Das FBI hat eine Untersuchung von Angriffen veröffentlicht, bei denen Cyberkriminelle Sicherheitslücken in VPN-Software ausnutzen, um in Netzwerke einzubrechen und sich schließlich sogar darin einzunisten. Im konkreten Fall ermöglichte die analysierte Schwachstelle Zugriff zu einer uneingeschränkten Datei-Upload-Funktion, mit der Angreifer eine Webshell für weitere Aktivitäten mit root-Rechten hochladen konnten.
Sicherheitslücken etwa in VPN-Lösungen zum Einbruch in Netzwerke zu missbrauchen, gehört inzwischen zum Standard-Repertoire der Cyber-Gangs. Seit über einem Jahr taucht das vorne in der
Die FBI-Forensiker haben Angriffe auf die aktuell untersuchte Sicherheitslücke bis mindestens Mai 2021 zurückverfolgen können.
In der Warnung nennt das FBI die VPN-Software FatPipe WARP, MPVPN sowie IPVPN als betroffen. Die jüngsten Versionen 10.1.2r60p93 und 10.2.2r44p1 sollen die Sicherheitslücken schließen. Nutzer der Software können die aktualisierten Fassungen beim Hersteller erhalten.
Die Lücken basieren offenbar darauf, dass der OpenVPN-Dienst lokal im SYSTEM-Kontext läuft. Die Benutzeroberfläche arbeitet hingegen mit niedrigen Rechten und sendet ihre Kommandos im Klartext und ohne Authentifizierung an diesen Dienst. Anwendungen können dem Dienst daher bösartig manipulierte Konfigurationen unterschieben und beliebigen Code mit den Rechten des Dienstes – also SYSTEM – ausführen. So beschreibt es
Eine zweite Schwachstelle in mbDIALUP ermöglichte es (CVE-2021-33527), Befehle ans Betriebssystem zu senden. Die Versionen mbDIALUP 3.9R0.0 und neuer dichten die Sicherheitslecks ab.
Auch in industriellen Umgebungen müssen Administratoren die eingesetzten Softwarelösungen auf dem aktuellen Stand halten, um erfolgreiche Angriffe auf die Infrastruktur und potenziell größeren materiellen Schäden zu verhindern. Die eingesetzten VPN-Lösungen sollten sie spätestens jetzt einmal auf Aktualität prüfen und gegebenenfalls Sicherheits-Updates zeitnah ausrollen.
[Update vom 23.11.2021 16:00 Uhr] Die gefixte Version von mbDIALUP ist laut Hersteller 3.9R0.5. Dies haben wir korrigiert.
Quelle: heise
Sicherheitslücken etwa in VPN-Lösungen zum Einbruch in Netzwerke zu missbrauchen, gehört inzwischen zum Standard-Repertoire der Cyber-Gangs. Seit über einem Jahr taucht das vorne in der
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
der US-amerikanischen CISA, der australischen ACSC, der United Kingdom NCSC sowie des FBI mit auf.Die FBI-Forensiker haben Angriffe auf die aktuell untersuchte Sicherheitslücke bis mindestens Mai 2021 zurückverfolgen können.
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
für Advanced Persistent Threat-Attacken (APT) – also dazu, sich in das Netzwerk einzuschleichen, festzusetzen, lange Zeit darin unerkannt aktiv zu bleiben und sich fortzubewegen. In der Regel starten solche Gruppen derartige Netzwerkunterwanderungen, um etwa unbefugt Daten abzugreifen oder via Einschleusen von Ransomware Lösegeld zu erpressen.In der Warnung nennt das FBI die VPN-Software FatPipe WARP, MPVPN sowie IPVPN als betroffen. Die jüngsten Versionen 10.1.2r60p93 und 10.2.2r44p1 sollen die Sicherheitslücken schließen. Nutzer der Software können die aktualisierten Fassungen beim Hersteller erhalten.
Industrielle VPN-Lösungen mit Schwachstellen
Sicherheitsforscher von Claroty haben derweil Sicherheitslücken in zumeist im industriellen Umfeld eingesetzte VPN-Lösungen auf OpenVPN-Basis entdeckt. Diese sind teilweise als kritisch einzustufen und erlaubten Angreifern ebenfalls das Einschleusen von Schadcode.Die Lücken basieren offenbar darauf, dass der OpenVPN-Dienst lokal im SYSTEM-Kontext läuft. Die Benutzeroberfläche arbeitet hingegen mit niedrigen Rechten und sendet ihre Kommandos im Klartext und ohne Authentifizierung an diesen Dienst. Anwendungen können dem Dienst daher bösartig manipulierte Konfigurationen unterschieben und beliebigen Code mit den Rechten des Dienstes – also SYSTEM – ausführen. So beschreibt es
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
etwa zu mbDIALUP (CVE-2021-33526). Dies könnte etwa mit einem JavaScript-Link in einer Webseite geschehen, auf den ein Nutzer der Software klickt.Eine zweite Schwachstelle in mbDIALUP ermöglichte es (CVE-2021-33527), Befehle ans Betriebssystem zu senden. Die Versionen mbDIALUP 3.9R0.0 und neuer dichten die Sicherheitslecks ab.
Weitere betroffene Produkte
ÄhnlicheDu musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
mit Version V3.0 SP1 und neuer (CVE-2020-14498). Nutzer der HMS eCatcher VPN-Lösung sollten auf Version 6.5.5 oder neuer aktualisieren,
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
(CVE-2020-14498). Schließlich fanden die Claroty-Sicherheitsforscher
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
(CVE-2021-27406).Auch in industriellen Umgebungen müssen Administratoren die eingesetzten Softwarelösungen auf dem aktuellen Stand halten, um erfolgreiche Angriffe auf die Infrastruktur und potenziell größeren materiellen Schäden zu verhindern. Die eingesetzten VPN-Lösungen sollten sie spätestens jetzt einmal auf Aktualität prüfen und gegebenenfalls Sicherheits-Updates zeitnah ausrollen.
[Update vom 23.11.2021 16:00 Uhr] Die gefixte Version von mbDIALUP ist laut Hersteller 3.9R0.5. Dies haben wir korrigiert.
Quelle: heise
Zuletzt bearbeitet: