FBI warnt vor Einbrüchen via VPN-Software

Das FBI hat eine Untersuchung von Angriffen veröffentlicht, bei denen Cyberkriminelle Sicherheitslücken in VPN-Software ausnutzen, um in Netzwerke einzubrechen und sich schließlich sogar darin einzunisten. Im konkreten Fall ermöglichte die analysierte Schwachstelle Zugriff zu einer uneingeschränkten Datei-Upload-Funktion, mit der Angreifer eine Webshell für weitere Aktivitäten mit root-Rechten hochladen konnten.

Sicherheitslücken etwa in VPN-Lösungen zum Einbruch in Netzwerke zu missbrauchen, gehört inzwischen zum Standard-Repertoire der Cyber-Gangs. Seit über einem Jahr taucht das vorne in der gemeinsam erstellten Liste der am häufigsten routinemäßig ausgenutzten Schwachstellen der US-amerikanischen CISA, der australischen ACSC, der United Kingdom NCSC sowie des FBI mit auf.

Die FBI-Forensiker haben Angriffe auf die aktuell untersuchte Sicherheitslücke bis mindestens Mai 2021 zurückverfolgen können. Die Angreifer nutzten sie der detaillierten Analyse zufolge für Advanced Persistent Threat-Attacken (APT) – also dazu, sich in das Netzwerk einzuschleichen, festzusetzen, lange Zeit darin unerkannt aktiv zu bleiben und sich fortzubewegen. In der Regel starten solche Gruppen derartige Netzwerkunterwanderungen, um etwa unbefugt Daten abzugreifen oder via Einschleusen von Ransomware Lösegeld zu erpressen.

In der Warnung nennt das FBI die VPN-Software FatPipe WARP, MPVPN sowie IPVPN als betroffen. Die jüngsten Versionen 10.1.2r60p93 und 10.2.2r44p1 sollen die Sicherheitslücken schließen. Nutzer der Software können die aktualisierten Fassungen beim Hersteller erhalten.

Industrielle VPN-Lösungen mit Schwachstellen

Sicherheitsforscher von Claroty haben derweil Sicherheitslücken in zumeist im industriellen Umfeld eingesetzte VPN-Lösungen auf OpenVPN-Basis entdeckt. Diese sind teilweise als kritisch einzustufen und erlaubten Angreifern ebenfalls das Einschleusen von Schadcode.

Die Lücken machen sich offenbar zunutze, dass der OpenVPN-Dienst lokal im SYSTEM-Kontext läuft. Die Benutzeroberfläche arbeitet hingegen mit niedrigen Rechten und sendet ihre Kommandos im Klartext und ohne Authentifizierung an diesen Dienst. Anwendungen können dem Dienst daher bösartig manipulierte Konfigurationen unterschieben und beliebigen Code mit den Rechten des Dienstes – also SYSTEM – ausführen. So beschreibt es eine Sammelmeldung des VDE-CERT etwa zu mbDIALUP (CVE-2021-33526). Eine zweite Schwachstelle in mbDIALUP ermöglichte es (CVE-2021-33527), Befehle ans Betriebssystem zu senden. Die Versionen mbDIALUP 3.9R0.5 und neuer dichten die Sicherheitslecks ab.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.

Umfragen immer laden Umfrage jetzt laden

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Weitere betroffene Produkte

Ähnliche Sicherheitslücken mit möglicher Rechteausweitung schließt Siemens in SINEMA Remote Connect Client mit Version V3.0 SP1 und neuer (CVE-2020-14498). Nutzer der HMS eCatcher VPN-Lösung sollten auf Version 6.5.5 oder neuer aktualisieren, um diese Fehler auszubügeln (CVE-2020-14498). Schließlich fanden die Claroty-Sicherheitsforscher solche Lücken noch im PerFact OpenVPN-Client, die mit Version 1.6.0 behoben wurden (CVE-2021-27406).

Auch in industriellen Umgebungen müssen Administratoren die eingesetzten Softwarelösungen auf dem aktuellen Stand halten, um erfolgreiche Angriffe auf die Infrastruktur und potenziell größeren materiellen Schäden zu verhindern. Die eingesetzten VPN-Lösungen sollten sie spätestens jetzt einmal auf Aktualität prüfen und gegebenenfalls Sicherheits-Updates zeitnah ausrollen.

[Update vom 23.11.2021 16:00 Uhr sowie 25.11.2021 07:10 Uhr] Die gefixte Version von mbDIALUP ist laut Hersteller 3.9R0.5. Auch der Hersteller von PerFact OpenVPN hat eine fehlerbereinigte Version veröffentlicht. Dies haben wir korrigiert und ergänzt.

(dmk)