Ich nehme alles zurück und behaupte das Gegenteil. Gerade ist mir eine Warnung des Bundesamts für Sicherheit in der Informationstechnik (BSI) unter die Augen gekommen, indem vor einer Schwachstelle in Check Point Security Gateways gewarnt wird. Blog-Leser waren über diese Schwachstelle informiert. Aber es gibt den Verdacht, dass genau diese Schwachstelle der CDU beim Cyberangriff, der zum Wochenende bekannt wurde, zum Verhängnis wurde.
Anzeige
Die Schwachstelle CVE-2024-24919
In Check Point Remote Access VPN gibt es eine Schwachstelle CVE-2024-24919 (CVSS v3.1 Score 8.6 von 10), die es einem Angreifer ermöglicht, bestimmte Informationen auf Check Point Security Gateways zu lesen, wenn diese mit dem Internet verbunden und mit Remote Access VPN oder Mobile Access Software Blades aktiviert sind.
Ein Advisory sowie ein Sicherheitsfix für betroffene Produkte (CloudGuard Network, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways, Quantum Spark Appliances), der diese Schwachstelle entschärft, ist seit dem 26. Mai 2024 verfügbar (Check Point gibt aber nur Kunden entsprechende Informationen und das Update heraus). Im Advisory gibt Check Point auch ein Script an, um eine Liste der Security Gateways/Cluster anzuzeigen, die IPSec VPN, Remote Access VPN oder Mobile Access Blade aktiviert haben. Ergänzung: Es gibt diesen Beitrag vom 30. Mai 2024, der weitere Details zur Schwachstelle verrät.
Die Schwachstelle wird von Angreifern seit Ende April 2024 ausgenutzt. Diese stehlen Active Directory-Daten, um Zugriffe auf Netzwerke der Opfer zu erhalten und sich im Netzwerk weiter umzusehen. Scheint aber alles nicht wirklich von Interesse für die Leserschaft zu sein, denn der Beitrag Check Point Remote VPN Sicherheitsupdate für CVE-2024-24919 wurde "äußerst spärlich" abgerufen.
BSI-Warnung vor CVE-2024-24919
Das Bundesamts für Sicherheit in der Informationstechnik (BSI) warnt in einer Mitteilung Check Point Security Gateways: Abfluss von Zugangsdaten möglich vom 3. Juni 2024 vor der Schwachstelle CVE-2024-24919. Ich bin über nachfolgenden Tweet auf diesen Sachverhalt gestoßen.
Anzeige
Das BSI-Dokument hier enthält weitere Informationen rund um diesen Themenkomplex.
Phishing und CVE-2024-24919 als CDU-Killer?
Und an dieser Stelle wird es nun echt interessant. Im Blog-Beitrag Cyberangriff auf das CDU-Netzwerk hatte ich über den am Wochenende bekannt gewordenen Cyberangriff berichtet. Dort hatte ich mich auch darüber mokiert, dass außer Binsen und Worthülsen (Staatschutz ermittelt, Innenministerin telefoniert mit Merz, die über diesen "schwerwiegenden Cyberangriff", alle Schutzmaßnahmen gegen digitale und hybride Bedrohungen wurden hochgefahren etc.) nicht genaues verraten wurde.
Nun berichtet heise, unter Berufung auf Insider, im Artikel CDU-Angriff: Lücke in Check Point Gateway soll Einfallstor gewesen sein, was wohl wirklich Sache war. Mit der Formulierung "der bekanntgewordene Cyber-Angriff auf die CDU-Parteizentrale erfolgte laut gut unterrichteten Kreisen unter Ausnutzung einer Schwachstelle in Check Point Network Security Gateway". Das Ganze soll in Kombination mit einem Phishing-Angriff, so ein Insider, dann ausgenutzt worden sein.
(Möglicherweise) muss ich ja alles zurücknehmen, oder doch nicht?
Das ist der Punkt, wie ich vorsichtshalber schreibe "ich nehme alles zurück und behaupte das Gegenteil". Sofern obige Inside-Information zutrifft, ist meine im Blog-Beitrag Cyberangriff auf das CDU-Netzwerk geäußerte Vermutung, dass ranzige Software die Ursache war, möglicherweise unzutreffend. Ich schreibe "möglicherweise", weil die spannende Frage lautet: Wann fand der Angriff auf das CDU-Netzwerk statt. Sofern das vor dem 27. Mai 2024 der Fall war, wäre eine 0-Day-Schwachstelle ausgenutzt worden. Erfolgte der Angriff aber nach dem 27. Mai 2027, wäre eine "ranzige" (weil nicht upgedatete) Schwachstelle das Einfallstor.
Und es gibt noch eine "ranzige" Stelle, die mir ins Auge gesprungen ist. So ganz spontan geht mir bei den Begriffen Schwachstelle in Check Point Security Gateway (Check Point Remote Access VPN) in Kombination mit einem Phishing-Angriff die Frage: "Wer hat das abgesichert?" durch den Kopf. Denn der oben skizzierte Angriff funktioniert imho nur bei einer Authentifizierung mittels Benutzername und Kennwort. Dazu aus dem Check Point-Beitrag Important Security Update – Stay Protected Against VPN Information Disclosure (CVE-2024-24919)
The vulnerability potentially allows an attacker to read certain information on Internet-connected Gateways with remote access VPN or mobile access enabled. The attempts we've seen so far, as previously alerted on May 27, focus on remote access scenarios with old local accounts with unrecommended password-only authentication.
Nur so erkläre ich mir, dass ein Phishing-Angriff dazu führte, dass das Opfer seiner Anmeldedaten (Nutzername und Passwort) verlustig wurde. Dann konnte der Angreifer diesen Zugang nutzen, um über die oben genannte Schwachstelle CVE-2024-24919 Active Directory-Daten abzurufen und so Zugriff auf das Netzwerk der CDU zu erhalten und sich dort weiter umzusehen.
Ein über MFA oder Zertifikate abgesicherter Zugang hätte sich eher nicht durch die Angreifer ausnutzen lassen – so jedenfalls meine Lesart der obigen Aussage – aber ich mag mich irren. Und wenn ich postuliere, dass Parteien seit Jahren im Fokus staatlicher Angreifer stehen, hätte dass zur Absicherung umgesetzt werden müssen. Ich glaube, ich denke nochmals drüber nach, ob ich wirklich alles zu "ranziger" IT im CDU-Fall zurück nehmen muss.
Geheimniskrämerei geht weiter
Im Blog-Beitrag Cyberangriff auf das CDU-Netzwerk hatte ich auch deutlich mein Missfallen über die Schwurbelei von CDU und BSI ausgedrückt. Man verspricht zwar Unterrichtung und will auch warnen. Aber es kommen nur Buzzwords, bis heute ist weder klar, was genau passiert ist, noch wann es entdeckt wurde (dass das "wie es entdeckt wurde" ans Licht kommt, wage ich gar nicht zu hoffen – ermittlungstaktische Gründe und so, wisst ihr schon). Auch bei heise im Beitrag lese ich "Die CDU äußerte sich auf Anfrage von heise online am Montag nicht zum Stand der Untersuchung." und "Auch das Bundesamt für Verfassungsschutz, das einbezogen wurde, äußert sich vorerst nicht weiter zum Geschehen.".
Daher kann ich mir die Spitze "Das ist Cybersecurity in Deutschland im Jahr 2024" nicht verkneifen. Das kannst Du einfach nix machen, wenn ausgebuffte Angreifer mit extrem krimineller Energie oder gar staatlich unterstützte Akteure an die Türe klopfen und Cyber rufen.
Ähnliche Artikel:
WebEx, die Schwachstelle und die Konferenzlinks der Bundeswehr
Cyberspionage: CDU betreibt veralteten Nextcloud-Server; Offener Jitsi-Server der Grünen
Cyberspionage: CDUCDU erneut gerettet – deren NextCloud-Server ist wieder online
Rückblick: Cybervorfälle der letzten Tage (6. Mai 2024)
Cyberangriff auf das CDU-Netzwerk
Anzeige
Ich frage mich gerade, ob es sinnvoll ist, diese "Firewalls / Remote Access VPN Systeme" mit einem AD zu verbinden. Auf der einen Seite ist das dann für die Anwender immer "easy-going" beim einwählen, auf der anderen Seite kann es Tür und Tor öffnen für die unerwünschten Gäste, wenn es "ranzig" ist.
Was das "äußerst spärlich" aufrufen des CheckPoint Beitrages betrifft – die setzt halt auch nicht jeder ein – man hat ja die Wahl was die Tor(e) zum I*Net beschützt oder auch nicht.
Klar kein Problem, aber man sollte MFA dazuschalten, ansonsten macht es keinen Sinn.
Jetzt werden so langsam die Auswirkungen der nicht (oder nur wenig) ausgeprägten Grundlagen und Entwicklungen in IT und/oder EDV innerhalb der letzten 30 Jahre in Deutschland sichtbar und demnächst auch spürbar!
Aber CLOUD und "KI" werden es schon richten…
Angeblich soll ein Directory Transversal auf der Firewall möglich gewesen sein, die dann den Weg ins lokale Netz geöffnet hat.(/etc/shadow gibt Admin Account Hash)
Das ist ja auch ein total neues professionelles Verfahren.
was macht Check Point heute eigentlich beruflich?
Ich kenne sie nur im Zusammenhang mit der FW1…
> was macht Check Point heute eigentlich beruflich?
U.a. Backdoors einbauen?
Produkthaftung.
Man sollte die Hersteller zur Produkthaftung hernehmen die so viel Geld jedes Jahr absahnen. Vielleicht bauen sie dann mal bessere Firewalls und nicht nur aufgeblaehte Ueberwachungsapparate fuer die Firmen.
Ich hätte da mal eine sehr grundsätzliche Frage:
Warum ist es eigentlich so, dass bei sehr vielen (sowohl kommerziellen als auch OS) Produkten der VPN-Endpunkt auf der Firewall liegt? Kann ein Angreifer den VPN-Prozess hoppsnehmen, hat er so auch gleich die Firewall – und damit praktisch vollen Zugang überall hin.
Ich würde den VPN-Endpunkt auf eine eigene Hardware in einer eigenen DMZ legen. Eine feindliche Übernahme des Endpunktes ist dann nur die Einnahme der 'VPN-Insel', danach kommt man nur dorthin, wohin es die Firewall zulässt (z.B. einen Terminalserver), dessen Sicherheit man dann ebenso erstmal knacken muss.
Vermutlich erscheinen solche Eierlegenden-Woll-Milch-Sau-Firewall extrem Attraktiv, dem Chef.
Nur einmal zahlen und man hat alles aus einer Hand.
Im Falle des Falles hat man auch einen zu greifen und keine kann die Schuld auf den anderen Schieben.
DMZ, mehrere, gar physikalisch getrennt?
Mehrere Appliances unterschiedlicher Hersteller?
MFA?
Wer macht heute denn noch so etwas?
Paranoide?
Wir haben doch diese sauteuer Firewall Appliance.
WIR sind sicher!
Es sind immer die Anderen.
(ich weiß jetzt nicht ob Sarkasmus angebracht ist,denn eigentlich ist das ja tief traurig.)
Ich kann mich an einen Kunden erinnern, der ganz entrüstet geschaut hat, als ich ihm gesagt hatte, CP macht kein Dial-Up VPN nur mit einem PSK. Da muß schon ein Zertifikat her. Kunde hat eine VPN Lösung etabliert, die es mit PSK machte.
Selber schuld, die Erste.
Ein Remote Access nur mit Usernamen und Passwort absichern, ist es, die Haustür mit einem Schlüssel von der Klo-Tür abzusichern.
Selber schuld, die Zweite.
Gerade auch mitbekommen das es immer noch Exchange Server für OWA mit Usernamen und PWD im Internet hängen.
Selber schuld, die Dritte.
Es ist zwar ärgerlich, daß diesmal CP in die Schüssel gegriffen hatte. Aber eine ordentlich umgesetzte Zugriffspolicy sowie Updateverhalten hätten da so manchen Ärger erspart und die Ausnutzung der Lücke wäre ins Leere gelaufen.
ich muß schlechten Umgang haben.
Ich habe noch kein VPN gesehen das ohne MFA eingerichtet war.
Gibt's so etwas wirklich?