Passwörter von mehr als 900 Unternehmens-VPNs veröffentlicht

Ich muss noch was nachtragen, was mir wieder einmal zeigt, wie kaputt unsere IT-Infrastruktur ist. Hacker haben Kennwörter für mehr als 900 Pulse VPN-Server in Unternehmen in einem russischsprachigen Hacker-Forum veröffentlicht. Ein Ort, wo sich auch Ransomware-Gangs tummeln und Informationen holen. Wirft Fragen auf (die Daten scheinen von ungepatchten Systemen abgezogen worden zu sein) und lässt für die Zukunft schlimmes befürchten.


Anzeige

Ich hatte den Artikel Hacker leaks passwords for 900+ enterprise VPN servers von Catalin Cimpanu Anfang der Woche gesehen, komme aber erst jetzt dazu, das kurz aufzugreifen. Ein Hacker hatte Anfang der Woche eine Liste von Klartext-Benutzernamen und -Passwörtern zusammen mit den IP-Adressen von mehr als 900 Pulse Secure VPN-Unternehmensservern veröffentlicht. ZDNet erhielt mit Hilfe des Dienstes KELA eine Kopie dieser Liste.

Pulse Secure VPN-Zugangsdaten

Somit konnten die Daten und deren Authentizität durch mehrere Quellen aus dem Bereich der Cybersicherheit verifiziert werden. Laut einer Überprüfung enthält die von dem oder den Hacker(n) veröffentlichte Liste die:

IP-Adressen von Pulse Secure VPN-Servern
Firmware-Version des Pulse Secure VPN-Servers
SSH-Schlüssel für jeden Server
Eine Liste aller lokalen Benutzer und ihrer Passwort-Hashes
Details zum Verwaltungskonto
Letzte VPN-Anmeldungen (einschließlich Benutzernamen und Klartext-Passwörter)
VPN-Sitzungs-Cookies

Bank Security, ein auf Finanzkriminalität spezialisierter Analyst für Bedrohungsanalyse hatte die Liste entdeckt und auch auch ZDNet zur Verfügung gestellt.

Interessante Entdeckung

Die Leute voN Bank Security machten gegenüber ZDNet eine interessante Bemerkung über die Liste und ihren Inhalt. Der Sicherheitsforscher, der die Liste auswertete, stellte fest, dass auf allen in der Liste aufgeführten Pulse Secure VPN-Servern eine Firmware-Version lief, die für die Schwachstelle CVE-2019-11510 anfällig ist. Inzwischen gibt es ein Proof of Concept zur Ausnutzung, wie man hier lesen kann.

Bank Security vermutet, dass der Hacker, der diese Liste zusammengestellt hat, den gesamten IPv4-Adressraum des Internets nach Pulse Secure VPN-Servern gescannt hat. Über einen Exploit für die CVE-2019-11510-Schwachstelle erhielt er Zugang zu den Pulse-Systemen und konnte Serverdetails (einschließlich Benutzernamen und Passwörter) auslesen und dann alle Informationen in einem zentralen Repository sammeln.

Basierend auf den Zeitstempeln in der Liste (einer Sammlung von Ordnern) scheinen die Daten der Scans oder das Datum, an dem die Liste erstellt wurde, zwischen dem 24. Juni und dem 8. Juli 2020 zu liegen. Bad Packets, ein US-amerikanisches Unternehmen für Bedrohungsaufklärung, durchsucht seit August 2019, als die Schwachstelle CVE-2019-11510 bekannt wurde, das Internet nach anfälligen Pulse Secure VPN-Servern. Von ZDNet kontaktiert, geben die an: "Von den 913 eindeutigen IP-Adressen, die in diesem Dump gefunden wurden, wurden 677 durch Bad Packets CTI-Scans als anfällig für CVE-2019-11510 erkannt, als die Schwachstelle letztes Jahr bekannt wurde."


Anzeige

Firmen-Admins, die jetzt patchen, müssen daher auch daran denken, die Zugangsdaten zu den Pulse Secure VPN-Servern zu ändern. Weitere Details lassen sich bei ZDNet nachlesen – ein deutschsprachiger Beitrag findet sich hier.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

11 Antworten zu Passwörter von mehr als 900 Unternehmens-VPNs veröffentlicht

  1. chriscrosser sagt:

    …es ist schon erschreckend…
    wenn man sich überlegt, das heutzutage fast alle behörden, firmen, institutionen etc.
    online sind und sich sogar über VPN nicht in sicherheit wiegen können! ;-)))
    ich möchte hier nicht rumjammern, aber ich denke, das die menschen weltweit einen falschen weg beschreiten! (online ist immer angreifbar)
    internet hin oder her (bequem) – es sollte auch sekundär immer eine administration ohne PC und internet möglich sein, im fall eines hacks oder einem totalausfall…
    …waren gerade meine gedanken dazu…

  2. Mance sagt:

    @…was mir wieder einmal zeigt, wie kaputt unsere IT-Infrastruktur ist.

    Ja, aber wer oder was ist dafür verantwortlich? Ist das Ganze überhaupt noch überschaubar und wenn ja, sieht jemand ansatzweise wie man das wieder heilen könnte? Im Moment sieht es wohl nicht danach aus. Eigentlich müsste es ob der globalen Bedeutung doch schon längst eine weltweite konzertierte Aktion der "Guten" dagegen geben.
    Wenn es wirklich so schlimm ist und nichts dagegen unternommen werden kann, ist die logische Folge der totale Zusammenbruch mit anschliessendem Neubeginn von Null aus. Ich glaube aber nicht, dass es soweit kommt. Man wird sich an den Zustand gewöhnen und so gut es geht weiterwursteln.

    • woodpeaker sagt:

      Ja, wer ist dafür verantwortlich? Gute Frage.
      Und es gibt eine einfache Antwort.
      Schau dir doch mal unsere heutige IT Landschaft an und betrachte dir mal die Schnullies die was zu sagen haben. Die können doch nur mit Mühe mit dem eigenen Schlüssel ihr Auto öffnen – zu mehr reicht es nicht mehr.
      Fachwissen NULL.
      Die "Guten" haben alle die Seite gewechselt, da es dort definitiv mehr Geld zu holen gibt.
      Sicherheit hat schon immer Geld gekostet. Wenn man nicht bereit ist mehr Geld in die Sicherheit zu stecken, dann bekommt man auch nur so viel Sicherheit wie man bezahlt.
      So lernt man es eben auf die harte Tour.

  3. 1ST1 sagt:

    Die IT-Welt ist kaputt, weil sie zu komplex geworden ist. Wer durchschaut die ganze Landschaft noch? Man kann sowas durchaus nach bestem Wissen und Gewissen sicher machen, aber das gillt nur für jetzt gerade, morgen gillt das vielleicht nicht mehr, weil jemand anders einen neuen Angriffsvektor gefunden hat. Grundsätzlich sind alle Geräte, die erreichbar sind, auch angreifbar, und alles ist für einen Moment absicherbar, länger aber auch nicht. Doch was ist die Alternative, zurück zu MS-DOS, Datenaustausch per Post mit Diskette, wo es auch schon Viren dafür gab, die sich dann halt per Diskette verbreiten? Nochmal von vorne anfangen wird bedeuten, manches wird anders gemacht, aber auch dass wieder Fehler eingebaut werden. Denn Perfektion der Sicherheit gibt es in der Softwareentwicklung nicht.

    • woodpeaker sagt:

      Komplex war IT schon immer, nur früher haben sich gute Firmen eine, ich nenne es mal firmeneigene Sandbox, geleistet.
      Da waren Top Leute nur damit beschäftigt Systeme zu härten. Die meisten "Angriffe" kamen aus der Firma selbst und die Schwachstellen wurden so intern frühzeitig festgestellt und beseitigt.
      Aber heute geht das ja über Berater, die genauso dumm sind wie die Deppen die sie gerufen haben.
      Schau dir doch die letzten 15 Jahre an, wie da die Qualität gefallen ist und wieviel Lücken gefunden wurden.
      Früher waren genau diese Leute, die heute die Schwachstellen finden und publik machen, bei den betroffenen Firmen für gutes Geld angestellt um genau diese Fehler zu finden.
      Heute geht das Geld lieber an Bonuszahlungen und Dividende.
      Aber bei der Bananensoftware von heute läßt man es lieber beim Kunden reifen.

      • Dat Bundesferkel sagt:

        "Aber heute geht das ja über Berater, die genauso dumm sind wie die Deppen die sie gerufen haben."

        Das kann ich genau so unterzeichnen. Und dazu gehören milliarden schwere Pharma-Konzerne und auch riesige Urlaubsanbieter, wie der mit den drei Buchstaben.

        Die Berater sind allerdings nicht "dumm" in dem Sinne, es liegt nicht in ihrem Interesse abschließende Dienstleistungen zu erbringen. Denn durch dauerhafte Wartungsverträge, bei denen Symptome statt Ursachen geflickt werden, läßt sich sehr viel mehr Geld machen.

        • 1ST1 sagt:

          Das ist doch Quatsch. Diese IT-Consultants, ich kenne selber einige, sind durchas Fachleute, die genau wissen, was sie tun. Sie sind aber keine Götter. Wie ich oben schon schreieb, man kann ein System nur so sicher machen, wie gerade bekannt. Man kann ein System so gut wie die Erkenntnisse gerade sind, absichern. Aber es werden immer wieder neue Angriffsmethoden entwickelt, neue Sicherheitslücken entdeckt, usw. Daher ist IT-Sicherheit kein statischer, monolithischer Block, sondern ein dynamischer Prozess. Jeden Tag was Neues. Und da ist so ein Wartungsvertrag garnicht so schlecht, wenn man den – sich ständig auf Weiterbildung getrimmten – Sicherheitspsezialisten nicht im Haus hat.

  4. H_U sagt:

    reine Passwort-basierte VPN-Zugänge? Im Ernst?

    Stufe 1:
    802.1x: Zertifikatsbasierte VPN-Zugänge ! Hat ein Gerät (managed Mobile Device, Notebooks, Tablets, PCs, Drucker etc.) kein gültiges Zertifikat = kein (VPN-)Netzwerk-Zugang! Punkt!

    Stufe 2: AD-Auth …

    Einbruchsversuche dürften zu 99.99999999999% an Stufe 1 scheitern, da kein Name/Passwortkombi akzeptiert wird.

    Hier ist auch die IT gefragt, die Infrastruktur intern sowie auch von extern 802.1x abzusichern. LAN / WLAN etc.

    Achso:
    Liebe Geschäftsführung und liebe Finanzcontroller:
    Ja, solche IT-Fachleute kosten Geld und nein, einen ROI kann man nicht sofort erkennen und in € ausdrücken.
    Hier sind hochmotivierte, hochspezialisierte Teamplayer gefragt!
    NETZWERKER , Firewallspezies, Zertifikats-Asse, Backup-Spezies, Anwendungsbetreuer und und und… Und ja, diese können u.U. die Firma retten!

    • Dat Bundesferkel sagt:

      Tja… "wir" Netzwerker werden aber nur von oben herab belächelt, zu "Strippenziehern" degradiert und jedes mal dürfen wir uns anhören, daß "der Sohn des Freundes eines Nachbarn ja genau so gut mit Netzwerken sei".

      Ganz davon abgesehen, daß die hier in Deutschland gezahlten Gehälter nicht einmal ansatzweise im Kontrast zur Verantwortung, Aufwand und Risiken stehen.

      Ich für meinen Teil stehe beruflich mit meinen Fertigkeiten aus genau diesen Gründen nicht für in Deutschland ansässige Firmen zur Verfügung.

Schreibe einen Kommentar zu 1ST1 Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.