TLS- und VPN-Fehler bieten die meisten Zugriffe Pen-Tester

Schwachstellen in der Sicherheit der Transportschicht und die Gefährdung durch ein 10 Jahre altes Botnetz sind die häufigsten Ergebnisse von Penetrationstests.

Laut Daten aus Untersuchungen zwischen Juni 2019 und Juni 2020 von 206 Einsätzen von Rapid7 bieten die interne Netzwerkkonfiguration und das Patch-Management weiterhin „einfache“ weiche Ziele für Penetrationstester.

TLS- und VPN-Fehler bieten die meisten Zugriffe Pen-Tester

Die Pen-Tester nutzen häufig Standard-Produktangriffe, um ihre Privilegien zu erhöhen und sich seitlich im Netzwerk zu bewegen, ohne entdeckt zu werden. Es wurde auch festgestellt, dass Probleme mit EternalBlue und Conficker immer noch nicht aus den internen Netzwerken entfernt werden.

Laut Tod Beardsley, Forschungsdirektor bei Rapid7, stellte sich im Laufe der 12-monatigen Arbeit heraus, dass auch das Passwortmanagement und sekundäre Kontrollen wie die Zwei-Faktor-Authentifizierung auf Unternehmensebene große Mängel aufwies, was zu „einfachen“ Angriffen führt, die sowohl das Erkennen von Passwörtern als auch die Entschlüsselung von Hash-Passwörtern beinhalten, die bei simulierten Sicherheitsverletzungen erworben wurden.

Da außerdem die Abhängigkeit von VPNs und internetbasierten Anwendungen größer ist als bei herkömmlichen internen Netzwerkkontrollen, fanden Penetrationstester erhebliche Mängel in diesen VPN-Terminatoren und benutzerdefinierten Webanwendungen.

„Während nichts davon selbst für die meisten Pollyanna-Sicherheitsforscher (wir sind ein zynischer Haufen) besonders schockierend ist, handelt es sich hier um solide Daten, die Unternehmen auf der ganzen Welt dabei helfen können, zu verstehen, was sie von ihrem nächsten Penetrationstest zu erwarten haben, und die als Checkliste dafür dienen können, was bis dahin zu untersuchen und zu beheben ist“, sagte er.

Der Bericht fand auch zwei Schwachstellen „als ziemlich übliche Schwachstellen für jede intern durchgeführte Netzwerkbewertung“. Dabei handelte es sich um MS08-067, das bereits 2008 im Conficker-Angriff als Waffe eingesetzt wurde, und um MS17-10, die die zentrale Schwachstelle des EternalBlue-Angriffskits von 2017 war.

„Diese beiden Probleme gehören zu den berühmten Schwachstellen des letzten Jahrzehnts, so dass man annehmen könnte, dass die IT- und IT-Sicherheitsteams diese Schwachstellen längst aus ihren internen Netzwerken entfernt hätten“, so Beardsley.

Mark Kedgley, CTO bei New Net Technologies, sagt, dass er die Ursache dafür sieht, dass EternalBlue und Conficker immer noch so prominent sind, weil es so viele Windows-basierte Systeme gibt, die nicht einfach aufgerüstet oder sogar gepatcht werden können, wie z.B. EPoS- und ATM-Systeme.

„Sogar innerhalb des britischen NHS, einem der bekanntesten Opfer von WannaCry, gibt es Berichte über die immer noch weit verbreitete Nutzung von Windows 7 aufgrund des Budgets und der praktischen Herausforderungen einer groß angelegten IT“, sagte Kedgley. „Es ist klar, dass das Aufrüsten und Patchen von Systemen eine große Herausforderung ist, und obwohl dies der Fall bleibt, werden ausnutzbare, bekannte Schwachstellen weiterhin vorhanden und eine Bedrohung darstellen. Andere Sicherheitskontrollen, wie die Änderungskontrolle und die Erkennung von Sicherheitsverletzungen, können eine Rolle bei der Kompensation von Umgebungen spielen, in denen Patches ein Problem darstellen.

Die wichtigsten Schwachstellen, auf die externe Penetrationstester stießen, waren: schwache Sicherheit auf der Transportschicht (10,48%), schwache Passwortrichtlinien (7,08%), fehlende Response-Header mit strenger Transportsicherheit (STS) (6,23%), Benutzeraufzählung (5,67%).

sagte Kedgley: „Öffentliche Websites sind natürlich anfällig für Angriffe. Daher ist dies ein kritisches Sicherheitsrisiko, seit sich ältere TLS-Implementierungen als schwach und kompromissanfällig erwiesen haben. Der PCI DSS verbot SSL und frühe TLS-Versionen vor fünf Jahren, wie es damals hieß, da dies für praktisch jede Website ein großes Problem darstellte.

„TLS 1.3 wird die in früheren Versionen bekannten Löcher stopfen, aber die gleichen Probleme bestehen darin, dass allein die Verfügbarkeit eines Patches oder Updates uns nicht sicher macht – erst wenn es vollständig implementiert und getestet ist, ist die Angriffsfläche behoben.