• +49-331-979-11-586
  • info@deinnetzwerkfachmann.de

Angriffe auf OpenVPN

Angriffe auf OpenVPN

Momentan laufen wohl verstärkt Brute-Force-Angriffe auf OpenVPN, welche aus dem afrikanischen Raum stammen. Wer oder was sich genau dahinter verbirgt kann ich nicht genau sagen. Aufmerksam geworden bin ich durch die Meldung eines ehemaligen Arbeitskollegen (LDS Systems GmbH), welcher wiederum durch blockierte OpenVPN-Server seiner Kunden auf das Problem stieß. Einige dieser OpenVPN-Server laufen auf Synology Diskstations, welche trotz aktivierter Sicherheitsmerkmale keine Blockierungen der IP-Adressen einleiten. Vermutlich geht es um die Remotecodeausführung welche im CVE-2023-7235 beschrieben wird.

Die Sicherheitslücke zielt auf Windows-Systeme ab, welche OpenVPN vor der Version 2.6.9 installiert haben. Der Installer vor der genannten Version setzt die falschen Zugriffsbeschränkungen, wenn der Installationspfad nicht dem Standard entspricht. Dem Angreifer wird hiermit ermöglicht, Binärdateien zu ersetzen, um beliebige ausführbare Dateien auszuführen. Es ist also wichtig das Update für die Version 2.6.9 auf Windows-Systemen zu installieren.

Vielleicht wissen unsere Angreifer ja mehr als wir. Ich kann mir jedenfalls nicht vorstellen, dass ein Brute-Force-Angriff auf zertifikatbasierten Authentifizierungen von Erfolg gekrönt sein wird. Dennoch sollte ein Erfolg dieser Angriffe nicht ausgeschlossen werden. Also alles noch mal Patchen und evtl. die Firewall etwas anpassen, wenn die Angreifer das VPN-System blockieren.

Hat man einen Router wie z.B. eine Fritz!Box, die keine entsprechende Firewallkonfiguration zulässt, bleibt einem nur das Umbiegen des Ports von 1194 auf einen anderen seiner Wahl. Hat man beispielsweise einen LANCOM Router mit entsprechender Firewall, kann man diese entsprechend konfigurieren, um die “bösen” Jungs entsprechend zu behindern. Allerdings würde ich eine Konfiguration empfehlen die nicht dem Standardport entspricht, um die Angriffsfläche zu minimieren.

Es empfiehlt sich immer, wenn man entsprechende Dienste für das Internet freigibt, einen entsprechenden Router anzuschaffen der etwas professionellere Konfigurationsmöglichkeiten bietet.

Synology

Was die Sicherheitsfeatures von Synology angeht, hat man keine Chance über die Oberfläche entsprechende IPs zu blockieren. Was ich schwer enttäuschend empfinde. Wozu hat man diese Sicherheitsfeatures, wenn diese nur auf die Hälfte der Produkte anwendbar ist?! Ich meine, der OpenVPN-Server wird von Synology in das System eingepflegt, warum greifen hier die Blocklisten nicht? Zumal auch die Benutzerliste aus dem System für die VPN-Lösungen genutzt werden. Fälschlicher Weise suggeriert einem die Oberfläche, Produkte aus einem Guss zu nutzen. Glücklicherweise bin ich nun in meiner falschen Annahme, dass Synology weiß was sie tun, korrigiert worden. Es ist also etwas mehr zu beachten, wenn man die Dienste dieser Boxen im Internet freigibt. Ich bin Synology-Partner und nutze die Produkte recht ausgiebig, dennoch muss ich meine Enttäuschung über diese eklatante Schwäche mehr als nur deutlich zum Ausdruck bringen.

Die IP-Adressen unserer Angreifer kommen aus dem Bereich 164.160.x.x und 197.148.x.x

Daniel Jörg Schuppelius

Selbstständiger IT-Dienstleister und Assistent für Elektronik und Datentechnik, Ich bin sozusagen Mädchen für alles was die Informationstechnik angeht. Kümmere mich gerne um Probleme, an denen andere Dienstleister scheitern und bin ständig auf der Suche nach einer neuen Herausforderung. Entwickle gerne Programme und Skripte und kümmere mich um diverse Blogs und Seiten. Auch sonst probiere ich mich an neuen Techniken aus, um mich noch unabhängiger von anderen Personen zu machen. Wenn du willst, dass irgendetwas funktioniert, dann kümmere dich immer selbst darum.

Schreiben Sie einen Kommentar

Bitte beachten: Ihre E-Mail-Adresse wird nicht veröffentlicht, jedoch Ihr Name. Vorname oder ein Nickname ist ausreichend. Des Weiteren werden Kommentare auf dieser Seite moderiert. Bitte haben Sie etwas Geduld, wenn Ihr Kommentar nicht sofort aktiviert wird.

Wenn Sie sich nicht öffentlich äußern möchten, nutzen Sie das Kontaktformular oder senden Sie mir eine E-Mail. Bitte vergessen Sie nicht, den Artikel zu erwähnen, auf den Sie sich beziehen.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Sie suchen,
Informationen

zum
Unternehmen!