DsiN-Blog

Der IT-Sicher­heitsblog für den Mittelstand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abonnieren:

Infos zu Sicherheitsmaßnahmen

Pro­bleme mit Fatpipe VPN

Vor einiger Zeit hat das FBI eine Warnung bezüglich der VPN-Software des US-ame­­ri­­ka­­ni­­schen Her­stellers Fatpipe aus­ge­sprochen. Zumindest berichten das viele nam­hafte Web­seiten wie bleepingcomputer.com , tech.co , ZDNet und viele andere. Bevor ich auf die eigent­liche Meldung eingehe, eins ist mir bei der Recherche auf­ge­fallen: auf den Web­seiten vom FBI findet man diesen Flash Alert nicht so einfach. Schließlich konnte ich diesen auf ic3.gov (https://www.ic3.gov/Media/News/2021/211117–2.pdf) loka­li­sieren, einem Server des “Internet Crime Com­p­laint Center IC3” des FBI.

Zurück aber zur Warnung: Offen­sichtlich hat ein als APT (Advanced Per­sistent Threat) ein­ge­stufter Angreifer eine bis dato unbe­kannte Lücke in der Software der Firma Fatpipe aus­ge­nutzt. Ver­ein­facht gesagt, hat diese den Upload von belie­bigen Dateien ohne Authen­ti­fi­zierung über das inte­grierte Manage­ment­portal erlaubt, was nach dem Upload von Webs­hells dann eine Kom­pro­mit­tierung des dahin­ter­lie­genden, eigentlich geschützten Netz­werks nach sich zog. Das Problem bestand in den Lösungen für VPN (Clustern und Load-Balancing) und WAN Red­undanz; also allen Gerä­te­typen, die vor Allem am Peri­meter des Netz­werks mit dem Internet ver­bunden sind.

Die Angrei­fenden haben die Lücke seit meh­reren Monaten aktiv aus­ge­nutzt und Schaden ange­richtet, der schwer bezif­ferbar ist; sie haben laut der betei­ligten foren­si­schen Teams ihre Spuren gut ver­wischt. Das FBI zeigt auch derzeit noch nicht öffentlich mit dem Finger auf den APT, den sie im Ver­dacht haben; aber das hat nicht selten tak­tische Hin­ter­gründe, und ob die Infor­mation den Betrof­fenen hilft, ist fraglich.

Schwer zu sagen ist eben­falls, ob man nun betroffen war oder nicht. Also zumindest, wenn man Pro­dukte von Fatpipe ein­ge­setzt hat. Ein Indiz gibt es schon: man musste die Admi­­nis­­tra­­tions-UI natürlich dem Internet gegenüber offen und nicht auf bestimmte IPs ein­ge­schränkt haben. Aus einem Security-Bli­ck­­winkel heraus ist es keine gute Praxis, dem unein­ge­schränkten Internet Zugang zum Login einer internen Manage­ment­plattform zu geben. Eine gewisse Teil­ver­ant­wortung muss man demnach nicht nur dem Her­steller Fatpipe für das Fiasko geben, sondern auch den Kunden, die ihre Sicher­heits­in­fra­struktur der Welt offen zugänglich machen.

Der unau­then­ti­fi­zierte Upload von belie­bigen Dateien auf eigentlich gehärtete und bestens geschützte Sicher­heits­ap­p­li­ances ist aber nicht nur ein Problem von Fatpipe; die Fire­walls von Palo Alto hatten dieses Problem, ebenso Cisco und einige weitere Her­steller von Security App­li­ances, welche genau so etwas eigentlich ver­hindern sollten.

Übrigens: nicht nur das FBI teilt auf der eigenen Homepage nichts über den Vorfall mit. Auch Fatpipe äußert sich auf ihrem Web­auf­tritt nicht dazu; zumindest nicht pro­minent auf der Start­seite oder dem Blog.

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht.

Stefan Hager, DATEV eG

Beschäftigt sich seit den späten 80ern mit Themen rund um Cyber-Security. Beruflich erfolgte die Fokus­sierung auf die Absi­cherung von Netz­werken sowie Bedro­hungen aus dem Internet in 1999, mit Arbeits­plätzen in Schottland und Deutschland. Seit 2010 tätig für die DATEV in The­men­ge­bieten rund um Netz­werk­si­cherheit und Internet-Security.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.