{"id":257327,"date":"2021-09-05T08:51:10","date_gmt":"2021-09-05T06:51:10","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=257327"},"modified":"2023-04-15T22:04:55","modified_gmt":"2023-04-15T20:04:55","slug":"it-sicherheit-achillesverse-ssl-vpn-schwachstellen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/09\/05\/it-sicherheit-achillesverse-ssl-vpn-schwachstellen\/","title":{"rendered":"IT-Sicherheit: Achillesferse SSL-VPN-Schwachstellen"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" \/>Im Beitrag <a href=\"https:\/\/borncity.com\/blog\/2021\/09\/03\/warten-auf-openssl-patches-qnap-synology-acronis-co\/\">Warten auf OpenSSL-Patches: Qnap, Synology, Acronis &amp; Co.<\/a> hatte ich auf eine k\u00fcrzlich entdeckte und geschlossene kritische Schwachstelle in OpenSSL hingewiesen, die sich auf viele Software-Produkte auswirkt. Es m\u00fcsste gepatcht werden, was das Zeug h\u00e4lt &#8211; aber die Updates sind nicht verf\u00fcgbar. Von Sicherheitsanbieter Tenable ist mir zuf\u00e4llig ein Text zugegangen, der sich damit befasst, dass SSL-VPN-Schwachstellen zur Achillesferse der IT-Sicherheit werden. Im Text erl\u00e4utert <a href=\"https:\/\/de.tenable.com\/\" target=\"_blank\" rel=\"nofollow noopener\">Tenable<\/a>, warum Unternehmen dem Patchen von SSL-VPNs Vorrang einr\u00e4umen m\u00fcssen.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/7b23c92ba9c24f8587c7aa2c6d0705b7\" alt=\"\" width=\"1\" height=\"1\" \/>Es ist ein gravierendes Problem: Der aufkommende Trend zu mehr mobilem Arbeiten bzw. Home Office wurde durch die Coronavirus-Pandemie immens beschleunigt. Dadurch hat auch die Nutzung von VPN-Verbindungen immens zugenommen. Auch wenn vermehrt diskutiert wird, ob Zero Trust Networking-Konzepte dem VPN-Ansatz mittelfristig den Rang ablaufen werden, so bleibt VPN (und damit verbunden VPN-SSL) vorerst die L\u00f6sung der Wahl f\u00fcr sehr viele Unternehmen.<\/p>\n<p>Experten von Tenable haben herausgefunden, dass drei kritische SSL-VPN-Schwachstellen zu den am h\u00e4ufigsten ausgenutzten Schwachstellen von Advanced Persistent Threat (APT) und Ransomware-Gruppen geh\u00f6ren. Tenable stellt zudem fest, dass Sicherheitsl\u00fccken in SSL-VPN-Produkten zu den am h\u00e4ufigsten von Angreifern ausgenutzten Schwachstellen geh\u00f6ren, um sich Zugang zu Unternehmensnetzwerken zu verschaffen.<\/p>\n<p>Um diese verteilten Unternehmensnetzwerke zu sch\u00fctzen, m\u00fcssen IT-Teams sicherstellen, dass ihre SSL-VPN-Produkte vollst\u00e4ndig aktualisiert und richtig konfiguriert sind, damit Angreifer fernbleiben. Anfang des Jahres ver\u00f6ffentlichte das Tenable Security Response Team (SRT) seinen <a href=\"https:\/\/www.tenable.com\/blog\/tldr-the-tenable-research-2020-threat-landscape-retrospective\" target=\"_blank\" rel=\"noopener\">Threat Landscape Retrospective (TLR)<\/a> Report. Einer der dort erfassten Trends sind die bei Angreifern beliebten Secure Socket Layer (SSL)-Schwachstellen in Virtual Private Networks (VPNs).<\/p>\n<h2>Dem Patchen von SSL-VPNs Vorrang einr\u00e4umen<\/h2>\n<p>Der TLR-Report hob insbesondere die folgenden drei Schwachstellen in VPN-Produkten als Teil der f\u00fcnf gr\u00f6\u00dften Schwachstellen des Jahres hervor.<\/p>\n<ul>\n<li>CVE-2019-19781, von der der Citrix Application Delivery Controller (ADC), Gateway und SD-WAN WANOP betroffen sind.<\/li>\n<li>CVE-2019-11510, wovon Pulse Connect Secure SSL VPN betroffen ist.<\/li>\n<li>CVE-2018-13379, wovon Fortinet Fortigate SSL VPN betroffen ist.<\/li>\n<\/ul>\n<p>Obwohl alle drei Schwachstellen im Jahr 2019 bekannt gegeben und bis Januar 2020 gepatcht wurden, werden sie auch in der zweiten Jahresh\u00e4lfte 2021 noch routinem\u00e4\u00dfig ausgenutzt. Laut einem gemeinsamen <a href=\"https:\/\/us-cert.cisa.gov\/ncas\/alerts\/aa21-209a\" target=\"_blank\" rel=\"noopener\">Cybersecurity Advisory<\/a> von vier internationalen Regierungsbeh\u00f6rden geh\u00f6rten diese Schwachstellen zu den am h\u00e4ufigsten ausgenutzten im Jahr 2020. Tats\u00e4chlich wurde CVE-2019-19781 den US-Regierungsdaten zufolge, als die am h\u00e4ufigsten ausgenutzte Schwachstelle des Jahres 2020 bezeichnet.<\/p>\n<p>Auf der Grundlage dieser Informationen hielt es Tenable f\u00fcr angebracht, im Jahr 2021 erneut zu untersuchen, wie Angreifer diese Schwachstellen in der Vergangenheit ausgenutzt haben, und neue Berichte \u00fcber Angriffe zu ber\u00fccksichtigen. Die Zusammenstellung dieser Informationen verdeutlicht die dringende Notwendigkeit, diese Schwachstellen in allen Unternehmen zu patchen, die hier noch hinterherhinken.<\/p>\n<h2>SSL-VPNs als Einfallstor f\u00fcr Angreifer<\/h2>\n<p>Um ein ganzheitlicheres Bild zu vermitteln, untersuchten Forscher auch mehrere andere relevante CVEs in den drei wichtigsten SSL-VPN-Produkten. Die zus\u00e4tzlichen CVEs, die in der nachstehenden Tabelle hervorgehoben sind, wurden neben den drei oben genannten in Alarme aufgenommen oder mit anderen Schwachstellen als Teil von Angriffsketten kombiniert.<\/p>\n<h3><img decoding=\"async\" src=\"https:\/\/i.imgur.com\/pY7bJ2O.png\" \/><b><\/b>Citrix ADC, Gateway und SD-WAN WANOP<\/h3>\n<p><a href=\"https:\/\/www.tenable.com\/cve\/CVE-2019-19781\" target=\"_blank\" rel=\"noopener\">CVE-2019-19781<\/a> ist eine <a href=\"https:\/\/owasp.org\/www-community\/attacks\/Path_Traversal\" target=\"_blank\" rel=\"noopener\">Path- oder Directory Traversal<\/a>-Schwachstelle in Citrix ADC-, Gateway- und SD-WAN WANOP-Produkten, die am 17. Dezember 2019 bekannt wurde. Zum Zeitpunkt der Ver\u00f6ffentlichung der Schwachstelle waren keine Patches verf\u00fcgbar. Um diese Sicherheitsanf\u00e4lligkeit auszunutzen, k\u00f6nnte ein nicht authentifizierter, remote Angreifer eine speziell gestaltete Anfrage, die eine Zeichenkette zur Umleitung eines Verzeichnisses enth\u00e4lt, an einen anf\u00e4lligen Citrix-Endpunkt senden. Ein erfolgreicher Angriff w\u00fcrde es einem Angreifer erm\u00f6glichen, beliebigen Code auszuf\u00fchren.<\/p>\n<p>Schwachstellen beim Directory Traversal sind nicht neu, es gibt sie schon seit Jahrzehnten, aber sie haben in den letzten Jahren einen Aufschwung erlebt. Wie der Name schon sagt, kann ein Angreifer durch die Ausnutzung von Fehlern bei der Umleitung von Verzeichnissen Dateipfade durchqueren, die f\u00fcr einen nicht-administrativen Benutzer normalerweise unzug\u00e4nglich w\u00e4ren.<\/p>\n<p>CVE-2019-19781 wurde von mehreren Hackergruppen ausgenutzt, die es auf das Gesundheitswesen abgesehen haben. Ransomware-Gruppen wie Maze (inzwischen aufgel\u00f6st) und Conti greifen bevorzugt das Remote-Desktop-Protokoll an, nutzten aber auch schon CVE-2019-19781 bei Angriffen auf den Gesundheitssektor aus. Au\u00dferdem haben APT-Gruppen diese Schwachstelle gegen Unternehmen ausgenutzt, die an der Entwicklung von COVID-19-Impfstoffen arbeiten.<\/p>\n<h3>Pulse Connect Secure<\/h3>\n<p>Im April 2019 ver\u00f6ffentlichte Pulse Secure einen <a href=\"https:\/\/web.archive.org\/web\/20230328165217\/https:\/\/kb.pulsesecure.net\/articles\/Pulse_Security_Advisories\/SA44101\" target=\"_blank\" rel=\"noopener\">Out-of-Band-Sicherheitshinweis<\/a>, um mehrere Schwachstellen in seiner SSL-VPN-L\u00f6sung <a href=\"https:\/\/www.ivanti.com\/products\/connect-secure-vpn\" target=\"_blank\" rel=\"noopener\">Pulse Connect Secure<\/a> zu beheben, darunter mehrere Schwachstellen, die vom DEVCORE-Forschungsteam aufgedeckt wurden. Die auff\u00e4lligste Schwachstelle, die in dem Advisory aufgef\u00fchrt wird, ist CVE-2019-11510, eine Schwachstelle, die die Offenlegung beliebiger Dateien erm\u00f6glicht und mit dem CVSSv3-H\u00f6chstwert von 10,0 bewertet wurde. Ein nicht authentifizierter, entfernter Angreifer k\u00f6nnte die Schwachstelle ausnutzen, indem er eine HTTP-Anfrage sendet, die eine speziell gestaltete Zeichenkette zum Umgehen von Verzeichnissen enth\u00e4lt.<\/p>\n<p>Schwachstellen werden auch ausgenutzt, nachdem sich ein Angreifer erfolgreich bei einem anf\u00e4lligen Ger\u00e4t authentifiziert hat, entweder \u00fcber eine separate Schwachstelle vor der Authentifizierung oder \u00fcber g\u00fcltige Zugangsdaten, die durch Diebstahl oder Brute-Force Attacke erlangt wurden.<\/p>\n<h3>Fortinet FortiOS<\/h3>\n<p>Im Mai 2019 ver\u00f6ffentlichte Fortinet das Product Security Incident Response Team (PSIRT) <a href=\"https:\/\/www.fortiguard.com\/psirt\/FG-IR-18-384\" target=\"_blank\" rel=\"noopener\">Advisory FG-IR-18-384<\/a> zur Behebung von <a href=\"https:\/\/www.tenable.com\/cve\/CVE-2018-13379\" target=\"_blank\" rel=\"noopener\">CVE-2018-13379<\/a>, einer Directory Traversal-Schwachstelle im FortiOS SSL VPN. Die Schwachstelle erm\u00f6glicht es einem nicht authentifizierten Angreifer, \u00fcber manipulierte HTTP-Anfragen auf beliebige Systemdateien zuzugreifen.<\/p>\n<p>Diese Schwachstelle wurde von DEVCORE in denselben Pr\u00e4sentationen auf der Black Hat USA 2019 und der DEF CON 27 beschrieben wie die bereits erw\u00e4hnte Pulse Secure-Schwachstelle. Die beiden Pr\u00e4sentationen <a href=\"https:\/\/blog.orange.tw\/2019\/08\/attacking-ssl-vpn-part-2-breaking-the-fortigate-ssl-vpn.html\" target=\"_blank\" rel=\"noopener\">zeigten<\/a>, wie CVE-2018-13379 ausgenutzt werden k\u00f6nnte, um eine Session-Datei zu erhalten, die den Benutzernamen und das Klartextpasswort eines VPN-Benutzers enth\u00e4lt, ganz \u00e4hnlich wie CVE-2019-11510. Diese Daten w\u00fcrden sich als wertvoll erweisen, um sich weitere Schwachstellen im VPN, darunter CVE-2018-13383 zunutze zu machen. Diese Heap-Overflow-Schwachstelle nach der Authentifizierung macht es m\u00f6glich, eine Remote-Shell auf betroffenen Versionen von FortiOS SSL-VPNs zu erhalten. <a href=\"https:\/\/www.tenable.com\/cve\/CVE-2018-13383\" target=\"_blank\" rel=\"noopener\">CVE-2018-13383<\/a> wurde im PSIRT-Advisory <a href=\"https:\/\/www.fortiguard.com\/psirt\/FG-IR-18-388\" target=\"_blank\" rel=\"noopener\">FG-IR-18-388<\/a> im April 2019 adressiert, weitere betroffene Releasest\u00e4nde wurden im Mai, August und November 2019 gepatcht.<\/p>\n<h3>Bedrohungsakteure haben es auf alle drei SSL-VPNs abgesehen<\/h3>\n<p>Staatliche Akteure haben eine Vorliebe f\u00fcr Schwachstellen in SSL-VPNs gezeigt. Am 15. April 2021 ver\u00f6ffentlichten die NSA und das FBI eine <a href=\"https:\/\/web.archive.org\/web\/20210903174658\/https:\/\/www.nsa.gov\/News-Features\/Feature-Stories\/Article-View\/Article\/2573391\/russian-foreign-intelligence-service-exploiting-five-publicly-known-vulnerabili\/\" target=\"_blank\" rel=\"noopener\">gemeinsame Warnung<\/a> \u00fcber Aktivit\u00e4ten des russischen Auslandsgeheimdienstes (SVR), die alle diese Schwachstellen ausnutzen. Dies folgte auf Warnungen aus dem Jahr 2020, die in diesem Zusammenhang auf staatlich gesponserte Angriffe aus <a href=\"https:\/\/de.tenable.com\/blog\/us-cybersecurity-agency-cisa-alert-foreign-threat-actors-target-unpatched-vulnerabilities?tns_redirect=true\" target=\"_blank\" rel=\"noopener\">China, Iran<\/a> und <a href=\"https:\/\/de.tenable.com\/blog\/government-agencies-warn-of-state-sponsored-actors-exploiting-publicly-known-vulnerabilities?tns_redirect=true\" target=\"_blank\" rel=\"noopener\">Russland<\/a> hinwiesen. Diese Schwachstellen wurden h\u00e4ufig in Exploit-Ketten ausgenutzt, die zur <a href=\"https:\/\/de.tenable.com\/blog\/cve-2020-1472-advanced-persistent-threat-actors-use-zerologon-vulnerability-in-exploit-chain?tns_redirect=true\" target=\"_blank\" rel=\"noopener\">\u00dcbernahme von Domain-Controllern<\/a> unter Verwendung von CVE-2020-1472, auch bekannt als <a href=\"https:\/\/www.tenable.com\/blog\/one-year-later-what-can-we-learn-from-zerologon\" target=\"_blank\" rel=\"noopener\">Zerologon<\/a>, f\u00fchrten.<\/p>\n<p>Es mag allgemein bekannt sein, aber man kann es nicht oft genug wiederholen: Bedrohungsakteure nutzen in der Regel \u00e4ltere Schwachstellen aus, f\u00fcr die Exploit- oder PoC-Code verf\u00fcgbar ist. Alle in diesem Beitrag beschriebenen Produkte wurden von Ransomware-Gruppen ins Visier genommen, um sich Zugang zu fremden Netzwerken zu verschaffen. Die meisten modernen Ransomware-Gruppen arbeiten mit dem Modell Ransomware-as-a-Service, d. h. sie stellen die Malware und die Infrastruktur zur Verf\u00fcgung, sind aber auf Partner angewiesen, um sich Zugang zu Unternehmen zu verschaffen, damit sie ihre Ransomware einsetzen k\u00f6nnen. Diese Partner verwenden eine Vielzahl von Methoden, um sich Zugang zu verschaffen. Da SSL-VPNs ein Einfallstor in Unternehmen darstellen, werden Ransomware-Affiliates weiterhin auf diese ungepatchten Schwachstellen abzielen, bis Unternehmen Ma\u00dfnahmen ergreifen, um diese Einstiegspunkte durch das Patchen von Schwachstellen in SSL-VPN-Produkten zu verst\u00e4rken.<\/p>\n<p>Die Behebung dieser immer wieder ausgenutzten Schwachstellen in SSL-VPNs ist vielleicht die einfachste Entscheidung zur Priorisierung f\u00fcr alle Unternehmen. F\u00fcr diese Schwachstellen gibt es seit Jahren Patches, und Angreifer aller Art haben es schon genauso lange auf sie abgesehen. Regierungsbeh\u00f6rden haben mehrere Warnungen herausgegeben, die ein sofortiges Handeln empfehlen. Die Einrichtung von Wartungsfenstern f\u00fcr die Aktualisierung von SSL-VPNs kann sich als schwierig erweisen, insbesondere bei Mitarbeitern, die \u00fcber verschiedene Zeitzonen verteilt sind. Wenn ein Unternehmen jedoch eines dieser Produkte einsetzt und die entsprechenden Schwachstellen noch nicht gepatcht hat, gilt es jetzt einen Plan zu entwickeln, um dies zu beheben. Das Risiko ist kaum zu untersch\u00e4tzen.<\/p>\n<h2>Identifizierung betroffener Systeme<\/h2>\n<p>Eine Liste von Tenable-Plugins zur Identifizierung aller in diesem Beitrag besprochenen Schwachstellen finden Sie <a href=\"https:\/\/www.tenable.com\/plugins\/search?q=cves%3A%28%22CVE-2018-13379%22+OR++%22CVE-2018-13382%22+OR++%22CVE-2018-13383%22+OR++%22CVE-2019-11510%22+OR++%22CVE-2019-11539%22+OR++%22CVE-2019-19781%22+OR++%22CVE-2019-5591%22+OR++%22CVE-2020-12812%22+OR++%22CVE-2020-8243%22+OR++%22CVE-2020-8260%22+OR++%22CVE-2021-22893%22+OR++%22CVE-2020-8193%22+OR++%22CVE-2020-8195%22+OR++%22CVE-2020-8196%22%29&amp;sort=&amp;page=1\" target=\"_blank\" rel=\"noopener\">hier<\/a>. Dar\u00fcber hinaus wurden viele dieser CVEs in die 2020 Threat Landscape Retrospective Scan-Policy Vorlage aufgenommen, die f\u00fcr gezielte Scans der im TLR-Report behandelten CVEs verwendet werden kann. Die Scan Policy Vorlage ist f\u00fcr alle Tenable-Produkte verf\u00fcgbar, einschlie\u00dflich Nessus, Tenable.sc und Tenable.io.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Im Beitrag Warten auf OpenSSL-Patches: Qnap, Synology, Acronis &amp; Co. hatte ich auf eine k\u00fcrzlich entdeckte und geschlossene kritische Schwachstelle in OpenSSL hingewiesen, die sich auf viele Software-Produkte auswirkt. Es m\u00fcsste gepatcht werden, was das Zeug h\u00e4lt &#8211; aber die &hellip; <a href=\"https:\/\/borncity.com\/blog\/2021\/09\/05\/it-sicherheit-achillesverse-ssl-vpn-schwachstellen\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-257327","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/257327","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=257327"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/257327\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=257327"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=257327"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=257327"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}