Wie Load Balancer auf Advanced Persistent Threats und Schwachstellen reagieren

Cyberkriminelle sind, wenn sie etwas wollen, hartnäckig. Sie entwickeln ihre Taktiken und Strategien weiter und sind ständig auf der Suche nach Möglichkeiten, die Cybersicherheitsabwehr zu umgehen und in Systemen Fuß zu fassen, wo sie unentdeckt bleiben könnten.

Hartnäckigkeit ist vor allem bei cyberkriminellen Banden und staatlich gesponserten Teams üblich, die eine fortgeschrittene anhaltende Bedrohung (APT) anstreben.

Alle Netzwerkgeräte sind ein Ziel für Cyberkriminelle, die nach Schwachstellen suchen, die sie ausnutzen können. Angreifer haben es auf Router, VPN-Zugangsgateways, IoT-Infrastrukturen und Grenz-Firewalls abgesehen. Load Balancers sind hiervon nicht ausgenommen, da Load Balancers mit dem Internet verbunden sind und den Benutzerzugriff auf Anwendungen vermitteln. Angesichts dessen überrascht es nicht, dass in Load Balancern aller Hersteller Schwachstellen entdeckt werden.

Einige Schwachstellen sind kritischer als andere, und die Hardware einiger Load Balancing-Anbieter ist anfälliger für APT-Angriffe als andere.

Schwachstellen in der Load Balancer Firmware von F5 und Citrix

Ein neuer Bericht des auf Firmware-Schutz spezialisierten Unternehmens Eclypsium zeigt mehrere Schwachstellen in hardwarebasierten Load Balancern von F5 und Citrix auf. Aus dem Bericht:

"Eclypsium hat herausgefunden, dass zwei der branchenführenden Load Balancing-Geräte problemlos als Befehls- und Kontrollsysteme umfunktioniert werden können, die einen dauerhaften Zugriff sowohl auf die Geräte selbst als auch auf die angeschlossenen Netzwerke ermöglichen.

Die verwendeten Techniken sind für einen durchschnittlichen Angreifer erreichbar, nutzen leicht verfügbare Open-Source-Tools und sind nur von der erweiterten administrativen Shell aus zu erkennen; sie sind für die Webverwaltungsoberfläche und die eingeschränkte Shell unsichtbar. Durch den Missbrauch integrierter Funktionen ist es außerdem möglich, den Zugriff zu behalten, wenn die Geräte neu gestartet, gepatcht oder gelöscht und aus einem Backup wiederhergestellt werden."

Die Eclypsium-Forscher untersuchten die Persistenzmöglichkeiten, die Angreifern zur Verfügung stehen, wenn sie F5- und Citrix-Hardware-Load-Balancer angreifen. Dies geschah als Reaktion auf die Offenlegung von drei kritischen Schwachstellen, die diese Load Balancing-Anbieter betreffen: (CVE-2019-19781, CVE-2020-5902 und CVE-2022-1388).

In ihrem Bericht, in dem Eclypsium die verwendeten Techniken detailliert beschreibt, legen die Forscher dar, wie sie die Hardware-Load-Balancer von F5 und Citrix kompromittieren konnten und ihre Malware über Neustarts und Zurücksetzen hinweg persistent ist. Sie können den vollständigen Bericht hier lesen.

Bitte beachten Sie, dass dieses Posting nicht darauf abzielt, F5, Citrix oder andere Load Balancing-Anbieter zu verunglimpfen. Cybersicherheit ist ein fortlaufender Prozess und es wird Fehler und Schwachstellen bei allen Anbietern geben - und das schließt Progress Kemp LoadMaster ein. Unabhängig davon, welche Lösung Sie verwenden, sollten Sie sich über Sicherheitsupdates und Patches informieren.

Mit LoadMaster Sicherheitsinformationen auf dem Laufenden bleiben

Progress veröffentlicht regelmässig Updates direkt auf seiner Website. Dort finden Sie verschiedene Informationsquellen zur Sicherheit von LoadMaster, Konfigurationshinweise und Release Notes.

• Sicherheitsupdates - Auf der LoadMaster-Seite für Sicherheitsupdates finden Sie alle Sicherheitsmeldungen an einem Ort. Hier finden Sie die neuesten Informationen zu CVEs und anderen offengelegten Schwachstellen in Open-Source-Software, die LoadMaster verwendet. Sie finden hier auch Ratschläge und Best Practices in Bezug auf LoadMaster.
• LoadMaster Vulnerabilities - Eine spezielle Tabelle der CVEs und ob sie LoadMaster betreffen, wird unter folgendem Link geführt. Sie werden die Tabelle mit Links zu detaillierteren Artikeln über CVEs sehen, falls erforderlich.
• Release Notes - Das LoadMaster-Betriebssystem (LMOS) wird regelmäßig mit Sicherheitskorrekturen und Funktionsupdates aktualisiert. Auf dieser Seite finden Sie die neuesten Versionshinweise und ein Archiv der vergangenen Updates.
• Sicherung des LoadMaster-Zugangs - Sicherheit ist nur dann effektiv, wenn der Zugang zu den Administrationsschnittstellen des LoadMaster kontrolliert wird. Diese Seite beschreibt die Schritte zur Sicherung des LoadMaster-Zugriffs und bietet eine Schritt-für-Schritt-Anleitung zur Konfiguration des administrativen Zugriffs auf den LoadMaster.

Warum der Einsatz von LoadMaster Ihre Cybersecurity im Allgemeinen verbessern wird

LoadMaster kann eine zentrale Rolle in einer breit angelegten Cybersecurity-Strategie für Organisationen jeder Größe spielen - von kleinen bis hin zu großen Unternehmen und allem dazwischen. Ganz gleich, ob Ihre Infrastruktur vor Ort, über einen einzelnen Cloud-Anbieter, über eine Multi-Cloud-Infrastruktur oder eine Hybrid-Cloud-Umgebung verteilt ist, die Funktionen von LoadMaster können Ihre Cybersicherheitslage schnell und einfach verbessern.

Erfahren Sie mehr darüber, wie LoadMaster Applikationen absichert, inklusive Informationen über DDoS-Schutz, Web Application Firewall Sicherheit und mehr. Bitte lesen Sie einen der unten aufgeführten Blogs, um mehr über die Sicherheitsfunktionen und Optimierungen von LoadMaster zu erfahren.

• Sicherer Zugang für moderne hybride Arbeitsgruppen mit Zero Trust Netzwerkzugang
• Mehrschichtige Sicherheit für Cloud-Anwendungen mit LoadMaster Load Balancern
• Verbessern Sie die Eindämmung von Day-One-Exploits mit benutzerdefinierten WAF-Regeln
• Was auf dem Spiel steht, wenn Ihr Unternehmen von einem DDoS-Angriff betroffen ist, und wie Sie sich davor schützen können
• Anleitung zum Aufbau einer Cyber-Abwehrstrategie gegen DDoS-Angriffe