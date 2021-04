Der australische Anbieter Click Studios hat einen erfolgreichen Lieferkettenangriff auf seinen vor allem im professionellen Bereich verwendeten Passwort-Manager Passwortstate eingestanden. Das Unternehmen fordert Kunden dringend dazu auf, gespeicherte Kennwörter zu ändern.

In einer Mail, die die polnische Webseite Niebezpiecznik auf Twitter als Foto veröffentlichte, informiert der Anbieter zum 22. April 2021 seine Kunden über den Vorfall. Bei internen Analysen habe Click Studios demnach festgestellt, dass es einem Angreifer erfolgreich gelungen ist, die In-Place Upgrade-Funktion des Unternehmens zu kompromittieren. Auf Deutsch wird dies als Lieferkettenangriff bezeichnet, in dessen Folge mit Malware infizierte Updates ausgeliefert werden.

Malware per in-Place Upgrade

Im konkreten Fall besteht die Gefahr, dass alle zwischen dem 20. April 2021 (20:33 UTC) und dem 22. April 2021 (0:30 Uhr UTC) per in-Place Upgrade ausgeführten Aktualisierungen eine mit Malware infizierte Datei 'Passwordstate_upgrade.zip' installiert haben. Das Unternehmen hält sich mit Details zur Malware zurück. J. A. Guerrero-Saade, Forscher bei der Sicherheitsfirma SentinelOne, hat hat seine Analysen allerdings in einer Folge von Tweets öffentlich gemacht. Dem Angreifer ist es demnach gelungen, dem ursprünglichen Code von Passwordstate einen 'Loader'-Codeabschnitt hinzuzufügen.

Dieser Loader ist in der Lage, weitere Payloads vom Kontroll-Server (C2) zu beziehen. Die CDN-Server, die bei dem Angriff zum Nachladen der Nutzlasten verwendet wurden, sind zwar seit dem 22. April 7:00 Uhr UTC abgeschaltet und nicht mehr erreichbar. Kritischer ist aber die Erkenntnis von Guerrero-Saade über weitere, im infizierten Modul enthaltene Funktionen. Die Moserware getaufte Malware soll über diese Funktionen Systeminformationen sammeln und die globalen Einstellungen des PasswordState-Datenspeichers parsen, um alles an die Kontrollserver der Angreifer zu übertragen. Die dänischen Sicherheitsspezialisten der CSIS Group haben zudem eine weitere Analyse zu den infizierten Dateien veröffentlicht.

Gespeicherte Passwörter zurückzusetzen

Von Click Studio wurde zwar auch ein Hotfix 'Mouserware.zip' freigegeben, um eine Infektion über Checksummen der betroffenen DLLs zu erkennen. Die in der Mail an Kunden genannte URL funktioniert aber inzwischen nicht mehr, sodass dieser Fix nicht mehr abrufbar ist. Der australische Anbieter Click Studio rät allen Passwordstate-Nutzern, deren Client in der angegebenen Zeit aktualisiert wurde, die in der Passwordstate-Datenbank gespeicherten Passwörter zurückzusetzen. Dabei schlägt der Anbieter folgende Reihenfolge – gestaffelt nach der Dringlichkeit – als Priorisierung vor:

Anmeldedaten für im Internet exponierte Systeme (Firewalls, VPN, Online-Konten bei externen Websites usw.)

Alle für die interne Infrastruktur verwendeten Zugangsdaten

Und im letzten Schritt alle übrigen Zugangsdaten

Mögliche Ursache: Moderne DevOps-Anwendungsentwicklung

Die Sicherheitsforscher von CSIS gehen von einer großen Zahl Betroffener aus, da das Produkt Passwordstate in zahlreichen Top-500-Unternehmen weltweit in Verwendung ist. Nach dem SolarWinds-Orion-Fall und dem Covdev-Hack ist dies nun der dritte gravierende Lieferkettenangriff, der dieses Jahr bekannt wird. Sicherheitsexperten von Check Point äußerten gegenüber heise online die Ansicht, dass die verkürzten Zyklen bei einer modernen DevOps-Anwendungsentwicklung und -bereitstellung eine Ursache für die schnelle Folge der 2021 bekannt gewordenen Lieferkettenangriffe sein könnten. Die Unternehmen, die oft auch noch OpenSource-Code aus öffentlichen Code-Plattformen einbinden, versäumten es laut Check Point, die Sicherheitsmaßnahmen den schnellen DevOps Entwicklungszyklen anzupassen.

Nach Angaben des Unternehmens Click Studios setzen über 370.000 Sicherheits- und IT-Experten in 29.000 Unternehmen weltweit die On-Premises-Passwortverwaltungslösung Passwordstate ein.

(bme)