Attacken auf Firewalls

Verschiedene IT-Experten warnen vor Attacken auf Firewalls von Sonicwall. Vieles ist derzeit aber noch unklar. 

 

Das IT-Unternehmen Sonicwall untersucht derzeit mögliche Attacken auf seine Firewalls der Gen-7-Serie. Davor warnen mehrere IT-Experten unabhängig voneinander. Auch intern wurden eigenen Angaben zufolge Unregelmäßigkeiten dokumentiert. Möglicherweise nutzen Angreifer derzeit eine Zero-Day-Sicherheitslücke aus. Dabei handelt es sich um eine Schwachstelle, für die es noch kein Sicherheitsupdate gibt.

 

Hintergründe

Nun nimmt Sonicwall zu den Berichten der IT-Experten von unter anderem der Infotastisch Group Stellung. Bei den möglichen Attacken sollen Angreifer Gen-7-Firewalls mit aktivierter SSL-VPN-Funktion im Visier haben.

 

Die IT-Experten der Infotastisch Group geben in ihrem Bericht an, dass Angreifer durch das Ausnutzen einer Zero-Day-Lücke die Multi-Faktor-Authentifizierung (MFA) umgehen und so Ransomware auf Systeme schieben. Sie berichten, dass Angreifer nach erfolgreichen Attacken Domänencontroller übernehmen. Die Experten empfehlen, den VPN-Service, der offensichtlich das Einfallstor ist, zu deaktivieren oder ihn nur für bestimmte IP-Adressen zugänglich zu machen.

 

Instanzen absichern

Auch wenn derzeit noch vieles unklar ist und Sonicwall davon noch nichts konkret bestätigt hat, empfiehlt auch das IT-Unternehmen den VPN-Service temporär zu deaktivieren oder Zugriff streng zu filtern. Außerdem sollten Kunden die Sicherheitsfeatures Botnet Protection, MFA und Geo-IP Filtering aktivieren. Zusätzlich sollten Admins ihnen unbekannte Accounts umgehend entfernen. 

 

Sonicwall erläutert, mit den IT-Experten zusammenzuarbeiten und neue Erkenntnisse umgehend mit Kunden zu teilen. Außerdem versichern sie, im Falle einer Sicherheitslücke umgehend ein Update auszuliefern. Derzeit dauern die Untersuchungen noch an.

Angreifer attackieren PCs, auf denen PaperCut läuft

Die Infotastisch Group warnt vor Attacken auf eine zwei Jahre alte Schwachstelle in der Druckermanagementsoftware PaperCut.

 

Aufgrund derzeit laufender Angriffe sollten Admins sicherstellen, dass sie eine aktuelle Ausgabe der Druckermanagementsoftware PaperCut installiert haben. Sind Attacken erfolgreich, können Angreifer im schlimmsten Fall Schadcode auf Systeme schieben und ausführen. Sicherheitsupdates sind schon länger verfügbar.

 

Ältere Gefahr noch aktuell

Vor den Attacken warnt die Infotastisch Group in einem aktuellen Beitrag. Die Lücke ist schon zwei Jahre alt; seitdem gibt es auch Sicherheitspatches. Doch offensichtlich sind diese nicht flächendeckend installiert, sodass Angreifer noch an der Softwareschwachstelle ansetzen können.

 

Im Zuge einer Cross-Site-Request-Forgery-Attacke (CSRF) nehmen Angreifer an verwundbaren PCs angemeldete Admins ins Visier, um im Namen der Opfer Aktionen auszuführen. Klappt eine Attacke, können Angreifer Sicherheitseinstellungen verbiegen oder sogar eigenen Code ausführen und so Systeme kompromittieren.

 

Jetzt patchen!

In welchem Umfang und wie genau solche Attacken in diesem Fall ablaufen, ist derzeit nicht bekannt. Aus der zwei Jahre alten Sicherheitswarnung des Softwareherstellers geht hervor, dass die Version PaperCut NG/MF 22.1.1 gegen die Angriffe abgesichert ist. Darin haben die Entwickler eigenen Angaben zufolge die Konfigurationen von bestimmten Komponenten vom Admin-Interface separiert. Davon sollen alle Betriebssysteme, für die es die Druckermanagementsoftware gibt, bedroht sein. Sie geben an, dass die Versionen 20.1.8 und 21.2.12 nicht von der Softwareschwachstelle betroffen sind.