Ransomware-Befall in US-Einrichtungen durch Schlamperei

Ende 2019 und Anfang 2020 gab es auf Kliniken, Medizineinrichtungen und Behörden bzw. Kommunen in den USA erfolgreiche Ransomware-Angriffe. Jetzt liegen Details vor. Die Fälle sind ein Beispiel, wie Nachlässigkeit von Administratoren (Stichwort: Ungepatchte Pulse Secure VPN-Server) die Sicherheit von IT-Systemen beeinflusst.


Anzeige

Mir stellte sich seinerzeit die Frage, wie das passieren konnte, dass binnen Tagen sehr viele Einrichtungen in US-Behörden, –Kommunen und –Gesundheitseinrichtungen per Ransomware gefallen wurden. In Deutschland waren Anfang 2020 ungepatchte NetScaler ADCs eine Ursache für Ransomware-Befall. Nun sind einige Details aus den Fällen in den USA bekannt geworden. Statt ungepatchter NetScaler ADCs waren es in den USA ungepatchte oder zu spät gepatchte Pulse Secure VPN-Server. Dazu ein kurzer Rückblick.

Ungepatchte Pulse Secure VPN-Server

Am 24. April 2019 wurden der CVE-2019-11510-Eintrag veröffentlicht, der vor einer Schwachstelle in der Pulse Secure VPN-Server-Software Pulse Connect Secure (PCS) warnte. In den Software-Versionen vor 8.2R12.1, vor 8.3R7.1 und vor 9.0R3.4 gab es die Schwachstelle. Ein nicht authentifizierter Remote-Angreifer konnte den Servern eine speziell präparierte URI senden, um eine beliebige Dateien auszulesen und ggf. kritische Informationen wie Anmeldedaten abzurufen.

Fortinet veröffentlichte im April 2019 entsprechende Updates für seine Fortigate-Produkte, aber es passierte bei vielen Systemen zunächst wenig. Ich hatte Ende August 2019 im Blog-Beitrag Angriffe auf ungepatchte Pulse Secure- und Fortinet SSL-VPNs kurz über die Schwachstelle CVE-2019-11510 in diesen Produkten berichtet. Zitat aus dem Artikel von August 2019:

Internet-Scans liefern mindestens 480.000 Fortinet Fortigate SSL VPN-Endpunkte, die mit dem Internet verbunden sind. Aktuell ist aber unklar, wie viele nicht gepatcht sind. Experten sagen jedoch, dass von den etwa 42.000 Pulse Secure SSL VPN-Endpunkten, die online erreichbar sind, mehr als 14.000 ungepatcht sind. Wie es aussieht, sind einige der größten Unternehmen, nationale Infrastrukturanbieter und Regierungsbehörden der Welt nach wie vor betroffen. Ich denke, wir werden also bald weitere Hacks und Leaks vermelden können.

Über die Schwachstelle besteht für Angreifer die Möglichkeit, private Schlüssel und Nutzerkennwörter auszulesen. Die Hersteller hatten damals bereits seit April 2019 Aktualisierungen für die Schwachstellen freigegeben. Anfang September 2019 hatte ich im Blog-Beitrag Massen-Scan nach Pulse Secure VPN-Server davor gewarnt, dass ein Massen-Scan im Internet nach nicht gepatchten Pulse Secure VPN-Servern (CVE-2019-11510) stattfinde.


Anzeige

Ich hatte es seinerzeit nicht im Blog, da mir die Geschichte nach den wiederholten Blog-Artikeln zur Schwachstelle schon zu abgelutscht erschien. Aber Tenable wies im Januar 2020 in diesem Beitrag erneut darauf hin, dass Cyber-Kriminelle die Schwachstelle CVE-2019-11510 in nicht gepatchten Pulse Secure VPN-Servern ausnutzten, um die Sodinokibi Ransomware über gestohlene Domain-Administratoren-Zugangsdaten zu verbreiten.

Und noch im Februar 2020 gab es hier im Blog den Beitrag Sicherheitssplitter (21. Feb. 2020), in dem ich berichtete, dass iranische Hacker ungepatchtes Pluse Secure VPN-Server über die Schwachstelle CVE-2019-11510 angriffen, um dort Hintertüren zu hinterlassen.

Fassen wir zusammen: Es gab also seit April 2019 eine offizielle Warnung und einen Patch für die Schwachstelle. Seit August 2019 gab es vermehrt 'Einschläge' in IT-Systemen über die bekannte Schwachstelle. Aber Administratoren sahen sich nicht veranlasst aktiv zu werden (möglicherweise, weil sie als Dienstleister keinen Auftrag von betroffenen Firmen hatten). Also ein Fail mit Ansage.

Die Keule für US-IT-Systeme

Über den nachfolgenden Tweet ist mir die Geschichte am Wochenende wieder vor die Füße gefallen. Hacker haben erfolgreich IT-Systeme von US-Krankenhäusern und Regierungsbehörden mit Ransomware infiziert. Es ist jetzt klar, warum die Serie von Ransomware-Angriffen auf die IT-Systeme von US-Einrichtungen erfolgreich war. 

Der Angriff wurde möglich, weil Active Directory-Berechtigungsnachweise zur Verbreitung genutzt werden konnte. Diese Zugangsdaten waren Monate vor dem Angriff, und lange nachdem ein Patch des Herstellers verfügbar war, durch Ausnutzung einer bekannten Pre-Auth Remote Code Execution (RCE)-Schwachstelle von den Pulse Secure VPN-Servern der betroffenen Einrichtungen gestohlen worden.

Sicherheitsbehörden in den USA, Kanada und anderen Ländern warnten IT-Administratoren seit Oktober 2019 fortlaufend vor dieser Schwachstelle. Das FBI gab zudem im Januar 2020 in einer Blitz-Sicherheitswarnung bekannt, dass staatlich geförderte Hacker in die Netzwerke einer US-Kommune und eines -Finanzunternehmens eingedrungen seien, nachdem sie anfällige Pulse Secure VPN-Geräte ausgenutzt hätten.

Trotz all dieser Warnungen musste der CISA vorige Woche eine weitere Warnung herausgeben. In der Warnung wurden Organisationen dringend aufgefordert, unverzüglich einen Patch für CVE-2019-11510 auf Pluse Secure VPN-Server zu installieren. Nur so wird Angreifern die Möglichkeit genommen, die Administrator-Zugangsdaten für Domänen Controller von den Servern zu stehlen.

Unvollständige Warnungen

Was ich aber in keiner dieser frühen Warnungen bewusst gelesen habe: Einen Hinweis, die Zugangsdaten für Domänen-Controller-Administratoren vorsorglich zu ändern. Denn selbst bei Installation des Sicherheitspatches bleibt die Maßnahme nutzlos, wenn die Zugangsdaten vorher bereits abgezogen und seit dem nicht mehr geändert wurden.

Und so konnten Cyber-Kriminelle mehrere US-Kliniken und –Behörden bzw. Stadtverwaltungen mit Ransomware infizieren. Ein Akteur fiel Sicherheitskreisen zudem auf, weil er "nach 30 erfolglosen Versuchen, über die gestohlenen Zugangsdaten eine Verbindung zu den IT-Systemen aufzubauen', die gestohlenen Zugangsdaten zu verkaufen versuchte. Idee war wohl, eine Remote Privilege Escalation-Schwachstelle für weitere Angriffe zu verwenden. Zudem wurden Versuche beobachtet, dass die Angreifer Tools wie TeamViewer und LogMeIn als improvisierte Hintertüren einsetzten. Ziel war, nach einem Rauswurf über die Schwachstellen weiterhin auf die Systeme zugreifen zu können.

Ein CISA-Analyse-Tool

Inzwischen gibt es vom US-CERT eine dedizierte Warnung (siehe folgender Tweet), die darauf hinweist, dass ein Patch der Pulse Secure VPN-Server gegen CVE-2019-11510 nicht ausreicht.

Wurde das System vor dem Patch kompromittiert, sind weitere Maßnahmen, die hier beschrieben sind, erforderlich. Es gibt ein von CISA entwickeltes Tool, mit dem man an Hand der Log-Dateien prüfen kann, ob die Systeme bereits kompromittiert wurden. Weitere Details sind den verlinkten Artikeln zu entnehmen.


Anzeige

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.