Das FBI hat eine Untersuchung von Angriffen veröffentlicht, bei denen Cyberkriminelle Sicherheitslücken in VPN-Software ausnutzen, um in Netzwerke einzubrechen und sich schließlich sogar darin einzunisten. Im konkreten Fall ermöglichte die analysierte Schwachstelle Zugriff zu einer uneingeschränkten Datei-Upload-Funktion, mit der Angreifer eine Webshell für weitere Aktivitäten mit root-Rechten hochladen konnten. Sicherheitslücken etwa in VPN-Lösungen zum Einbruch in Netzwerke zu missbrauchen, gehört inzwischen zum Standard-Repertoire der Cyber-Gangs. Seit über einem Jahr taucht das vorne in der gemeinsam erstellten Liste der am häufigsten routinemäßig ausgenutzten Schwachstellen der US-amerikanischen CISA, der australischen ACSC, der United Kingdom NCSC sowie des FBI mit auf. Die FBI-Forensiker haben Angriffe auf die aktuell untersuchte Sicherheitslücke bis mindestens Mai 2021 zurückverfolgen können. Die Angreifer nutzten sie der detaillierten Analyse zufolge für Advanced Persistent Threat-Attacken (APT) – also dazu, sich in das Netzwerk einzuschleichen, festzusetzen, lange Zeit darin unerkannt aktiv zu bleiben und sich fortzubewegen. In der Regel starten solche Gruppen derartige Netzwerkunterwanderungen, um etwa unbefugt Daten abzugreifen oder via Einschleusen von Ransomware Lösegeld zu erpressen. In der Warnung nennt das FBI die VPN-Software FatPipe WARP, MPVPN sowie IPVPN als betroffen. Die jüngsten Versionen 10.1.2r60p93 und 10.2.2r44p1 sollen die Sicherheitslücken schließen. Nutzer der Software können die aktualisierten Fassungen beim Hersteller erhalten. Sicherheitsforscher von Claroty haben derweil Sicherheitslücken in zumeist im industriellen Umfeld eingesetzte VPN-Lösungen auf OpenVPN-Basis entdeckt. Diese sind teilweise als kritisch einzustufen und erlaubten Angreifern ebenfalls das Einschleusen von Schadcode. Die Lücken machen sich offenbar zunutze, dass der OpenVPN-Dienst lokal im SYSTEM-Kontext läuft. Die Benutzeroberfläche arbeitet hingegen mit niedrigen Rechten und sendet ihre Kommandos im Klartext und ohne Authentifizierung an diesen Dienst. Anwendungen können dem Dienst daher bösartig manipulierte Konfigurationen unterschieben und beliebigen Code mit den Rechten des Dienstes – also SYSTEM – ausführen. So beschreibt es eine Sammelmeldung des VDE-CERT etwa zu mbDIALUP (CVE-2021-33526). Dies könnte etwa mit einem JavaScript-Link in einer Webseite geschehen, auf den ein Nutzer der Software klickt. Eine zweite Schwachstelle in mbDIALUP ermöglichte es (CVE-2021-33527), Befehle ans Betriebssystem zu senden. Die Versionen mbDIALUP 3.9R0.5 und neuer dichten die Sicherheitslecks ab. Ähnliche Sicherheitslücken mit möglicher Rechteausweitung schließt Siemens in SINEMA Remote Connect Client mit Version V3.0 SP1 und neuer (CVE-2020-14498). Nutzer der HMS eCatcher VPN-Lösung sollten auf Version 6.5.5 oder neuer aktualisieren, um diese Fehler auszubügeln (CVE-2020-14498). Schließlich fanden die Claroty-Sicherheitsforscher solche Lücken noch im PerFact OpenVPN-Client (CVE-2021-27406). Auch in industriellen Umgebungen müssen Administratoren die eingesetzten Softwarelösungen auf dem aktuellen Stand halten, um erfolgreiche Angriffe auf die Infrastruktur und potenziell größeren materiellen Schäden zu verhindern. Die eingesetzten VPN-Lösungen sollten sie spätestens jetzt einmal auf Aktualität prüfen und gegebenenfalls Sicherheits-Updates zeitnah ausrollen.
