Schwachstellen: Cyberoam von vpnMentor rechtzeitig gewarnt

Nach Information durch „ethische Hacker“ wurden durch Sophos „Hotfixes“ veröffentlicht

[datensicherheit.de, 02.06.2020] „vpnMentor.com“ ist nach Angaben des Betreibers „die weltweit größte VPN-Überprüfungs-Website“. Das eigene Sicherheitsforschungslabor ist demnach ein sog. Pro-Bono-Service, welcher der Online-Gemeinschaft helfen soll, sich gegen Cyber-Bedrohungen zu verteidigen, und gleichzeitig Organisationen über den Schutz der Daten ihrer Benutzer aufklärt. In einem aktuellen Bericht wird auf die Entdeckung von drei Schwachstellen in der Firewall-/VPN-Technologie des Cyber-Sicherheitsanbieters Cyberoam (a Sophos Company) eingegangen – diese beträfen das „E-Mail-Quarantänesystem“, welches ohne Authentifizierung erreichbar sei.

Abbildung: vpnMentor

vpnMentor-Report „Critical Flaws in Cybersecurity Devices Exposed Entire Networks to Attack and Takeover“

In kurzer Folge drei Schwachstellen in Cyberoam-Produkten gefunden

Die Schwachstellen seien von verschiedenen unabhängig voneinander arbeitenden Forschern entdeckt worden. Über die erste Schwachstelle sei Ende 2019 berichtet worden, während die zweite Anfang 2020 von einem anonymen „ethischen Hacker“ mit vpnMentor geteilt worden sei. Sophos habe bereits „Hotfixes“ zur Behebung dieser beiden Schwachstellen veröffentlicht. Nach Bestätigung der Ergebnisse habe das eigene Team dann noch eine dritte, bisher ebenfalls unbemerkt gebliebene Schwachstelle entdeckt.
Diese Schwachstellen könnten sowohl unabhängig voneinander als auch in ihrer Gesamtheit ausgenutzt werden, indem eine böswillige Anfrage gesendet werde, welche es einem nicht authentifizierten Angreifer aus der Ferne ermöglichen würde, beliebige Befehle auszuführen.

Jedes von Cyberoam-Firewalls geschützte Gerät hätte ausgenutzt werden können

Cyberoam entwickle hauptsächlich Technologielösungen für große Unternehmen sowie internationale Organisationen und integriere sie in umfangreichere Netzwerke. Die Software werde normalerweise am Rand eines Netzwerks platziert und umgebe dieses mit zahlreichen Sicherheitstools. Im Wesentlichen bilde sie ein Gateway, welches den Zugriff für Mitarbeiter und andere berechtigte Parteien ermöglichen und gleichzeitig jeden unberechtigten Eintritt in ein Netzwerk blockieren solle.
Der Hauptdefekt in der Sicherheit von Cyberoam habe nun zwei separate Sicherheitslücken in der Art und Weise betroffen, wie E-Mails auf einem Cyberoam-Gerät aus der Quarantäne freigegeben werden. Beide nicht miteinander in Zusammenhang stehenden Probleme hätten dazu verwendet werden können, Hackern Zugriff auf Geräte zu gewähren – in letzter Konsequenz also jedes von Cyberoam-Firewalls geschützte Gerät auszunutzen. Das erste Problem sei gegen Ende des Jahres 2019 entdeckt, an Sophos gemeldet und von Sophos sowie Cyberoam umgehend behoben worden.

Möglicher Hacker-Zugriff über webbasierte Cyberoam-Firewall-Oberfläche

Das zweite Problem sei von einem anonymen Hacker mit ethischen Grundsätzen mitgeteilt worden. Nachdem das interne Team des eigenen Forschungslabors unter der Leitung von Nadav Voloch diese vom anonymen Hacker gemeldete Sicherheitslücke überprüft hatte, habe Nadav die Überprüfung der früheren Offenlegung der Sicherheitslücke und der Cyberoam-Server-Schnittstellen fortgesetzt. Er habe dann feststellt, dass die Geräte von Cyberoam Standardkennwörter unterstützten. Insgesamt handele es sich dabei um zwei separate, nicht authentifizierte Sicherheitslücken in der E-Mail-Quarantäne-Funktion, die innerhalb von sechs Monaten entdeckt worden seien, und zusätzlich noch die Unterstützung von Standardkennwörtern. Man habe sodann mit Cyberoam zusammengearbeitet, indem ein Zeitplan für die Offenlegung und eine Patch-Umgehung koordiniert worden seien.
Im Grunde genommen ermöglichten diese Sicherheitslücken bösartigen Hackern indirekten Zugriff auf jedes Sicherheitsgerät von Cyberoam über die zentrale webbasierte Firewall-Oberfläche des Betriebssystems. Dies sei aufgrund eines Fehlers bei der Einrichtung des Zugriffs auf Benutzerkonten auf ihren Geräten möglich geworden. Für die Ausnutzung dieser Sicherheitslücken sei keine Authentifizierung erforderlich gewesen. Ein Angreifer habe lediglich die IP-Adresse des anfälligen Cyberoam-Geräts kennen müssen, um eine zuverlässige „Shell“ ohne Abstürze zu erhalten. „Sobald Hacker Remote-Zugriff auf die Cyberoam-OS-Shell erhalten, können sie indirekt auf jede Serverdatei zugreifen und das gesamte Netzwerk überwachen.“ Dies sei auch eine privilegierte Position, um auf andere Geräte zuzugreifen, die mit demselben Netzwerk verbunden sind – oft eine ganze Organisation.

Mindestens 170.000 einzelne Cyberoam-Firewalls mit Internet-Verbindung potenziell betroffen

vpnMentors eigene Untersuchung des Ausmaßes der Sicherheitsanfälligkeit habe gezeigt, dass mindestens 170.000 einzelne Firewalls mit Internet-Verbindung potenziell von der Sicherheitsanfälligkeit betroffen gewesen seien. Jede einzelne fungiere als potezieller Zugang zu Tausenden von unabhängigen Organisationen auf der ganzen Welt.
Da Cyberoam-Geräte und -VPNs oft als grundlegendes Sicherheits-Gateway zum Schutz großer Netzwerke verwendet würden, hätte jede Sicherheitsanfälligkeit in ihrer Software schwerwiegende Auswirkungen auf ein betroffenes Netzwerk. Hacker könnten sich dann theoretisch einfach in andere Geräte in diesem Netzwerk einschalten und jeden angeschlossenen Computer, Laptop, Telefon, Tablet oder Smart Device steuern.

Cyberoam-Geräte auf „Shodan“ zu lokalisieren

Hacker könnten Cyberoam-Geräte recht einfach aufspüren, da die Informationen über die Internet-Suchmaschinen wie „Shodan“ und „ZoomEye“ öffentlich zugänglich seien. Diese speziellen Suchmaschinen dienten dem Auffinden für mit dem Internet verbundene Geräte, mit denen jedes in einem Netzwerkbereich betriebene Gerät (oder jeder Server) sowie dessen Standort über eine IP-Adresse angezeigt werden könnten.
Mithilfe von „Shodan“ z.B. seien die IP-Adressen von ungefähr 86.000 Cyberoam-Geräten einfach herausgefiltert worden – vermutlich „nur ein kleiner Bruchteil der tatsächlichen Größe des Netzwerks“, denn es gebe viel mehr versteckte Geräte, welche nicht mit dem Internet verbunden seien und sich in nicht standardmäßigen Konfigurationen befänden.

Trotz Behebung der Schwachstellen könnte Cyberoam weiter im Visier sein

Die Gefahren seien ziemlich ernstzunehmen. Eine erfolgreiche Ausbeutung hätte es böswilligen Angreifern ermöglichen können, unbefugten Zugang zu und Kontrolle über 100.000 potenziell sensible Unternehmensnetzwerkgeräte auf der ganzen Welt zu erlangen. Der Zugriff auf ein ganzes Netzwerk und die Kontrolle darüber würde es ermöglichen, eine große Bandbreite an Betrug, Angriffen und Diebstahl zu begehen:

• Diebstahl privater Daten
• Netzwerk-, Konto- und Geräteübernahme
• böswillige Manipulation legitimer Netzwerkpakete

Glücklicherweise seien diese Schwachstellen noch rechtzeitig entdeckt und gegenüber Sophos verantwortungsbewusst aufgedeckt und offengelegt worden, worauf schnell reagiert und „Hotfixes“ erstellt worden seien. „Wären diese Schwachstellen von kriminellen Hackern entdeckt worden, hätten die Auswirkungen auf die betroffenen Netzwerke katastrophal sein können.“ Konkret: „Wenn diese Sicherheitslücke schließlich von kriminellen oder böswilligen Hackern entdeckt worden wäre, hätte sie zu direkten Angriffen auf das Netzwerk von Cyberoam, ihre Partner und die Kunden der Partner führen können.“ Diese Sicherheitsanfälligkeit seien zwar behoben worden, aber Cyberoam könnte jedoch immer noch mit erhöhter Aufmerksamkeit von Hackern konfrontiert werden, welche sich der beständigen Fehler in den Sicherheitsprotokollen bewusst seien und nach weiteren Fehlern in anderen Bereichen suchten.

Cyberoam-Benutzer sollten sich der früheren Sicherheitslücken bewusst sein

Wer derzeit ein Cyberoam-Sicherheitsgerät verwendet, möge sicherstellen, den neuesten Sicherheitspatch von Sophos zu erhalten und zu installieren. Ferne sei darauf zu achten, dass niemand im Netzwerk mehr die von Cyberoam ursprünglich bereitgestellten Standard-Anmeldeinformationen verwendet oder dass die noch verwendeten manuell deaktiviert sind. Als ethische Hacker seien sie verpflichtet, ein Unternehmen zu informieren, wenn Schwachstellen in dessen Online-Sicherheit entdeckt werden. Eben genau das habe man in diesem Fall getan: Sobald sie auf diese Umgehung aufmerksam gemacht wurden, hätten sie sich an Cyberoam und Sophos gewandt – „nicht nur, um sie über die Schwachstelle zu informieren, sondern auch, um ihnen zu erklären, wie sie funktioniert“.
Sophos habe schnell geantwortet und der Prozess zur Behebung des Problems sofort begonnen. Die vpnMentor-Ethik bedeute aber auch, Verantwortung gegenüber der Öffentlichkeit zu tragen: Cyberoam-Benutzer müssten sich der früheren Sicherheitslücken bewusst sein, von denen auch sie betroffen gewesen seien. Der Zweck des eigenen Forschungslabors sei es, „das Internet für alle Benutzer sicherer zu machen“. Man tue sein Bestes, um sensible Benutzerdaten geheim zu halten, „indem wir weit verbreitete Software-Fehler wie diesen finden und aufdecken“.

Weitere Informationen zum Thema:

vpnMentor, 14.05.2020
Report: Critical Flaws in Cybersecurity Devices Exposed Entire Networks to Attack and Takeover

vpnMentor
Blog

datensicherheit.de, 08.05.2020
VPN-Anbieter HMA führt No-Logs-Richtlinie ein

datensicherheit.de, 18.04.2020
Zscaler: Warnung vor Fake-VPN-Seiten zur Verbreitung von Infostealer-Malware

datensicherheit.de, 15.04.2020
Schwächen konventioneller VPN-Verbindungen für die Anbindung von Home-Offices

datensicherheit.de, 30.03.2020
VPN-Nutzung: Endgeräte-Hygiene im Home-Office empfohlen