Meldung

Einfallstor VPN

Die Security-Analysten des Zscaler-ThreatlabZ-Teams analysieren die Vorgehensweise des jüngsten Sodinokibi-Ransomware-Angriffs auf Travelex, der das Remote Access VPN-System als Einfallstor verwendete. Aufgrund eines ungepatchten VPN-Servers gelang es den Angreifern beispielsweise, das IT-System der englischen Devisengesellschaft bereits am Neujahrsabend stillzulegen.
Remote-Access-VPNs sind bereits seit 30 Jahren auf dem Markt, als der Fernzugriff von außerhalb des Firmennetzwerks in Mode kam. Zu dieser Zeit wurden die Firmenapplikationen im Rechenzentrum vorgehalten, das am Perimeter mit einem Stapel an Sicherheits-Appliances gesichert wurde.

Durch die Cloudifizierung werden die Anwendungen heute zunehmend in die Wolke verlagert und gleichzeitig wächst das Gefahrenpotenzial durch Internet-basierte Angriffe, die laut Gartner mittlerweile 98 Prozent ausmachen. Durch Remote-Access-VPNs werden Server dem Internet ausgesetzt und die Anwender erhalten über einen statischen Tunnel Zugang zum Firmennetz. Diese Tunnel schlagen allerdings auch Löcher in die Firewall, so dass die gleiche Technologie, die ein Unternehmen schützen soll, dieses auch anfällig für moderne Angriffe macht.

Die Angreifer gehen dabei laut Zscaler [1] wie folgt vor: Sie durchsuchen das Internet nach ungepatchen Remote-Access-VPN-Servern und verschaffen sich ohne Kennwort und Benutzername Zutritt. Einmal im System durchsuchen die Angreifer Logs nach Passwörtern in Klartext und gelangen auf diese Weise an Administrator-Zugang im Netzwerk. Durch laterale Bewegung im Netz wird der Angriff auf die gesamte IT-Infrastruktur eines Unternehmens ausgedehnt und dabei Multifaktor-Authentifizierung und andere Sicherheitsvorkehrungen abgeschaltet. So wird es schließlich möglich Ransomware in das Unternehmensnetz einzuschleusen und damit Dateien zu verschlüsseln als Basis für die Erpressung eines Unternehmens.

Dieses Einfallstor spielt ihr Gefahrenpotenzial aus durch den Umgang mit Remote Access VPN Systemen. Eine Rolle spielen dabei folgende Faktoren:

  • Das Patchen der VPN-Systeme wird vergessen oder aufgrund von Ressourcenmangel zu langsam umgesetzt, wodurch sich Angreifern Schwachstellen auftun.
  • Anwender werden in das gesamte Netzwerk platziert und darin besteht die gesamte Genese des Angriffspotenzials. Da VPNs im Internet auffindbar sein müssen, tut sich damit ein Angriffsvektor auf.
  • Laterale Bewegungen im Netzwerk erlaubt die Ausbreitung von Malware, die auch trotz Netzwerksegmentierung (die aufgrund der Komplexität nicht überall eingesetzt wird) möglich ist.

Die negativen Folgen von RAS-VPNs haben alternative Lösungsansätze auf den Plan gebracht. Gartner geht davon aus, dass 60 Prozent der Unternehmen bis 2023 die meisten ihrer Remote Access VPNs auslaufen lassen werden und dafür auf Zero Trust Network Access (ZTNA) setzen. Mit Hilfe von ZTNA wird der Zugriff auf Ebene einer einzelnen Anwendung ermöglicht, ohne den Zugriff auf das gesamte Firmennetz zu öffnen.

Da die Infrastruktur nicht mehr dem Internet ausgesetzt wird, werden Anwendungen im Internet unsichtbar und damit nicht angreifbar. Nicht zuletzt erhalten Remote Mitarbeiter durch einen ZTNA-Service schnellen und reibungslosen Zugriff auf ihre Anwendung, unabhängig mit welchem Gerät oder von welchem Standort aus sie darauf zugreifen.
15.01.2020/dr

Tipps & Tools

Download der Woche: Wise Folder Hider [21.01.2020]

Bei der Dateiverschlüsselung kommt häufig ein Passwort zum Einsatz. Ein einzelnes Kennwort bietet jedoch meistens nicht ausreichend Schutz vor Datendieben. Das kostenfreie Tool "Wise Folder Hider" macht Dateien und Ordner auf dem Rechner oder einem mobilen Speichergerät unsichtbar. Der Zugriff ist nur mit dem Masterpasswort für die Software sowie dem entsprechenden Passwort für die verschlüsselten Dateien möglich. [mehr]

Jetzt noch buchen: Intensiv-Seminar Cyberabwehr [20.01.2020]

Die schnelle Verbreitung von Erpressungstrojanern sowie aktuelle Sicherheitslücken verdeutlichen einmal mehr, dass die Anzahl der Schwachstellen und Verwundbarkeiten in IT-Systemen weiterhin auf einem sehr hohen und stetig steigenden Niveau liegen. Im Februar bietet IT-Administrator ein zweitägiges Intensiv-Seminar zum Thema "Cyberabwehr" in Hamburg an. Das Seminar ist untergliedert in Theorie- und Praxiselemente. So lernen Sie die Vorgehensweise der Angreifer und deren Abwehr hautnah kennen. Buchen Sie jetzt noch, um sich Ihren Platz zu sichern. [mehr]

Fachartikel

Gefahr durch Cyberattacken per RDP [15.01.2020]

Das Remote Desktop Protocol ist eines der beliebtesten Werkzeuge, mit dem Systemadministratoren entfernte Systeme mit der gleichen Funktionalität zentral steuern können als wären sie vor Ort. Auch Managed Service Provider nutzen das Tool vielfach zur Verwaltung von Hunderten von Kundennetzwerken und -systemen. Zugleich aber schafft RDP ein weiteres Einfallstor für Cyberangriffe. Aktuelle Untersuchungen zeigen, dass durch RDP eine große und anfällige Angriffsfläche in vielen Netzwerken entstanden ist, die von Angreifern genutzt wird. Was ist für den Admin also zu tun? [mehr]

Buchbesprechung

Handbuch Online-Shop

von Alexander Steireif, Rouven Rieker, Markus Bückle

Anzeigen