Das Forscherteam von Claroty hat in den letzten Monaten mehrere Schwachstellen bei der Remote-Codeausführung in VPN-Implementierungen entdeckt, die insbesondere für den Fernzugriff auf OT-Netzwerke genutzt werden. Angreifer können die Sicherheitslücken nutzen, um direkten Zugang zu den Geräten zu erhalten und physische Schäden zu verursachen.

Auch im industriellen Umfeld mussten Unternehmen als Folge der Corona-Pandemie verstärkt auf Fernzugriff setzen und nutzten hierfür vor allem VPN-Server und -Clients, um ihren entfernten Mitarbeitern die Arbeit von Zuhause aus zu ermöglichen. Die identifizierten Sicherheitslücken ermöglichen Angreifern die volle Kontrolle über VPN-Server und VPN-Clients sowie einen umfassenden Zugriff auf interne, gesicherte Netzwerke unter Umgehung des Perimeterschutzes.

Die gefundenen Schwachstellen verdeutlichen die speziellen, in der Natur des OT-Fernzugriffs liegenden Risiken. VPNs sind in der IT ein bewährtes Verfahren. Im Bereich der OT sind jedoch strengere rollen- und richtlinienbasierte Kontrollen und Überwachungsfunktionen erforderlich, um einen sicheren Fernzugriff zu gewährleisten. Durch den Einsatz von VPNs erzielen Unternehmen in diesem Bereich folglich nur eine scheinbare Sicherheit.

Die entdeckten Schwachstellen ermöglichen drei unterschiedliche Angriffsvektoren:

  • Cloud: Anfällige Fernzugriffsserver können als hocheffektive Angriffsflächen für Angreifer, die auf das VPN zielen, dienen. Diese Server sind kritische Punkte, da sie mit einem „Bein“ im für alle zugänglichen Internet stehen und mit dem anderen „Bein“ im gesicherten, internen Netzwerk – jenseits aller Sicherheitsmaßnahmen am Perimeter. Wenn Angreifer Zugang zu ihm erhalten, können sie also nicht nur den internen Datenverkehr einsehen, sondern auch so kommunizieren, als wären sie ein legitimer Host innerhalb des Netzwerks.

  • Anlagen: Eine der großen Herausforderungen im Bereich ICS ist die sichere Verbindung zwischen entfernten Standorten und dem Hauptrechenzentrum, in dem sich der SCADA-/Datenerfassungsserver befindet. In jüngster Zeit gab es zahlreiche Vorfälle, bei denen auf internetfähige ICS-Geräte direkt und ohne Anmeldeinformationen zugegriffen wurde. Um dies zu vermeiden, sind verschiedene ICS-VPN-Lösungen in der Lage, sichere Fernverbindungen zwischen Standort und Zentrale herzustellen.

  • Clients: Eine weitere weit verbreitete Angriffsfläche für die Angriffe auf VPNs ist der Client. Die Erlangung der Kontrolle über den Computer eines autorisierten Benutzers ermöglicht Angreifern den Zugriff auf die VPN-Zugangsdaten dieses Benutzers sowie auf die Zugangsdaten für andere Mitarbeiter-Accounts. Hierdurch können Angreifer in das Unternehmensnetzwerk eindringen und dort Fuß fassen, ohne hierfür die Server-Instanz angreifen zu müssen.

ICT & Corona

Digitalisierung

Cloud Computing

Big Data & Analytics

Security

Der pandemiebedingte Umzug ins Home Office hat die IT-Sicherheit auf die Probe gestellt. Doch auch die Rückkehr in die...

Unified Com & Collab

Video Conferencing

Digital Media

Networks

Videos

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.