Die Auswirkungen des MOVEit-Angriff werden immer größer. Es ist noch nicht bekannt, wie viele Opfer es gibt, aber es ist zu erwarten, dass die Zahl noch weiter steigt. Zunächst ist es für jedes Unternehmen ein zweiteiliges Problem. Erstens feststellen, ob sie (oder verbundene Dritte) anfällige Versionen der Software oder des SaaS-Angebots verwendet haben, und zweitens ob die Software ausgenutzt und Daten gestohlen wurden.

Ein Kommentar von Timothy Morris, Chief Security Advisor bei Tanium.

Obwohl dies in der Theorie einfach ist, kann das Ausmaß, in dem dies geschehen muss, für einige Unternehmen wirklich herausfordernd sein. Ersteres erfordert eine genaue Bestandsaufnahme von Hardware, Software und Diensten, die innerhalb des Unternehmens verwendet werden, sowie Bescheinigungen von Drittanbietern und Providern.

Letzteres erfordert die Suche nach Bedrohungen, IOC- und Protokollsuche, Reaktion auf Vorfälle und möglicherweise eine umfassende digitale Forensik.

Was können Unternehmen also tun, wenn sie wissen, dass sie von dem MOVEit-Angriff betroffen sein könnten?

  • Durchführung einer Bestandsaufnahme: Netzwerkumgebung prüfen und vergewissern, ob die Progress-Software installiert ist und verwendet wird (einschließlich des Cloud-Dienstes).

  • Vervollständigung der Schwachstellenbewertungen (die hierfür gut dokumentiert sind)

  • Patchen von anfällige Versionen

  • Wenn keine Patches verfügbar sind: Implementierung der vom Hersteller vorgeschriebenen Risikominimierungsmaßnahmen. Dazu gehört die Deaktivierung der Web-Benutzeroberfläche (Sperrung des Zugriffs auf 80/443). Verwendung der nicht anfälligen Protokolle, die verfügbar sind.

  • Deaktivierung der Software/des Dienstes und Wechsel zu einer alternativen sicheren Datenübertragungsmethoden.

  • Anschließende Prüfung, ob das Unternehmen immer noch anfällig ist, indem man sowohl von innen nach außen (obige Schritte) als auch von außen nach innen vorgeht, um einen anderen Blick auf das Unternehmen zu erhalten.

Warum war dieser Angriff so erfolgreich?
Zunächst wäre da das Alter und die Verbreitung von Datenübertragungsdienste. Es gibt sie schon seit den Anfängen des Internets. Ipswitch (der Ursprung dieses verwalteten Datenübertragungsprodukts) wurde vor über 30 Jahren gegründet. Es wurde Teil des Produktportfolios von Progress Software. Diese Dienste werden von fast jedem Unternehmen benötigt und genutzt.

Zweitens wird diesen älteren Diensten nicht viel Aufmerksamkeit zuteil. Sie funktionieren einfach, und innerhalb der IT-Abteilung herrscht oft eine "Einstellen und Vergessen"-Mentalität.

Drittens sind diese Dienste und Protokolle mit dem Internet verbunden. Angriffsversuche hat es höchstwahrscheinlich schon milliardenfach gegeben. Ein einziger Fehler oder eine kritische Schwachstelle kann zu einem Angriff dieses Ausmaßes führen.

Viertens ist die Sicherheitsforschung in mehreren Bereichen im Rückstand, holt aber auf. Der Schwerpunkt liegt seit Jahren auf Endgeräten und Desktop-Betriebssystemen, Webdiensten usw.. Auch wenn es sich hier um eine SQL-Injection-Schwachstelle handelt, wird die Aufmerksamkeit von Angreifern und Forschern in Wellen kommen, die den Fokus auf ganze Klassen von Diensten verlagern werden.

Wir haben in den letzten Monaten bzw. im letzten Jahr eine sprunghafte Zunahme von Schwachstellen in Netzwerkanwendungen, E-Mail-Gateways und jetzt auch in Dateiübertragungsdiensten (z. B. GoAnywhere MFT, Accellion FTA, SolarWinds Serv-U, MOVEit) festgestellt. In den meisten Unternehmen verfügen diese Dienste nicht über eine robuste Defense-in-Depth-Strategie, wie sie bei Endgeräten zum Einsatz kommt.

Schließlich, und das ist wahrscheinlich das Wichtigste, geht es darum, was Datenübertragungsdienste tun. Wie bei dem Bankräuber Willie Sutton, der 1933 gefragt wurde: "Warum rauben Sie Banken aus?" Und er antwortete: "Weil dort das Geld ist".

Warum sollte man Datentransferdienste angreifen? Weil sich dort die Daten befinden. Daten sind das Lebenselixier der meisten Unternehmen, und bei ihrer Übertragung werden Daten von einem Ort zum anderen transportiert. Angreifer wissen das und nutzen dies schamlos aus.

Weitere Beiträge....