Hacker suchen seit einigen Tagen ungepatchte Pulse Secure- und Fortinet SSL- VPNs und greifen diese an. Über Schwachstellen lassen sich private Schlüssel und Nutzerkennwörter auslesen. Die Hersteller haben bereits vor Monaten Aktualisierungen für die Schwachstellen freigegeben.
Anzeige
Einfach eine allgemeine Information für Leute, die VPN-Software der beiden Firmen einsetzen. Ich bin über nachfolgenden Tweet von Sicherheitsforscher Kevin Beaumont auf diese Thematik gestoßen.
Here's a good summary of what is happening with two of the SSL VPN appliances this weekend.
Some of the largest companies, national infrastructure suppliers and government agencies in the world are still impacted. https://t.co/KNCWkn3amT
— Kevin Beaumont (@GossiTheDog) August 26, 2019
Die Angriffe erfolgen, obwohl beide VPN-Anbieter vor einigen Monaten Sicherheitsupdates für ihre Produkte veröffentlicht haben – Pulse Secure im April, Fortinet im Mai. Beide Anbieter warnten ihre Nutzer und empfahlen allen Kunden die Updates angesichts der Schwere der Fehler so schnell wie möglich zu installieren. Viele Unternehmen haben jedoch anscheinend noch nicht die aktualisierte Software installiert und sind daher weiterhin einem erhöhten Risiko durch eskalierende Ausbeutungsversuche ausgesetzt. Jetzt stellt man Massen-Scans fest.
This sensitive information disclosure vulnerability allows unauthenticated attackers to access private keys and user passwords.
Further exploitation using the leaked credentials can lead to remote command injection (CVE-2019-11539).
— Bad Packets Report (@bad_packets) August 22, 2019
Über die Schwachstellen lassen sich private Schlüssel und Kennwörter für Online-Konten abgreifen. Zudem ist ggf. eine Command-Injection oder das Eindringen in Netzwerke möglich, wie dieser Tweet suggeriert.
Internet-Scans liefern mindestens 480.000 Fortinet Fortigate SSL VPN-Endpunkte, die mit dem Internet verbunden sind. Aktuell ist aber unklar, wie viele nicht gepatcht sind. Experten sagen jedoch, dass von den etwa 42.000 Pulse Secure SSL VPN-Endpunkten, die online erreichtbar sind, mehr als 14.000 ungepatcht sind. Wie es aussieht, sind einige der größten Unternehmen, nationale Infrastrukturanbieter und Regierungsbehörden der Welt nach wie vor betroffen. Ich denke, wir werden also bald weitere Hacks und Leaks vermelden können. Weitere Details sind dem Artikel hier zu entnehmen.
Ergänzung: CERT-Bund warnt jetzt auch vor diesen Angriffen. Bei heise fasst man den Sachstand in diesem Artikel zusammen.
2015
Für Unternehmen, Behörden und Einrichtungen, die ihre Systeme nicht sorgsam pflegen, um Geld zu sparen, ist kein Verständnis und kein Mitleid angebracht.
Wer sich durch Sorglosigkeit und/oder Geldgier angreifbar macht, nimmt jegliche Risken bewusst in Kauf.