{"id":35516,"date":"2022-12-15T10:01:16","date_gmt":"2022-12-15T09:01:16","guid":{"rendered":"https:\/\/www.secuinfra.com\/news\/veraltete-vpn-und-remote-access-loesungen-laden-sie-cyberkriminelle-nicht-zu-weihnachten-ein\/"},"modified":"2023-04-12T12:14:16","modified_gmt":"2023-04-12T10:14:16","slug":"veraltete-vpn-und-remote-access-loesungen-laden-sie-cyberkriminelle-nicht-zu-weihnachten-ein","status":"publish","type":"post","link":"https:\/\/testing.secuinfra.com\/de\/techtalk\/veraltete-vpn-und-remote-access-loesungen-laden-sie-cyberkriminelle-nicht-zu-weihnachten-ein\/","title":{"rendered":"Veraltete VPN- und Remote-Access L\u00f6sungen: Laden Sie Cyberkriminelle nicht zu Weihnachten ein!"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_83 counter-flat ez-toc-counter ez-toc-white ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">[inhalt_uebersetzt]<\/p>\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/veraltete-vpn-und-remote-access-loesungen-laden-sie-cyberkriminelle-nicht-zu-weihnachten-ein\/#Das_Ausmass_des_Problems_ist_enorm\" >Das Ausma\u00df des Problems ist enorm<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/veraltete-vpn-und-remote-access-loesungen-laden-sie-cyberkriminelle-nicht-zu-weihnachten-ein\/#SECUINFRA_Incident_Response_Vorgehen\" >SECUINFRA Incident Response Vorgehen<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/veraltete-vpn-und-remote-access-loesungen-laden-sie-cyberkriminelle-nicht-zu-weihnachten-ein\/#Aktuelle_Bedrohungen_fuer_weitere_Produkte\" >Aktuelle Bedrohungen f\u00fcr weitere Produkte<\/a><\/li><\/ul><\/nav><\/div>\n<p>Solche Remote-Access L\u00f6sungen werden beispielsweise f\u00fcr den Netzwerkzugang von Partnerunternehmen oder in Zeiten der COVID19-Pandemie f\u00fcr Mitarbeiter im Homeoffice eingef\u00fchrt. Leider wird die Wartung dieser Netzwerkger\u00e4te in manchen F\u00e4llen vernachl\u00e4ssigt, wodurch Sicherheitsl\u00fccken in diesen Produkten nicht geschlossen werden. Besonders kritisch zu bewerten sind zum Beispiel sogenannte \u201eRemote Code Execution\u201c (RCE) Schwachstellen. Die Ausnutzung dieser kann dem Angreifer einen direkten Systemzugang gew\u00e4hren und nachfolgend die Ausbreitung im Unternehmensnetzwerk erm\u00f6glichen. Dieses Vorgehen wird seit geraumer Zeit unter anderem von Ransomware-Gruppierungen angewandt und birgt enormes Schadenspotential.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Das_Ausmass_des_Problems_ist_enorm\"><\/span>Das Ausma\u00df des Problems ist enorm<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><strong>In den vergangenen Wochen hat das SECUINFRA Falcon Team (DFIR &#8211; Digital Forensics\/Incident Response Team) verschiedene IT-Sicherheitsvorf\u00e4lle bei Unternehmen mit SonicWall Appliances betreut.<\/strong> Ausl\u00f6ser waren Appliances, welche seit l\u00e4ngerer Zeit keine Firmware-Aktualisierungen mehr erhalten hatten.<\/p>\n<p><strong>Seit 2019 wurden \u00fcber 60 Schwachstellen in SonicWall Produkten gefunden, eine detaillierte \u00dcbersicht ist <a  href=\"https:\/\/www.cvedetails.com\/vendor\/628\/Sonicwall.html\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >hier<\/a> zu finden. <\/strong><\/p>\n<p>Einen \u00dcberblick \u00fcber die zahlreiche Verwendung veralteter SonicWall Appliances in Deutschland und somit \u00fcber das enorme Ausma\u00df des Problems findet sich in der unterstehenden Grafik.<\/p>\n<figure id=\"attachment_35512\" aria-describedby=\"caption-attachment-35512\" style=\"width: 1200px\" class=\"wp-caption alignnone\"><img fetchpriority=\"high\" decoding=\"async\" class=\"size-full wp-image-35512\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Sonic-Wall-Appliances.png\" alt=\"\" width=\"1200\" height=\"837\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Sonic-Wall-Appliances.png 1200w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Sonic-Wall-Appliances-300x209.png 300w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Sonic-Wall-Appliances-1024x714.png 1024w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Sonic-Wall-Appliances-768x536.png 768w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Sonic-Wall-Appliances-24x17.png 24w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Sonic-Wall-Appliances-36x25.png 36w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Sonic-Wall-Appliances-48x33.png 48w\" sizes=\"(max-width: 1200px) 100vw, 1200px\" \/><figcaption id=\"caption-attachment-35512\" class=\"wp-caption-text\">Abbildung 1: Verbreitung \u00e4lterer SonicWall Appliances in Deutschland (enth\u00e4lt sowohl potentiell verwundbare als auch nicht-verwundbare Systeme)<\/figcaption><\/figure>\n<h2><span class=\"ez-toc-section\" id=\"SECUINFRA_Incident_Response_Vorgehen\"><\/span>SECUINFRA Incident Response Vorgehen<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Bei der Behandlung jedes Vorfalls verschafften wir uns zun\u00e4chst einen \u00dcberblick \u00fcber die Situation, um kritische Systeme zu identifizieren. Die Logdaten von Firewalls und kritischen Computersystemen wurden auf vorhergegangene, unberechtigte Zugriffe \u00fcberpr\u00fcft.<\/p>\n<p>Um eine Kompromittierung der Unternehmensinfrastruktur ausschlie\u00dfen oder gegebenenfalls behandeln zu k\u00f6nnen, wenden wir unseren <strong><a href=\"https:\/\/testing.secuinfra.com\/services\/compromise-assessment\/\">Compromise Assessment Service<\/a> <\/strong>an. Dabei wurden forensische Artefakte auf Client- und Server-Systemen des Kunden anhand statischer Regelwerke und unter Einbezug aktueller Threat-Intelligence Daten, jeweils abgestimmt auf den Vorfall, analysiert. Bei einem unserer Kunden beinhaltete das Assessment den Einbezug seiner OT- (Operational Technology) Umgebung, welche Prozessleittechnik und dazugeh\u00f6rige Kontrollsysteme mit veralteten Betriebssystemen aufwies. In Verbindung mit der nicht aktualisierten Firmware der Appliance erm\u00f6glicht dies einem Angreifer sich noch leichter im Unternehmensnetzwerk bewegen zu k\u00f6nnen. Gl\u00fccklicherweise wurde die Kompromittierung schnell erkannt und der Angreifer aus dem Netzwerk vertrieben, bevor er die OT-Umgebung \u00fcbernehmen und somit die Produktion unseres Kunden beeinflussen konnte.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Aktuelle_Bedrohungen_fuer_weitere_Produkte\"><\/span>Aktuelle Bedrohungen f\u00fcr weitere Produkte<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><strong>Seit Mitte Dezember 2022 bedrohen nun au\u00dferdem zwei neue Sicherheitsl\u00fccken Unternehmensnetzwerke weltweit:<\/strong><\/p>\n<ul>\n<li>CVE-2022-42475 in Fortinet Produkten (<a  href=\"https:\/\/www.fortiguard.com\/psirt\/FG-IR-22-398\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >Herstellermeldung<\/a>) und<\/li>\n<li>CVE-2022-27518 in Citrix ADC und Gateway Systemen (<a  href=\"https:\/\/www.citrix.com\/blogs\/2022\/12\/13\/critical-security-update-now-available-for-citrix-adc-citrix-gateway\/\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >Herstellermeldung<\/a>).<\/li>\n<\/ul>\n<p>Beide Schwachstellen werden aktuell aktiv, zum Teil von Advanced Persistent Threats, ausgenutzt, wie <a  href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/fortinet-says-ssl-vpn-pre-auth-rce-bug-is-exploited-in-attacks\/\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >BleepingComputer<\/a> und der amerikanische Nachrichtendienst <a  href=\"https:\/\/media.defense.gov\/2022\/Dec\/13\/2003131586\/-1\/-1\/0\/CSA-APT5-CITRIXADC-V1.PDF\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >NSA<\/a> berichten.<\/p>\n<p><strong>Um solchen Sicherheitsvorf\u00e4llen effizient vorzubeugen, empfehlen wir folgende Ma\u00dfnahmen:<\/strong><\/p>\n<ul>\n<li>Halten Sie die Software von Netzwerk- und Computer-Systemen aktuell. Informieren Sie sich beim Produkthersteller oder reputablen Nachrichtenquellen \u00fcber aktuelle Sicherheitsl\u00fccken und entsprechende Updates.<\/li>\n<li>Verwenden Sie komplexe Zugangsdaten und Multi-Faktor-Authentifizierung. Entfernen Sie ungenutzte Accounts.<\/li>\n<li>Binden Sie Netzwerksicherheits-Systeme an eine Log-Management Plattform an, um Alarmierungen und Analysen zu vereinfachen.<\/li>\n<li><strong>Im Falle einer (verd\u00e4chtigten) Kompromittierung:<\/strong> Isolieren Sie die Appliance sowohl vom Internet als auch vom internen Unternehmensnetzwerk. Stellen Sie durch eine forensische Untersuchung, wie zum Beispiel unser Compromise Assessment sicher, dass kein aktiver Fremdzugriff besteht. \u00c4ndern Sie alle vergebenen Zugangsdaten und Zertifikate. \u00dcberpr\u00fcfen Sie die Konfiguration (z.B. der Firewall) auf Manipulationen.<\/li>\n<\/ul>\n<div class=\"fazit\"><\/p>\n<p><strong>Haben Sie Fragen oder ben\u00f6tigen Sie unsere Unterst\u00fctzung? Kontaktieren Sie uns telefonisch unter +49 30 5557021 11 oder <a href=\"https:\/\/testing.secuinfra.com\/contact\/\">online<\/a>\u00a0&#8211; wir sind gerne f\u00fcr Sie da!<\/strong><\/p>\n<p><\/div>\n","protected":false},"excerpt":{"rendered":"<p>Aus aktuellem Anlass empfiehlt das SECUINFRA Falcon Team dringend die Aktualisierung der Firmware von VPN-\/Remote-Access L\u00f6sungen der Hersteller SonicWall, Fortinet und Citrix.<\/p>\n","protected":false},"author":6,"featured_media":35518,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[302,66],"tags":[],"dpc_coauthors":[],"class_list":["post-35516","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-sicherheitsbedrohungen","category-techtalk"],"acf":[],"_links":{"self":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/35516","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/comments?post=35516"}],"version-history":[{"count":0,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/35516\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media\/35518"}],"wp:attachment":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media?parent=35516"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/categories?post=35516"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/tags?post=35516"},{"taxonomy":"dpc_coauthors","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/dpc_coauthors?post=35516"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}