Meldung

Kritische Lücke in Load-Balancern

F-Secure hat eine Sicherheitslücke aufgedeckt, die potenziell hunderttausende, bei Banken, Regierungen und großen Unternehmen eingesetzte Load Balancer zu Grundpfeilern für Cyberangriffe machen. Die Lücke ist besonders schwerwiegend, da BIG-IP-Cyberattacken sehr verdeckt stattfinden. F5 sieht derweil die Problematik an anderer Stelle.
F-Secure [1] warnt vor einer ernsthaften Bedrohung bei der Nutzung des BIG-IP-Load-Balancers von F5 Networks und rät Unternehmen, die das Produkt einsetzen, die Sicherheitsprobleme in einigen Standardkonfigurationen schnellstmöglich zu beheben. Angreifer könnten die unsicher konfigurierten Load Balancer dazu nutzen, um in Netzwerke einzudringen und Angriffe gegen Unternehmen oder Einzelpersonen durchzuführen, die von einem kompromittierten Gerät verwaltete Web-Dienste nutzen.

Die Sicherheitslücke tritt demnach in der verwendeten Programmiersprache Tcl auf, in der die sogenannten iRules von BIG-IP geschrieben sind. Über diese iRules koordiniert BIG-IP den gesamten eingehenden Traffic. Bestimmte Schadcodes ermöglichen es Angreifern, beliebige Tcl-Befehle in die iRules einzuschleusen, welche dann in dieser vermeintlich sicheren Umgebung ausgeführt werden.

Ausgangspunkt für weitere Angriffe

Die Bedeutung dieser Sicherheitslücke für die betroffenen Unternehmen ist enorm, da Angreifer solche unsicher konfigurierten iRules ausnutzen können, um kompromittierte BIG-IP-Geräte als Ausgangspunkt weiterer Angriffe zu verwenden. Zudem ist es Angreifern möglich, den Web-Traffic abzufangen und zu manipulieren. Durch die Offenlegung sensibler Informationen – einschließlich der Login-Daten und persönlicher Anwendungsgeheimnisse – können Nutzer von betroffenen Webservices somit gezielt Opfer von Angriffen werden.

In manchen Fällen ist das Ausnutzen eines anfälligen Systems so simpel, dass der Befehl oder Schadcode lediglich über eine einfache Webanfrage eingeschleust werden muss, die der Dienst sodann für den Angreifer ausführt. Erschwerend kommt hinzu, dass in einigen Situationen das kompromittierte Gerät die Handlungen der Hacker nicht protokolliert, so dass im Anschluss keinerlei Beweise für einen Angriff vorhanden sind. In wieder anderen Fällen können Angreifer entstandene Logfiles – und damit die Beweise für ihre Aktivitäten – einfach löschen. Dies erschwert die Untersuchung und Aufklärung solcher Vorfälle erheblich.

Ein denkbares Szenario: Hacker könnten Kunden betroffener Banken ausspionieren und deren Bankkonto leerräumen. „Selbst wenn der Kunde einen solchen Schaden meldet, wäre der Angriff für die Bank nur mit forensischen Untersuchungen auf dem Load Balancer nachvollziehbar, da BIG-IP-Cyberattacken sehr verdeckt stattfinden.“, so F-Secure Senior Security Consultant Christoffer Jerkeby.

Jerkeby weiter: „Dieses Konfigurationsproblem ist äußerst gravierend, da es versteckt genug liegt, um unbemerkt von Hackern genutzt zu werden. Diese können dann eine Vielzahl unterschiedlicher Ziele verfolgen und anschließend alle Spuren verwischen. Darüber hinaus sind viele Organisationen nicht darauf vorbereitet, auftretende Sicherheitsrisiken zu identifizieren und zu beheben, die tief in den Software-Lieferketten versteckt sind. Betrachtet man alle diese Punkte in Summe, so haben wir es hier mit einem potenziell großen Sicherheitsproblem zu tun. Solange Unternehmen nicht wissen, wonach sie suchen müssen, ist es für sie ungeheuer schwer, auf dieses Problem vorbereitet zu sein und umso komplizierter wird es entsprechend, mit einer konkreten Angriffssituation umzugehen.“

300.000 aktive Implementierungen

Jerkeby hat im Rahmen seiner Recherche über 300.000 aktive BIG-IP-Implementierungen im Internet ausmachen können, vermutet jedoch aufgrund methodischer Limitierungen seiner Untersuchung eine viel höhere Anzahl. Etwa 60 Prozent der von ihm entdeckten BIG-IP-Instanzen stammten aus den Vereinigten Staaten.

Und obwohl nicht automatisch jedes Unternehmen betroffen ist, das BIG-IP-Systeme im Einsatz hat, bedeutet die weite Verbreitung des Load Balancers doch, dass die entsprechenden Organisationen ihre eigene Risikosituation untersuchen und einschätzen sollten. Gerade durch die Popularität bei Banken, Regierungen und anderen Organisationen, die Web-Dienste für eine große Anzahl von Menschen bereitstellen, ist die Sicherheitslücke auch für die Nutzer dieser Dienste elementar.

„Solange ein Unternehmen keine eingehende technische Prüfung seiner Systeme durchgeführt hat, ist die Wahrscheinlichkeit groß, dass es von der Sicherheitslücke betroffen ist“, so Jerkeby. „Selbst jemand, der unglaublich sicherheitsbewusst ist und in einem sicherheitstechnisch gut ausgestatteten Unternehmen arbeitet, könnte diese Lücke übersehen. Aus diesem Grund ist die Aufklärung über diese Problematik wirklich wichtig, wenn wir Unternehmen dabei unterstützen wollen, sich besser vor einem möglichen Bedrohungsszenario zu schützen.”

Empfohlene Schritte für Unternehmen

Durch einfache Massenscans können Hacker das Internet nach verwundbaren Stellen von Big-IP-Systemen durchforsten. Da sich solche Massenscans auch ganz einfach automatisieren lassen, wird die Sicherheitslücke wahrscheinlich sehr bald das Interesse von sogenannten Bug-Bounty-Jägern und Angreifern auf sich ziehen. Darüber hinaus können von potenziellen Hackern kostenlose Testversionen der BIG-IP-Technologie direkt vom Hersteller bezogen und kostengünstig Cloud-Instanzen abgerufen werden. Aus diesen Gründen und durch die potenziell schwerwiegenden Auswirkungen von Angriffen rät F-Secure Unternehmen, proaktiv zu untersuchen, ob sie betroffen sind oder nicht.

Jerkeby hat bei der Entwicklung einiger kostenfreier Open-Source-Tools mitgewirkt, mit denen Unternehmen unzureichende Konfigurationen in ihren BIG-IP-Implementierungen erkennen können. Laut Jerkeby gibt es in Fällen wie diesen jedoch keine schnelle Lösung, so dass Unternehmen dieses Problem selbst bzw. mit Unterstützung externer Experten angehen müssen.

„Die gute Nachricht ist, dass nicht automatisch jeder Nutzer des Produktes betroffen ist. Schlecht wiederum ist, dass das Problem nicht über einen einfachen Patch oder ein Software-Update des Herstellers behoben werden kann. Es liegt an den betroffenen Unternehmen selbst, die entsprechenden Vorkehrungen zu treffen. Sie müssen prüfen, ob sie tatsächlich von diesem Sicherheitsproblem betroffen sind. Und sie stehen selbst in der Verantwortung, es gegebenenfalls zu lösen“, erklärt Jerkeby. „Deshalb ist es so wichtig, dass jeder, bei dem BIG-IP zum Einsatz kommt, jetzt proaktiv handelt!“

Statement von F5 zu den genannten Schwachstellen

Der Hersteller F5 hat sich ebenfalls zu den gemeldeten Schwachstellen geäußert. Es handle sich demnach weder um eine Schwachstelle in der dynamischen Programmiersprache Tcl noch in F5-Produkten. Dies sei ein Problem, das mit den Kodierungsprozessen bei der Erstellung der Skripte zusammenhänge. Wie bei den meisten Programmier- oder Skriptsprachen sei es möglich, Code so zu schreiben, dass Schwachstellen entstünden.

F5 hat nach eigener Aussage mit dem Forscher an einer Dokumentation und Benachrichtigung gearbeitet, damit Kunden ihre Gefährdung bewerten und notwendige Schritte zur Minimierung des Risikos unternehmen können. Die beste Vorgehensweise für Tcl-Scripting sei es, alle Ausdrücke zu vermeiden, damit sie nicht ersetzt oder unerwartet bewertet werden könnten. Kunden sollten Tcl-Skripte prüfen und alle Änderungen vornehmen, die sie unter Berücksichtigung dieser Hinweise [2] für angemessen halten.
9.08.2019/dr

Tipps & Tools

Tracking unterbinden [8.11.2019]

Unternehmen verwenden zunehmend Fremdbibliotheken, um Inhalte auf ihren Webseiten darzustellen. Das Blockieren von Ads auf diesen Seiten ist in der Regel kein Problem, aber bei Trackern wird es schon schwieriger. "Decentraleyes" ist ein Firefox-Add-on, dass Schutz vor Tracking bietet. Das Tool vermeidet Anfragen an Dritte, indem es Bibliotheken lokal bereitstellt. [mehr]

Registry-Backup anlegen [7.11.2019]

Vor Windows 10 Version 1803 wurden Sicherungen der Registry-Zweige automatisch im RegBack-Verzeichnis angelegt. Microsoft arbeitet derzeit mit Recovery-Punkten für das Wiederherstellen eines Systems mitsamt der Registry. Viele ITler wünschen sich in diesem Bereich jedoch mehr Freiheit. Mit ein paar Eingriffen im System ist ein gesondertes Backup weiterhin möglich. [mehr]

Fachartikel

Endpunktesicherheit beim Flachdach-Anbieter [23.10.2019]

Ein hoher Administrationsaufwand und nicht zu ignorierende Performance-Einbußen waren der Grund, warum sich die FDT Flachdach Technologie dazu entschlossen hat, ihre bestehende Endpunktschutzsoftware zu ersetzen. In der neuen Endpoint-Protection-Plattform fanden die IT-Verantwortlichen eine Alternative, die ihnen diverse Vorteile bietet: eine bedienfreundliche Konsole, unkomplizierte Rollbacks und ein automatischer Shutdown befallener Systeme. Der Anwenderbericht beschäftigt sich mit den Details. [mehr]

Buchbesprechung

Windows Server 2019

von Peter Kloep, Karsten Weigel, Kevin Momber, Raphael Rojas und Annette Frankl

Anzeigen