09. August 2019 |

Schwerwiegende Sicherheitslücke in weit verbreiteten „BIG-IP“-Produkten von F5 Network könnte zu weitreichenden Cyberangriffen führen

Sicherheitsforscher von F-Secure hat eine Sicherheitslücke aufgedeckt, die potenziell hunderttausende, bei Banken, Regierungen und großen Unternehmen eingesetzte Load Balancer zu Grundpfeilern für Cyberangriffe machen. Die Lücke ist besonders schwerwiegend, da BIG-IP-Cyberattacken sehr verdeckt stattfinden.

Der Cybersicherheitsanbieter F-Secure sieht eine ernsthafte Bedrohung bei der Nutzung des BIG-IP-Load-Balancer von F5 Networks und rät Unternehmen, die das Produkt einsetzen, die Sicherheitsprobleme in einigen Standardkonfigurationen schnellstmöglich zu beheben. Angreifer können die unsicher konfigurierten Load Balancer dazu nutzen, um in Netzwerke einzudringen und Angriffe gegen Unternehmen oder Einzelpersonen durchzuführen, die von einem kompromittierten Gerät verwaltete Web-Dienste nutzen.

Die Sicherheitslücke tritt in der verwendeten Programmiersprache Tcl auf, in der die sogenannten iRules von BIG-IP geschrieben sind. Über diese iRules koordiniert BIG-IP den gesamten eingehenden Traffic. Bestimmte Schadcodes ermöglichen es Angreifern, beliebige Tcl-Befehle in die iRules einzuschleusen, welche dann in dieser vermeintlich sicheren Umgebung ausgeführt werden.

Die Bedeutung dieser Sicherheitslücke für die betroffenen Unternehmen ist enorm, da Angreifer solche unsicher konfigurierten iRules ausnutzen können, um kompromittierte BIG-IP-Geräte als Ausgangspunkt weiterer Angriffe zu verwenden. Zudem ist es Angreifern möglich, den Web-Traffic abzufangen und zu manipulieren. Durch die Offenlegung sensibler Informationen – einschließlich der Login-Daten und persönlicher Anwendungsgeheimnisse – können Nutzer von betroffenen Webservices somit gezielt Opfer von Angriffen werden.

In manchen Fällen ist das Ausnutzen eines anfälligen Systems so simpel, dass der Befehl oder Schadcode lediglich über eine einfache Webanfrage eingeschleust werden muss, die der Dienst sodann für den Angreifer ausführt. Erschwerend kommt hinzu, dass in einigen Situationen das kompromittierte Gerät die Handlungen der Hacker nicht protokolliert, so dass im Anschluss keinerlei Beweise für einen Angriff vorhanden sind. In wieder anderen Fällen können Angreifer entstandene Logfiles – und damit die Beweise für ihre Aktivitäten – einfach löschen. Dies erschwert die Untersuchung und Aufklärung solcher Vorfälle erheblich. Ein denkbares Szenario: Hacker könnten Kunden betroffener Banken ausspionieren und deren Bankkonto leerräumen. „Selbst wenn der Kunde einen solchen Schaden meldet, wäre der Angriff für die Bank nur mit forensischen Untersuchungen auf dem Load Balancer nachvollziehbar, da BIG-IP-Cyberattacken sehr verdeckt stattfinden.“, so F-Secure Senior Security Consultant Christoffer Jerkeby.

Jerkeby weiter: „Dieses Konfigurationsproblem ist äußerst gravierend, da es versteckt genug liegt, um unbemerkt von Hackern genutzt zu werden. Diese können dann eine Vielzahl unterschiedlicher Ziele verfolgen und anschließend alle Spuren verwischen. Darüber hinaus sind viele Organisationen nicht darauf vorbereitet, auftretende Sicherheitsrisiken zu identifizieren und zu beheben, die tief in den Software-Lieferketten versteckt sind. Betrachtet man alle diese Punkte in Summe, so haben wir es hier mit einem potenziell großen Sicherheitsproblem zu tun. Solange Unternehmen nicht wissen, wonach sie suchen müssen, ist es für sie ungeheuer schwer, auf dieses Problem vorbereitet zu sein und umso komplizierter wird es entsprechend, mit einer konkreten Angriffssituation umzugehen.“

Jerkeby hat im Rahmen seiner Recherche über 300.000 aktive BIG-IP-Implementierungen im Internet ausmachen können, vermutet jedoch aufgrund methodischer Limitierungen seiner Untersuchung eine viel höhere Anzahl. Etwa 60 Prozent der von ihm entdeckten BIG-IP-Instanzen stammten aus den Vereinigten Staaten.

Und obwohl nicht automatisch jedes Unternehmen betroffen ist, das BIG-IP-Systeme im Einsatz hat, bedeutet die weite Verbreitung des Load Balancers doch, dass die entsprechenden Organisationen ihre eigene Risikosituation untersuchen und einschätzen sollten. Gerade durch die Popularität bei Banken, Regierungen und anderen Organisationen, die Web-Dienste für eine große Anzahl von Menschen bereitstellen, ist die Sicherheitslücke auch für die Nutzer dieser Dienste elementar.

„Solange ein Unternehmen keine eingehende technische Prüfung seiner Systeme durchgeführt hat, ist die Wahrscheinlichkeit groß, dass es von der Sicherheitslücke betroffen ist“, so Jerkeby. „Selbst jemand, der unglaublich sicherheitsbewusst ist und in einem sicherheitstechnisch gut ausgestatteten Unternehmen arbeitet, könnte diese Lücke übersehen. Aus diesem Grund ist die Aufklärung über diese Problematik wirklich wichtig, wenn wir Unternehmen dabei unterstützen wollen, sich besser vor einem möglichen Bedrohungsszenario zu schützen.”

Empfohlene Schritte für Unternehmen

Durch einfache Massenscans können Hacker das Internet nach verwundbaren Stellen von Big-IP-Systemen durchforsten. Da sich solche Massenscans auch ganz einfach automatisieren lassen, wird die Sicherheitslücke wahrscheinlich sehr bald das Interesse von sogenannten Bug-Bounty-Jägern und Angreifern auf sich ziehen. Darüber hinaus können von potenziellen Hackern kostenlose Testversionen der BIG-IP-Technologie direkt vom Hersteller bezogen und kostengünstig Cloud-Instanzen abgerufen werden. Aus diesen Gründen und durch die potenziell schwerwiegenden Auswirkungen von Angriffen rät F-Secure Unternehmen, proaktiv zu untersuchen, ob sie betroffen sind oder nicht.

Jerkeby hat bei der Entwicklung einiger kostenfreier Open-Source-Tools mitgewirkt, mit denen Unternehmen unzureichende Konfigurationen in ihren BIG-IP-Implementierungen erkennen können. Laut Jerkeby gibt es in Fällen wie diesen jedoch keine schnelle Lösung, so dass Unternehmen dieses Problem selbst bzw. mit Unterstützung externer Experten angehen müssen.

„Die gute Nachricht ist, dass nicht automatisch jeder Nutzer des Produktes betroffen ist. Schlecht wiederum ist, dass das Problem nicht über einen einfachen Patch oder ein Software-Update des Herstellers behoben werden kann. Es liegt an den betroffenen Unternehmen selbst, die entsprechenden Vorkehrungen zu treffen. Sie müssen prüfen, ob sie tatsächlich von diesem Sicherheitsproblem betroffen sind. Und sie stehen selbst in der Verantwortung, es gegebenenfalls zu lösen“, erklärt Jerkeby. „Deshalb ist es so wichtig, dass jeder, bei dem BIG-IP zum Einsatz kommt, jetzt proaktiv handelt!“

Weitere Infos zu Jerkebys Nachforschungen finden Sie auf dem Blog von F-Secure unter https://blog.f-secure.com/de/big-ip/.

 

 

Aktuelle Pressemitteilungen

23. Oktober 2019

„Global Partner Program“ von F-Secure gewinnt Auszeichnung zum „Program of the Year“

SiriusDecisions erkennt die auf Partner orientierte Wachstumsoffensive von F-Secure als branchenführendes Channel-Sales-Programm an

17. Oktober 2019

MITRE ATT&CK bestätigt marktführende Stellung von F-Secure bei der Erkennung von komplexen Bedrohungen

Ergebnisse belegen, dass die EDR-Technologien von F-Secure eine sehr gute Basis für den Aufbau von umfassenden „Detection & Response“-Fähigkeiten darstellen

09. August 2019

Schwerwiegende Sicherheitslücke in weit verbreiteten „BIG-IP“-Produkten von F5 Network könnte zu weitreichenden Cyberangriffen führen

Sicherheitsforscher von F-Secure hat eine Sicherheitslücke aufgedeckt, die potenziell hunderttausende, bei Banken, Regierungen und großen Unternehmen eingesetzte Load Balancer zu Grundpfeilern für Cyberangriffe machen. Die Lücke ist besonders schwerwiegend, da BIG-IP-Cyberattacken sehr verdeckt stattfinden.

23. Juli 2019

F-Secure erhält Auftrag in Höhe von mehr als zwei Millionen Euro

Großes europäisches Unternehmen sichert sich die Dienste der Managed Detection & Response (MDR)-Lösung Countercept

%d Bloggern gefällt das: