Chinesen in Verbindung mit zwei Angriffen auf internetfähige SolarWinds-Server

Cyber Security News

Die chinesische Spionagegruppe Spiral ist möglicherweise für zwei Angriffe auf einen SolarWinds Orion-Server im Jahr 2020 verantwortlich, die zwar miteinander in Verbindung gebracht werden, aber nicht mit dem berüchtigten SolarWinds-Angriff, der Russland zugeschrieben wird. (“Peter @ Solarwinds office” von ecooper99 ist lizenziert unter CC BY 2.0)

Forscher verdächtigten am Montag die chinesische Spionagegruppe Spiral für zwei Einbrüche in einen SolarWinds Orion-Server im Jahr 2020, die miteinander verbunden waren, aber nicht mit dem berüchtigten SolarWinds-Angriff, der Russland zugeschrieben wird.

In einem Blog berichtete die Secureworks Counter Threat Unit (CTU), dass Spiral einen SolarWinds-Server mit Internetanschluss ausnutzte, um die Supernova-Web-Shell einzusetzen. Die Forscher sagen, dass der Bedrohungsakteur eine SolarWinds Orion API-Authentifizierungsumgehungsschwachstelle (CVE-2020-10148) ausnutzte, um ein Erkundungsskript auszuführen und dann die Supernova-Web-Shell auf die Festplatte zu schreiben. Die Schwachstelle könnte es einem Angreifer ermöglichen, die Authentifizierung zu umgehen und API-Befehle auszuführen, was zu einer Kompromittierung der SolarWinds-Instanz führen könnte.

Secureworks entdeckte die Angriffe im November 2020 während der Arbeit an einer Incident Response für einen seiner Kunden. Während des IR-Einsatzes wurde auch der erste Angriff entdeckt, der sich Anfang 2020 im selben Netzwerk ereignete. Der zweite Angriff erfolgte Ende 2020.

Die Analyse des CTU-Teams von Secureworks deutet darauf hin, dass diese beiden Angriffe von Spiral in keinem Zusammenhang mit dem Sunburst-Angriff über die Lieferkette stehen, bei dem Trojaner in die Updates der Unternehmenssoftware SolarWinds Orion injiziert wurden.

Angesichts der aktuellen Trends und des jüngsten SolarWinds-Hacks war es nicht überraschend, dass ein SolarWinds-Server mit Internetanschluss die Supernova-Web-Shell einsetzt, so Michael Isbitski, Technical Evangelist bei Salt Security.

“Wir werden wahrscheinlich weiterhin Kampagnen und parallele Angriffe wie diesen sehen, die ungepatchte APIs ausnutzen, um die Authentifizierung zu umgehen”, sagte Isbitski. “Diese Art von Angriffen gehört zu den OWASP API Security Top 10 Risiken, bei denen ungepatchte oder falsch konfigurierte API-Authentifizierung es Angreifern ermöglicht, Authentifizierungs-Tokens zu kompromittieren oder Implementierungsfehler auszunutzen, um Zugriff auf ein System zu erhalten und es zu kompromittieren.”

Isbitski sagte, diese Ergebnisse sollten als deutliche Erinnerung an die kritische Bedeutung von Patches dienen. Er sagte, dass Unternehmen das Patchen von kritischen, bekannten Schwachstellen nicht länger hinauszögern können, weil sie sich Sorgen über Ausfälle, die Auswirkungen auf Produktionsbenutzer oder den Verlust der Kontrolle über ein System machen.

“Ungepatchte Systeme machen wichtige Elemente des IT-Stacks angreifbar, insbesondere APIs, auf die es Angreifer heutzutage zunehmend abgesehen haben, da sie den Datenverkehr direkt zu wertvollen Daten und Diensten leiten”, so Isbitski. “Diese Art von Aktivität scheint eine aufkommende Signatur der Gruppe zu sein, die hinter diesem Angriff steckt, daher müssen Unternehmen zunehmend wachsam sein, was solche Schwachstellen angeht.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com