​​Die Kompromittierung von ArcGIS Server SOE – eine Zusammenfassung​ 

​​In diesem Beitrag finden Sie eine Zusammenfassung der Kompromittierung sowie Maßnahmen, mit denen sichergestellt wird, dass der Betrieb weiterhin reibungslos funktioniert.

Der Sicherheitsanbieter Reliaquest veröffentlichte am 14.10.2025 eine Zusammenfassung darüber, wie eine ArcGIS Server-Erweiterung von einem böswilligen Akteur erstellt wurde, um nach einer initialen Kompromittierung über andere Mechanismen eine anhaltende Persistenz zu erreichen. 

Das Incident Response Team von Esri arbeitete sowohl mit dem Kunden als auch mit dem Sicherheitsanbieter zusammen, um die Untersuchungen dazu zu unterstützen. In der ursprünglichen Zusammenfassung von Reliaquest war fälschlicherweise darauf hingewiesen worden, dass Aktualisierungen der Dokumentation von Esri erforderlich seien; nun stellt Reliaquest klar, dass sie Esri Kund:innen die bestehenden Best Practices für die Sicherheit empfehlen.

Esri empfiehlt dazu besonders den ArcGIS Enterprise Hardening Guide, einen detaillierten Leitfaden mit Sicherheitsempfehlungen und Checklisten für alle ArcGIS Enterprise-Produktionsbereitstellungen, der regelmäßig aktualisiert wird.

Unter welchen Umständen kann die Kompromittierung auftreten?  

1. Die ArcGIS Server Manager-Schnittstelle des Kunden war für den allgemeinen Internetzugang freigegeben. Alle Kund:innen sollten den Zugriff auf Verwaltungsschnittstellen durch Internetnutzende einschränken. Wie in den Best Practices von Esri festgehalten, sollten Verwaltungsschnittstellen generell nicht für das Internet freigegeben werden.  
2. Es wurde keine Multi-Faktor-Authentifizierung (MFA) durch den Kunden verwendet. Wie in den Best Practices von Esri erläutert, sollten Verwaltungsschnittstellen niemals freigegeben sein und für Nutzendenkonten bei allen Kund:innen sollte generell eine Multi-Faktor-Authentifizierung verwendet werden.  
3. Obwohl keine Protokolle aus der Zeit vor der Kompromittierung verfügbar waren, führten die oben genannten Probleme bei diesem Kunden wahrscheinlich dazu, dass der böswillige Akteur als Administrator für das ArcGIS Enterprise-System eine benutzungsdefinierte Server Object Extension (SOE) bereitstellen konnte. Die SOE war NICHT die ursprüngliche Quelle der Kompromittierung, sondern wurde als Gateway für die Weitergabe von Informationen und für die Aufrechterhaltung der Persistenz im System genutzt. Alle Kund:innen sollten die Sicherheit ihrer Server-Bereitstellung regelmäßig überprüfen, wie in den Best Practices von Esri beschrieben. Dazu gehört auch, sicherzustellen, dass keine unerwarteten Erweiterungen/Plug-ins installiert sind.
4. Darüber hinaus wurden die Berechtigungen des ArcGIS Server-Serviceskontos auf volle Administrator-/Root-Berechtigungen erhöht, was von diesem Kunden im Rahmen der Fehlerbehebung eines anderen Problems implementiert worden war. Diese Berechtigungen wurden aber im Anschluss an die Fehlerbehebung NICHT wieder auf die Standardeinstellungen/Best Practices zurückgesetzt. Die Server Object Extension wäre also fehlgeschlagen, wenn diese Berechtigungen, die abseits der Standardeinstellungen/Best Practices lagen, nicht eingerichtet worden wären.

Die Verwendung der Server Object Extension insbesondere zur Weiterleitung von Datenverkehr und als Persistenzmechanismus ist neuartig, jedoch hätte die Umsetzung von Best Practices für die Sicherheit dieses Problem verhindert. Wenn Ihnen einige der oben genannten Umstände aus Ihrer Organisation bekannt vorkommen, sollten Sie unverzüglich die Empfehlungen aus dem ArcGIS Enterprise Hardening Guide umsetzen. Darüber hinaus empfiehlt Esri dringend, eine Web Application Firewall (WAF) zu installieren, um solche Risiken weiter zu minimieren und das Bewusstsein für Cyberangriffe zu schärfen. Dies war ebenfalls eine Komponente, die in der Server-Bereitstellung des Kunden fehlte.

Fragen & Antworten  

1. Welche Produkte waren betroffen?
   • Nur ArcGIS Server (nicht ArcGIS Online)  
2. Wie kann ich ArcGIS Server Management-Schnittstellen aus dem Internet blockieren?
   • Je nach Produktversion stehen verschiedene Optionen zur Verfügung. Der einfachste Mechanismus ist jedoch die Implementierung der Regeln aus dem Dokument ArcGIS Enterprise Web Application Filter Rules.  
3. Gab es Hinweise darauf, dass es sich um eine chinesische APT-Gruppe (APT: Advanced Persistent Threat) wie etwa Flax Typhoon handelte?  
   • Nein. Reliaquest hat über die im Bericht enthaltenen Informationen hinaus keine weiteren Beweise dafür vorgelegt, dass es sich um eine chinesische APT-Gruppe handelte. Ohne weitere Beweise handelt es sich hierbei um Spekulation.
4. Wurde der ArcGIS Server Feature Services-Sicherheitspatch aufgrund dieses Vorfalls ausgerollt?  
   • Nein. Es wurden keine Patches aufgrund der bei diesem Vorfall festgestellten Probleme veröffentlicht. Diese Art von Vorfall lässt sich nur verhindern, wenn die Best Practices von Esri zum Thema Sicherheit vollständig umgesetzt sind. Dennoch empfiehlt Esri stets, Sicherheitspatches spätestens innerhalb von 30 Tagen nach deren Veröffentlichung zu installieren.