Das norwegische National Cyber Security Centre (NCSC) hat Unternehmen dazu aufgefordert, ihre SSLVPN- und WebVPN-Lösungen durch sicherere Alternativen zu ersetzen. Grund sind wiederholte Ausnutzungen von Sicherheitslücken in diesen VPN-Lösungen. Unternehmen, die dem Sicherheitsgesetz unterliegen, sollten die Umstellung bis Ende 2024 abschließen. Für andere Unternehmen ist eine Umstellung bis Ende 2025 empfohlen.
Das NCSC hat über einen längeren Zeitraum kritische Sicherheitslücken in VPN-Lösungen beobachtet und gemeldet, die Secure Socket Layer/Transport Layer Security (SSL/TLS) nutzen. Diese Schwachstellen werden oft von Angreifern ausgenutzt, was die Notwendigkeit betont, auf sicherere Lösungen umzusteigen. Das NCSC empfiehlt die Verwendung von Internet Protocol Security (IPsec) mit Internet Key Exchange (IKEv2) als Alternative. Andere nationale Sicherheitsbehörden haben ähnliche Empfehlungen ausgesprochen.
Das Hauptziel dieser Empfehlung ist es, die Angriffsfläche für sichere Fernzugriffslösungen zu reduzieren. Es ist wahrscheinlich, dass in Zukunft weitere Zero-Day-Schwachstellen in SSLVPN-Produkten entdeckt werden. Obwohl auch IPsec mit IKEv2 Schwachstellen aufweisen kann, bietet diese Technologie eine geringere Angriffsfläche und eine niedrigere Fehleranfälligkeit bei der Konfiguration.
Maßnahmen und Empfehlungen
Um die Risiken bei der Nutzung von VPN-Lösungen für den Fernzugriff auf Unternehmensnetzwerke zu reduzieren, empfiehlt das NCSC folgende Schritte:
- Planung und Umsetzung der Umstellung: Unternehmen sollten eine Strategie zur Abschaffung von SSLVPN und zur Einführung von IPsec IKEv2 entwickeln.
- Umkonfiguration bestehender Lösungen: Falls die aktuelle VPN-Lösung IPsec IKEv2 unterstützt, sollte diese Funktion aktiviert werden. Andernfalls muss eine neue Lösung implementiert werden.
- Migration der Benutzer: Benutzer und Systeme, die derzeit SSLVPN nutzen, sollten auf IPsec IKEv2 migriert werden.
- Deaktivierung von SSLVPN: Die SSLVPN-Funktionalität sollte abgeschaltet und verifiziert werden, dass keine Endpunkte mehr darauf antworten.
- Sperrung von TLS-Traffic: Jeglicher eingehender TLS-Traffic zur VPN-Server sollte blockiert werden.
- Zertifikatsbasierte Authentifizierung: Die Nutzung von Zertifikaten zur Authentifizierung wird empfohlen.
Übergangsmaßnahmen
Bis zur vollständigen Implementierung von IPsec IKEv2 sollten folgende Übergangsmaßnahmen ergriffen werden:
- Zentrale Logbuchführung: Die VPN-Lösung sollte Protokolle an eine zentrale Logbuchführung senden und die Erkennung sowie schnelle Reaktion auf verdächtige Aktivitäten ermöglichen.
- Geofencing: Nur eingehender Traffic aus notwendigen Ländern sollte erlaubt werden.
- Sperrung unsicherer Infrastruktur: Der Zugang von Anonymisierungsdiensten (z.B. andere VPN-Anbieter und Tor-Exit-Knoten) und VPS-Anbietern sollte blockiert werden.
Leseempfehlungen zum Thema
- NSA, CISA: Selecting and Hardening Remote Access VPN Solutions
- UK NCSC: Device Security Guidance
- NSM NCSC: Angriffe auf SSLVPN-Produkte in kritischer Infrastruktur
- Canadian Centre for Cyber Security: Cyber Activity Impacting CISCO ASA VPNs
Unternehmen sollten diese Empfehlungen ernst nehmen und zeitnah handeln, um ihre Netzwerke vor potenziellen Bedrohungen zu schützen. 2024 nutzen Spionagekampagnen wie ArcaneDoor systematisch Lücken in SSLVPN Verbindungen aus, um Malware zu verbreiten. Sicherheitslücken wie CVE-2024-20353 in Cisco Netzwerken oder CVE-2023-27997 in FortiOS and FortiProxy SSL-VPN stellen eine ernsthafte Bedrohung für die Sicherheit von Unternehmen dar.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: