12.05.2020 11:15

Rückblick auf das erste Drittel 2020

Jänner: BMEIA, Shitrix, BlueGate – ein besinnlicher Jahresbeginn

Nachdem 2018 mit Spectre und Meltdown schon gezeigt hatte, wie der Start eines neuen Jahres in der IT-Sicherheitsbranche großes Chaos auslösen kann, war es Anfang 2019 erfreulich ruhig geblieben. 2020 positionierte sich weltweit wohl ungefähr zwischen den beiden, in Österreich gab es sich aber alle Mühe, an 2018 anzuschließen.

Vorfälle und Aussendungen

Der Vorfall im BMEIA und die Schwachstelle in Citrix-Geräten waren zwar die größten Vorkommnisse, aber auch nicht die einzigen.

BMEIA und Shitrix

Der Jänner begann mit zwei Paukenschlägen: Das Außenministerium war zum Ziel einer mutmaßlich staatlichen Hacking-Gruppe geworden1 und aufgrund der engen Verbindung zwischen CERT.at und GovCERT Austria waren drei Personen aus unserem Team das gesamte Monat im externen Dauereinsatz. Aber auch den im Büro Verbliebenen wurde nicht langweilig: Bereits am 17. Dezember 2019 hatte Citrix in einem Advisory bekanntgegeben, dass es eine kritische Lücke (CVE-2019-19781, Spitzname "Shitrix") in einigen ihrer Produkte gab und Workarounds zur Verfügung gestellt. Diese wurden allerdings (vermutlich aufgrund der weltweit verbreiteten Feiertage zum Jahreswechsel) in vielen Fällen nicht zeitgerecht eingespielt, und richtige Updates wurden erst in der zweiten Jännerhälfte zu Verfügung gestellt.

Am 10. Jänner wurde der erste Exploit auf GitHub veröffentlicht, und spätestens da zeigte sich, wie einfach die Lücke auszunutzen war: Mit wenigen HTTP-Requests mit einem bestimmten Pfad konnten AngreiferInnen über das Netzwerk beliebige Befehle auf den Geräten ausführen ohne irgendwelche Zugangsdaten zu benötigen. Dementsprechend haben wir am selben Tag mit nach potentiell verwundbaren Systemen in Österreich gesucht und Betroffene informiert. Außerdem veröffentlichten wir in der Folgewoche einen Blogpost dazu. Waren es damals 344 potentiell verwundbare Systeme, finden sich aktuell weniger als 20 in Österreich.

Zusätzlich zu diesen beiden großen Vorkommnissen, gab es noch einige weitere:

RDP-Bluegate

In Microsofts Patch Tuesday am 14. Jänner wurden Schwachstellen im RDP-Gateway (CVE-2020-0609, CVE-2020-0610), die den Namen “BlueGate" erhielten, geschlossen und auch dafür waren bald Exploits auf GitHub verfügbar. Wir erhielten Informationen zu wahrscheinlich anfälligen Systemen von einem anderen CERT aus der EU und informierten auch hier die Betroffenen.

SharePoint

Bereits Anfang 2019 stellte Microsoft Updates für CVE-2019-0604, einer Remote Code Execution auf SharePoint Servern, zur Verfügung. Diese waren aber ein Jahr später immer noch nicht überall eingespielt und nachdem wir von externen ResearcherInnen eine Liste nach wie vor ungepatchter Instanzen in Österreich erhielten, kontaktierten wir die Betroffenen.

Trickbot und Emotet

Ein befreundetes CERT schickte uns Daten zu Opfern mit Trickbot bzw. Emotet infizierten Systemen. Wir kontaktierten die Opfer mit dem dringlichen Hinweis, die befallenen Computer so schnell wie möglich zu bereinigen.

Projekte und Konferenzen

Wir veröffentlichten nicht nur Version 2.1.2 von IntelMQ (siehe den dazu verfassten Blogpost), sondern auch ein Tutorial zu dessen Nutzung.

Beim TF-CSIRT Treffen im Jänner wurde dieses auch gleich im Zuge eines Workshops erprobt.

Außerdem bekamen wir Mitte des Monats Verstärkung für das Handlerteam.

Februar: Die (fast) letzten Augenblicke von TLS < 1.2

Vorfälle und Aussendungen

Im Februar war es insgesamt etwas ruhiger, aber dafür stand mit der für März angekündigten Entfernung von TLS 1.0 und 1.1 eine ebenfalls IT-Sicherheitsrelevante Veränderung in den Startlöchern.

RIP TLS < 1.2 (oder doch nicht?)

Die großen Browserherstellerfirmen Google, Mozilla, Microsoft und Apple hatten bereits 2018 angekündigt2, dass sie im März 2020 die Unterstützung für TLS-Versionen unter 1.2 einstellen würden. Dementsprechend sind Webserver, die ausschließlich TLS 1.1 und darunter unterstützen ab dem Zeitpunkt dieser Umstellung von Chrom(ium|e), Firefox, Edge und Safari nicht mehr ohne weiteres erreichbar.

Wir nahmen das zum Anlass, um uns die Situation in Österreich anzusehen, indem wir alle .at-Domains auf die höchste von ihnen unterstützte TLS (bzw. in einigen wenigen Fällen SSL) Version testeten.

Anfang Februar fanden wir so etwa 4500 Systeme und informierten deren BetreiberInnen über den baldigen, potentiell unfreiwilligen Abschied aus dem WWW. Als wir den Scan am Ende desselben Monats wiederholten, hatte sich die Anzahl um knapp 1200 reduziert.

Aufgrund der COVID-19 Pandemie wurde die Deaktivierung von TLS 1.0 und 1.1 zwar bis auf weiteres verschoben,3 dennoch ist es ratsam auf TLS 1.3 umzusteigen, falls dies noch nicht geschehen ist.

Ghostcat: LFI turned RCE

Außerdem brachte uns der Februar noch CVE-2020-1938, eigentlich eine Local File Inclusion Schwachstelle in Apache Tomcat, d.h. eine Lücke bei der es möglich ist, beliebige Dateien auf den Server zu laden. Allerdings konnte diese zumindest in einigen Fällen zu einer Unauthenticated Remote Code Execution "erweitert" werden, nämlich dann, wenn ausführbare Dateien hochgeladen wurden und von extern darauf zugegriffen werden konnte.

Eine genauere Darstellung findet sich in einem Blogpost von Tenable.

Auch in diesem Fall bekamen wir Informationen von einem befreundeten CERT über angreifbare Instanzen in Österreich und warnten die Betroffenen, da bereits ein Exploit auf GitHub verfügbar war.

März und April: COVID-19 oder "Im Cyber nix neues"

März und April standen ganz im Zeichen der COVID-19 Pandemie und aufgrund der massenhaften Umstellung auf Homeoffice und den damit einhergehenden Installationen von VPNs, RDPs, etc. war durchaus anzunehmen, dass es im IT-Sicherheitsbereich einiges an Mehrarbeit geben würde.

Das hat sich jedoch (bisher) nicht bewahrheitet – natürlich gab es massenhaft Phishing-Mails und Fake-Shops, die auf den Corona-Zug aufsprangen, aber einen gröberen Anstieg an Vorfällen gab es nicht. Das ist keinesfalls nur in Österreich der Fall, sondern wurde von vielen anderen europäischen und internationalen CERTs mit denen wir in Kontakt sind, berichtet.

Obwohl wir im IT-Sicherheitsbereich also keine großen Neuigkeiten zu verbuchen hatten, ging die Ausbreitung des COVID-19 Virus auch an uns nicht ohne ungeplante Veränderungen vorüber: Die Reisebeschränkungen verhinderten nicht nur Fortbildungen und Konferenzbesuche, sondern vereitelten unter anderem auch die für Ende März sowie für April geplanten Hackathons, die im Rahmen des 2018-AT-IA-0111 Projekts hätten stattfinden sollen.

Vorfälle und Aussendungen

Auch wenn COVID-19 nicht zu einem IT-Sicherheit-Alptraum wurde, gab es auch in diesen beiden Monaten Sicherheitslücken, denen wir nachgegangen sind:

Zoho ManageEngine Desktop Central

In Desktop Central von ManageEngine, einem System mit dem Clients und Server remote und zentral gesteuert werden können, wurde mit CVE-2020-10189 eine unauthenticated Remote Code Execution bekannt für die es auch einen Proof of Concept Exploit gab.

Wir suchten über shodan.io nach potentiell verwundbaren Systemen in Österreich und informierten die Betroffenen.

Microsoft Exchange: CVE-2020-0688

Bereits im Februar hatte Microsoft mit CVE-2020-0688 eine kritische Lücke im Exchange Server behoben, die Remote Code Execution ermöglichte. Im Laufe von zwei Monaten wurden Exploits veröffentlicht und die Berichte über Angriffswellen häuften sich. Daher versuchten wir Anfang April, soviele ungepatchte Systeme wie möglich zu finden und kontaktieren deren BetreiberInnen mit der Bitte, die Updates möglichst bald einzuspielen.

Nähere Informationen dazu finden sich in unserem Blogpost dazu. Ein erneuter Scan etwa ein Monat später lieferte quasi identische Zahlen zu den im soeben erwähnten Blogpost angeführten: 1043 ungepatchte Exchange Server insgesamt (im Vergleich zu 1096 im Monat davor) mit folgender Verteilung:

  • Exchange Server 2013: 243 (vormals 245)

  • Exchange Server 2016: 712 (vormals 767)

  • Exchange Server 2019: 88 (vormals 84)

Allerdings ist seither bekannt geworden, dass die Versionsstrings in den URLs, die das Script von CERT.LV für den Test verwendet, bei einem Update nicht aktualisiert werden und diese Ergebnisse daher leider nicht verlässlich sind.4

Sophos XG Firewall

Die IT-Security Firma Sophos veröffentlichte Ende April ein Advisory in dem sie auf eine SQL-Injection (CVE-2020-12271) in ihrer XG Firewall hinwiesen. Gleichzeitig erschien ihre detaillierte Analyse einer laufenden Kampagne, die diese Schwachstelle ausnutzte.

CERT.at nutzte shodan.io um potentiell anfällige Installationen der Sophos XG Firewall in Österreich zu identifizieren und informierte die Betroffenen.

IntelMQ-Manager

Wie im nächsten Abschnitt näher beschrieben, wurde im April eine schwerwiegende Schwachstelle in einem von uns betreuten Open Source Projekt gefunden. Wir suchten via shodan.io nach potentiell angreifbaren Instanzen in Österreich und warnten die Betroffenen.

Projekte und Konferenzen

Der April brachte uns auch unsere erste CVE-Nummer: CVE-2020-11016. Bernhard Herzog von Intevation fand im IntelMQ-Manager, dem Web-Frontend zu IntelMQ eine Command-Injection Schwachstelle, die im schlimmsten Fall zu einer Remote Code Execution ohne jegliche Authenfikation führen konnte. Die Lücke wurde mit dem Release von IntelMQ-Manager 2.1.1 behoben.

Insgesamt war im ersten Drittel von 2020 also einiges los, auch wenn der im Zuge von COVID-19 erwartete massive Anstieg von IT-Sicherheitsproblemen erfreulicherweise ausblieb.


  1. Siehe z.B. https://www.bmeia.gv.at/das-ministerium/presse/aussendungen/2020/02/cyberangriff-auf-das-aussenministerium-ist-beendet/.

  2. Siehe dazu die Posts von Google, Mozilla, Microsoft und Apple.

  3. Siehe dazu https://blog.chromium.org/2019/10/chrome-ui-for-deprecating-legacy-tls.html, https://www.mozilla.org/en-US/firefox/74.0/releasenotes/#note-788289 und https://blogs.windows.com/msedgedev/2020/03/31/tls-1-0-tls-1-1-schedule-update-edge-ie11/. Von Apple gab es zum Zeitpunkt der Veröffentlichung dieses Blogposts noch keine Informationen, allerdings waren TLS 1.0 und 1.1 auf unseren Apple-Geräten noch aktiv.

  4. Siehe dazu den Blogpost von Rapid7.

Verfasst von: Dimitri Robl