Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Infos zu Sicherheitsmaßnahmen
Probleme mit Fatpipe VPN
Beschäftigt sich seit den späten 80ern mit Themen rund um Cyber-Security. Beruflich erfolgte die Fokussierung auf die Absicherung von Netzwerken sowie Bedrohungen aus dem Internet in 1999, mit Arbeitsplätzen in Schottland und Deutschland. Seit 2010 tätig für die DATEV in Themengebieten rund um Netzwerksicherheit und Internet-Security.
Für DATEV sind Datenschutz und Datensicherheit seit Gründung des Unternehmens zentrale Elemente in der Geschäftspolitik. Daher engagiert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.
Vor einiger Zeit hat das FBI eine Warnung bezüglich der VPN-Software des US-amerikanischen Herstellers Fatpipe ausgesprochen. Zumindest berichten das viele namhafte Webseiten wie bleepingcomputer.com , tech.co , ZDNet und viele andere. Bevor ich auf die eigentliche Meldung eingehe, eins ist mir bei der Recherche aufgefallen: auf den Webseiten vom FBI findet man diesen Flash Alert nicht so einfach. Schließlich konnte ich diesen auf ic3.gov (https://www.ic3.gov/Media/News/2021/211117–2.pdf) lokalisieren, einem Server des “Internet Crime Complaint Center IC3” des FBI.
Zurück aber zur Warnung: Offensichtlich hat ein als APT (Advanced Persistent Threat) eingestufter Angreifer eine bis dato unbekannte Lücke in der Software der Firma Fatpipe ausgenutzt. Vereinfacht gesagt, hat diese den Upload von beliebigen Dateien ohne Authentifizierung über das integrierte Managementportal erlaubt, was nach dem Upload von Webshells dann eine Kompromittierung des dahinterliegenden, eigentlich geschützten Netzwerks nach sich zog. Das Problem bestand in den Lösungen für VPN (Clustern und Load-Balancing) und WAN Redundanz; also allen Gerätetypen, die vor Allem am Perimeter des Netzwerks mit dem Internet verbunden sind.
Die Angreifenden haben die Lücke seit mehreren Monaten aktiv ausgenutzt und Schaden angerichtet, der schwer bezifferbar ist; sie haben laut der beteiligten forensischen Teams ihre Spuren gut verwischt. Das FBI zeigt auch derzeit noch nicht öffentlich mit dem Finger auf den APT, den sie im Verdacht haben; aber das hat nicht selten taktische Hintergründe, und ob die Information den Betroffenen hilft, ist fraglich.
Schwer zu sagen ist ebenfalls, ob man nun betroffen war oder nicht. Also zumindest, wenn man Produkte von Fatpipe eingesetzt hat. Ein Indiz gibt es schon: man musste die Administrations-UI natürlich dem Internet gegenüber offen und nicht auf bestimmte IPs eingeschränkt haben. Aus einem Security-Blickwinkel heraus ist es keine gute Praxis, dem uneingeschränkten Internet Zugang zum Login einer internen Managementplattform zu geben. Eine gewisse Teilverantwortung muss man demnach nicht nur dem Hersteller Fatpipe für das Fiasko geben, sondern auch den Kunden, die ihre Sicherheitsinfrastruktur der Welt offen zugänglich machen.
Der unauthentifizierte Upload von beliebigen Dateien auf eigentlich gehärtete und bestens geschützte Sicherheitsappliances ist aber nicht nur ein Problem von Fatpipe; die Firewalls von Palo Alto hatten dieses Problem, ebenso Cisco und einige weitere Hersteller von Security Appliances, welche genau so etwas eigentlich verhindern sollten.
Übrigens: nicht nur das FBI teilt auf der eigenen Homepage nichts über den Vorfall mit. Auch Fatpipe äußert sich auf ihrem Webauftritt nicht dazu; zumindest nicht prominent auf der Startseite oder dem Blog.