Meldung

Einfallstor VPN

Die Security-Analysten des Zscaler-ThreatlabZ-Teams analysieren die Vorgehensweise des jüngsten Sodinokibi-Ransomware-Angriffs auf Travelex, der das Remote Access VPN-System als Einfallstor verwendete. Aufgrund eines ungepatchten VPN-Servers gelang es den Angreifern beispielsweise, das IT-System der englischen Devisengesellschaft bereits am Neujahrsabend stillzulegen.
Remote-Access-VPNs sind bereits seit 30 Jahren auf dem Markt, als der Fernzugriff von außerhalb des Firmennetzwerks in Mode kam. Zu dieser Zeit wurden die Firmenapplikationen im Rechenzentrum vorgehalten, das am Perimeter mit einem Stapel an Sicherheits-Appliances gesichert wurde.

Durch die Cloudifizierung werden die Anwendungen heute zunehmend in die Wolke verlagert und gleichzeitig wächst das Gefahrenpotenzial durch Internet-basierte Angriffe, die laut Gartner mittlerweile 98 Prozent ausmachen. Durch Remote-Access-VPNs werden Server dem Internet ausgesetzt und die Anwender erhalten über einen statischen Tunnel Zugang zum Firmennetz. Diese Tunnel schlagen allerdings auch Löcher in die Firewall, so dass die gleiche Technologie, die ein Unternehmen schützen soll, dieses auch anfällig für moderne Angriffe macht.

Die Angreifer gehen dabei laut Zscaler [1] wie folgt vor: Sie durchsuchen das Internet nach ungepatchen Remote-Access-VPN-Servern und verschaffen sich ohne Kennwort und Benutzername Zutritt. Einmal im System durchsuchen die Angreifer Logs nach Passwörtern in Klartext und gelangen auf diese Weise an Administrator-Zugang im Netzwerk. Durch laterale Bewegung im Netz wird der Angriff auf die gesamte IT-Infrastruktur eines Unternehmens ausgedehnt und dabei Multifaktor-Authentifizierung und andere Sicherheitsvorkehrungen abgeschaltet. So wird es schließlich möglich Ransomware in das Unternehmensnetz einzuschleusen und damit Dateien zu verschlüsseln als Basis für die Erpressung eines Unternehmens.

Dieses Einfallstor spielt ihr Gefahrenpotenzial aus durch den Umgang mit Remote Access VPN Systemen. Eine Rolle spielen dabei folgende Faktoren:

  • Das Patchen der VPN-Systeme wird vergessen oder aufgrund von Ressourcenmangel zu langsam umgesetzt, wodurch sich Angreifern Schwachstellen auftun.
  • Anwender werden in das gesamte Netzwerk platziert und darin besteht die gesamte Genese des Angriffspotenzials. Da VPNs im Internet auffindbar sein müssen, tut sich damit ein Angriffsvektor auf.
  • Laterale Bewegungen im Netzwerk erlaubt die Ausbreitung von Malware, die auch trotz Netzwerksegmentierung (die aufgrund der Komplexität nicht überall eingesetzt wird) möglich ist.

Die negativen Folgen von RAS-VPNs haben alternative Lösungsansätze auf den Plan gebracht. Gartner geht davon aus, dass 60 Prozent der Unternehmen bis 2023 die meisten ihrer Remote Access VPNs auslaufen lassen werden und dafür auf Zero Trust Network Access (ZTNA) setzen. Mit Hilfe von ZTNA wird der Zugriff auf Ebene einer einzelnen Anwendung ermöglicht, ohne den Zugriff auf das gesamte Firmennetz zu öffnen.

Da die Infrastruktur nicht mehr dem Internet ausgesetzt wird, werden Anwendungen im Internet unsichtbar und damit nicht angreifbar. Nicht zuletzt erhalten Remote Mitarbeiter durch einen ZTNA-Service schnellen und reibungslosen Zugriff auf ihre Anwendung, unabhängig mit welchem Gerät oder von welchem Standort aus sie darauf zugreifen.
15.01.2020/dr

Tipps & Tools

Endgeräte über Google Drive infizierbar [7.04.2020]

Das ThreatLabZ-Team von Zscaler hat einen neuen Downloader entdeckt, der sich Google Drive zu Nutze macht, um Endgeräte mit Malware zu infizieren. Die Schadsoftware zielt mit etwa einer Milliarden Google-Drive-Benutzern auf eine denkbar große Anwenderbasis ab und verfolgt laut den Forschern letztendlich das Ziel, Passwörter auszuspähen. [mehr]

VPN mit PRTG überwachen [4.04.2020]

IT-Umgebungen verschiedener Standorte sind häufig mit einer VPN-Verbindung untereinander vernetzt. Wenn Sie bereits die Verfügbarkeit ihrer Netzwerkinfrastruktur mit PRTG überwachen, ist es sinnvoll, das Tool nun auch für das Monitoring der VPN-Verbindungen einzusetzen. Wie genau Sie das VPN effektiv überwachen und bei einem Ausfall zugleich möglichst wenig Benachrichtigungen erhalten, zeigt unser Tipp. [mehr]

Fachartikel

Sieben Schritte für mehr Remote-Access-Kontrolle [8.04.2020]

Produktivität oder Sicherheit? Da sollte es kein Entweder-oder-Denken geben, auch wenn dieses Dilemma ein Dauerthema ist – besonders wenn Mitarbeiter sich zur Erledigung ihrer Aufgaben von außen in Unternehmensnetze einwählen. Der Fachartikel beschreibt, wie die Gefahrenlage bei der Zusammenarbeit mit Drittanbietern aussieht, die Fernzugriff auf IT-Systeme haben, und welche Maßnahmen Organisationen zu ihrem Schutz ergreifen sollten. [mehr]

Buchbesprechung

Technik der IP-Netze

von Anatol Badach und Erwin Hoffmann

Anzeigen