Ob von HP, Sophos, Palo Alto, VMware, SonicWall oder wie zuletzt auch F5 - Sicherheitslücken in Management Interfaces sind an sich lästig genug, der Spaß (zumindest für Angreifer:innen) geht aber erst richtig los, wenn diese Management Interfaces aus dem öffentlichen Internet erreichbar sind.

Wir alle kennen die Situation, man ist sowieso im Dauerstress, irgendetwas ist vermeintlich dringend und wichtig und plötzlich sieht die bequemere Lösung weitaus verlockender aus als die richtige und sichere (a.k.a. "Es wird schon nichts sein" oder "Unser externer Vendor muss aber auch zugreifen"). Unter Umständen hat man sich somit selbst wider besseres Wissen eine Sicherheitslücke geschaffen, die für sich genommen erstmal gar nicht so schlimm gewesen wäre. Was anfangs gerade mal für Lateral Movement getaugt hätte, ist jetzt eine ausgewachsene Unauthenticated RCE auf dem Management Interface. Sollte der schlimmste Fall tatsächlich eintreten, stellt sich alsbald die Erkenntnis (a.k.a. "Oh sh*t") ein, dass man sich damit keinen großen Gefallen getan hat.

Positiv zu erwähnen ist, dass wir im jüngsten Fall (RCE in F5 BIG-IP Management Interface) mit Shodan keine einzige verwundbare Instanz in Österreich finden konnten - wir hoffen, dass dies ein genereller Trend im Umgang mit extern erreichbaren Management-Schnittstellen ist.

Nochmal zur Erinnerung:

* Management Interfaces haben im öffentlichen Internet nichts verloren. Das ist Software, Software ist voller Fehler. Nur weil man bis jetzt vielleicht keine Fehler gefunden hat, heißt das nicht, dass es keine gibt (Hint: Es gibt sie).
* Falls ein Zugriff von außen unbedingt erforderlich ist, sollte dieser nach Möglichkeit über ein gesondertes VPN oder einen Jumphost erfolgen.
* Selbst simple IP-adressbasierte Paketfilter vor dem Interface helfen bereits.