Singtel Supply Chain Breach wird auf Zero-Day Bug zurückgeführt

  • Eines der größten Telekommunikationsunternehmen in APAC hat zugegeben, dass ein Angriff in der Lieferkette zur Kompromittierung von Kundendaten geführt haben könnte.

    Singtel veröffentlichte am Donnerstag eine Erklärung, die enthüllte, dass das Unternehmen das Legacy-File-Sharing-System FTA von Accellion verwendete, um Informationen intern und mit externen Stakeholdern zu teilen.

    Cyber-Kriminelle scheinen potenziell mehrere FTA-Schwachstellen in Angriffen gegen verschiedene Kunden ausgenutzt zu haben.

    Obwohl Singtel sagte, dass sein Kerngeschäft “nicht betroffen und gesund ist”, räumte es ein, dass es Auswirkungen auf die Kunden haben könnte.

    “Wir führen derzeit mit äußerster Dringlichkeit eine Folgenabschätzung durch, um die Art und den Umfang der Daten zu ermitteln, auf die möglicherweise zugegriffen wurde. Kundeninformationen könnten kompromittiert worden sein”, erklärte es.

    “Unsere Priorität ist es, direkt mit den Kunden und Stakeholdern zu arbeiten, deren Daten möglicherweise kompromittiert wurden, um sie zu unterstützen und ihnen zu helfen, die Risiken zu bewältigen. Wir werden uns so schnell wie möglich mit ihnen in Verbindung setzen, sobald wir festgestellt haben, auf welche für sie relevanten Dateien unrechtmäßig zugegriffen wurde.”

    Accellion sagte in einem Update Anfang Februar, dass es das Ziel einer “ausgeklügelten Cyber-Attacke” war, über die alle FTA-Kunden am 23. Dezember informiert wurden. Am 1. Februar sagte es, es habe “alle bekannten FTA-Schwachstellen gepatcht, die von den Angreifern ausgenutzt wurden, und hat neue Überwachungs- und Warnfunktionen hinzugefügt, um Anomalien im Zusammenhang mit diesen Angriffsvektoren zu kennzeichnen.”

    Singtel bestätigte dies in seiner eigenen Version der Ereignisse und gab an, dass der Anbieter zwei Patches zur Behebung des Fehlers zur Verfügung gestellt hatte, die er am 24. und 27. Dezember 2020 einspielte. Allerdings gab es im folgenden Monat ein weiteres Problem.

    “Am 23. Januar gab Accellion ein weiteres Advisory heraus, in dem auf eine neue Sicherheitslücke hingewiesen wurde, gegen die der Patch vom 27. Dezember nicht wirksam war, und wir nahmen das System sofort offline. Am 30. Januar stellte Accellion einen weiteren Patch für die neue Sicherheitslücke zur Verfügung, der eine Anomalie-Warnung auslöste, als wir versuchten, ihn anzuwenden”, heißt es weiter.

    “Accellion informierte daraufhin, dass unser System möglicherweise angegriffen wurde und dies wahrscheinlich am 20. Januar geschehen war. Wir haben das System weiterhin offline gehalten und Cyber- und strafrechtliche Untersuchungen eingeleitet, die das Datum des 20. Januar bestätigt haben. Aufgrund der Komplexität der Ermittlungen wurde erst am 9. Februar bestätigt, dass Dateien entwendet wurden.”

    Andere Kunden, von denen bekannt ist, dass sie von denselben Angriffen betroffen waren, sind die neuseeländische Zentralbank, die am 10. Januar eine Erklärung abgab und so wahrscheinlich von einem Exploit der im Dezember gepatchten Sicherheitslücke erwischt wurde.

    Saryu Nayyar, CEO von Gurucul, argumentierte, dass die Vorfälle die Risiken aufzeigen, die mit dem Einsatz von Legacy-Software verbunden sind. Es wird angenommen, dass FTA über 20 Jahre alt ist.

    “Patch-Zyklen in Unternehmensumgebungen können kompliziert sein, besonders für reife Organisationen mit einem robusten Change-Management-System, aber die bösartigen Akteure warten nicht”, fügte sie hinzu.

    “Sie wissen, dass zwischen der Veröffentlichung eines Exploits und dem Einsatz einer Abwehrmaßnahme in der Regel nur eine begrenzte Zeitspanne liegt, daher neigen sie dazu, schnell zu handeln. Das bedeutet, dass sich die Cybersicherheit mindestens genauso schnell bewegen muss.”

    Einige Teile dieses Artikels stammen aus:
    www.infosecurity-magazine.com