Schwerwiegende Sicherheitslücke in weit verbreiteten „BIG-IP“-Produkten von F5 Network könnte zu weitreichenden Cyberangriffen führen

Der Cybersicherheitsanbieter F-Secure sieht eine ernsthafte Bedrohung bei der Nutzung des BIG-IP-Load-Balancer von F5 Networks und rät Unternehmen, die das Produkt einsetzen, die Sicherheitsprobleme in einigen Standardkonfigurationen schnellstmöglich zu beheben. Angreifer können die unsicher konfigurierten Load Balancer dazu nutzen, um in Netzwerke einzudringen und Angriffe gegen Unternehmen oder Einzelpersonen durchzuführen, die von einem kompromittierten Gerät verwaltete Web-Dienste nutzen.

Die Sicherheitslücke tritt in der verwendeten Programmiersprache Tcl auf, in der die sogenannten iRules von BIG-IP geschrieben sind. Über diese iRules koordiniert BIG-IP den gesamten eingehenden Traffic. Bestimmte Schadcodes ermöglichen es Angreifern, beliebige Tcl-Befehle in die iRules einzuschleusen, welche dann in dieser vermeintlich sicheren Umgebung ausgeführt werden.

Die Bedeutung dieser Sicherheitslücke für die betroffenen Unternehmen ist enorm, da Angreifer solche unsicher konfigurierten iRules ausnutzen können, um kompromittierte BIG-IP-Geräte als Ausgangspunkt weiterer Angriffe zu verwenden. Zudem ist es Angreifern möglich, den Web-Traffic abzufangen und zu manipulieren. Durch die Offenlegung sensibler Informationen – einschließlich der Login-Daten und persönlicher Anwendungsgeheimnisse – können Nutzer von betroffenen Webservices somit gezielt Opfer von Angriffen werden.

In manchen Fällen ist das Ausnutzen eines anfälligen Systems so simpel, dass der Befehl oder Schadcode lediglich über eine einfache Webanfrage eingeschleust werden muss, die der Dienst sodann für den Angreifer ausführt. Erschwerend kommt hinzu, dass in einigen Situationen das kompromittierte Gerät die Handlungen der Hacker nicht protokolliert, so dass im Anschluss keinerlei Beweise für einen Angriff vorhanden sind. In wieder anderen Fällen können Angreifer entstandene Logfiles – und damit die Beweise für ihre Aktivitäten – einfach löschen. Dies erschwert die Untersuchung und Aufklärung solcher Vorfälle erheblich. Ein denkbares Szenario: Hacker könnten Kunden betroffener Banken ausspionieren und deren Bankkonto leerräumen. „Selbst wenn der Kunde einen solchen Schaden meldet, wäre der Angriff für die Bank nur mit forensischen Untersuchungen auf dem Load Balancer nachvollziehbar, da BIG-IP-Cyberattacken sehr verdeckt stattfinden.“, so F-Secure Senior Security Consultant Christoffer Jerkeby.

Jerkeby weiter: „Dieses Konfigurationsproblem ist äußerst gravierend, da es versteckt genug liegt, um unbemerkt von Hackern genutzt zu werden. Diese können dann eine Vielzahl unterschiedlicher Ziele verfolgen und anschließend alle Spuren verwischen. Darüber hinaus sind viele Organisationen nicht darauf vorbereitet, auftretende Sicherheitsrisiken zu identifizieren und zu beheben, die tief in den Software-Lieferketten versteckt sind. Betrachtet man alle diese Punkte in Summe, so haben wir es hier mit einem potenziell großen Sicherheitsproblem zu tun. Solange Unternehmen nicht wissen, wonach sie suchen müssen, ist es für sie ungeheuer schwer, auf dieses Problem vorbereitet zu sein und umso komplizierter wird es entsprechend, mit einer konkreten Angriffssituation umzugehen.“

Jerkeby hat im Rahmen seiner Recherche über 300.000 aktive BIG-IP-Implementierungen im Internet ausmachen können, vermutet jedoch aufgrund methodischer Limitierungen seiner Untersuchung eine viel höhere Anzahl. Etwa 60 Prozent der von ihm entdeckten BIG-IP-Instanzen stammten aus den Vereinigten Staaten.

Und obwohl nicht automatisch jedes Unternehmen betroffen ist, das BIG-IP-Systeme im Einsatz hat, bedeutet die weite Verbreitung des Load Balancers doch, dass die entsprechenden Organisationen ihre eigene Risikosituation untersuchen und einschätzen sollten. Gerade durch die Popularität bei Banken, Regierungen und anderen Organisationen, die Web-Dienste für eine große Anzahl von Menschen bereitstellen, ist die Sicherheitslücke auch für die Nutzer dieser Dienste elementar.

„Solange ein Unternehmen keine eingehende technische Prüfung seiner Systeme durchgeführt hat, ist die Wahrscheinlichkeit groß, dass es von der Sicherheitslücke betroffen ist“, so Jerkeby. „Selbst jemand, der unglaublich sicherheitsbewusst ist und in einem sicherheitstechnisch gut ausgestatteten Unternehmen arbeitet, könnte diese Lücke übersehen. Aus diesem Grund ist die Aufklärung über diese Problematik wirklich wichtig, wenn wir Unternehmen dabei unterstützen wollen, sich besser vor einem möglichen Bedrohungsszenario zu schützen.”

Empfohlene Schritte für Unternehmen

Durch einfache Massenscans können Hacker das Internet nach verwundbaren Stellen von Big-IP-Systemen durchforsten. Da sich solche Massenscans auch ganz einfach automatisieren lassen, wird die Sicherheitslücke wahrscheinlich sehr bald das Interesse von sogenannten Bug-Bounty-Jägern und Angreifern auf sich ziehen. Darüber hinaus können von potenziellen Hackern kostenlose Testversionen der BIG-IP-Technologie direkt vom Hersteller bezogen und kostengünstig Cloud-Instanzen abgerufen werden. Aus diesen Gründen und durch die potenziell schwerwiegenden Auswirkungen von Angriffen rät F-Secure Unternehmen, proaktiv zu untersuchen, ob sie betroffen sind oder nicht.

Jerkeby hat bei der Entwicklung einiger kostenfreier Open-Source-Tools mitgewirkt, mit denen Unternehmen unzureichende Konfigurationen in ihren BIG-IP-Implementierungen erkennen können. Laut Jerkeby gibt es in Fällen wie diesen jedoch keine schnelle Lösung, so dass Unternehmen dieses Problem selbst bzw. mit Unterstützung externer Experten angehen müssen.

„Die gute Nachricht ist, dass nicht automatisch jeder Nutzer des Produktes betroffen ist. Schlecht wiederum ist, dass das Problem nicht über einen einfachen Patch oder ein Software-Update des Herstellers behoben werden kann. Es liegt an den betroffenen Unternehmen selbst, die entsprechenden Vorkehrungen zu treffen. Sie müssen prüfen, ob sie tatsächlich von diesem Sicherheitsproblem betroffen sind. Und sie stehen selbst in der Verantwortung, es gegebenenfalls zu lösen“, erklärt Jerkeby. „Deshalb ist es so wichtig, dass jeder, bei dem BIG-IP zum Einsatz kommt, jetzt proaktiv handelt!“

Weitere Infos zu Jerkebys Nachforschungen finden Sie auf dem Blog von F-Secure unter https://blog.f-secure.com/de/big-ip/.

 

 

Über F-Secure

F-Secure lebt Cyber Security wie kein Anderer. Seit drei Jahrzehnten treibt F-Secure Innovationen in der Cybersicherheit voran und schützt zehntausende von Unternehmen und Millionen von Menschen weltweit. Mit unübertroffener Erfahrung in Endpoint Protection sowie Erkennung und Reaktion, schützt F-Secure Unternehmen und Verbraucher vor Online-Bedrohungen jeglicher Art – von fortschrittlichen Cyberangriffen und Verletzung der Datensicherheit bis hin zu Infektionen mit Ransomware-Trojanern.

F-Secures anspruchsvolle Technik vereint die Stärken von Maschine mit dem menschlichen Know-how des weltweit anerkannten Sicherheitslabors für den einzigartigen Ansatz genannt Live Security. Darüber hinaus beteiligten sich F-Secure und ihre Sicherheitsexperten an mehr europäischen Cyber-Crime Untersuchungen als jede andere Firma. Die F-Secure Produkte und Services werden weltweit von über 200 Telekommunikationsunternehmen und Internetbetreibern sowie tausenden von Händlern angeboten.

F-Secure wurde 1988 gegründet und ist börsennotiert an der NASDAQ OMX Helsinki Ltd.

f-secure.de | twitter.com/fsecure | linkedin.com/f-secure

Kontakt für die Presse

Berk Kutsal

PR Manager, DACH

+49 89 787 467 0
presse-de@f-secure.com

Presseverteiler

Aktuelle News per E-Mail? Tragen Sie sich in unseren Presseverteiler ein

Wir verarbeiten die von Ihnen mitgeteilten personenbezogenen Daten in Übereinstimmung mit unserer Datenschutzrichtlinie für Unternehmen.

Pressearchiv

Veröffentlichungsjahr

Alle Pressemitteilungen nach Jahren sortiert

Themenwelt

Alle Pressemitteilungen nach Themen sortiert