Aktive Angriffe auf Cisco-VPN-Zugänge
Vornehmlich über bekannte Sicherheitsprobleme kapern Unbekannte in großem Stil Firmenzugänge über Cisco Clientless SSL VPN (Web VPN), berichtet die Sicherheitsfirma Volexity.
Bei Ciscos Web VPN meldet sich der Anwender auf einer Web-Seite an und erhält dann Zugang zu diversen Firmen-internen Ressourcen. Genau diese Anmeldeseiten haben Angreifer offenbar in mehreren Fällen gekapert, berichtet die Sicherheitsfirma Volexity. Zu den Opfern gehören die japanische Regierung und mehrere High-Tech-Firmen.
Die Angreifer schleusten in die Login-Seiten zu Ciscos Clientless SSL VPN spezielle Skripte ein, die unter anderem als Keylogger fungierten und so die Zugangsdaten der Nutzer abgriffen. In einigen Fällen nutzten sie dazu administrative Zugänge ungeklärter Herkunft. Doch in vielen Fällen konnte Volexity den Einbruch auf eine Sicherheitslücke zurückführen, die ein Sicherheitsforscher 2014 in seinem Vortrag "Breaking Bricks and Plumbing Pipes: Cisco ASA a Super Mario Adventure" präsentierte.
Cisco hat diese Lücken zwar mit passenden Updates für die Cisco ASA Software beseitigt und sogar in einem eigenen Blog-Beitrag auf die Gefahr hingewiesen; doch viele Admins installierten diese Updates offenbar nicht. Angesichts der Tatsache, dass sich die Lücken auch komfortabel über ein Metasploit-Modul ausnutzen lassen, ist das natürlich fatal. (ju)
