Security: Hintertür in Ciscos VPN-Dienst wird weiter ausgenutzt

Eine seit einem Jahr bekannte Sicherheitslücke in einem VPN-Dienst von Cisco wird offenbar weiterhin ausgenutzt, weil nicht alle Systeme gepatcht sind. Sicherheitsforscher haben noch weitere Angriffe auf Cisco-Produkte vorgestellt, die mittels Javascript Nutzerdaten abgreifen.

Artikel veröffentlicht am ,
Angreifer haben die Login-Seite von Ciscos-VPN-Diensten manipuliert, um Nutzerdaten abzugreifen.
Angreifer haben die Login-Seite von Ciscos-VPN-Diensten manipuliert, um Nutzerdaten abzugreifen. (Bild: Volexity)

Angreifer haben VPN-Software von Cisco infiziert, um Nutzerdaten abzugreifen. Informationen zu der Angriffsmethode hat jetzt die Sicherheitsfirma Volexity in einem Blogpost vorgestellt. Die angegriffene VPN-Software mit dem Namen Cisco Clientless SSL VPN benötigt, wie der Name schon sagt, keinen eigenen Client, sondern kann über ein Webinterface bedient werden. Sie ist Teil von Ciscos Adaptive-Security-Appliance-Suite und wird vor allem von großen Firmen eingesetzt.

Stellenmarkt
  1. IT-Mitarbeiter (all Genders) für den Bereich Technical Support/1st Level Support
    Watson Farley & Williams LLP, Düsseldorf, Frankfurt am Main, Hamburg, München
  2. (Junior) IT-Anforderungsmanager (m/w/x) Warenwirtschaftssysteme / Filialhandel - International
    ALDI International Services GmbH & Co. oHG, Mülheim an der Ruhr
Detailsuche

Die Angreifer nutzen die Sicherheitslücke CVE-2014-3393 nach Angaben von Volexity bereits seit November 2014 aus. Die Lücke wurde zwar bereits im vergangenen Jahr von Cisco gepatcht, doch nicht alle angegriffenen Organisationen haben die Updates rechtzeitig eingespielt, obwohl Cisco schon im Februar 2015 vor aktiven Exploits gewarnt hat:

"Eine Sicherheitslücke im Anpassungs-Framework des Clientless-SSL-VPN-Portals kann einen nichtautorisierten Remote-Angreifer in die Lage versetzen, den Inhalt der Portal-Seite zu verändern. Dies könnte für Angriffe missbraucht werden, um Nutzerdaten zu stehlen, XSS-Angriffe durchzuführen oder andere Formen webbasierter Angriffe auf den Client ermöglichen, der das betroffene System nutzt."

Metasploit-Modul verfügbar

Unter dem Namen "Breaking Bricks" existiert auch ein von Alec Stuart entwickeltes Metasploit-Modul, um die Sicherheitslücke auszunutzen. Cisco hat Richtlinien veröffentlicht, um die Sicherheit von Firewall- und VPN-Produkten zu verbessern.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  3. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
Weitere IT-Trainings

Angreifer veränderten nach Angaben von Volexity die Logon.html-Seite von Organisationen, die ihre Software nicht auf den neuesten Stand gebracht hatten. Sie luden mit der Login-Seite das Script 1.js, eine Variante von xss.js - ein Skript, um Nutzerdaten abzugreifen. Nach Angaben der Forscher bietet auch der Einsatz von Zwei-Faktor-Authentifizierung in diesem Fall keinen ausreichenden Schutz vor Angriffen.

Von dem vorgestellten Angriff betroffen waren nach Angaben von Volexity medizinische Organisationen, Thinktanks, NGOs, Universitäten und internationale Unternehmen. Volexity hat weitere Angriffe dokumentiert, unter anderem gegen die japanische Regierung und verschiedene Hightech-Industrien. In diesem Fall verfügten die Angreifer aber vermutlich bereits über administrative Zugänge, die es ihnen dann ermöglichten, Nutzerdaten abzugreifen.

Auch in diesen Fällen hätten Angreifer Java-Script-Module geladen, um verschiedene Angriffe durchzuführen. Als Beispiel zitieren die Forscher den Keylogger Scanbox und die Malware PlugX.

Die Sicherheitsforscher empfehlen Administratoren, stärker nach Sicherheitslücken in VPN-Diensten und Firewalls zu suchen. Erst vor wenigen Wochen war eine Malware bekanntgeworden, die Hintertüren in Cisco-Routern installiert. Sie betonen, dass ähnliche Angriffe nicht nur Cisco-Produkte betreffen. Andere VPN-Dienste und Webserver seien für Angreifer gleichermaßen interessant.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Luftsicherheit
Wenn plötzlich das Foto einer Waffe auf dem iPhone erscheint

Ein Jugendlicher hat ein Foto einer Waffe per Apples Airdrop an mehrere Flugpassagiere gesendet. Das Flugzeug wurde daraufhin evakuiert.

Luftsicherheit: Wenn plötzlich das Foto einer Waffe auf dem iPhone erscheint
Artikel
  1. Black Widow: Scarlett Johansson verklagt Disney
    Black Widow
    Scarlett Johansson verklagt Disney

    Scarlett Johansson hat wegen des Veröffentlichungsmodells von Black Widow Klage eingereicht. Disney nennt das Verhalten "herzlos".

  2. VW ID.4 im Test: Schön brav
    VW ID.4 im Test
    Schön brav

    Eine Rakete ist der ID.4 nicht. Dafür bietet das neue E-Auto von VW viel Platz, hält Spur und Geschwindigkeit - und einmal geht es sogar sportlich in die Kurve.
    Ein Test von Werner Pluta

  3. Kryptowährung: Paar will Ethereum verklagen, weil es nicht an Coins kommt
    Kryptowährung
    Paar will Ethereum verklagen, weil es nicht an Coins kommt

    3.000 Ether kaufte ein Paar 2014. Doch den Schlüssel zum Wallet will es nie erhalten haben. Jetzt sammeln die beiden Geld, um Ethereum zu verklagen.

Neuro-Chef 10. Okt 2015

Was ich gelesen habe, war nicht klar und deutlich auf den Punkt gebracht.

Jasmin26 09. Okt 2015

ciscos wird eigentlich im primär professionelen Umfeld eingesetzt .....



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Mega-Marken-Sparen bei MediaMarkt (u. a. Lenovo & Razer) • Tag der Freundschaft bei Saturn: 1 Produkt zahlen, 2 erhalten • Razer Deathadder V2 Pro Gaming-Maus 95€ • Alternate-Deals (u. a. Kingston 16GB Kit DDR4-3200MHz 81,90€) • Razer Kraken X Gaming-Headset 44€ [Werbung]
    •  /