• IT-Karriere:
  • Services:

Security: Hintertür in Ciscos VPN-Dienst wird weiter ausgenutzt

Eine seit einem Jahr bekannte Sicherheitslücke in einem VPN-Dienst von Cisco wird offenbar weiterhin ausgenutzt, weil nicht alle Systeme gepatcht sind. Sicherheitsforscher haben noch weitere Angriffe auf Cisco-Produkte vorgestellt, die mittels Javascript Nutzerdaten abgreifen.

Artikel veröffentlicht am ,
Angreifer haben die Login-Seite von Ciscos-VPN-Diensten manipuliert, um Nutzerdaten abzugreifen.
Angreifer haben die Login-Seite von Ciscos-VPN-Diensten manipuliert, um Nutzerdaten abzugreifen. (Bild: Volexity)

Angreifer haben VPN-Software von Cisco infiziert, um Nutzerdaten abzugreifen. Informationen zu der Angriffsmethode hat jetzt die Sicherheitsfirma Volexity in einem Blogpost vorgestellt. Die angegriffene VPN-Software mit dem Namen Cisco Clientless SSL VPN benötigt, wie der Name schon sagt, keinen eigenen Client, sondern kann über ein Webinterface bedient werden. Sie ist Teil von Ciscos Adaptive-Security-Appliance-Suite und wird vor allem von großen Firmen eingesetzt.

Stellenmarkt
  1. Stadtverwaltung Eisenach, Eisenach
  2. DIEBOLD NIXDORF, München

Die Angreifer nutzen die Sicherheitslücke CVE-2014-3393 nach Angaben von Volexity bereits seit November 2014 aus. Die Lücke wurde zwar bereits im vergangenen Jahr von Cisco gepatcht, doch nicht alle angegriffenen Organisationen haben die Updates rechtzeitig eingespielt, obwohl Cisco schon im Februar 2015 vor aktiven Exploits gewarnt hat:

"Eine Sicherheitslücke im Anpassungs-Framework des Clientless-SSL-VPN-Portals kann einen nichtautorisierten Remote-Angreifer in die Lage versetzen, den Inhalt der Portal-Seite zu verändern. Dies könnte für Angriffe missbraucht werden, um Nutzerdaten zu stehlen, XSS-Angriffe durchzuführen oder andere Formen webbasierter Angriffe auf den Client ermöglichen, der das betroffene System nutzt."

Metasploit-Modul verfügbar

Unter dem Namen "Breaking Bricks" existiert auch ein von Alec Stuart entwickeltes Metasploit-Modul, um die Sicherheitslücke auszunutzen. Cisco hat Richtlinien veröffentlicht, um die Sicherheit von Firewall- und VPN-Produkten zu verbessern.

Angreifer veränderten nach Angaben von Volexity die Logon.html-Seite von Organisationen, die ihre Software nicht auf den neuesten Stand gebracht hatten. Sie luden mit der Login-Seite das Script 1.js, eine Variante von xss.js - ein Skript, um Nutzerdaten abzugreifen. Nach Angaben der Forscher bietet auch der Einsatz von Zwei-Faktor-Authentifizierung in diesem Fall keinen ausreichenden Schutz vor Angriffen.

Von dem vorgestellten Angriff betroffen waren nach Angaben von Volexity medizinische Organisationen, Thinktanks, NGOs, Universitäten und internationale Unternehmen. Volexity hat weitere Angriffe dokumentiert, unter anderem gegen die japanische Regierung und verschiedene Hightech-Industrien. In diesem Fall verfügten die Angreifer aber vermutlich bereits über administrative Zugänge, die es ihnen dann ermöglichten, Nutzerdaten abzugreifen.

Auch in diesen Fällen hätten Angreifer Java-Script-Module geladen, um verschiedene Angriffe durchzuführen. Als Beispiel zitieren die Forscher den Keylogger Scanbox und die Malware PlugX.

Die Sicherheitsforscher empfehlen Administratoren, stärker nach Sicherheitslücken in VPN-Diensten und Firewalls zu suchen. Erst vor wenigen Wochen war eine Malware bekanntgeworden, die Hintertüren in Cisco-Routern installiert. Sie betonen, dass ähnliche Angriffe nicht nur Cisco-Produkte betreffen. Andere VPN-Dienste und Webserver seien für Angreifer gleichermaßen interessant.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 11,49€
  2. (-28%) 42,99€
  3. 12,49€
  4. (-43%) 22,99€

Neuro-Chef 10. Okt 2015

Was ich gelesen habe, war nicht klar und deutlich auf den Punkt gebracht.

Jasmin26 09. Okt 2015

ciscos wird eigentlich im primär professionelen Umfeld eingesetzt .....


Folgen Sie uns
       


Tesla baut Gigafactory in Brandenburg - Bericht

Wald weg, Wasser weg, Tesla da? Wir haben Grünheide besucht.

Tesla baut Gigafactory in Brandenburg - Bericht Video aufrufen
Verkehr: Das Kaltstart-Dilemma der Autos mit Hybridantrieb
Verkehr
Das Kaltstart-Dilemma der Autos mit Hybridantrieb

Bei Hybridautos und Plugin-Hybriden kommt es häufiger zu Kaltstarts als bei normalen Verbrennungsmotoren - wenn der Verbrennungsmotor ausgeht und der Elektromotor das Auto durch die Stadt schiebt. Wie schnell lässt sich der Katalysator vorwärmen, damit er Abgase dennoch gut reinigen kann?
Von Rainer Klose

  1. Elektromobilität Umweltbonus gilt auch für Jahreswagen
  2. Renault City K-ZE Dacia plant City-Elektroauto
  3. Elektroautos EU-Kommission billigt höheren Umweltbonus

Leistungsschutzrecht: Drei Wörter sollen ...
Leistungsschutzrecht
Drei Wörter sollen ...

Der Vorschlag der Bundesregierung für das neue Leistungsschutzrecht stößt auf Widerstand bei den Verlegerverbänden. Überschriften mit mehr als drei Wörtern und Vorschaubilder sollen lizenzpfichtig sein. Dabei wenden die Verlage einen sehr auffälligen Argumentationstrick an.
Eine Analyse von Friedhelm Greis

  1. Leistungsschutzrecht Memes sollen nur noch 128 mal 128 Pixel groß sein
  2. Leistungsschutzrecht Französische Verlage reichen Beschwerde gegen Google ein
  3. Leistungsschutzrecht Französische Medien beschweren sich über Google

Unitymedia: Upgrade beim Kabelstandard, Downgrade bei Fritz OS
Unitymedia
Upgrade beim Kabelstandard, Downgrade bei Fritz OS

Der Kabelnetzbetreiber Unitymedia stellt sein Netz derzeit auf Docsis 3.1 um. Für Kunden kann das viel Arbeit beim Austausch ihrer Fritzbox bedeuten, wie ein Fallbeispiel zeigt.
Von Günther Born

  1. Hessen Vodafone bietet 1 GBit/s in 70 Städten und kleineren Orten
  2. Technetix Docsis 4.0 mit 10G im Kabelnetz wird Wirklichkeit
  3. Docsis 3.1 Magenta Telekom bringt Gigabit im Kabelnetz

    •  /