Sicherheitslücke: Solarwinds veröffentlichte Passwort auf Github

Wie die Nachrichtenagentur Reuters berichtet, hatte Solarwinds bereits vor dem aktuellen Hack, bei dem Tausende Kunden des Unternehmens kompromittiert worden sein sollen, mit massiven Sicherheitsproblemen zu kämpfen. Demnach soll die Firma unsichere Zugangsdaten für ihre Update-Server verwendet und obendrein veröffentlicht haben. Zudem sollen in den vergangenen Jahren Zugänge zu Solarwinds IT-Infrastruktur in Hackerforen angeboten worden sein.

Bereits seit Juni 2018 soll Solarwinds ein extrem unsicheres Passwort für seine Update-Server verwendet haben. Dieses setzte sich aus einer Kombination des Firmennamens und den Zahlen 123 zusammen: "solarwinds123". Dieses dürfte eines der ersten Passwörter sein, das Eindringlinge ausprobieren würden. Das mussten diese jedoch gar nicht, denn Solarwinds veröffentlichte das Passwort auf Github.

Dort entdeckte es der Sicherheitsforscher Vinoth Kumar. Dieser lud als Proof of Concept (PoC) eine Datei per FTP auf die Update-Server und meldete seinen Fund am 19. November 2019 an Solarwinds. Die Firma habe ihm drei Tage später geantwortet, dass das Problem nun behoben sei, sagte Kumar dem Onlinemagazin The Register. Insgesamt hätten Eindringlinge demnach eineinhalb Jahre auf die Update-Server des Unternehmens zugreifen können.

Zwar wurden auch im aktuellen Fall die Update-Server zum Verteilen der Schadsoftware Sunburst verwendet, mit der insgesamt 18.000 Firmen, Behörden und Organisationen kompromittiert worden sein sollen, allerdings waren die Update-Server bei diesem Angriff nur die Vehikel, um die Schadsoftware an die Kunden von Solarwinds zu verteilen. Eingebracht wurde Schadsoftware wohl über die Build-Server, auf denen aus dem Quellcode die verteilten Softwarepakete gebaut und signiert werden.

Nicht der erste Hack

Bereits seit 2017 sollen laut Reuters in Hackerforen Zugänge zur Infrastruktur von Solarwinds verkauft worden sein. Einer der Anbieter sei als "fxmsp" bekannt und werde "wegen Beteiligung an mehreren hochkarätigen Vorfällen" vom FBI gesucht, sagte Mark Arena, Geschäftsführer der Sicherheitsfirma Intel471, zu Reuters.

Derweil sind die Folgen des aktuellen Hacks noch gar nicht absehbar. Die IT-Überwachungs- und Verwaltungssoftware Orion wurde von insgesamt 30.000 Unternehmen, Behörden und Organisationen eingesetzt. 18.000 davon sollen zwischen März und Juni 2020 die Software bezogen haben. In diesem Zeitraum verteilten die Update-Server die trojanisierten Versionen der Software.

Da der Orion-Plattform weitreichende Zugriffe im jeweiligen Unternehmensnetzwerk gewährt werden müssen, dürfte die Software entsprechend der Ausgangspunkt für weitreichende Übernahmen der IT-Infrastruktur der Betroffenen sein. Ein einfaches Einspielen des bereits von Solarwinds veröffentlichten Hotfixes dürfte die Eindringlinge nicht wieder aus der Infrastruktur des Unternehmens, der Behörde oder der Organisation verbannen.