Im Sommer 2021 fiel der angesehene Hardware-Produzent Gigabyte einem erheblichen Ransomware-Angriff zum Opfer, dessen Auswirkungen bis zum heutigen Tag zu spüren sind. In diesem Artikel beleuchten wir die Umstände dieses Angriffs, werfen einen Blick auf die freigegebenen Daten und diskutieren die daraus entstandenen Sicherheitsprobleme.
Inhaltsverzeichnis
Was ist Ransomware?
Ransomware ist eine Kategorie der schädigenden Software, auch Malware genannt, die konzipiert ist, um Zugriffsrechte auf ein Computersystem oder die darin abgelegten Daten zu sperren oder zu kodieren. Die Angreifer:innen fordern im Anschluss ein Lösegeld von den betroffenen Nutzer:innen, um den Zugriff wiederherzustellen oder die Daten zu dekodieren. Es existieren diverse Verbreitungsmethoden für Ransomware, wie infizierte E-Mail-Anhänge, unechte Downloads, irreführende Webseiten oder sogar durch die Ausnutzung von Software-Schwachstellen.
Welcher Angriff auf Gigabyte?
Im Laufe des Hacks vor zwei Jahren gelang es Kriminellen, in das Netzwerk von Gigabyte einzudringen und bemerkenswerterweise die Kontrolle über 112 Gigabyte an unterschiedlichen Daten zu erlangen. Nach dem Einbruch versuchten die Eindringlinge, das Unternehmen durch Drohungen zur Herausgabe von Geld zu bewegen, indem sie mit der Veröffentlichung der entwendeten Daten drohten. Unter den offengelegten Informationen befanden sich auch Quellcodes von Partnerfirmen, deren Komponenten in den Hauptplatinen von Gigabyte zum Einsatz kamen.
Was für eine Firma ist Gigabyte?
Die GIGABYTE Technology Co., Ltd. ist eine Firma aus Taiwan, die auf die Produktion von Computerhardware ausgerichtet ist. Sie wurde im Jahr 1986 ins Leben gerufen und hat sich seither zu einem der renommiertesten und umfangreichsten Zulieferer für Computerbauteile und Peripheriegeräte entwickelt, mit einem globalen Vertriebsnetzwerk.
Welche Folgen zog der Ransomware-Angriff nach sich?
Die Spezialist:innen des Sicherheitsunternehmens Eclypsium haben Sicherheitslücken aufgedeckt, die Berichten zufolge seit Jahren von den zuständigen IT-Experten von Gigabyte nicht behoben wurden. Diese können von lokalen oder entfernten Angreifer:innen, die Zugriff auf Redfish haben, einer weit verbreiteten Schnittstelle für die Fernverwaltung, genutzt werden, um schädliche Malware auszuführen, die auf jedem Server in einem Rechenzentrum läuft.
Die Sicherheitsexpert:innen warnen davor, dass der Datenbruch möglicherweise bedeutende Zero-Day-Schwachstellen zum Vorschein gebracht hat. Besonders beunruhigend sind die Sicherheitslücken in der von AMI bereitgestellten Firmware des Baseboard Management Controllers (BMC), einem Element des Hauptplatinen-Systems. BMCs, kleine Computer, die in Serverplatinen integriert sind, ermöglichen die Fernsteuerung von umfangreichen Computerbeständen. Die durchgesickerten Informationen weisen auf Schwachstellen in dieser Firmware hin, die von Angreifer:innen ausgenutzt werden könnten.
Welche Systeme sind vom Angriff betroffen?
Momentan sind weltweit Millionen von Computern durch den Ransomware-Angriff auf Gigabyte potenziell gefährdet. Jedes System, das Hardware des Herstellers Gigabyte integriert, könnte bedroht sein. Expert:innen weisen darauf hin, dass die identifizierten Sicherheitslücken in der Firmware des BMCs von Angreifer:innen genutzt werden könnten, um schadhaften Code auszuführen. Diese Lücken könnten ausgenutzt werden, um sich unrechtmäßigen Zugang zu Servern mit Superuser-Berechtigungen zu verschaffen, was verheerende Konsequenzen für die betroffenen Systeme mit sich bringen könnte.
Welche genauen Schwachstellen wurden aufgedeckt?
Mittlerweile konnte festgelegt werden, welche Schwachstellen genau betroffen sind. Es handelt sich um:
- CVE-2023-34329, eine Authentifizierungsumgehung über HTTP-Header mit einem Schweregrad von 9,9 von 10.
- CVE-2023-34330, Code-Injektion über eine Dynamic Redfish Extension. Der Schweregrad liegt bei 8,2 von 10.
Glücklicherweise hat AMI zwischenzeitlich Firmware-Aktualisierungen bereitgestellt, um die festgestellten BMC-Sicherheitslücken zu schließen. Diese Aktualisierungen sind dringend notwendig, um die Lücken zu schließen und die Angriffsflächen zu reduzieren. Die umfassende Bereitstellung und Anwendung dieser Updates auf allen betroffenen Systemen kann allerdings einige Zeit in Anspruch nehmen. In der Zwischenzeit könnten immer noch Millionen von Servern und Systemen attackiert werden.
Bis dahin bleibt die Situation besorgniserregend und erfordert Ihre erhöhte Wachsamkeit als Unternehmer:innen und Organisationen, um mögliche Angriffe abzuwehren und Ihre Systeme zu schützen.
Mehr Sicherheit mit Smart Lens
Der Ransomware-Angriff auf den Hardware-Hersteller Gigabyte, hat umfassende Konsequenzen für die IT-Sicherheit weltweit nach sich gezogen. Dank der entwendeten Daten und der damit einhergehenden Schwachstellen in der BMC-Firmware könnten Angreifer:innen in der Lage sein, schädlichen Code auszuführen und ohne Berechtigung auf gefährdete Server zuzugreifen.
Dies verdeutlicht uns erneut, welche enormen Dimensionen solche Angriffe einnehmen können und wie unerlässlich es ist, Ihr Unternehmen angemessen zu schützen. Jede Sicherheitslücke in Ihrem IT-System erhöht das Risiko, Ziel eines Cyberangriffs zu werden.
Mit unserem innovativen Smart Lens Penetration-Testing-Werkzeug sind wir in der Lage, mögliche Schwachstellen in Ihrem Netzwerk zu identifizieren, bevor potenzielle Angreifer:innen die Gelegenheit haben, diese zu ihrem Vorteil zu nutzen. Wir freuen uns auf Ihre Anfrage!
Beitragsbild: © Shutterstock, Mashka
