LogicMonitor: Schwaches Standardpasswort macht Kunden angreifbar

Standardpasswörter sind eine altbekannte Schwachstelle in der Welt der Informationstechnologie (IT). Nun hat diese Sicherheitslücke weitere Opfer gefordert: Kunden von LogicMonitor, einem Anbieter von Lösungen zur Überwachung der IT-Infrastruktur.

Laut dem Online-Nachrichtenportal TechCrunch berichtete einer der betroffenen Kunden, dass bei der Einrichtung seines LogicMonitor-Kontos lediglich ein schwaches, standardisiertes Passwort für alle Benutzerkonten des Unternehmens festgelegt wurde. Gleichzeitig war – entgegen dem gängigen Vorgehen – die Nutzung des Kennworts nicht zeitlich begrenzt. Für die Nutzer waren nachträgliche Änderungen somit nicht erforderlich. Das Unternehmen reagierte: Seit kurzem ist das Konfigurationspasswort 30 Tage lang gültig und muss bei der ersten Anmeldung geändert werden.

Die TechCrunch-Website berichtet außerdem von einem Kunden, den Mitarbeiter von LogicMonitor in einer E-Mail auf ein mögliches Sicherheitsproblem in Bezug auf den User Login sowie das Passwort hinwiesen. Dies könne dazu führen, dass seine von LogicMonitor überwachten Systeme Opfer von Ransomware-Angriffen werden. Eine andere Quelle gab an, sie wisse von einem Unternehmen, das mehr als 400 Systeme durch eine Ransomware-Attacke verloren hat. Der Grund: zu schwache Standardpasswörter.

Bisher hat LogicMonitor die Ransomware-Angriffe auf seine Kunden nicht bestätigt. Allerdings berichteten anonyme Quellen auf der Website BleepingComputer, dass Hacker „in Konten eingedrungen sind und in der Lage waren, lokale Benutzer zu erstellen und Ransomware zu installieren“. Dieselben Quellen erklärten, dass die Ransomware mithilfe von LogicMonitor-Collector-Sensoren zum Einsatz kam. Diese Sensoren überwachen nicht nur Benutzerinfrastrukturen, sondern besitzen auch Skripting-Funktionen.  

LogicMonitor bezeichnete die Situation als „Sicherheitsvorfall“, der lediglich eine kleine Anzahl von Kunden betraf. Das Unternehmen hat eigenen Angaben zufolge bereits Maßnahmen ergriffen, um die Auswirkungen zu mildern.

Wenige Tage vor Erscheinen der Presseberichte, informierte LogicMonitor auf seiner Firmen-Website über aktuelle interne Untersuchungen zu technischen Anomalien, die sich auf Kundenkonten auswirken könnten. Der Grund: Eine Gruppe von Benutzern im Osten und Westen der Vereinigten Staaten sowie im Westen der Europäischen Union hatte den Zugang zu ihren Portalen verloren. Später teilte das Unternehmen mit, dass die betroffenen Kundenportale wieder funktionsfähig seien und es an der Wiederherstellung der Zeitreihendaten arbeite. In einem späteren Bericht hieß es, das Problem sei nun behoben.

Meistgenutzte Technik

Cyberangriffe auf gültige Benutzerkonten sind die häufigste Angriffstechnik von Hackern und machen 54 % der erfolgreichen Versuche aus, so eine Untersuchung von CISA. Laut der US-Behörde für Cybersicherheit und Infrastruktur kann es sich dabei um Standard-Administratorkonten oder um Zugänge ehemaliger Mitarbeiter handeln, die nicht gelöscht wurden. Nicht-temporäre Passwörter bieten ebenfalls eine Angriffsfläche: Ändern Nutzer Standardkennwörter nicht, können böswillige Akteure nach Belieben Codes installieren und ausführen. Die folgende Abbildung veranschaulicht den Prozess, wie sich Hacker Zugriff auf gültige Konten verschaffen:

Cyberangriff auf ein gültiges Benutzerkonto aussieht." class="wp-image-12550" width="443" height="587" srcset="https://network-king.net/wp-content/uploads/2023/09/logicmonitor1.jpg 886w, https://network-king.net/wp-content/uploads/2023/09/logicmonitor1-226x300.jpg 226w, https://network-king.net/wp-content/uploads/2023/09/logicmonitor1-773x1024.jpg 773w, https://network-king.net/wp-content/uploads/2023/09/logicmonitor1-768x1018.jpg 768w" sizes="(max-width: 443px) 100vw, 443px">

Die CISA warnt davor, dass der Zugriff auf das Netzwerk eines Unternehmens nur der erste Schritt eines erfolgreichen Angriffs ist. Schädliche Akteure können in der Folge andere Techniken, wie beispielsweise die Ausweitung von Berechtigungen, für den Datendiebstahl einsetzen. Deshalb sollte die Hauptpriorität bei den Prozessen zur Sicherung von Netzwerkressourcen und Daten darin bestehen, den ersten unbefugten Zugriff zu verhindern.

Gemeinsame Nutzung und Wiederverwendung von Passwörtern

Auch die gemeinsame Nutzung von Passwörtern ist in den meisten Unternehmen zur Gewohnheit geworden. Das liegt zum Teil daran, dass viele Teams vielleicht nur eine oder zwei Lizenzen für eine Software oder einen Dienst besitzen, und daher dasselbe Passwort verwenden. Dies mag eine notwendige Praxis darstellen, aber sie muss sicher und verschlüsselt sein – wie eine Studie von LastPass erläutert.

Darüber hinaus ist der mehrfache Einsatz von Passwörtern immer noch ein weit verbreitetes Problem. Der LastPass-Bericht zeigt, dass Benutzer ein Passwort im Durchschnitt 13 Mal wiederverwenden. Dabei ist das Kennwort an sich nicht die Sicherheitslücke: Das Risiko ist, dass der Schaden sich vervielfachen kann, wenn ein für mehrere Konten verwendetes Passwort gestohlen wird.

Was ist das Problem mit schwachen Passwörtern?

Schwer zu glauben, aber: 88 % der bei erfolgreichen Angriffen ausgenutzten Passwörter bestanden aus zwölf Zeichen oder weniger. Zudem enthielten sie grundlegende Begriffe wie „password“, „admin“, „welcome“ und „p@ssw0rd“. Passwörter, die nur Kleinbuchstaben enthielten, waren die häufigste Zeichenkombination und machten 18,8 % der bei Angriffen verwendeten Passwörter aus. Dies geht aus dem jährlichen Bericht des Passwort-Managers Specops Software hervor. Die Basis der Analyse bildeten mehr als 800 Millionen entwendete Kennwörter.

Eine weitere Überraschung ist die Tatsache, dass 83 % der kompromittierten Passwörter die Anforderungen an Länge und Komplexität der Cybersicherheitsstandards erfüllten – einschließlich derer von NIST, PCI, ICO für GDPR (Datenschutzstandards), HITRUST für HIPAA (Patientendaten) und Cyber Essentials für NCSC.

„Dies zeigt, dass Unternehmen zwar bestrebt sind, bewährte Verfahren und Standards zu befolgen. Es muss aber noch mehr getan werden, um sicherzustellen, dass die Passwörter stark und einzigartig sind. Angesichts der Raffinesse der passwortbasierten Angriffe sind zusätzliche Sicherheitsmaßnahmen erforderlich, um den Zugang zu sensiblen Daten zu schützen“, erklärt Darren James, Produktmanager bei Specops Software.