Wenn SolarWinds Tech-Firmen dazu bringt, ihren Code erneut zu überprüfen, werden einige nicht mögen, was sie finden

  • Verfolgt von den weitreichenden Auswirkungen des SolarWinds-Angriffs auf die Lieferkette, haben Führungskräfte von Softwarefirmen umfassende neue Bewertungen ihrer Produkte angeordnet, um nach Anzeichen für verdächtige Aktivitäten, Code-Anomalien oder Exploits zu suchen, die ihnen ein ähnliches Schicksal bescheren könnten.

    Wenn weitere Angriffe aufgedeckt werden, müssen Endanwenderorganisationen die Lehren aus SolarWinds ziehen und sich darauf vorbereiten, schnell und entschlossen zu handeln, so Infosec-Experten in einer Reihe von Interviews mit SC Media.

    “Unternehmen, ob groß oder klein, gehen zurück und überprüfen ihre Umgebungen und Prozesse”, sagte Jerry Davis, Gründer der Risikomanagement-Firma Gryphon X, LLC und ehemaliger Chief Information Security Officer bei der NASA und dem U.S. Department of Education. “Keiner will Patient Null sein.”

    In der Tat beschrieb Malcolm Harkins, Chief Security and Trust Officer bei Cymatic, ein Szenario, das sich seiner Meinung nach bei verschiedenen Technologieanbietern abspielt: “Nach SolarWinds sagt der CEO oder der Vorstand: ‘Hey, könnten wir so etwas erleben, wo unsere Technologien als Angriffsvektor auf unsere Kunden verwendet werden?'”

    Und die Antwort wird oft “ja” lauten, da die Koordination zwischen den Informationssicherheitsteams der Softwareunternehmen und den Teams für die Produktsicherheit typischerweise seltener oder weniger produktiv ist, als sie sein sollte, wobei die Sicherheit während der Entwicklung vernachlässigt wird.

    Aber jetzt, wo SolarWinds als Weckruf dient, haben Führungskräfte plötzlich ein neues Interesse daran, ihren Code, ihre Produkte und Systeme auf Risiken zu überprüfen.

    Harter Realitätscheck

    Unternehmen werden “davon ausgehen, dass sie auf die gleiche Weise bewaffnet werden können” wie SolarWinds, erklärte Harkins. “Also fangen Sie an zu scannen, Sie fangen an, Schlüsselsysteme mit administrativem Zugriff zu durchsuchen, Sie fangen an, all diese Dinge zu durchsuchen. Und dann sagen Sie: ‘Oh Scheiße. Wir haben ein paar Probleme gefunden.'”

    Eclypsium zum Beispiel nutzt SolarWinds nicht; aber das Unternehmen für Gerätesicherheit hat seine Kunden sofort über die Schritte informiert, die es unternimmt, um sicherzustellen, dass seine eigene Infrastruktur und die seiner Partner sicher ist, sagte Steve Mancini, CISO von Eclypsium.

    Mancini rät Unternehmen, “dies als Lektion zu verstehen, als einen Schuss vor den Bug, und diese internen Bedrohungsanalysen durchzuführen und alle Lücken zu schließen, die Sie aufdecken können.”

    Natürlich kann die Durchführung dieser Bedrohungsanalysen auch unerwartete Auswirkungen haben. Ein Experte vermutet, dass ein kürzlich erfolgter Cyberangriff das Ergebnis einer von SolarWinds inspirierten Produkt- oder Codebewertung gewesen sein könnte, was darauf hindeutet, dass das betroffene Unternehmen Anzeichen eines Eindringens entdeckt haben könnte, was die böswilligen Akteure zum Gegenschlag veranlasste.

    Letzte Woche enthüllte das Infosec-Unternehmen SonicWall, dass es einen koordinierten Cyberangriff erlitt, nachdem böswillige Akteure über eine Zero-Day-Schwachstelle in der firmeneigenen Secure Mobile Access (SMA)-Lösung in sein Netzwerk eingedrungen waren. Obwohl er keine Insider-Informationen hat, um dies zu bestätigen, sagte Harkins, ein plausibles Szenario sei, dass SonicWall das Eindringen entdeckt haben könnte, während es seine Produkte auf potenzielle Bedrohungen vom Typ SolarWinds untersuchte, und die Täter dadurch zur Reaktion veranlasste.

    Malcolm Harkins, Cymatic.

    “Ich würde Geld darauf wetten, dass so etwas passiert ist”, sagte Harkins und begründete dies damit, dass ein Angreifer wahrscheinlich unter dem Radar bleiben und denselben Fehler nutzen würde, um so viele Kunden des Unternehmens wie möglich zu kompromittieren.

    SC Media hat sich an SonicWall gewandt, die zu diesem Zeitpunkt eine Stellungnahme ablehnen.

    Davis und Mancini wiesen die Vermutung zwar nicht ganz von der Hand, waren aber von Harkins’ Theorie weniger überzeugt. Aber selbst wenn sie nicht zutrifft, sollten Unternehmen, die als Reaktion auf den SolarWinds-Angriff damit beschäftigt sind, ihre Systeme zu scannen und ihren Quellcode zu überprüfen, sich für genau diese Art von Situation wappnen.

    “Wenn Sie anfangen, diese Fäden zu ziehen, sehen die bösen Jungs, die in Ihren Systemen waren, zu”, sagte Harkins. “Sie sehen, dass Sie diese Fäden ziehen. Und wie vertuschen sie das? Sie verwirren das Wasser und lassen es wie einen Angriff gegen Sie aussehen. Es ist, als würde ich jemanden ermorden und dann den Ort abfackeln, damit es wie ein Feuer aussieht und den Tatort ruinieren.”

    Wenn in der Tat Dutzende von Softwareanbietern in diesem Moment sorgfältig ihren Code durchforsten, könnte man sehr wohl entdecken, dass sie das nächste SolarWinds sind. Wenn das passiert, müssen diese Unternehmen und ihre Endbenutzerorganisationen schnell handeln und einige harte Entscheidungen treffen.

    “Ich glaube, dass wahrscheinlich mehr als eine Handvoll Stellen im Laufe der Zeit kompromittiert wurden”, so Davis. “Ich denke, das geht wahrscheinlich ein Stück weit zurück – wie weit, weiß ich nicht, aber SolarWinds ist wahrscheinlich nicht der Ausgangspunkt.”

    Wenn der nächste SolarWinds-Fall eintritt, sollten Kunden sofort die empfohlenen Abhilfemaßnahmen anwenden und damit beginnen, die Protokolle nach verdächtigen Aktivitäten oder Netzwerkänderungen in dem Zeitraum zu durchsuchen, der der Kompromittierung der Software entspricht. Wie Harkins es ausdrückt, “malen Sie ein Zeitfenster, das Sie sich ansehen werden”, und zwar weit über das hinaus, was der Hersteller selbst empfiehlt.

    Von da an, so Davis, “müssen die Benutzer der betroffenen Software einen Weg finden, ihre Umgebung wiederherzustellen und das Vertrauen wiederherzustellen… indem sie im Wesentlichen die gesamte Infrastruktur Stück für Stück wieder aufbauen.”

    In der Tat haben viele Kunden von SolarWinds Orion von ihren Umgebungen abgeschaltet und “die Systeme bis auf das nackte Metall heruntergerissen, um sie neu aufzubauen”, so Harkins. Aber eine solche Strategie nützt wenig, wenn Angreifer bereits in die Arbeit eingedrungen sind.

    Außerdem ist das Herausreißen eines Geräts nicht immer machbar, so Mancini, weil “keines dieser Geräte isoliert arbeitet. Wenn Sie etwas herausziehen [out] wie dieses, könnte es vor- und nachgelagerte Konsequenzen geben.” Seiner Meinung nach wäre die Anwendung von Abschwächungen und “vielleicht ein zusätzlicher Erkennungsfokus in diesem Bereich eine vernünftigere Kontrolle und Spielerei gewesen.”

    SonicWall-Kunden stehen möglicherweise gerade jetzt vor einigen dieser Entscheidungen, auch wenn dieser Vorfall als Zero-Day-Exploit und nicht als Supply-Chain-Angriff eingestuft wurde.

    Wenn ich das Risiko in einem großen Unternehmen mit einer ernsthaften Investition in SonicWall bewerten würde, würde ich wahrscheinlich meinen Kundenbetreuer und den CISO bitten, mir ein paar Fragen zu beantworten”, so Mancini: “Wann wurde die Codekomponente, die bei dem Zero-Day-Angriff ausgenutzt wurde, in Ihr Produkt eingeführt? Haben Sie eine solide Änderungskette, die Ihnen mit absoluter Sicherheit sagen kann, dass niemand außer Ihnen diesen Zero-Day ins Spiel gebracht hat?”

    Unter Umständen wie diesen “müssen Sie [the vendor] müssen mein Vertrauen zurückgewinnen, indem Sie mir sagen, dass Sie bei Ihrer Untersuchung außergewöhnliche Maßnahmen ergriffen haben, um die Integrität Ihres Produkts sicherzustellen”, fügte Mancini hinzu. Wenn der Fehler während des Entwicklungsprozesses selbst verschuldet wurde, ist das akzeptabel, da jedes Unternehmen Probleme in seinem Code hat. Aber, so Mancini, wenn der Anbieter sagt ‘Nein, wir können nicht wirklich erklären, woher dieser Code stammt’, “dann haben sie das SolarWinds-Problem.”

    Einige Teile dieses Artikels stammen aus:
    www.scmagazine.com