ComputerBase Menü
Aktuelles

News Check-Point-Lücke: Neben CDU waren noch 1.800 weitere Systeme betroffen

Termy schrieb:
Eigentlich sollten solche fundamentalen Dinge wie 2FA oder Zertifikate doch zu den absolut selbstverständlichsten Best Practices gehören, selbst bei Minimalaufwand?!
Zum Vergrößern anklicken....
Ach wenn Du wüsstest, ich könnte Stories erzählen. Darf ich leider nicht, aber es würden sich einem die Nackenhaare aufstellen!
MFA Implementierung? Klar, 12 Monate später - gehen wir jetzt an. Ok.

30 Tage von Nachricht einer CVE zu unternehmen und dann ca 250 Tage bis gefixt wird, im Schnitt.
 
  • Gefällt mir
Reaktionen: Grummel83 und raPid-81
So ist das leider in Deutschland, die Ärzte nutzen als PIN für die aufwendig verschlüsselte Telematikinfrastruktur meistens die Postleitzahl der Praxis. Da hilft dann auch die VPN mit gut geschützten Zertifikaten leider nicht.
 
  • Gefällt mir
Reaktionen: rosenholz
Ist wohl nach wie vor "Neuland" ;), man sollte die Digitalisierung mal vorantreiben und nicht nur immer reden aber nichts machen. Der ganze Bundestag wurde doch schon gehackt :alien_alt:

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.
 
Unnu schrieb:
Naja, da steht ja auch, dass man den Hotfix einspielen soll ...
Also ein Patch existiert schon mal.
Zum Vergrößern anklicken....

Ich habe lange Zeit bei einer großen Managed Services Bude gearbeitet (Top 5 Deutschland). Wenn da eine Lücke bekannt wurde hat es Wochen gedauert bis alle Server gepatched waren.

Log4j als Beispiel noch deutlich länger, da musste man erst mal suchen auf tausenden von Systemen.

Vollautomatisches Remote Patching von riesigen Systemlandschaften mit teilweise 10+ Jahre alten Linux und Windows Versionen ist ein Wunschtraum. Da steckt so viel manuelle Arbeit hinter, und die macht sich leider nicht von allein. :D
 
  • Gefällt mir
Reaktionen: Unnu
Wir reden hier aber von VPN Gateways. Davon hat ne Firma höchstens eine handvoll pro Land und der Patch für die Lücke war ein paar MB groß. Das hat man, sofern das System nicht nen Patchlevel von vor 2 Jahren hat, in einer Stunde erledigt - und davon geht die meisten Zeit für den Reboot drauf ;-)
 
  • Gefällt mir
Reaktionen: Unnu und raPid-81
Mit VPN Gateways hatte ich nie was am Hut, wenn das so schnell geht umso besser. Trotzdem veröffentlich man ja nicht den konkreten Angriffsweg zeitgleich mit der Lücke an sich. :D
 
prayhe schrieb:
Eine ordentliche Passwortpolicy muss man an der Stelle natürlich schon durchgesetzt haben als Firma.
Zum Vergrößern anklicken....
Jetzt will ich aber auch hören, wie die deiner Meinung nach aussieht.
 
raPid-81 schrieb:
Mit VPN Gateways hatte ich nie was am Hut, wenn das so schnell geht umso besser. Trotzdem veröffentlich man ja nicht den konkreten Angriffsweg zeitgleich mit der Lücke an sich. :D
Zum Vergrößern anklicken....
Tja, wenn man sich das aber mal anschaut: Am 27.5. kommt die Meldung von Checkpoint. Da wurde die Lücke aber schon aktiv ausgenutzt - ich glaube (!) schon seit ein paar Wochen. Stellt sich direkt die erste Frage, wie lange die (CP) schon auf der Info sitzen, dass sie da ein kleines Problem haben. Und am 30.5. gabs die ersten Analysen und PoC Scripte, mit denen man als DAU die Lücke ausnutzen konnte. Zu dem Zeitpunkt faselte Checkpoint immer noch etwas von "irgendwelchen Infos", die man auslesen konnte. Die "irgendwelchen Infos" waren aber leider sämtliche Daten, die so auf den Gateways lagen. Kleiner Unterschied wenn du mich fragst. Also Vorbildlich hat sich CP hier nicht verhalten, eher im Gegenteil. Naja, anderes Thema, ich schweife ab... :-)
 
  • Gefällt mir
Reaktionen: raPid-81
@Bahkauv Mit Ruhm bekleckert sich kaum eine Firma wenn es um Sicherheitslücken geht. Ich wollte nur sagen dass man die Lücke nicht explizit beschrieben veröffentlicht, da man damit ja noch mehr Schaden verursachen würde als eh schon angerichtet wurde.
 
ZeusTheGod schrieb:
Aber wenn ich jetzt deinen letzten Post lese, nutzt ihr anscheinend ja z.B. Yubikeys für den VPN... das wäre nach meinem Verständnis dann ja auch 2FA. Oder ist das dann ohne Passwort?
Zum Vergrößern anklicken....
Jouh, also .... wir versuchen generell unsere PW wo auch immer los zu werden und durch Token bzw. Certs zu ersetzen. Das ist ein ... interessanter Prozess bei den ganzen automatisierungen, denn viele Programme sind noch Asbach-Tech und können, wenn überhaupt nur PW.
... schöne neue Softwarewelt!

Ist ein Angreifer erstmal im VPN, dann ja, hat er potentiell mehr Möglichkeiten. Allerdings auch nur die, die seiner Rolle entsprechen und das sind meist wenige und sehr genau geschnittene Rechte.
Ausserdem hat er dann wohl auch Zugang zum Gerät, denn sonst wird's ECHT schwer.

Und auch dann muss er erstmal die anderen Netze sehen können bzw. finden.
Das wird interessant zu beobachten.

Jeglicher administrativer Zugang ist sowieso komplett abgesichert.

Normalerweise fragen wir einen zusätzlichen Faktor nur an, wenn sich bei dem User etwas zum "komischen" gewendet hat, bspw. der Klassiker "Impossible travel". Haben wir so einen Alert, dann wird der/die/das User kontaktiert -> Telefon und nachgefragt ob dieser denn dort war / ist. Plus Plausibilitätsprüfung. Wir haben bspw. gerade keine Leute in Afghanistan / Pakistan.

Dann wird einmal alles komplett revoked. Und der Client ggf. isoliert, wenn sich weitere Verdachtsmomente ergeben. Zur Not müssen die User dann eben zum Mutterschiff.

YUBIKEYS dort, wo MS Auth nicht funktioniert (in der Pampa bspw.) oder verboten ist.
 
Heftig an der Sache finde ich, dass das jetzt die zweite VPN Appliance in kurzer Zeit gewesen ist die erfolgreich angegriffen wurde.
Erst Palo Alto, jetzt Checkpoint. Bei Cisco war wenn ich mich richtig erinnere auch was vor kurzen, aber die habe ich etwas aus den Augen verloren seitdem wir die nicht mehr verwenden.

Ueberraschend ist das eigendlich nicht wirklich, es verschwindet ja immer mehr und mehr hinter VPNs, das sich die Angreifer daher auf diese konzentrieren ist normal.
Aber es muss doch jedem Admin der fuer einen VPN Service verantwortlich ist, klar sein dass dieser ein potenzielles Einfallstor ist und aktualisiert werden muss ohne lange rumzudaddeln...

Abundzu wuerde ich mir wuenschen das sich zB das BSI die Luecke zunutze macht und alle Systeme die in Deutschland noch damit online sind offline nimmt. Natuerlich ohne weiteren Schaden anzurichten, damit die Systeme aber fuer die wirklichen Boesewichte nicht mehr erreichbar sind.
 
  • Gefällt mir
Reaktionen: prayhe und FeelsGoodManJPG
prayhe schrieb:
...
Zum Vergrößern anklicken....

Kein System muss Fehlerfrei sein. Dennoch würde niemand mit technischem Verstand auf so eine VPN Appliance setzen, das würde keiner (echten) Risikoanalyse standhalten, selbst wenn es richtig konfiguriert worden wäre.

Zur MFA:
Das ist eine Diskussion die man realistisch kaum in einem Forum halten kann. Hier ist vor allem relevant, dass es zum einen immer wieder genutzt wird um die Schuld vom Ambieter abzuwenden. Man kann sich ja darüber streiten, ob es die primäre oder sekundäre Funktion der Technologie ist. Darüber hinaus hätten andere Methoden höchstwahrscheinlich diesen Angriff komplett ohne MFA verhindern können.
Im Falle von VPN sollte man sich auch erst die Frage beantworten wen oder was eigentlich authentifiziert wird.
Bei VPNs ist es das Endgerät, nicht der Benutzer. Ich kann nicht einfach davon ausgehen, dass das genutze Gerät nicht kompromottiert ist, nur weil der Nutzer dessen einen 2. Faktor genutzt hat. Wo ist also der nutzen von MFA?
Und mit einem VPN bin ich zwar in einem Netzwerk, aber wenn der Rest vernünftig abgesichert ist, dann habe ich auch nicht viel davon. Schließlich gibt es auch genug Infrastruktur im Internet die nicht alle 10 Min. kompromittier wird, auch ohne VPN. So gesehen ist ein VPN auch nichts anderes als ein weiterer Sicherheitsfaktor, das aber prinzipiell weder mit der Authentifizierung nich der Authorisierung des Nutzers zu tun hat. Ich kann also nicht meine gesamte Infra einfach in ein VPN packen, da gehört weitere Segmentierung zu..... Genug gemeckert.... die habens einfach verkackt und tun wieder nur auf "#Softwareproblem, da kann man nichts machen" 🤷‍♂️
 
  • Gefällt mir
Reaktionen: Lora
Termy schrieb:
Eigentlich sollten solche fundamentalen Dinge wie 2FA oder Zertifikate doch zu den absolut selbstverständlichsten Best Practices gehören, selbst bei Minimalaufwand?!
Zum Vergrößern anklicken....
"Wir brauchen ein Gemeinschaftspasswort, welches einfach zu merken ist und schluss macht, mit den 2FA Modellen "
(LetsskiptheBla)

Ich bin bei Siemens und ich sag dir, es ist erstaunlich, auf was Menschen alles klicken.
 
Apocalypse schrieb:
Jetzt will ich aber auch hören, wie die deiner Meinung nach aussieht.
Zum Vergrößern anklicken....
Über die Details kann man sich je nach größe der Firma sicherlich streiten. Was ich damit sagen wollte ist dass so Sachen wie "123456" in dem Umfeld für die User gar nicht erst möglich sein sollten.
Ergänzung ()

pmkrefeld schrieb:
Dennoch würde niemand mit technischem Verstand auf so eine VPN Appliance setzen
Zum Vergrößern anklicken....
Warum das? Was wäre die Alternative, die man stattdessen gehen sollte?
Interessiert mich einfach nur warum du so denkst, bin in der Thematik nicht wirklich drin
pmkrefeld schrieb:
Hier ist vor allem relevant, dass es zum einen immer wieder genutzt wird um die Schuld vom Ambieter abzuwenden. Man kann sich ja darüber streiten, ob es die primäre oder sekundäre Funktion der Technologie ist.
Zum Vergrößern anklicken....
Okay so gehe ich mit der Aussage mit. Zu sagen das Ganze wäre ausschließlich dazu da um Verantwortung abzuwälzen fand ich persönlich überzogen. Aber klar, ein netter "Nebeneffekt" ist es allemale für die Hersteller ;)
pmkrefeld schrieb:
Darüber hinaus hätten andere Methoden höchstwahrscheinlich diesen Angriff komplett ohne MFA verhindern können.
Zum Vergrößern anklicken....
Zum Beispiel Zertifikate auf den Clients? In dem Fall hätte es die meisten Szenarien mit abgedeckt ja. Ob das jetzt besser ist als MFA, ist auch wieder Thema für eine eigene Diskussion. Meinen Standpunkt hierzu habe ich ja bereits kundgetan: Die User sind mittlerweile grundsätzlich mit MFA vertraut und die Hürde MFA einzuführen damit deutlich niedriger als noch vor ein paar Jahren
pmkrefeld schrieb:
Ich kann nicht einfach davon ausgehen, dass das genutze Gerät nicht kompromottiert ist, nur weil der Nutzer dessen einen 2. Faktor genutzt hat. Wo ist also der nutzen von MFA?
Zum Vergrößern anklicken....
Naja ich denke da an ein klassisches Beispiel wie das hier: Du sitztst im Café und jemand schaut dir über die Schulter und weiß nun dein Passwort. Wenn er dir nun dein Gerät entwendet, hat er genau nichts gewonnen, da der Faktor Passwort eben nicht ausreicht.
Klar sollte er selbst ohne MFA im Optimalfall nicht wirklich weiter kommen durch die von dir angesprochene Segementierung, aber da müssen wir auch mal kurz die IT-Brille absetzen. Wenn der Angreifer damit schon auf das SAP-System kommt (darf der eigentlicher User korrekterweise als Buchhalter), dann könnten schon interne Daten abfließen. Das Ziel des Angreifers muss ja nicht immer zwingend sein die IT-Systeme zu infiltrieren.
pmkrefeld schrieb:
Und mit einem VPN bin ich zwar in einem Netzwerk, aber wenn der Rest vernünftig abgesichert ist, dann habe ich auch nicht viel davon.
Zum Vergrößern anklicken....
pmkrefeld schrieb:
Ich kann also nicht meine gesamte Infra einfach in ein VPN packen, da gehört weitere Segmentierung zu.....
Zum Vergrößern anklicken....
Da bin ich absolut bei dir!
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Apocalypse
Termy schrieb:
Eigentlich sollten solche fundamentalen Dinge wie 2FA oder Zertifikate doch zu den absolut selbstverständlichsten Best Practices gehören, selbst bei Minimalaufwand?!
Zum Vergrößern anklicken....
Warum genau wird hier diskutiert wie der User sich authentifiziert? Das geht doch komplett am Problem vorbei.
Die nächste Lücke könnte genauso gut in dem Code sein, der die Zertifikate oder die MFA behandelt.
Ich habe ja kein Problem damit die CDU zu dissen, aber das Problem hier ist schlechter Code bei Checkpoint und nicht die Art und Weise wie der User das Produkt nutzt.
 
  • Gefällt mir
Reaktionen: Unnu
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Andy
News Check-Point-Lücke: Hacker-Angriff auf CDU gravierender als erwartet
3 4 5
Antworten
86
Aufrufe
10.978
I'llbeback
I'llbeback
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz