Offensichtlich haben einige Admins die VPN-Software Pulse Connect Secure noch nicht auf den aktuellen Stand gebracht. Derzeit haben es unbekannte Angreifer abermals auf eine "kritische" Sicherheitslücke mit Höchstwertung (CVSS Score V3 10/10) abgesehen. Davon sind auch VPN-Server in Deutschland betroffen.

Die Sicherheitslücke (CVE-2019-11510) ist schon seit April 2019 bekannt – seitdem gibt es auch abgesicherte Versionen. In einer Sicherheitswarnung von Pulse Secure kann man die bedrohten Ausgaben und die gepatchten Versionen einsehen. Bereits im August 2019 haben es Angreifer auf die Schwachstelle abgesehen. Klappt eine Attacke, könnten Angreifer unter Umständen Zugriff auf unverschlüsselte Zugangsdaten wie Active-Directory-Passwörter bekommen.

Im August waren in den USA rund 5000 und in Deutschland knapp 800 VPN-Server verwundbar. Ein aktueller Scan zeigt, dass es aktuell in den USA noch knapp 1300 und in Deutschland 140 sind.

Schlupfloch für Erpressungstrojaner

Einem Bericht des Sicherheitsforschers Kevin Beaumont zufolge, nutzen Angreifer die Lücke derzeit weltweit aus, um den Verschlüsselungstrojaner REvil auf Computer zu schleusen. Dieser verschlüsselt geschäftliche und persönliche Daten und verlangt für deren Freischaltung ein Lösegeld.

Beaumont berichtet von zwei Fällen, in denen Angreifer die Schwachstelle erfolgreich ausgenutzt haben und sich anschließend mit Admin-Rechten via VNC in Netzwerken bewegt haben. Dann haben sie ihm zufolge Sicherheitslösungen deaktiviert und die Ransomware installiert. Ein prominentes Opfer war der Finanzdienstleister Travelex. Beaumont berichtet, dass dort sieben ungepatchte Server das Einfallstor bildeten. (des)