Wegen Sicherheitslücken: NCSC empfiehlt Umstieg von SSLVPN/WebVPN auf IPSec basierte Alternativen

Table of Contents

Das norwegische National Cyber Security Centre (NCSC) hat Unternehmen dazu aufgefordert, ihre SSLVPN- und WebVPN-Lösungen durch sicherere Alternativen zu ersetzen. Grund sind wiederholte Ausnutzungen von Sicherheitslücken in diesen VPN-Lösungen. Unternehmen, die dem Sicherheitsgesetz unterliegen, sollten die Umstellung bis Ende 2024 abschließen. Für andere Unternehmen ist eine Umstellung bis Ende 2025 empfohlen.

Das NCSC hat über einen längeren Zeitraum kritische Sicherheitslücken in VPN-Lösungen beobachtet und gemeldet, die Secure Socket Layer/Transport Layer Security (SSL/TLS) nutzen. Diese Schwachstellen werden oft von Angreifern ausgenutzt, was die Notwendigkeit betont, auf sicherere Lösungen umzusteigen. Das NCSC empfiehlt die Verwendung von Internet Protocol Security (IPsec) mit Internet Key Exchange (IKEv2) als Alternative. Andere nationale Sicherheitsbehörden haben ähnliche Empfehlungen ausgesprochen.

Das Hauptziel dieser Empfehlung ist es, die Angriffsfläche für sichere Fernzugriffslösungen zu reduzieren. Es ist wahrscheinlich, dass in Zukunft weitere Zero-Day-Schwachstellen in SSLVPN-Produkten entdeckt werden. Obwohl auch IPsec mit IKEv2 Schwachstellen aufweisen kann, bietet diese Technologie eine geringere Angriffsfläche und eine niedrigere Fehleranfälligkeit bei der Konfiguration.

Maßnahmen und Empfehlungen

Um die Risiken bei der Nutzung von VPN-Lösungen für den Fernzugriff auf Unternehmensnetzwerke zu reduzieren, empfiehlt das NCSC folgende Schritte:

  1. Planung und Umsetzung der Umstellung: Unternehmen sollten eine Strategie zur Abschaffung von SSLVPN und zur Einführung von IPsec IKEv2 entwickeln.
  2. Umkonfiguration bestehender Lösungen: Falls die aktuelle VPN-Lösung IPsec IKEv2 unterstützt, sollte diese Funktion aktiviert werden. Andernfalls muss eine neue Lösung implementiert werden.
  3. Migration der Benutzer: Benutzer und Systeme, die derzeit SSLVPN nutzen, sollten auf IPsec IKEv2 migriert werden.
  4. Deaktivierung von SSLVPN: Die SSLVPN-Funktionalität sollte abgeschaltet und verifiziert werden, dass keine Endpunkte mehr darauf antworten.
  5. Sperrung von TLS-Traffic: Jeglicher eingehender TLS-Traffic zur VPN-Server sollte blockiert werden.
  6. Zertifikatsbasierte Authentifizierung: Die Nutzung von Zertifikaten zur Authentifizierung wird empfohlen.

Übergangsmaßnahmen

Bis zur vollständigen Implementierung von IPsec IKEv2 sollten folgende Übergangsmaßnahmen ergriffen werden:

  1. Zentrale Logbuchführung: Die VPN-Lösung sollte Protokolle an eine zentrale Logbuchführung senden und die Erkennung sowie schnelle Reaktion auf verdächtige Aktivitäten ermöglichen.
  2. Geofencing: Nur eingehender Traffic aus notwendigen Ländern sollte erlaubt werden.
  3. Sperrung unsicherer Infrastruktur: Der Zugang von Anonymisierungsdiensten (z.B. andere VPN-Anbieter und Tor-Exit-Knoten) und VPS-Anbietern sollte blockiert werden.

Leseempfehlungen zum Thema

Unternehmen sollten diese Empfehlungen ernst nehmen und zeitnah handeln, um ihre Netzwerke vor potenziellen Bedrohungen zu schützen. 2024 nutzen Spionagekampagnen wie ArcaneDoor systematisch Lücken in SSLVPN Verbindungen aus, um Malware zu verbreiten. Sicherheitslücken wie CVE-2024-20353 in Cisco Netzwerken oder CVE-2023-27997 in FortiOS and FortiProxy SSL-VPN stellen eine ernsthafte Bedrohung für die Sicherheit von Unternehmen dar.

Related Posts

Kritische Sicherheitslücke CVE-2024-22026 in Ivanti EPMM entdeckt

Ivantis Enterprise Mobility Management Platform (EPMM), ehemals bekannt als “MobileIron Core”, weist eine schwerwiegende Sicherheitslücke (CVE-2024-22026) auf, die lokale Privilegieneskalation über den Befehl [install rpm url] in der eingeschränkten Shell (clish) ermöglicht. Diese Schwachstelle betrifft Versionen vor 12.1.0.0, 12.0.0.0 und 11.12.0.1 und wurde mit den neuesten Updates von Ivanti behoben.

Read More

Zabbix Sicherheitslücke CVE-2024-22120: Timing-basierte SQL-Injection

Die Entwickler von Zabbix haben eine kritische Sicherheitslücke (CVE-2024-22120) in der Zabbix Server Audit Log-Funktion geschlossen. Diese Schwachstelle ermöglicht eine Timing-basierte SQL-Injection, die zur Eskalation von Benutzerrechten und potenziell sogar zur Remote Code Execution (RCE) führen kann. Die Lücke wurde in der Version 6.0.28rc1, 6.4.13rc1 und 7.0.0beta2 behoben.

Read More

Amazon Redshift JDBC-Treiber: SQL Injection durch Kommentare

Eine kritische Sicherheitslücke wurde in bestimmten Versionen des Amazon Redshift JDBC-Treibers entdeckt, die zu einer SQL Injection führen kann. Diese Schwachstelle CVE-2024-32888 betrifft die Nutzung der nicht-standardmäßigen Verbindungseigenschaft preferQueryMode=simple in Kombination mit anfälligem SQL-Code, der einen Parameterwert negiert. Der Fehler gleicht der Schwachstelle CVE-2024-1597 im Posgresql-JDBC Treiber.

Read More