F-Secure: Sicherheitslücke in weit verbreiteten F5-Produkten
Sicherheitsexperten melden Big-IP-Fehler in Load-Balancer
Sicherheitsforscher von F-Secure haben nach eigenen Angaben eine Sicherheitslücke aufgedeckt, die potenziell hunderttausende, etwa bei Banken, Regierungen und großen Unternehmen eingesetzte Load Balancer zu Grundpfeilern für Cyberangriffe machen. Die Lücke sei besonders schwerwiegend, da Big-IP-Cyberattacken sehr verdeckt stattfinden.
Der Cybersicherheitsanbieter F-Secure sieht eine ernsthafte Bedrohung bei der Nutzung des Big-IP-Load-Balancer von F5 Networks und rät Unternehmen, die das Produkt einsetzen, die Sicherheitsprobleme in einigen Standardkonfigurationen schnellstmöglich zu beheben. Angreifer können die unsicher konfigurierten Load Balancer dazu nutzen, um in Netzwerke einzudringen und Angriffe gegen Unternehmen oder Einzelpersonen durchzuführen, die von einem kompromittierten Gerät verwaltete Web-Dienste nutzen.
Die Sicherheitslücke tritt in der verwendeten Programmiersprache Tcl auf, in der die sogenannten iRules von Big-IP geschrieben sind. Über diese iRules koordiniert Big-IP den gesamten eingehenden Traffic. Bestimmte Schadcodes ermöglichen es Angreifern, beliebige Tcl-Befehle in die iRules einzuschleusen, die dann in dieser vermeintlich sicheren Umgebung ausgeführt werden.
Die Bedeutung dieser Sicherheitslücke für die betroffenen Unternehmen sei enorm, da Angreifer solche unsicher konfigurierten iRules ausnutzen können, um kompromittierte Big-IP-Geräte als Ausgangspunkt weiterer Angriffe zu verwenden. Zudem sei es Angreifern möglich, den Web-Traffic abzufangen und zu manipulieren. Durch die Offenlegung sensibler Informationen - einschließlich der Login-Daten und persönlicher Anwendungsgeheimnisse - können Nutzer von betroffenen Web-Services somit gezielt Opfer von Angriffen werden.
In manchen Fällen ist das Ausnutzen eines anfälligen Systems so simpel, dass der Befehl oder Schadcode lediglich über eine einfache Web-Anfrage eingeschleust werden muss, die der Dienst sodann für den Angreifer ausführt. Erschwerend komme hinzu, dass in einigen Situationen das kompromittierte Gerät die Handlungen der Hacker nicht protokolliert, sodass im Anschluss keinerlei Beweise für einen Angriff vorhanden sind.
In wieder anderen Fällen können Angreifer entstandene Logfiles - und damit die Beweise für ihre Aktivitäten - einfach löschen, so F-Secure weiter. Dies erschwere die Untersuchung und Aufklärung solcher Vorfälle erheblich. Ein denkbares Szenario: Hacker könnten Kunden betroffener Banken ausspionieren und deren Bankkonto leerräumen. "Selbst wenn der Kunde einen solchen Schaden meldet, wäre der Angriff für die Bank nur mit forensischen Untersuchungen auf dem Load Balancer nachvollziehbar, da Big-IP-Cyberattacken sehr verdeckt stattfinden", so F-Secure Senior Security Consultant Christoffer Jerkeby.
Jerkeby weiter: "Dieses Konfigurationsproblem ist äußerst gravierend, da es versteckt genug liegt, um unbemerkt von Hackern genutzt zu werden. Diese können dann eine Vielzahl unterschiedlicher Ziele verfolgen und anschließend alle Spuren verwischen. Darüber hinaus sind viele Organisationen nicht darauf vorbereitet, auftretende Sicherheitsrisiken zu identifizieren und zu beheben, die tief in den Software-Lieferketten versteckt sind. Betrachtet man alle diese Punkte in Summe, so haben wir es hier mit einem potenziell großen Sicherheitsproblem zu tun. Solange Unternehmen nicht wissen, wonach sie suchen müssen, ist es für sie ungeheuer schwer, auf dieses Problem vorbereitet zu sein und umso komplizierter wird es entsprechend, mit einer konkreten Angriffssituation umzugehen."
Jerkeby hat im Rahmen seiner Recherche über 300.000 aktive Big-IP-Implementierungen im Internet ausmachen können, vermutet jedoch aufgrund methodischer Limitierungen seiner Untersuchung eine viel höhere Anzahl. Etwa 60 Prozent der von ihm entdeckten Big-IP-Instanzen stammten aus den Vereinigten Staaten.
Obwohl nicht automatisch jedes Unternehmen betroffen sei, das Big-IP-Systeme im Einsatz hat, bedeute die weite Verbreitung des Load Balancers doch, dass die entsprechenden Organisationen ihre eigene Risikosituation untersuchen und einschätzen sollten. Gerade durch die Popularität bei Banken, Regierungen und anderen Organisationen, die Web-Dienste für eine große Anzahl von Menschen bereitstellen, sei die Sicherheitslücke auch für die Nutzer dieser Dienste elementar.
"Solange ein Unternehmen keine eingehende technische Prüfung seiner Systeme durchgeführt hat, ist die Wahrscheinlichkeit groß, dass es von der Sicherheitslücke betroffen ist", so Jerkeby. "Selbst jemand, der unglaublich sicherheitsbewusst ist und in einem sicherheitstechnisch gut ausgestatteten Unternehmen arbeitet, könnte diese Lücke übersehen. Aus diesem Grund ist die Aufklärung über diese Problematik wirklich wichtig, wenn wir Unternehmen dabei unterstützen wollen, sich besser vor einem möglichen Bedrohungsszenario zu schützen.?
Durch einfache Massenscans können Hacker das Internet nach verwundbaren Stellen von Big-IP-Systemen durchforsten. Da sich solche Massenscans auch ganz einfach automatisieren lassen, wird die Sicherheitslücke wahrscheinlich sehr bald das Interesse von sogenannten Bug-Bounty-Jägern und Angreifern auf sich ziehen. Darüber hinaus können von potenziellen Hackern kostenlose Testversionen der Big-IP-Technik direkt vom Hersteller bezogen und kostengünstig Cloud-Instanzen abgerufen werden. Aus diesen Gründen und durch die potenziell schwerwiegenden Auswirkungen von Angriffen rät F-Secure Unternehmen, proaktiv zu untersuchen, ob sie betroffen sind oder nicht.
Jerkeby hat bei der Entwicklung einiger kostenfreier Open-Source-Tools mitgewirkt, mit denen Unternehmen unzureichende Konfigurationen in ihren Big-IP-Implementierungen erkennen können. Laut Jerkeby gibt es in Fällen wie diesen jedoch keine schnelle Lösung, sodass Unternehmen dieses Problem selbst oder mit Unterstützung externer Experten angehen müssen.
"Die gute Nachricht ist, dass nicht automatisch jeder Nutzer des Produkts betroffen ist. Schlecht wiederum ist, dass das Problem nicht über einen einfachen Patch oder ein Software-Update des Herstellers behoben werden kann. Es liegt an den betroffenen Unternehmen selbst, die entsprechenden Vorkehrungen zu treffen. Sie müssen prüfen, ob sie tatsächlich von diesem Sicherheitsproblem betroffen sind. Und sie stehen selbst in der Verantwortung, es gegebenenfalls zu lösen", erklärt Jerkeby. "Deshalb ist es so wichtig, dass jeder, bei dem Big-IP zum Einsatz kommt, jetzt proaktiv handelt!"
Weitere Infos zu Jerkebys Nachforschungen finden Interessierte auf dem Blog von F-Secure unter blog.f-secure.com/de/big-ip/.
Lesen Sie mehr zum Thema
