerutscht.”

Die Notwendigkeit solcher Kontrollen unterstreicht die Bedeutung von Konzepten wie Identitäts- und Zugriffsmanagement (IAM), Privileged Access Management (PAM) und Zero-Trust-Richtlinien.

“Identitäts- und Zugriffsmanagement ist die Drecksarbeit, die unten in den Gräben unserer Cybersicherheitsprogramme geleistet wird”, sagt Rick Holland, CISO und Vice President of Strategy bei Digital Shadows. “Die Konzepte von Least Privilege und Multi-Factor-Authentifizierung sind nicht aufregend, aber essentiell. Unternehmensweites IAM ist eine Herausforderung mit disparaten Systemen, sollte aber eine Top-Priorität sein.”

Natürlich wird es auch mit besseren Passwörtern und einer besseren Zugriffsverwaltung immer noch zu Vorfällen kommen, weshalb sich Unternehmen auch auf Ausfallsicherheit und Schadensbegrenzung konzentrieren müssen, um nicht das nächste SolarWinds zu werden. “Schlechte Passwörter werden ausgewählt und können unweigerlich durchsickern”, sagt Tim Wade, technischer Leiter des CTO-Teams bei Vectra. “Erfolg besteht darin, ein solches Ereignis zu erkennen, darauf zu reagieren und sich davon zu erholen, bevor ein materieller Schaden entsteht, und nicht darin, sich auf die Suche zu begeben, um Praktikanten davon abzuhalten, sich wie Praktikanten zu verhalten.”

“Während also, ja, die Richtlinien und Kontrollen, die notwendig sind, um sich gegen schlechte Passwortauswahl und Leckagen zu schützen, wertvoll sind, ist es viel aufschlussreicher, dass es die Erwartung zu geben scheint, dass Sicherheit in der Lage sein wird, menschliche Fehler zu eliminieren. Das wird sie nicht, und trotzdem müssen wir sicher sein.”

Letztendlich, wenn ein Cyberangriff passiert, müssen das betroffene Unternehmen und seine Führungskräfte Verantwortung und Rechenschaft übernehmen, so die Experten. Das bedeutet, einen Praktikanten nicht zum Sündenbock zu machen.

“Dies ist kein Praktikantenproblem, sondern eher ein Managementproblem”, sagte Rogers. “Organisationen sollten … die langfristigen Auswirkungen bedenken, wenn sie Nachwuchskräfte für Fehler dieses Ausmaßes verantwortlich machen. Eine Schlüsselkomponente eines jeden erfolgreichen Sicherheitsprogramms ist Vertrauen. Als Sicherheitsverantwortliche vertrauen wir darauf, dass unsere Mitarbeiter sich melden, wenn es zu Vorfällen kommt, und unsere Mitarbeiter vertrauen darauf, dass wir den Boten nicht erschießen oder sie für unser kollektives Versagen bestrafen werden. Ohne dieses Vertrauen ist jedes Sicherheitsprogramm eine Burg, die auf Sand gebaut ist.”

“Die … “buck stops here”-Analogie ist angemessen”, sagte Holland.” Sarbanes-Oxley hat die Verantwortlichkeit des CEO und des CFO für die Finanzunterlagen eingeführt, aber die Verantwortung muss darüber hinausgehen. Der CEO ist für jede Umgebung verantwortlich, die es einem Mitarbeiter, einem Praktikanten oder einem Auftragnehmer ermöglicht, einen Fehler zu machen. Wir brauchen mehr CEO-Rechenschaftspflicht und weniger Victim-Blaming.”

“Es war hundertprozentig eine schlechte Vorstellung”, sagte Hoffman. “Es gibt eine erhebliche Diskrepanz zwischen Unternehmensführung und Sicherheit. Ein starkes Sicherheitsbewusstsein wäre dann gegeben, wenn das obere Management versteht, dass ein Verstoß nicht auf die Handlungen einer einzelnen Person zurückgeführt werden kann – meistens. Wenn angemessene Kontrollen vorhanden wären, hätte die Aktion einer einzelnen Person, insbesondere eines Praktikanten, kein so großes Problem verursacht.”

Senior Reporter Joe Uchill hat zu diesem Bericht beigetragen.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com