Colonial Pipeline: Massiver Ransomware-Angriff auf Betreiber

Tenable kommentiert Folgen für die Betriebstechnik durch IT-Ausfall nach Ransomware-Befall

[datensicherheit.de, 10.05.2021] In den letzten Tagen vermeldeten internationale Medien einen Cyber-Angriff (demnach eine Ransomware-Attacke mit einer „Beute“ von rund 100 Gigabyte) auf den größten Pipeline-Betreiber in den USA, Colonial Pipeline, der dessen Betrieb lahmlegt habe. Es sollte laut Tenable beachtet werden, dass diese spezielle Sicherheitslücke sowie mehrere andere, inzwischen gepatchten nur hätten ausgenutzt werden können, wenn die „vManage“-Software im Cluster-Modus laufe. Wenn ein Unternehmen „vManage“ verwendet, wird daher dringend empfohlen, diese Patches so schnell wie möglich zu installieren.

Ransomware beliebter Angriffsvektor für Cyber-Kriminelle

Marty Edwards, „VP of OT Security“ bei Tenable und dienstältester Director des ICS-CERT erläutert: „Cyber-Angriffe sind eine reale und gegenwärtige Gefahr für Kritische Infrastrukturen auf der ganzen Welt und damit auch für jeden einzelnen Verbraucher. Wenn die Berichte zutreffen, weist der Vorfall bei Colonial Pipeline alle Merkmale eines umfassenden Ransomware-Angriffs auf, der in der IT-Umgebung begann und den Betreiber vorsichtshalber zum Herunterfahren des Betriebs zwang.“
Ransomware sei aufgrund ihrer Effektivität und ihres Return-on-Investment ein beliebter Angriffsvektor für Cyber-Kriminelle. „Das ist genau der Grund, warum Kriminelle in letzter Zeit immer wieder Kritische Infrastrukturen ins Visier genommen haben. Das Herunterfahren von OT-Umgebungen (Operational Technology) kann Hunderte von Millionen Dollar kosten, was die Anbieter dazu zwingt, die Kosten aufzuwiegen“ so Edwards.

Verlauf der Ransomware-Attacke noch unklart

Edwards betont: „Wir sollten diese Gruppen nicht unterschätzen. Viele von ihnen verfügen mittlerweile über Helpdesks, technischen Support, Lohnabrechnungen und Subunternehmer. Sie sind im Wesentlichen vollwertige kriminelle Unternehmen, die in der digitalen Welt operieren.“ Auch wenn nicht bekannt sei, wie sich dieser Angriff abgespielt hat, „so ist er doch eine weitere Erinnerung an die zunehmend ins Visier genommenen Kritischen Infrastrukturen, auf die wir uns alle verlassen“.
Zudem habe Cisco Mitte der 18. Kalenderwoche 2021 mehrere Sicherheitslücken in seiner SD-WAN-Software „vManage“ geschlossen. Eine davon ermögliche es Angreifern, Aktionen auszuführen, „die durchschnittlichen Benutzern nicht gewährt werden, wie z.B. das Erstellen von Konten mit Zugriff auf die Administrationsebene.“

Reaktion auf Ransamware-Angriff: Cisco hat mehrere Sicherheitslücken gepatcht

Satnam Narang, Staff Research Engineer beim IT-Sicherheitsanbieter Tenable, Foto: Tenable

Satnam Narang warnt: Angreifer muss nicht im Besitz gültiger Zugangsdaten sein, um sich bei der verwundbaren Anwendung zu authentifizieren

„Cisco hat am Mittwoch mehrere Sicherheitslücken gepatcht, darunter einige Schwachstellen in seiner SD-WAN-Software ,vManage‘. Am schwerwiegendsten ist ,CVE-2021-1468‘, eine Schwachstelle innerhalb der Verarbeitung nicht autorisierter Nachrichten“, kommentiert Satnam Narang, „Staff Research Engineer“ bei Tenable.
Die Schwachstelle besteht laut Narang deshalb, weil die „vManage“-Software keine Authentifizierungsprüfung für Eingaben durchführe, welche der Benutzer an den Messaging-Dienst der Anwendung übermittelt. Diese Schwachstelle könnte vor der Authentifizierung ausgenutzt werden, d.h. der Angreifer müsste nicht im Besitz gültiger Zugangsdaten sein und sich bei der verwundbaren Anwendung authentifizieren.

Weitere Informationen zum Thema:

datensicherheit.de, 12.05.2021
Lehren aus dem Ransomware-Angriff auf Colonial Pipeline für Kritis-Betreiber / Edgard Capdevielle erläutert in seiner Stellungnahme, wie sich Kritis-Betreiber absichern können

datensicherheit.de, 12.05.2021
DarkSide: RaaS-Attacke gegen Colonial Pipeline / Junge Ransomware-Familie DarkSide erstmals im August 2020 aufgetreten

datensicherheit.de, 12.05.2021
Ransomware-Angriff auf Colonial Pipeline nur Teil einer neuen Welle / Betreiber einer der größten Treibstoff-Pipelines der USA musste Betrieb nach Attacke mit DarkSide-Ransomware vorübergehend einstellen

datensicherheit.de, 11.05.2021
Ransomware-Angriff: Kraftstoffversorgung über Colonial Pipeline unterbrochen / FBI bestätigt Attacke auf Colonial Pipeline durch Hacker-Gruppe DarkSide

datensicherheit.de, 18.03.2021
Warum Ransomware noch immer so erfolgreich ist

Bloomberg, Cybersecurity, Jordan Robertson & William Turton, 09.05.2021
Colonial Hackers Stole Data Thursday Ahead of Shutdown

threatpost, Tara Seals, 06.05.2021
Critical Cisco SD-WAN, HyperFlex Bugs Threaten Corporate Networks

CISCO, 05.05.2021
Cisco Security Advisory / Cisco SD-WAN vManage Software Vulnerabilities

CISA CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY
Industrial Control Systems / Advisories and Reports