Ende 2019 und Anfang 2020 gab es auf Kliniken, Medizineinrichtungen und Behörden bzw. Kommunen in den USA erfolgreiche Ransomware-Angriffe. Jetzt liegen Details vor. Die Fälle sind ein Beispiel, wie Nachlässigkeit von Administratoren (Stichwort: Ungepatchte Pulse Secure VPN-Server) die Sicherheit von IT-Systemen beeinflusst.
Anzeige
Mir stellte sich seinerzeit die Frage, wie das passieren konnte, dass binnen Tagen sehr viele Einrichtungen in US-Behörden, –Kommunen und –Gesundheitseinrichtungen per Ransomware gefallen wurden. In Deutschland waren Anfang 2020 ungepatchte NetScaler ADCs eine Ursache für Ransomware-Befall. Nun sind einige Details aus den Fällen in den USA bekannt geworden. Statt ungepatchter NetScaler ADCs waren es in den USA ungepatchte oder zu spät gepatchte Pulse Secure VPN-Server. Dazu ein kurzer Rückblick.
Ungepatchte Pulse Secure VPN-Server
Am 24. April 2019 wurden der CVE-2019-11510-Eintrag veröffentlicht, der vor einer Schwachstelle in der Pulse Secure VPN-Server-Software Pulse Connect Secure (PCS) warnte. In den Software-Versionen vor 8.2R12.1, vor 8.3R7.1 und vor 9.0R3.4 gab es die Schwachstelle. Ein nicht authentifizierter Remote-Angreifer konnte den Servern eine speziell präparierte URI senden, um eine beliebige Dateien auszulesen und ggf. kritische Informationen wie Anmeldedaten abzurufen.
Fortinet veröffentlichte im April 2019 entsprechende Updates für seine Fortigate-Produkte, aber es passierte bei vielen Systemen zunächst wenig. Ich hatte Ende August 2019 im Blog-Beitrag Angriffe auf ungepatchte Pulse Secure- und Fortinet SSL-VPNs kurz über die Schwachstelle CVE-2019-11510 in diesen Produkten berichtet. Zitat aus dem Artikel von August 2019:
Internet-Scans liefern mindestens 480.000 Fortinet Fortigate SSL VPN-Endpunkte, die mit dem Internet verbunden sind. Aktuell ist aber unklar, wie viele nicht gepatcht sind. Experten sagen jedoch, dass von den etwa 42.000 Pulse Secure SSL VPN-Endpunkten, die online erreichbar sind, mehr als 14.000 ungepatcht sind. Wie es aussieht, sind einige der größten Unternehmen, nationale Infrastrukturanbieter und Regierungsbehörden der Welt nach wie vor betroffen. Ich denke, wir werden also bald weitere Hacks und Leaks vermelden können.
Über die Schwachstelle besteht für Angreifer die Möglichkeit, private Schlüssel und Nutzerkennwörter auszulesen. Die Hersteller hatten damals bereits seit April 2019 Aktualisierungen für die Schwachstellen freigegeben. Anfang September 2019 hatte ich im Blog-Beitrag Massen-Scan nach Pulse Secure VPN-Server davor gewarnt, dass ein Massen-Scan im Internet nach nicht gepatchten Pulse Secure VPN-Servern (CVE-2019-11510) stattfinde.
Ich hatte es seinerzeit nicht im Blog, da mir die Geschichte nach den wiederholten Blog-Artikeln zur Schwachstelle schon zu abgelutscht erschien. Aber Tenable wies im Januar 2020 in diesem Beitrag erneut darauf hin, dass Cyber-Kriminelle die Schwachstelle CVE-2019-11510 in nicht gepatchten Pulse Secure VPN-Servern ausnutzten, um die Sodinokibi Ransomware über gestohlene Domain-Administratoren-Zugangsdaten zu verbreiten.
Und noch im Februar 2020 gab es hier im Blog den Beitrag Sicherheitssplitter (21. Feb. 2020), in dem ich berichtete, dass iranische Hacker ungepatchtes Pluse Secure VPN-Server über die Schwachstelle CVE-2019-11510 angriffen, um dort Hintertüren zu hinterlassen.
Fassen wir zusammen: Es gab also seit April 2019 eine offizielle Warnung und einen Patch für die Schwachstelle. Seit August 2019 gab es vermehrt 'Einschläge' in IT-Systemen über die bekannte Schwachstelle. Aber Administratoren sahen sich nicht veranlasst aktiv zu werden (möglicherweise, weil sie als Dienstleister keinen Auftrag von betroffenen Firmen hatten). Also ein Fail mit Ansage.
Die Keule für US-IT-Systeme
Über den nachfolgenden Tweet ist mir die Geschichte am Wochenende wieder vor die Füße gefallen. Hacker haben erfolgreich IT-Systeme von US-Krankenhäusern und Regierungsbehörden mit Ransomware infiziert. Es ist jetzt klar, warum die Serie von Ransomware-Angriffen auf die IT-Systeme von US-Einrichtungen erfolgreich war.
Anzeige
U.S. hospitals and government entities were ransomed by threat actors using Active Directory credentials that were stolen months after exploiting Pulse Secure VPN servers unpatched against the CVE-2019-11510 pre-auth RCE vulnerability – by @sergheihttps://t.co/tNgOEsepjG
— BleepingComputer (@BleepinComputer) April 18, 2020
Der Angriff wurde möglich, weil Active Directory-Berechtigungsnachweise zur Verbreitung genutzt werden konnte. Diese Zugangsdaten waren Monate vor dem Angriff, und lange nachdem ein Patch des Herstellers verfügbar war, durch Ausnutzung einer bekannten Pre-Auth Remote Code Execution (RCE)-Schwachstelle von den Pulse Secure VPN-Servern der betroffenen Einrichtungen gestohlen worden.
Sicherheitsbehörden in den USA, Kanada und anderen Ländern warnten IT-Administratoren seit Oktober 2019 fortlaufend vor dieser Schwachstelle. Das FBI gab zudem im Januar 2020 in einer Blitz-Sicherheitswarnung bekannt, dass staatlich geförderte Hacker in die Netzwerke einer US-Kommune und eines -Finanzunternehmens eingedrungen seien, nachdem sie anfällige Pulse Secure VPN-Geräte ausgenutzt hätten.
Trotz all dieser Warnungen musste der CISA vorige Woche eine weitere Warnung herausgeben. In der Warnung wurden Organisationen dringend aufgefordert, unverzüglich einen Patch für CVE-2019-11510 auf Pluse Secure VPN-Server zu installieren. Nur so wird Angreifern die Möglichkeit genommen, die Administrator-Zugangsdaten für Domänen Controller von den Servern zu stehlen.
Unvollständige Warnungen
Was ich aber in keiner dieser frühen Warnungen bewusst gelesen habe: Einen Hinweis, die Zugangsdaten für Domänen-Controller-Administratoren vorsorglich zu ändern. Denn selbst bei Installation des Sicherheitspatches bleibt die Maßnahme nutzlos, wenn die Zugangsdaten vorher bereits abgezogen und seit dem nicht mehr geändert wurden.
Und so konnten Cyber-Kriminelle mehrere US-Kliniken und –Behörden bzw. Stadtverwaltungen mit Ransomware infizieren. Ein Akteur fiel Sicherheitskreisen zudem auf, weil er "nach 30 erfolglosen Versuchen, über die gestohlenen Zugangsdaten eine Verbindung zu den IT-Systemen aufzubauen', die gestohlenen Zugangsdaten zu verkaufen versuchte. Idee war wohl, eine Remote Privilege Escalation-Schwachstelle für weitere Angriffe zu verwenden. Zudem wurden Versuche beobachtet, dass die Angreifer Tools wie TeamViewer und LogMeIn als improvisierte Hintertüren einsetzten. Ziel war, nach einem Rauswurf über die Schwachstellen weiterhin auf die Systeme zugreifen zu können.
Ein CISA-Analyse-Tool
Inzwischen gibt es vom US-CERT eine dedizierte Warnung (siehe folgender Tweet), die darauf hinweist, dass ein Patch der Pulse Secure VPN-Server gegen CVE-2019-11510 nicht ausreicht.
Already patched Pulse Secure CVE-2019-11510? You may have been compromised before patching. If so, you're still vulnerable to attack. See our Alert https://t.co/eTa5rrbR6O for new detection methods and #IOC search tool https://t.co/0waOsgzFEg. #Cybersec…
— US-CERT (@USCERT_gov) April 16, 2020
Wurde das System vor dem Patch kompromittiert, sind weitere Maßnahmen, die hier beschrieben sind, erforderlich. Es gibt ein von CISA entwickeltes Tool, mit dem man an Hand der Log-Dateien prüfen kann, ob die Systeme bereits kompromittiert wurden. Weitere Details sind den verlinkten Artikeln zu entnehmen.
2015
