Die US-Agentur für Internetsicherheit und Infrastruktursicherheit (CISA) hat als Reaktion auf einer bekannten Kompromittierung mit SolarWinds Orion-Produkten die Notfallrichtlinie ‘21-01’ herausgegeben, die derzeit von böswilligen Akteuren ausgenutzt werden. Diese Notfallrichtlinie fordert alle zivilen Bundesbehörden auf, ihre Netzwerke auf Anzeichen von Kompromittierungen zu überprüfen und SolarWinds Orion-Produkte sofort zu trennen oder auszuschalten.
“Der Kompromittierung der Orion Network Management-Produkte von SolarWinds birgt inakzeptable Risiken für die Sicherheit von Bundesnetzwerken’, sagte Brandon Wales, amtierender Direktor von CISA. ‘Mit der heutigen Richtlinie sollen potenzielle Kompromisse innerhalb der zivilen Netzwerke des Bundes gemindert werden. Wir fordern alle unsere Partner im öffentlichen und privaten Sektor nachdrücklich auf, ihre Gefährdung durch diesen Kompromiss zu bewerten und ihre Netzwerke vor jeglicher Ausbeutung zu schützen.”
Dies ist die fünfte Notfallrichtlinie die von CISA unter den vom Kongress im Cybersecurity Act von 2015 erteilten Behörden herausgegeben wurde. Alle Agenturen, die SolarWinds-Produkte nutzen, sollten CISA am Montag, dem 14. Dezember 2020, bis 12.00 Uhr (EST)) einen Abschlussbericht vorlegen.
Bekannt wurde, dass Beamte von CISA und des FBI Verstöße gegen zwei der größten Bundesbehörden, die Handels- und Finanzabteilungen, im Zusammenhang mit einem Fehler in der SolarWinds Orion-Software untersuchten. Frühe Berichte deuten darauf hin, dass Hacker, die für die russische Regierung arbeiten, an den Kompromittierungen beteiligt waren.
In der Notfallrichtlinie - die bisher fünfte in der Geschichte der Agentur - fordern CISA-Beamte von den Bundesbehörden, Instanzen der SolarWinds-Software in ihren Systemen zu identifizieren und die SolarWinds Orion-Produkte „sofort zu trennen oder herunterzufahren“, heißt es in der Warnung. Die Richtlinie gilt nur für zivile Stellen, da CISA keine Befugnisse über das Verteidigungsministerium oder Geheimdienste hat.
Vorgehensweise der Behörden
IT-Manager sollten proaktiv den gesamten eingehenden Datenverkehr blockieren, sagte CISA. Sicherheitsteams sollten auch nach verdächtigen Benutzern und Konten suchen und diese entfernen.
SolarWinds - Orion
Das SolarWinds Orion-Produkt wird zur Überwachung und Optimierung der IT-Infrastruktur in großen Umgebungen verwendet, wie dies bei den meisten Bundesbehörden der Fall ist. Die Tools untersuchen, welche Geräte und Prozesse die meisten Ressourcen verwenden, und stellen entweder sicher, dass diese Ressourcen verfügbar sind, oder helfen IT-Managern bei der Lösung potenzieller Risiken.
Das Unternehmen gibt auf seiner Website an, viele Bundes- und Verteidigungskunden zu haben, darunter das Census Bureau, die Ministerien für Justiz, Finanzen und Veteranenangelegenheiten, die nationalen Laboratorien von Oak Ridge und Sandia, das Pentagon, die Armee, die Luftwaffe, die Marine und das Marine Corps sowie United States Intelligence Community.