Ausgerechnet bei VPN: Hersteller Palo Alto verschweigt Kunden Sicherheitslücke
Wenn der sichere Zugang nicht sicher ist. (Foto: Funtap / Shutterstock)
Ausgerechnet beim VPN-Produkt Globalprotect spielt der Hersteller Palo Alto ein seltsames Spiel mit seinen Kunden. Offenbar fanden die Entwickler der Software vor gut einem Jahr eine schwere Sicherheitslücke. Externe Angreifer konnten darüber in das Kundennetzwerk eindringen und beliebigen Code ausführen.
Kurzerhand schloss Palo Alto die Lücke für künftige Versionen. Ihren Kunden teilten sie den Fehler und dessen Behebung allerdings nicht mit, sodass immer noch viele VPN-Kunden mit unsicherer Software auf ihren VPN-Gateways arbeiten. Erst auf Druck von außen veröffentlichen sie ein Jahr später einen dünnen Sicherheitshinweis, der im Wesentlichen den Rat gibt, die Firmware der VPN-Boxen auf aktuelle Versionen zu updaten.
Die Sicherheitslücke wird gefunden
Zunächst dachten die Security-Experten Orange Tsai und Meh Chang, sie hätten einen Zero-Day-Exploit, also eine bislang unbekannte Sicherheitslücke, gefunden. Als sich der Exploit jedoch beim Gegencheck mit einer aktuellen Version des Palo-Alto-VPN nicht reproduzieren ließ, gingen sie davon aus, dass es sich doch um eine bekannte Lücke handeln musste, die inzwischen gefixt worden war.
Interessanterweise konnten sie im Internet absolut keinerlei Hinweise auf einen schweren Exploit im Zusammenhang mit Palo Altos VPN-Lösung finden. Sie meldeten dem Hersteller die Lücke daraufhin und erhielten eine überraschende Antwort.
Der Hersteller gibt sich wissend, aber uneinsichtig
Palo Alto bedankte sich bei den beiden, gab aber zu Protokoll, man veröffentliche keine Informationen zu Problemen, die man selber fände. Und diesen Fehler habe man selber gefunden und schon längst gefixt. Sollten die beiden indes einen Fehler in einer aktuellen Version entdecken, so könnten sie sich gerne wieder melden.
Die Finder hacken Uber …
Dermaßen abgebügelt, gingen Orange Tsai und Meh Chang systematisch zu Werke. Sie untersuchten die erreichbaren Gateways im Internet auf das Vorhandensein der Lücke und fanden sie unter anderem bei Uber, dessen Gateway sie entsprechend hackten. Danach informierten sie Uber über das erfolgreiche Eindringen. Uber bedankte sich, stellte aber glaubhaft dar, dass das VPN nicht an die Kerninfrastruktur des Unternehmens angeschlossen gewesen sei, sodass ein möglicher Impact eines Angriffs äußerst gering gewesen wäre.
… und machen den Exploit öffentlich
Nun entschieden sich Orange Tsai und Meh Chang zur Veröffentlichung der Lücke nebst Proof-of-Concept, was Palo Alto offenbar zur Herausgabe des Sicherheitshinweises veranlasste. Die Reaktionen auf die Veröffentlichung waren durchaus gemischt. Darunter fanden sich viele, die die Auffassung vertraten, dass es nicht die Schuld Palo Altos sei, wenn die Kunden ihre Software nicht aktuell halten. Das sei schließlich geradezu Common Sense.
Daraufhin überprüfte der Sicherheits-Blogger Kevin Beaumont die öffentlich erreichbaren Gateways mit Globalprotect und kam auf die beeindruckende Zahl von 30 Prozent. Rund 30 Prozent aller Gateways liefen nach seinen Erkenntnissen zum Untersuchungszeitpunkt mit einer der angreifbaren Versionen.
Alle Kunden des Palo-Alto-VPN Globalprotect sind nun gut beraten, unverzüglich für Updates zu sorgen, denn mit der aktiven Ausnutzung der Lücke ist nach dem detaillierten Bericht von Tsai und Chang kurzfristig zu rechnen.
Hintergrund: Was ist ein VPN?
VPN, das virtuelle private Netzwerk, errichtet eine Client-Server-Verbindung über das Internet. Dabei dient das Internet nur als Transportmedium. Der Client, also euer Smartphone, Tablet oder Computer, baut einen Kommunikationstunnel zum Server auf. Dieser Tunnel läuft zwar über die ungesicherte Infrastruktur des Netzes, die Kommunikation an sich findet jedoch in verschlüsselter Form innerhalb dieses Tunnels statt. Die Sicherheit dabei ist doppelter Natur. Zum einen kann niemand von außen in den Tunnel schauen. Zum anderen könnte, selbst wenn dies möglich wäre, niemand die Kommunikation lesen, weil sie verschlüsselt abläuft.
Zusätzliche Sicherheit ergibt sich daraus, dass das VPN den Kommunikationstunnel komplett abbricht und ganz neu aufbaut, sobald der Verdacht besteht, dass jemand versucht, in den Tunnel einzudringen. So erklärt sich also der Name. VPN verbindet einen Client mit einem Server, der typischerweise Zugang zu einem internen Unternehmensnetzwerk bietet. Dieses interne Netzwerk wird quasi virtuell erweitert. Das Attribut privat ergibt sich aus der Abschottung des Datenverkehrs gegen Dritte.
VPN ist deshalb die Technologie der Wahl, um Außendienstmitarbeiter ans Firmennetz oder Filialen eines Unternehmens an den Hauptstandort anzubinden.
Gerade bei einer VPN-Lösung mit dem Kunden zu spielen und ihm existenzielle Informationen vorzuenthalten, disqualifiziert den sich so verhaltenden Anbieter völlig. Vertrauen ist der Anfang von allem, heißt es. Palo Alto hat das Vertrauen seiner Kunden verspielt.
Dieter Petereit
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team