![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Ende 2019 und Anfang 2020 gab es auf Kliniken, Medizineinrichtungen und Beh\u00f6rden bzw. Kommunen in den USA erfolgreiche Ransomware-Angriffe. Jetzt liegen Details vor. Die F\u00e4lle sind ein Beispiel, wie Nachl\u00e4ssigkeit von Administratoren (Stichwort: Ungepatchte Pulse Secure VPN-Server) die Sicherheit von IT-Systemen beeinflusst. <\/p>\n
<\/p>\n
Mir stellte sich seinerzeit die Frage, wie das passieren konnte, dass binnen Tagen sehr viele Einrichtungen in US-Beh\u00f6rden, \u2013Kommunen und \u2013Gesundheitseinrichtungen per Ransomware gefallen wurden. In Deutschland waren Anfang 2020 ungepatchte NetScaler ADCs eine Ursache f\u00fcr Ransomware-Befall. Nun sind einige Details aus den F\u00e4llen in den USA bekannt geworden. Statt ungepatchter NetScaler ADCs waren es in den USA ungepatchte oder zu sp\u00e4t gepatchte Pulse Secure VPN-Server. Dazu ein kurzer R\u00fcckblick. <\/p>\n
Am 24. April 2019 wurden der CVE-2019-11510<\/a>-Eintrag ver\u00f6ffentlicht, der vor einer Schwachstelle in der Pulse Secure VPN-Server-Software Pulse Connect Secure (PCS) warnte. In den Software-Versionen vor 8.2R12.1, vor 8.3R7.1 und vor 9.0R3.4 gab es die Schwachstelle. Ein nicht authentifizierter Remote-Angreifer konnte den Servern eine speziell pr\u00e4parierte URI senden, um eine beliebige Dateien auszulesen und ggf. kritische Informationen wie Anmeldedaten abzurufen. <\/p>\n Fortinet ver\u00f6ffentlichte im April 2019 entsprechende Updates f\u00fcr seine Fortigate-Produkte, aber es passierte bei vielen Systemen zun\u00e4chst wenig. Ich hatte Ende August 2019 im Blog-Beitrag Angriffe auf ungepatchte Pulse Secure- und Fortinet SSL-VPNs<\/a> kurz \u00fcber die Schwachstelle CVE-2019-11510 in diesen Produkten berichtet. Zitat aus dem Artikel von August 2019:<\/p>\n Internet-Scans liefern mindestens 480.000 Fortinet Fortigate SSL VPN-Endpunkte, die mit dem Internet verbunden sind. Aktuell ist aber unklar, wie viele nicht gepatcht sind. Experten sagen jedoch, dass von den etwa 42.000 Pulse Secure SSL VPN-Endpunkten, die online erreichbar sind, mehr als 14.000 ungepatcht sind. Wie es aussieht, sind einige der gr\u00f6\u00dften Unternehmen, nationale Infrastrukturanbieter und Regierungsbeh\u00f6rden der Welt nach wie vor betroffen. Ich denke, wir werden also bald weitere Hacks und Leaks vermelden k\u00f6nnen.<\/p>\n<\/blockquote>\n \u00dcber die Schwachstelle besteht f\u00fcr Angreifer die M\u00f6glichkeit, private Schl\u00fcssel und Nutzerkennw\u00f6rter auszulesen. Die Hersteller hatten damals bereits seit April 2019 Aktualisierungen f\u00fcr die Schwachstellen freigegeben. Anfang September 2019 hatte ich im Blog-Beitrag Massen-Scan nach Pulse Secure VPN-Server<\/a> davor gewarnt, dass ein Massen-Scan im Internet nach nicht gepatchten Pulse Secure VPN-Servern (CVE-2019-11510) stattfinde. <\/p>\n Ich hatte es seinerzeit nicht im Blog, da mir die Geschichte nach den wiederholten Blog-Artikeln zur Schwachstelle schon zu abgelutscht erschien. Aber Tenable wies im Januar 2020 in diesem Beitrag<\/a> erneut darauf hin, dass Cyber-Kriminelle die Schwachstelle CVE-2019-11510 in nicht gepatchten Pulse Secure VPN-Servern ausnutzten, um die Sodinokibi Ransomware \u00fcber gestohlene Domain-Administratoren-Zugangsdaten zu verbreiten. <\/p>\n Und noch im Februar 2020 gab es hier im Blog den Beitrag Sicherheitssplitter (21. Feb. 2020)<\/a>, in dem ich berichtete, dass iranische Hacker ungepatchtes Pluse Secure VPN-Server \u00fcber die Schwachstelle CVE-2019-11510 angriffen, um dort Hintert\u00fcren zu hinterlassen. <\/p>\n Fassen wir zusammen: Es gab also seit April 2019 eine offizielle Warnung und einen Patch f\u00fcr die Schwachstelle. Seit August 2019 gab es vermehrt 'Einschl\u00e4ge' in IT-Systemen \u00fcber die bekannte Schwachstelle. Aber Administratoren sahen sich nicht veranlasst aktiv zu werden (m\u00f6glicherweise, weil sie als Dienstleister keinen Auftrag von betroffenen Firmen hatten). Also ein Fail mit Ansage. <\/p>\n \u00dcber den nachfolgenden Tweet ist mir die Geschichte am Wochenende wieder vor die F\u00fc\u00dfe gefallen. Hacker haben erfolgreich IT-Systeme von US-Krankenh\u00e4usern und Regierungsbeh\u00f6rden mit Ransomware infiziert. Es ist jetzt klar, warum die Serie von Ransomware-Angriffen auf die IT-Systeme von US-Einrichtungen erfolgreich war. <\/p>\n U.S. hospitals and government entities were ransomed by threat actors using Active Directory credentials that were stolen months after exploiting Pulse Secure VPN servers unpatched against the CVE-2019-11510 pre-auth RCE vulnerability – by @serghei<\/a>https:\/\/t.co\/tNgOEsepjG<\/a><\/p>\n \u2014 BleepingComputer (@BleepinComputer) April 18, 2020<\/a><\/p><\/blockquote>\n\n
Die Keule f\u00fcr US-IT-Systeme<\/h2>\n
\n