Asus-Live-Update-Angriff: Asus hat Passwörter selbst auf GitHub veröffentlicht

Kurz nach dem Bekanntwerden der Malware in Asus Live Update, die über die eigenen Server von Asus an möglicherweise eine Million Nutzer verteilt wurde, werden weitere Details bekannt. Demnach haben Mitarbeiter von Asus selbst Passwörter auf GitHub veröffentlicht, die Angreifern Zugriff auf sensible Daten des Unternehmens gaben.

Mit einem Passwort sei es dem Entwickler und Hacker SchizoDuckie, wie er sich selbst bezeichnet und der die veröffentlichten Informationen auf GitHub bemerkte, möglich gewesen, auf einen E-Mail-Account zuzugreifen, den die Entwickler von Asus nutzen, um Vorabversionen von Anwendungen und Treibern zu verteilen. Der Sicherheitsforscher habe Asus bereits vor zwei Monaten darüber informiert, dass Mitarbeiter Passwörter im Code auf GitHub veröffentlichen. Die Passwörter sollen mindestens ein Jahr lang auf dem GitHub-Repository zugänglich gewesen sein, das einem Asus-Entwickler zugeordnet werden kann. Asus hat inzwischen alle Inhalte aus dem Repository gelöscht.

Zugriff auf das Netzwerk wahrscheinlich einfach möglich

In den Nachrichten, die bei neuen Builds automatisiert in dem Postfach der Entwickler eingingen, waren auch die genauen internen Netzwerkpfade enthalten, unter denen die Programme und Treiber abgelegt wurden. Um seine Aussagen zu belegen, hat der Entwickler nach dem Bekanntwerden der ShadowHammer-Malware im Asus Live Update und dessen Verbreitung über die Server und das eigene Update-System von Asus zahlreiche Screenshots hierzu an TechCrunch geschickt. Er selbst habe allerdings nicht versucht, anhand der ihm zugänglichen Daten weiter in das Netzwerk von Asus vorzudringen, wobei dies nach seiner Einschätzung wahrscheinlich jedoch einfach möglich gewesen sei. Beispielsweise über eine echt aussehende E-Mail über den kompromittierten E-Mail-Zugang an alle Empfänger mit einer Malware als Dateianhang, einen sogenannten Spear-Phishing-Angriff.

Asus war seit 2 Monaten informiert

Um den ShadowHammer-Angriff zu verhindern, kamen die Entdeckungen des Entwicklers zu spät, denn diese starteten bereits im Juni 2018. Da die Passwörter aber mindestens ein Jahr auf GitHub verfügbar waren, kann nicht ausgeschlossen werden, dass sich die Angreifer genau diese zu Nutze gemacht haben, um ihren Angriff zu starten. Sechs Tage, nachdem der Entwickler Asus über den unsicheren E-Mail-Account informiert hatte, sperrte Asus den Zugriff auf diesen. Und obwohl Asus seit Ende Januar 2019 von ShadowHammer wusste, erfolgte keine öffentliche Bekanntmachung, obgleich das Unternehmen in der nach Bekanntwerden veröffentlichten Stellungnahme behauptet, die wenigen betroffenen Personen direkt informiert zu haben.

Weitere Passwörter veröffentlicht

Dieser Vorfall war aber nicht der einzige, bei dem Entwickler von Asus Passwörter auf GitHub veröffentlicht haben sollen. Nach eigenen Angaben habe SchizoDuckie zwei weitere Accounts von Asus-Entwicklern auf GitHub entdeckt, die ebenfalls geheime Benutzernamen und Passwörter veröffentlichten. Nachdem TechCrunch Asus über diese beiden Vorfälle informiert hatte, wurden alle Informationen von beiden Accounts innerhalb eines Tages von GitHub gelöscht. Dennoch gab Asus gegenüber TechCrunch an, dass man den Wahrheitsgehalt der Aussagen nicht bestätigen könne. Asus untersuche jedoch aktiv alle Systeme, um jedes Risiko auszuschalten.

Viele andere Unternehmen betroffen

Die Problematik, dass Entwickler geheime Informationen auf GitHub preisgeben, betrifft indes nicht nur Asus. Erst vergangene Woche haben Sicherheitsforscher gezeigt, dass auf mehr als 100.000 öffentlichen Repos Passwörter oder andere geheime Informationen veröffentlicht werden. Prominentestes Beispiel ist dabei Uber, bei denen ein Entwickler aus Versehen Cloud-Schlüssel auf GitHub veröffentlicht hatte, der Zugriff auf 57 Millionen Nutzerdaten erlaubte. Uber musste daraufhin eine Strafe von 148 Millionen US-Dollar zahlen.