Der 3CX-Supply-Chain-Angriff und was wir daraus lernen können

Am 29. März 2023 nahmen nordkoreanische Angreifer den VoIP-IPX-Entwickler des VOIP-Telefonie-Anbieters 3CX ins Visier. Sie nutzten dabei eine zehn Jahre alte Sicherheitslücke (CVE-2013-3900), durch die ausführbare Dateien scheinbar rechtmäßig von Microsoft signiert werden. Tatsächlich wurden sie jedoch zur Verbreitung von Malware verwendet.

Der Angriff nur der jüngste in einer Reihe von aufsehenerregenden Lieferketten-Angriffen. So kompromittierte der SolarWinds-Angriff das Orion-System; betroffen waren Tausende von Unternehmen. Der Kaseya VSA-Angriff diente dazu, die REvil-Ransomware zu verbreiten. Auch hier waren sehr viele Unternehmen betroffen. Der Vorfall gilt sogar als eine der größten Sicherheitsverletzungen des 21. Jahrhunderts.

Und es werden nicht die letzten Attacken auf die Integrität der Lieferkette sein. Letztere verbessern zwar Effizienz und Zusammenarbeit und senken gleichzeitig die Gemeinkosten. Aber von ihnen geht zugleich eine nicht unerhebliche Gefahr für alle Beteiligten aus. Denn jede Kette ist nur so stark wie ihr schwächstes Glied. Angriffe auf die gesamte Lieferkette haben allein 2022 um mehr als 600 Prozent zugenommen.

Wie wurde der Angriff durchgeführt?

Das 3CX-Telefonsystem wird weltweit täglich von rund 12 Millionen Nutzer aus über 600.000 Unternehmen genutzt. Allein aufgrund der schieren Zahl hat ein Angriff dieser Größe weitreichende Folgen.

Die Attacke begann am 29. März als zahlreiche Endpoint-Detection-and-Response-(EDR)-Anbieter und Antivirenlösungen eine Warnmeldung für eine legitime – und signierte – 3CXDesktopApp.exe-Binärdatei ausgaben. Zu diesem Zeitpunkt war noch nicht bekannt, dass die Angreifer eine 10 Jahre alte Microsoft-Schwachstelle ausgenutzt hatten, durch die ausführbare Dateien scheinbar rechtmäßig signiert wurden. Tatsächlich wurden zwei signierte bösartige DLLs verwendet, um sich mit einem Command-and-Control-Server und anschließend mit dem GitHub-Repository zu verbinden.

Demzufolge war der auf der Website verfügbare 3CX-Download mit Malware infiziert. So erhielten alle Systeme, auf denen diese Version bereits installiert war, automatisch ein Update, mit dem die Malware auf die betroffenen Rechner heruntergeladen wurde.

Der Angriff basierte auf einem mehrstufigen Prozess, und der Download erfolgte erst mit einer siebentägigen Verzögerung. Durch diese Angriffsstruktur war es den Hackern möglich, sich der Entdeckung durch die Sicherheitssysteme zu entziehen und sich lateral über Systeme und Netzwerke hinweg weiter zu bewegen. Letztendlich konnte die Malware Systemdaten sammeln und die Kontrolle, über die in den Benutzerprofilen der Webbrowser gespeicherten Anmeldedaten übernehmen. Nach dem Angriff wurde festgestellt, dass 240.000 Instanzen der Anwendung öffentlich zugänglich waren. Eine Zahl, die das Ausmaß des Schadens verdeutlicht, den diese Art von Angriffen auf die Lieferkette verursacht.

Supply-Chain-Angriffe abwehren, aber wie?

Als erste gefahrensenkende Maßnahme, sollten Unternehmen alle Domains und IPs sperren, die mit dieser Art von Kampagne in Verbindung stehen. Nach der Entdeckung sollte man den Angriff über alle Stationen hinweg entschärfen, um ähnliche Attacken zukünftig verhindern zu können. Das lässt sich nur über die Nutzung eines privaten Cloud-Backbones erreichen. Hier verfügt jeder Point of Presence (PoP) über den gesamten Sicherheits-Stack, der Daten für jeden Netzwerkfluss teilt und kontextualisiert.

Im Falle des 3CX-Angriffs konnte dieser an mehreren Stellen entschärft werden:

• Markieren und Blockieren bösartiger Domains: Standardmäßiges aktivieren der Firewall-Regel zum Blockieren bösartiger Domains.
• Intrusion-Prevention-System (IPS): Payload-Server zur Domain-Blockliste hinzufügen, welche die Firewall-Regeln ergänzen und nicht von deren Aktivierung abhängig sein sollten.
• Anti-Malware: Blockieren aller mit 3CX assoziierten Trojaner.
• Managed-Detection-and-Response (MDR): Ein MDR-Team, das die Systeme der Kunden ständig auf verdächtige Aktivitäten hin überwacht.

Auch in Zukunft sollten Unternehmen ihre Netzwerke auf Anzeichen ähnlicher Angriffe überwachen, um sie bereits im Frühstadium zu erkennen.

Wie Unternehmen sich zukünftig schützen können

Der Angriff auf SolarWinds hat insbesondere gezeigt, dass Unternehmen ihre Sicherheitsmaßnahmen intern wie extern verbessern müssen. Je stärker sich Firmen auf Drittanbieter verlassen, desto wichtiger wird es, nicht nur das Gesamtbild im Auge zu behalten, sondern auch ein neues Vertrauenssystem mit entsprechenden Tools und Praktiken aufzubauen. Leider kann es mit einer flächendeckenden Umsetzung leicht Jahre dauern.

Es gibt jedoch einige Sofortmaßnahmen, mit denen Firmen sich selbst sowie alle an ihrer Lieferkette Beteiligten besser schützen können:

Sicherheitsüberprüfungen: Es gibt bereits rechtliche Rahmenbedingungen, die Risikoprüfungen durch Dritte oder andere Standards vorschreiben. Sie müssen von Anbietern eingehalten werden, sodass sich die Sicherheitslage automatisch verbessert. Andernfalls sollten Unternehmen die Drittanbieter, mit denen sie zusammenarbeiten, überprüfen. Nur so ist gewährleistet, dass deren Sicherheitsvorkehrungen mit den eigenen Standards kompatibel sind und Schwachstellen oder Lücken vermieden werden.

Implementierung von ZTNA: Zero-Trust-Network-Access (ZTNA) erlaubt es, den Zugang auf einer granularen Ebene zu beschränken. Im Wesentlichen geht es bei der Autorisierung darum, nicht von vornherein darauf zu vertrauen, dass ein Benutzer rechtmäßig Zugriff hat. Dadurch wird kontrolliert, wer und was Zugriff zu Anwendungen sowie Diensten in der Cloud und vor Ort bekommt, basierend auf einer ausdrücklich erteilten Berechtigung. Dieser Ansatz erhöht die allgemeine Netzwerksicherheit und kann im Falle einer Datenschutzverletzung die typischen lateralen Sondierungsbewegungen einschränken. Auch dies senkt das Risiko eines Lieferketten-Angriffs.

Implementierung von Secure-Access-Service-Edge (SASE): SASE verbessert die allgemeine Sicherheitslage eines Unternehmens, weil es eine Basislinie für das normale Netzwerkverhalten erstellt. Das erlaubt einen vorausschauenden Sicherheitsansatz, der das Aufdecken, Eindämmen und Verhindern von Verstößen erleichtert. SASE bietet von allen Seiten aus Einblick in sämtliche Netzwerkaktivitäten. Die Seite der Verteidiger hat so für jede einzelne Komponente des Angriffszyklus mehrere Ansatzpunkte. In Kombination mit konvergenten Sicherheitsfunktionen lassen sich Bedrohungen dank SASE besser erkennen, abschwächen und verhindern.

Schulung von Mitarbeitenden: Zum Schutz des gesamten Unternehmens sollte die Belegschaft darüber informiert sein, was sie beim Auftreten bösartiger E-Mails oder bei verdächtigem Verhalten tun sollte. Es mag unwesentlich erscheinen, aber nur wenn die Belegschaft schon die ersten Anzeichen eines Vorfalls kennt, kann sie diese selbst identifizieren und rechtzeitig melden.

Fazit

Trotz des Schadens, den Lieferketten-Angriffe in der Vergangenheit angerichtet haben, konnten andere Unternehmen aus diesen Fehlern lernen und ihre Sicherheitssysteme verstärken. Bei einer Lieferketten muss jedes einzelne Glied der Kette sowohl für seine eigene Sicherheit sorgen, als auch für die der anderen beteiligten Parteien. Wenn Unternehmen mit Drittanbietern zusammenarbeiten, sollten sie sicherstellen, dass deren Sicherheitsvorkehrungen kompatibel sind und keine Lücken aufweisen, die zu Lateralbewegungen im Netz führen könnten. Letztendlich sind diese Angriffe zwar nicht so häufig wie „normale“ Ransomware-Angriffe, sie haben aber ein höheres Schadenspotenzial und oft schwerwiegende Folgen, weil die Ergebnisse nicht immer sofort sichtbar sind. Die Implementierung der richtigen Sicherheitslösungen und die Umsetzung von Best Practices stärken die Resilienz von Unternehmen und Mitarbeitenden – und senken so die Wahrscheinlichkeit eines erfolgreichen Lieferketten-Angriffs.

Etay Maor, Senior Director of Security Strategy bei Cato Networks