Warum ich Ihre Sicherheitsgeräte liebe (einbreche)

  • David “moose” Wolpoff, CTO bei Randori, spricht über Security Appliances und VPNs und wie Angreifer nur ein “Schloss knacken” müssen, um über sie in ein Unternehmen einzudringen.

    Inmitten der Ransomware-Angriffe auf Colonial Pipeline und JBS, die weltweit Schockwellen in den Medien auslösten, wurde bekannt, dass Angreifer in der Lage waren, Colonial Pipeline über ein Legacy-VPN-Konto zu kompromittieren. Das Konto verfügte nicht über eine Multifaktor-Authentifizierung (MFA) und wurde nicht aktiv im Unternehmen genutzt – ein Szenario, das wahrscheinlich nicht nur für die Pipeline gilt.

    Durchgesickerte Zugangsdaten oder das Fehlen von MFA werden nicht der einzige Grund sein, warum VPNs für die meisten Sicherheitsorganisationen eine Schwachstelle darstellen. Eine Wäscheliste von Schwachstellen in Sicherheits-Appliances, die in den letzten 12 Monaten gefunden wurden – darunter Palo Alto Networks, F5 und Citrix (oder auch der berüchtigte SolarWinds-Angriff von 2020) – liefert weitere Beweise. Aber wenn man als Angreifer auf VPNs und andere Sicherheits-Appliances abzielt, ist es nicht die relative Fülle an Schwachstellen, die Appliances zu einem bevorzugten Ziel macht, sondern weil Unternehmen zu viel Vertrauen in Sicherheits-Tools setzen.

    Sicherheitstools sind oft das schwächste Glied in Unternehmen und können für Angreifer der beste Weg in ein Netzwerk sein. Sicherheitslösungen können einem Angreifer wie mir das Leben schwer machen, aber sie bieten auch die größte Chance.

    Ihre Appliances rangieren hoch in der Angreifbarkeit

    Unternehmen kaufen Mehrzweck-Sicherheitslösungen wie VPNs, Firewalls, Überwachungslösungen oder Netzwerksegmentierungsgeräte der Einfachheit halber. Eine einzige Sicherheitslösung deckt mehrere Sicherheitsfunktionen ab und erfüllt viele der benötigten Sicherheitskontrollen. Das Problem bei der Anschaffung einer einzigen Sicherheitslösung für alles ist jedoch, dass Sie einen einzigen Fehlerpunkt haben. Wenn die Box kompromittiert wird, fällt alles aus.

    Dies ist das gewünschte Ergebnis der meisten Angriffskampagnen. Da Angreifer ihre eigenen Berechnungen anstellen, um den ROI für die Durchführung einer Kampagne zu ermitteln, werden die Kosten für das Anvisieren von Sicherheitslösungen unbedeutend. Ein kompromittiertes VPN kann zu tiefem Netzwerkzugriff und lateralen Bewegungen durch das Netzwerk führen. Als Angreifer muss ich nur ein einziges Schloss knacken. Wenn ich das tue, habe ich nicht nur Zugriff auf das Netzwerk, sondern auch auf eine hoch vertrauenswürdige Box, die mir viele Privilegien gewährt.

    Im Spiel

    Vor kurzem wurde ich von einem Finanzdienstleistungsinstitut gebeten, auf ihre “Kronjuwelen” zuzugreifen. Alles, was ich brauchte, um ihr gesamtes Netzwerk zu kompromittieren, war:

    Herausfinden, welches VPN sie verwenden (einfach, das konnte ich durch Scannen des Internets herausfinden)

    Eine Sicherheitslücke in diesem VPN finden.

    Genau das habe ich getan – und genau so gehen zahllose Angreifer laufend an ihre Ziele heran. Da die von mir entdeckte Schwachstelle mir die vollständige Kontrolle über das Gerät selbst gab, habe ich es und alle seine Funktionen auf einen Schlag komplett gepwned. Das VPN, das diese Organisation benutzte, war nicht nur ein VPN – es diente auch als Firewall und führte Logging und Netzwerksegmentierung durch. Dieses Sicherheitssystem sollte sie schützen, aber jedem Teil seiner Funktionalität konnte man nicht mehr trauen. Wie kann eine Organisation den Protokollen vertrauen, wenn ein Logger selbst kompromittiert ist?

    Endpunkt-Sicherheitsschichten funktionieren auf die gleiche Weise. Die meisten Unternehmen setzen eine Art von Endpoint Detection and Response (EDR)-Lösung oder Virenschutz auf jedem einzelnen ihrer Endpunkte ein. Wenn ich diese eine Lösung ausnutzen kann (oder sie einfach umgehen kann), bin ich auf jedem einzelnen Computer im Netzwerk g2g.

    Wie man das Security-Appliance-Risiko vermeidet

    Das soll nicht heißen, dass ein Unternehmen keine VPNs verwenden sollte – in der Tat empfehle ich deren Einsatz. In einer idealen Welt würde keine IT-Umgebung einen Single Point of Failure haben, aber Verteidiger müssen vorbeugende Maßnahmen ergreifen, bevor sie einen Einbruch erleiden. Idealerweise sollte Ihr System für einen Angreifer komplex sein, während es für Sie so einfach wie möglich zu navigieren ist. Das bedeutet, sich des Risikos bewusst zu sein und die Möglichkeit, die Kontrolle über diese Geräte zu verlieren, in ihre Sicherheitsprotokolle einzubauen.

    Anbieter sind nicht perfekt. Das ist immer wieder bewiesen worden. Wenn man von einer Box abhängig ist, muss sie zu 100 Prozent perfekt sein. Aber diese Rate der Perfektion ist eine logische Unmöglichkeit. Sie brauchen Tausende von Kontrollen, die übereinander geschichtet sind. “Defense in depth” kann nicht durch eine einzige Box erreicht werden, die alle Ihre Steuerelemente enthält. Sie brauchen mehrere Schichten, verschiedene Kontrollen für den Fall, dass etwas fehlschlägt (was bei allem irgendwann der Fall sein wird).

    Zero-Trust-Prinzipien sollten Ihre Sicherheits-Tools von Drittanbietern einschließen. Tappen Sie nicht in die Falle, zu denken, dass es undurchdringlich ist, nur weil es sich um eine sofort einsatzbereite Appliance handelt, die viel Geld kostet, um sie aufzustellen. Im Sicherheitsbereich ist nichts undurchdringlich, nicht einmal Sicherheitstools. Betrachten Sie Ihre Sicherheitsboxen als genauso hackbar und attraktiver für einen Angreifer als andere Boxen. Halten Sie Notfallpläne bereit für den Fall, dass Ihr Tool in die Schlagzeilen gerät.

    Denken Sie einfach daran: Sie müssen nicht perfekt sein. Sie müssen nur mein Leben als Angreifer ein wenig schwieriger machen, konsequent, über die Zeit. Selbst wenn Sie mir die Arbeit nur ein wenig erschweren, kann das den Unterschied ausmachen, ob Sie zu einer Schlagzeile werden oder einen Angreifer ganz aus Ihrem System heraushalten

    David “Elch” Wolpoff ist CTO bei Randori.

    Weitere Einblicke der InfoSec Insider-Community von Threatpost finden Sie auf unserer Microsite.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com