Im Oktober 2024 hat WatchGuard eine Zunahme an globalen Brute-Force-Angriffen auf SSL-VPN-Systeme festgestellt, die zu einer erheblichen Anzahl unbekannter Benutzeranfragen bei AuthPoint, dem Authentifizierungsdienst von WatchGuard, führten. Diese Aktivität führte zu Serviceunterbrechungen, die sich durch fehlerhafte, abgebrochene oder zeitweise Authentifizierungssitzungen bemerkbar machten. Trotz dieser Störungen ist es wichtig zu betonen, dass AuthPoint selbst nicht direkt Ziel dieser Angriffe war und keine Sicherheitslücken bei den WatchGuard-Diensten ausgenutzt wurden.
Ein Überblick über die Bedrohung
Die Angreifer scheinen eine Technik zu verwenden, bei der sie mit zufälligen oder häufig genutzten Zugangsdaten arbeiten. Diese Methode deutet darauf hin, dass es sich um eine nicht gezielte Kampagne handelt, die auf das Sammeln einfacher, oft genutzter Zugangsdaten abzielt, anstatt auf gezielte Angriffe. Sie nutzen gängige Benutzernamen und Passwörter, um Schwachstellen bei Benutzern auszunutzen, die möglicherweise noch Standard- oder schwache Zugangsdaten verwenden.
Diese unerlaubten Authentifizierungsversuche laufen über On-Premises-Systeme wie RADIUS, SSL VPN und Firewalls, bevor sie die AuthPoint-Dienste in den Regionen Amerikas, EMEA und APAC erreichen. Besonders besorgniserregend ist der Anstieg des Traffics unbekannter Benutzer, der von WatchGuard Fireboxen ausgeht, die direkt mit AuthPoint verbunden sind.
Anstieg der Angriffe im Oktober
Bereits zu Beginn des Jahres 2024 wurden ähnliche Brute-Force-Aktivitäten beobachtet, doch zwischen dem 20. und 22. Oktober kam es zu einem deutlichen Anstieg des Angriffsvolumens. Um Kunden und Partnern bei der Abwehr solcher Angriffe zu helfen, hat WatchGuard sein Knowledge Base-Artikel mit Best Practices zur Bewältigung von Brute-Force-Störungen aktualisiert.
Empfohlene Maßnahmen für Kunden und Partner
Kunden und Partnern wird dringend empfohlen, verschiedene Sicherheitsvorkehrungen zu treffen, um die Auswirkungen der Brute-Force-Angriffe zu minimieren:
1. Aktivierung der Botnet-Erkennung: WatchGuard hat seine Botnet Detection aktualisiert, um bekannte IP-Adressen zu blockieren, von denen die Angriffe ausgehen.
2. Drosselung von Authentifizierungsversuchen: Wenn Ihr Drittanbietersystem das Drosseln von Authentifizierungsversuchen oder das automatische Blockieren von IP-Adressen nach mehreren fehlgeschlagenen Versuchen unterstützt, sollten Sie diese Funktion aktivieren.
3. Schutz der SSL VPN-Portale: Es wird empfohlen, das SSL VPN-Portal vor externem Zugriff zu schützen und geographische Beschränkungen für Verbindungen zu aktivieren.
4. Implementierung von Verbindungslimits: Das Setzen von Verbindungslimits kann die Anzahl unerwünschter Verbindungen einschränken.
Maßnahmen von WatchGuard zur Stabilisierung der Dienste
Um die Serviceunterbrechungen zu minimieren, hat WatchGuard zusätzliche Ressourcen für die AuthPoint-Dienste bereitgestellt und überwacht die Infrastruktur kontinuierlich. Dies umfasst auch Verbesserungen der Self-Healing-Mechanismen sowie die Einführung einer RADIUS-basierten Authentifizierungsdrosselung in allen Regionen.
Zusätzlich wurde das Firebox Botnet Detection Service aktualisiert, um bösartige IP-Adressen proaktiv zu blockieren. Kunden, die Fireboxen verwalten, sollten sicherstellen, dass diese Funktion aktiviert ist und die neuesten Bedrohungsinformationen heruntergeladen wurden.
Unterstützung durch den WatchGuard-Support
Der WatchGuard-Support hat in den letzten 48-72 Stunden eine erhöhte Anzahl von Support-Anfragen aufgrund der Angriffe erhalten und unterstützt betroffene Kunden und Partner aktiv bei der Bewältigung der erhöhten Authentifizierungsanforderungen. Es wird empfohlen, die beschriebenen Sicherheitsmaßnahmen umzusetzen, um potenzielle Angriffe zu verhindern.
Weitere Entwicklungen und Transparenz
WatchGuard verpflichtet sich, seine Partner und Kunden transparent über die aktuellen Entwicklungen zu informieren. Neben dieser Mitteilung wurde auch ein Partner-Blogbeitrag veröffentlicht, und weitere Informationen werden am Mittwochabend um 17 Uhr (Pazifikzeit) über den Produkt- und Support-Blog verfügbar gemacht.
WatchGuard wird die Brute-Force-Aktivitäten weiterhin überwachen und bei Bedarf aktualisierte Informationen auf seiner Statusseite bereitstellen.
