Aktueller Channel Fokus:

Gaming & eSports

Security-Anbieter F-Secure warnt

Schwerwiegende Sicherheitslücke in Big-IP-Produkten von F5 Networks

| Autor: Sylvia Lösel

F-Secure warnt vor einer Sicherheitslücke.
F-Secure warnt vor einer Sicherheitslücke. (Bild: bluedesign - stock.adobe.com)

Der finnische Sicherheitsspezialist F-Secure warnt vor einer Sicherheitslücke, die möglicherweise zahlreiche Unternehmen zu Zielen für Cyberangriffe macht. Betroffen sind Big-IP-Produkte von F5 Networks. Der Anbieter dementiert.

Der Sicherheitsanbieter F-Secure sieht eine ernsthafte Bedrohung bei der Nutzung des Big-IP-Load-Balancers von F5 Networks und rät Unternehmen, die das Produkt einsetzen, die Sicherheitsprobleme in einigen Standardkonfigurationen schnellstmöglich zu beheben. Angreifer könnten die unsicher konfigurierten Load Balancer dazu nutzen, um in Netzwerke einzudringen und Angriffe gegen Unternehmen oder Einzelpersonen durchzuführen, die von einem kompromittierten Gerät verwaltete Web-Dienste nutzen.

Die Sicherheitslücke tritt in der verwendeten Programmiersprache Tcl auf, in der die sogenannten iRules von Big-IP geschrieben sind. Über diese iRules koordiniert Big-IP den gesamten eingehenden Traffic. Bestimmte Schadcodes ermöglichen es Angreifern, beliebige Tcl-Befehle in die iRules einzuschleusen, welche dann in dieser vermeintlich sicheren Umgebung ausgeführt werden.

Gezielte Angriffe möglich

Die Bedeutung dieser Sicherheitslücke für die betroffenen Unternehmen ist enorm, da Angreifer solche unsicher konfigurierten iRules ausnutzen können, um kompromittierte BIG-IP-Geräte als Ausgangspunkt weiterer Angriffe zu verwenden. Zudem ist es Angreifern möglich, den Web-Traffic abzufangen und zu manipulieren. Durch die Offenlegung sensibler Informationen, einschließlich der Login-Daten und persönlicher Anwendungsgeheimnisse, können Nutzer von betroffenen Webservices somit gezielt Opfer von Angriffen werden.

In manchen Fällen sei das Ausnutzen eines anfälligen Systems so simpel, dass der Befehl oder Schadcode lediglich über eine einfache Webanfrage eingeschleust werden müsse, die der Dienst sodann für den Angreifer ausführt, so die Spezialisten bei F-Secure. Erschwerend komme hinzu, dass in einigen Situationen das kompromittierte Gerät die Handlungen der Hacker nicht protokolliert, sodass im Anschluss keinerlei Beweise für einen Angriff vorhanden sind. In wieder anderen Fällen können Angreifer entstandene Logfiles – und damit die Beweise für ihre Aktivitäten – einfach löschen. Dies erschwere die Untersuchung und Aufklärung solcher Vorfälle erheblich. Ein denkbares Szenario: Hacker könnten Kunden betroffener Banken ausspionieren und deren Bankkonto leerräumen. „Selbst wenn der Kunde einen solchen Schaden meldet, wäre der Angriff für die Bank nur mit forensischen Untersuchungen auf dem Load Balancer nachvollziehbar, da Big-IP-Cyberattacken sehr verdeckt stattfinden“, so F-Secure Senior Security Consultant Christoffer Jerkeby.

Potenziell großes Sicherheitsproblem

Jerkeby weiter: „Dieses Konfigurationsproblem ist äußerst gravierend, da es versteckt genug liegt, um unbemerkt von Hackern genutzt zu werden. Diese können dann eine Vielzahl unterschiedlicher Ziele verfolgen und anschließend alle Spuren verwischen. Darüber hinaus sind viele Organisationen nicht darauf vorbereitet, auftretende Sicherheitsrisiken zu identifizieren und zu beheben, die tief in den Software-Lieferketten versteckt sind. Betrachtet man alle diese Punkte in Summe, so haben wir es hier mit einem potenziell großen Sicherheitsproblem zu tun. Solange Unternehmen nicht wissen, wonach sie suchen müssen, ist es für sie ungeheuer schwer, auf dieses Problem vorbereitet zu sein, und umso komplizierter wird es entsprechend, mit einer konkreten Angriffssituation umzugehen.“

Jerkeby hat im Rahmen seiner Recherche über 300.000 aktive Big-IP-Implementierungen im Internet ausmachen können, vermutet jedoch aufgrund methodischer Limitierungen seiner Untersuchung eine viel höhere Anzahl. Etwa 60 Prozent der von ihm entdeckten Big-IP-Instanzen stammten aus den Vereinigten Staaten.

Und obwohl nicht automatisch jedes Unternehmen betroffen ist, das Big-IP-Systeme im Einsatz hat, bedeutet die weite Verbreitung des Load Balancers doch, dass die entsprechenden Organisationen ihre eigene Risikosituation untersuchen und einschätzen sollten. Gerade durch die Popularität bei Banken, Regierungen und anderen Organisationen, die Web-Dienste für eine große Anzahl von Menschen bereitstellen, ist die Sicherheitslücke auch für die Nutzer dieser Dienste elementar.

„Solange ein Unternehmen keine eingehende technische Prüfung seiner Systeme durchgeführt hat, ist die Wahrscheinlichkeit groß, dass es von der Sicherheitslücke betroffen ist“, so Jerkeby. „Selbst jemand, der unglaublich sicherheitsbewusst ist und in einem sicherheitstechnisch gut ausgestatteten Unternehmen arbeitet, könnte diese Lücke übersehen. Aus diesem Grund ist die Aufklärung über diese Problematik wirklich wichtig, wenn wir Unternehmen dabei unterstützen wollen, sich besser vor einem möglichen Bedrohungsszenario zu schützen.”

Was tun?

Durch Massenscans können Hacker das Internet nach verwundbaren Stellen von Big-IP-Systemen durchforsten. Da sich solche Massenscans auch ganz einfach automatisieren lassen, wird die Sicherheitslücke wahrscheinlich sehr bald das Interesse von sogenannten Bug-Bounty-Jägern und Angreifern auf sich ziehen. Darüber hinaus können von potenziellen Hackern kostenlose Testversionen der Big-IP-Technologie direkt vom Hersteller bezogen und kostengünstig Cloud-Instanzen abgerufen werden, argumentiert F-Secure. Aus diesen Gründen rät der Security-Spezialist Unternehmen, aktiv zu untersuchen, ob sie betroffen sind oder nicht.

Jerkeby hat bei der Entwicklung einiger kostenfreier Open-Source-Tools mitgewirkt, mit denen Unternehmen unzureichende Konfigurationen in ihren BIG-IP-Implementierungen erkennen können. Betroffene Unternehmen können sich bei F-Secure melden um Zugang zu selbigen zu bekommen. Ein Unternehmenssprecher: „Wir möchten das Tool nicht öffentlich zur Verfügung stellen, weil auch Angreifer dieses Tool nutzen können, um falsche Konfigurationen aufzudecken und diese für ihren Vorteil zu nutzen.“

„Die gute Nachricht ist, dass nicht automatisch jeder Nutzer des Produkts betroffen ist. Schlecht wiederum ist, dass das Problem nicht über einen einfachen Patch oder ein Software-Update des Herstellers behoben werden kann. Es liegt an den betroffenen Unternehmen selbst, die entsprechenden Vorkehrungen zu treffen. Sie müssen prüfen, ob sie tatsächlich von diesem Sicherheitsproblem betroffen sind. Und sie stehen selbst in der Verantwortung, es gegebenenfalls zu lösen“, erklärt Jerkeby. „Deshalb ist es so wichtig, dass jeder, bei dem Big-IP zum Einsatz kommt, jetzt aktiv handelt!“

Statement von F5 Networks:

Der betroffene Hersteller F5 Networks hat bereits auf die Bekanntmachung der potenziellen Sicherheitslücke reagiert und ein Statement veröffentlicht:

„Es handelt sich hier weder um eine Schwachstelle in Tcl (einer dynamischen Programmiersprache) noch in F5-Produkten. Dies ist ein Problem, das mit den Kodierungsprozessen bei der Erstellung der Skripte zusammenhängt. Wie bei den meisten Programmier- oder Skriptsprachen ist es möglich, Code so zu schreiben, dass Schwachstellen entstehen. Wir haben mit dem Forscher an einer Dokumentation und Benachrichtigung gearbeitet, damit Kunden ihre Gefährdung bewerten und notwendige Schritte zur Minimierung des Risikos unternehmen können. Die beste Vorgehensweise für Tcl-Scripting ist es, alle Ausdrücke zu vermeiden, damit sie nicht ersetzt oder unerwartet bewertet werden können. Kunden sollten Tcl-Skripte prüfen und alle Änderungen vornehmen, die sie unter Berücksichtigung dieser Hinweise für angemessen halten. Weitere Informationen finden Sie in diesem Sicherheitshinweis: https://support.f5.com/csp/article/K15650046

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 46064291 / Security)