Sicherheitslücke in VPN-Software

Kritische Infrastruktur in den USA angegriffen

17.06.2021
Von Redaktion Computerwoche
Ein Sicherheitsangriff vom April 2021, der über eine unsichere VPN-Software erfolgte, hat in den USA offenbar mehr Schaden angerichtet als zunächst gedacht.

Mitte April wurde ein Cyberspionage-Angriff in den USA bekannt, der nun offenbar weitaus größere Ausmaße hat, als zunächst angenommen. Die Hacker, die nach Mutmaßungen amerikanischer Medien vom chinesischen Staat unterstützt werden, hatten Schwachstellen in Pulse Connect Secure VPN-Appliances (inzwischen in Besitz von Ivanti) genutzt, um in die Computer wichtiger US-Einrichtungen einzudringen.

Auch die New York Subway war unter den Angriffsopfern. Unklar ist, ob Daten abgeflossen sind.
Auch die New York Subway war unter den Angriffsopfern. Unklar ist, ob Daten abgeflossen sind.
Foto: pisaphotography - shutterstock.com

Wie der Nachrichtendienst Associated Press (AP) nun berichtet, haben die Angreifer unter anderem den amerikanischen TK-Konzern Verizon sowie und die größte Wasserbehörde des Landes, den Metropolitan Water District of Southern California, ins Visier genommen. Anfang Juni wurde zudem bekannt, dass auch das U-Bahn-System von New York City, das größte des Landes, attackiert worden war.

Anzeichen für unbefugten Zugriff

Die Cybersecurity & Infrastructure Security Agency (CISA) des US-Heimatschutzministeriums hatte schon im April eine Warnung zum Pulse-Hack herausgegeben, in der es hieß, dass "eine Reihe von US-Regierungsbehörden, kritische Infrastruktur-Einrichtungen und andere Organisationen des privaten Sektors von Kompromittierungen betroffen sind". Mindestens fünf Bundesbehörden hätten Anzeichen für einen möglichen unbefugten Zugriff erkannt. Welche Behörden das sind, sagte die CISA nicht. In allen Fällen hatten die Opfer die Pulse-VPN-Software für den vermeintlich sicheren Netzzugang genutzt.

Dass die Pulse Connect Secure Appliances nicht sicher sind, war nicht neu, der IT-Sicherheitsanbieter Tenable hatte schon im Januar gewarnt. Pulse Secure selbst hatte Mitte April mitgeteilt, dass es ausländische Angreifer auf die drei bekannten Schwachstellen CVE-2019-11510, CVE-2020- 8243 und CVE-2020-8260 abgesehen hätten und zudem eine neu entdeckte kritische Zero-Day-Schwachstelle zur Umgehung der Authentifizierung (CVE-2021-22893) nutzten.

Wie Scott Caveza, Research Engineering Manager bei Tenable, in einer Mitteilung schreibt, nehmen Kriminelle derzeit zentrale Infrastrukturen ins Visier. Die Angreifer zielten verstärkt darauf ab, sich über Schwachstellen in VPN-Software Zugang zu privaten Netzwerken zu verschaffen. Deshalb müsse das Patchen und Sichern von geschäftskritischen Geräten weiterhin oberste Priorität haben, ebenso die regelmäßige Kontrolle.

Kritische Infrastrukturen müssen sicher sein

Im Falle der US-Angriffe ist noch unklar, ob und auf welche sensiblen Informationen abgegriffen wurde. Experten finden es aber grundsätzlich besorgniserregend ist, dass es Hackern überhaupt gelingen konnte, in Netzwerke von kritischen Infrastruktureinrichtungen vorzudringen. Die potenziell erbeuteten Daten könnten für andere Länder aus geschäftlichen, vor allem aber aus Gründen der nationalen Sicherheit von Interesse sein.

Während der Pulse Secure-Hack weitgehend unbemerkt blieb, machten zuletzt großangelegte Ransomware-Angriffe Schlagzeilen, darunter die folgenschwere Attacke auf Colonial Pipeline im Mai 2021. Der digitale Angriff auf eine der wichtigsten Erdöl-Pipelines in den USA führte zu dramatischen Engpässen an vielen Tankstellen. Die britische BBC hatte berichtet, dass die Attacke über die Ransomware "Darkside" erfolgt sei, hinter der offenbar eine russische Hackerbande steckt. Die Angreifer hatten etwa 100 Gigabyte an Daten erbeutet und erpressten damit ein Lösegeld von 4,4 Millionen Dollar, ausgezahlt in Bitcoin (siehe Video).

Die US-Regierung untersucht auch immer noch die von russischen Cyberspionen gestarteten SolarWinds-Hacking-Kampagne, mit der nach Ermittlungen von CIA und NSA ein russischer Geheimdienst zu tun haben soll. Dutzende von Unternehmen des privaten Sektors und mindestens neun US-Regierungsbehörden waren infiltriert worden, der Angriff dauerte fast das ganze Jahr 2020 an. (hv)