Ausgerechnet beim VPN-Produkt Globalprotect spielt der Hersteller Palo Alto ein seltsames Spiel mit seinen Kunden. Offenbar fanden die Entwickler der Software vor gut einem Jahr eine schwere Sicherheitslücke. Externe Angreifer konnten darüber in das Kundennetzwerk eindringen und beliebigen Code ausführen.

Kurzerhand schloss Palo Alto die Lücke für künftige Versionen. Ihren Kunden teilten sie den Fehler und dessen Behebung allerdings nicht mit, sodass immer noch viele VPN-Kunden mit unsicherer Software auf ihren VPN-Gateways arbeiten. Erst auf Druck von außen veröffentlichen sie ein Jahr später einen dünnen Sicherheitshinweis, der im Wesentlichen den Rat gibt, die Firmware der VPN-Boxen auf aktuelle Versionen zu updaten.

Zunächst dachten die Security-Experten Orange Tsai und Meh Chang, sie hätten einen Zero-Day-Exploit, also eine bislang unbekannte Sicherheitslücke, gefunden. Als sich der Exploit jedoch beim Gegencheck mit einer aktuellen Version des Palo-Alto-VPN nicht reproduzieren ließ, gingen sie davon aus, dass es sich doch um eine bekannte Lücke handeln musste, die inzwischen gefixt worden war.

Interessanterweise konnten sie im Internet absolut keinerlei Hinweise auf einen schweren Exploit im Zusammenhang mit Palo Altos VPN-Lösung finden. Sie meldeten dem Hersteller die Lücke daraufhin und erhielten eine überraschende Antwort.

Palo Alto bedankte sich bei den beiden, gab aber zu Protokoll, man veröffentliche keine Informationen zu Problemen, die man selber fände. Und diesen Fehler habe man selber gefunden und schon längst gefixt. Sollten die beiden indes einen Fehler in einer aktuellen Version entdecken, so könnten sie sich gerne wieder melden.

Die Finder hacken Uber …

Dermaßen abgebügelt, gingen Orange Tsai und Meh Chang systematisch zu Werke. Sie untersuchten die erreichbaren Gateways im Internet auf das Vorhandensein der Lücke und fanden sie unter anderem bei Uber, dessen Gateway sie entsprechend hackten. Danach informierten sie Uber über das erfolgreiche Eindringen. Uber bedankte sich, stellte aber glaubhaft dar, dass das VPN nicht an die Kerninfrastruktur des Unternehmens angeschlossen gewesen sei, sodass ein möglicher Impact eines Angriffs äußerst gering gewesen wäre.

… und machen den Exploit öffentlich

Nun entschieden sich Orange Tsai und Meh Chang zur Veröffentlichung der Lücke nebst Proof-of-Concept, was Palo Alto offenbar zur Herausgabe des Sicherheitshinweises veranlasste. Die Reaktionen auf die Veröffentlichung waren durchaus gemischt. Darunter fanden sich viele, die die Auffassung vertraten, dass es nicht die Schuld Palo Altos sei, wenn die Kunden ihre Software nicht aktuell halten. Das sei schließlich geradezu Common Sense.

Daraufhin überprüfte der Sicherheits-Blogger Kevin Beaumont die öffentlich erreichbaren Gateways mit Globalprotect und kam auf die beeindruckende Zahl von 30 Prozent. Rund 30 Prozent aller Gateways liefen nach seinen Erkenntnissen zum Untersuchungszeitpunkt mit einer der angreifbaren Versionen.

Alle Kunden des Palo-Alto-VPN Globalprotect sind nun gut beraten, unverzüglich für Updates zu sorgen, denn mit der aktiven Ausnutzung der Lücke ist nach dem detaillierten Bericht von Tsai und Chang kurzfristig zu rechnen.

VPN, das virtuelle private Netzwerk, errichtet eine Client-Server-Verbindung über das Internet. Dabei dient das Internet nur als Transportmedium. Der Client, also euer Smartphone, Tablet oder Computer, baut einen Kommunikationstunnel zum Server auf. Dieser Tunnel läuft zwar über die ungesicherte Infrastruktur des Netzes, die Kommunikation an sich findet jedoch in verschlüsselter Form innerhalb dieses Tunnels statt. Die Sicherheit dabei ist doppelter Natur. Zum einen kann niemand von außen in den Tunnel schauen. Zum anderen könnte, selbst wenn dies möglich wäre, niemand die Kommunikation lesen, weil sie verschlüsselt abläuft.

Zusätzliche Sicherheit ergibt sich daraus, dass das VPN den Kommunikationstunnel komplett abbricht und ganz neu aufbaut, sobald der Verdacht besteht, dass jemand versucht, in den Tunnel einzudringen. So erklärt sich also der Name. VPN verbindet einen Client mit einem Server, der typischerweise Zugang zu einem internen Unternehmensnetzwerk bietet. Dieses interne Netzwerk wird quasi virtuell erweitert. Das Attribut privat ergibt sich aus der Abschottung des Datenverkehrs gegen Dritte.

VPN ist deshalb die Technologie der Wahl, um Außendienstmitarbeiter ans Firmennetz oder Filialen eines Unternehmens an den Hauptstandort anzubinden.

• Datensicherheit: 7 Tipps, die du mit deinem Business-Laptop beachten musst