Cisco VPN Client: Darmstädter decken Sicherheitslücken in VPN-Programm auf

VPN-Software soll eigentlich Sicherheit bieten. Doch eines der beliebtesten Programme kann unter Umständen ein Einfallstor für Hacker sein. Wie sich Nutzer schützen.

Cisco-Stand auf einer Messe-Veranstaltung in Barcelona: »De facto installiert man als Nutzer eine Blackbox«

Foto: RAFAEL MARCHANTE / REUTERS

IT-Sicherheitsforscher haben mehrere Schwachstellen im Programm »Any Connect« des US-Herstellers Cisco entdeckt. Zwei der von den Forschern der TU Darmstadt gefundenen Sicherheitslücken ermöglichen Angreifern, Schadsoftware auf dem Computer ihrer Opfer auszuführen. Dabei könnten zum Beispiel private Daten gestohlen oder gelöscht werden. Die Angreifer müssen dafür nicht das Passwort ihrer Opfer kennen, brauchen allerdings Zugriff auf das Gerät.

»Ein Hacker könnte bei einem Angriff beispielsweise mit einem Skript automatisch alle Daten eines VPN-Nutzers kopieren und diese irgendwo hochladen oder sich zuschicken«, sagt der an der Forschung beteiligte Student Gerbert Roitburd dem SPIEGEL. So wäre es beispielsweise möglich, Bilder aus dem Foto-Ordner zu übertragen oder alle PDF-Dokumente zu kopieren, so Roitburd.

Zusammen mit Jiska Classen und Matthias Ortmann hat Roitburd die Funktionsweise von AnyConnect in den vergangenen Monaten auseinandergenommen und analysiert. Ihre Forschungsergebnisse präsentieren die drei Experten am Montag auf dem Kongress des Chaos Computer Clubs.

Bei AnyConnect handelt es sich um eines der populärsten VPN-Programme der Welt. Solche Programme sind in Zeiten der Coronavirus-Pandemie und der Homeoffice-Arbeit besonders wichtig. VPN steht für Virtual Private Network und ermöglicht zum Beispiel einer Angestellten, sich mit dem Firmennetz des Arbeitgebers zu verbinden, um spezielle berufliche Programme zu benutzen oder interne Daten aufzurufen.

So schützen Sie sich vor WLAN-Schnüfflern

Ein Virtual Private Network (VPN) baut eine kryptografisch gesicherte Verbindung zu einem Server des VPN-Betreibers auf. Erst von dort werden Daten an das eigentliche Ziel - und zurück - übertragen. Von außen ist der Datenverkehr, selbst wenn er abgefangen wird, nicht zu entziffern. Gute VPN-Dienste sind einfach zu bedienen, kosten aber ein paar Euro im Monat.

Eine Alternative zum VPN ist das Tor-Netzwerk, für das man spezielle (kostenlose) Browser beziehungsweise Apps braucht. Sie leiten Daten verschlüsselt über mehrere Proxyserver ans eigentliche Ziel und zurück. Damit ist Tor auch ein Anonymisierungsdienst, der maskiert, wer gerade einen Dienst im Internet nutzt.

Viele Besucher von Hackerkonferenzen wie der Defcon vermeiden das dortige WLAN ganz und nutzen lieber eine Mobilfunkverbindung, weil Attacken darauf aufwendiger und prinzipiell auch erkennbar sind: Wechselt das Smartphone ständig zwischen 4G, 3G und Edge hin- und her, oder leert sich der Akku ungewöhnlich schnell, deutet das auf eine simulierte Funkzelle hin.

Wer sein Gerät dabei haben, aber nicht die ganze Zeit benutzen will, kann es in der Zwischenzeit in eine Tasche stecken, die wie ein Faradayscher Käfig funktioniert und alle Signale, also zum Beispiel auch Bluetooth, abschirmt. Für ein Smartphone kostet so eine Tasche rund zehn Euro.

Fortgeschrittene Anwender können ihr Endgerät über einen SSH-Tunnel mit ihrem eigenen Webserver oder Computer zu Hause verbinden. Das ist grob vergleichbar mit einem VPN, die Konfiguration ist aber komplexer.

Messenger wie WhatsApp, Signal, Wire oder Threema nutzen eine Ende-zu-Ende-Verschlüsselung, die zur Folge hat, dass nur Sender und Empfänger eine Nachricht entziffern können. Selbst wenn ein Angreifer eine Kommunikation mitschneidet, kann er sie nicht lesen. In manchen Apps - derzeit ist das zum Beispiel noch der Facebook Messenger - ist die Verschlüsselung nicht voreingestellt, sondern muss vom Nutzer aktiviert werden.

Betroffen sind Any Connect-Versionen für macOS, Windows und Linux gleichermaßen. Das bestätigte ein Sprecher von Cisco auf Anfrage des SPIEGEL. »Cisco plant, diese Schwachstelle in einem zukünftigen Update von AnyConnect zu schließen«, sagte der Sprecher.

Die Forscher hatten ihre Ergebnisse dem US-Unternehmen vorab mitgeteilt. Cisco hat einige technische Hintergründe dazu auf seiner Website zu IT-Sicherheitshinweisen veröffentlicht . »Uns sind keine Berichte bekannt, dass die Schwachstelle für ausgenutzt wurde«, so der Cisco-Sprecher.

Angriff funktioniert nur unter bestimmten Umständen

Tatsächlich ist es nicht trivial, die Schwachstellen auszunutzen. Laut Roitburd müssten für entsprechende Hacker-Angriffe vor allem zwei zentrale Voraussetzungen erfüllt sein: Erstens funktioniere die Attacke nur, wenn das Opfer eine aktive VPN-Verbindung über das Cisco-Programm hergestellt hat. Zweitens müsste sich der Angreifer auf dem selben Computer mit einem eigenen Nutzer-Account anmelden. Es ist also physischer Zugriff auf das Gerät des Opfers notwending.

Betroffen von den Schwachstellen sind demnach Computer, die gemeinsam von mehreren Nutzerinnen und Nutzern verwendet werden und auf denen es mehrere Accounts gibt. Denkbar wäre beispielsweise ein Laptop, der von mehreren Familienmitgliedern verwendet wird, oder ein Arbeitsrechner, der in einem Betrieb von mehreren Angestellten bedient wird.

Dort könnte ein Angreifer, ohne das Passwort seines Opfers zu kennen, an dessen Daten herankommen, obwohl diese eigentlich erst nach dem Log-in in das Nutzerkonto des Opfers zugänglich sein sollten. Wer einen Firmenrechner im Homeoffice hat und diesen dort allein nutzt, muss sich angesichts der Voraussetzungen keine Sorgen wegen des Angriffs machen. Wahrscheinlicher wäre das Szenario eines spionierenden Ehemanns, der seine Frau ausforschen will, ohne ihr Passwort zu kennen (oder umgekehrt).

Die Art der von den Forschern beschriebenen Attacke wird auf Englisch als »Vertical Privilege Escalation« bezeichnet. Der Begriff drückt aus, dass ein Angreifer sich von seinem Konto aus in benachbarten Accounts des Computers breitmachen kann, um dort unbefugte und potenziell schädliche Aktionen auszuführen. Wer kein Technikexperte ist, der dürfte einen entsprechenden Angriff kaum bemerken.

Projektidee in der Waschküche

Zum möglichen Risiko der Sicherheitslücke sagt der an der Analyse beteiligte Matthias Ortmann, dass die Schwachstellen einen engen Rahmen und bestimmte Voraussetzungen haben, damit sie gefährlich werden können. »Dennoch war es uns wichtig, gerade ein solch viel benutztes VPN-Programm wie Cisco AnyConnect genauer zu analysieren. Schließlich hat man häufig keine Wahl, welchen VPN man benutzt.«

Als Mitglieder der TU Darmstadt sind Ortmann, Roitburd und Classen auf den von der Uni vorgegebeben AnyConnect angewiesen, um sich von außerhalb des Campus mit dem Netz der Universität zu verbinden. »De facto installiert man als Nutzer eine Blackbox« erklärt Jiska Classen. AnyConnect ist kein quelloffenes Programm, sondern eine proprietäre Software. Man müsse dem Programm blind vertrauen, so Classen.

Die Idee, AnyConnect auseinanderzunehmen, kam Jiska Classen in ihrem Waschkeller. Dort stürzte das Programm auf ihrem iPhone immer wieder unerklärlicherweise ab. Das könnte zwar am schlechten Empfang liegen, vermutete Classen, doch das Programm lieferte der Forscherin keine sinnvolle Erklärung. So war im vergangenen Dezember das Interesse für eine eigene Analyse geweckt.

»Normalerweise ist ein VPN ein Sicherheitsprodukt«, bilanziert Classen heute. »Gerade deshalb ist es nicht gut, dass AnyConnect in diesem Fall zu einem Einfallstor für Angriffe werden könnte.«

Die Forschung von Classen, Ortmann und Roitburd machte bereits Anfang November Schlagzeilen. Nachdem die Sicherheitsforscher Cisco auf das Problem hingewiesen haben, machte Cisco im Zuge seiner regelmäßigen Sicherheitshinweise auf ein Problem bei AnyConnect aufmerksam gemacht. Das US-Unternehmen stellte allerdings kein Sicherheitsupdate zur Verfügung. Mehrere Medien weltweit berichteten anschließend, dass es so erschien, als kursierten schon Programme, um die Schwachstelle auszunutzen.

»Irreführend an den Berichten war, dass es so klang, als wäre ein Exploit-Code schon frei verfügbar«, sagt Matthias Ortmann. Mit dem Vortrag auf dem Kongress des Chaos Computer Clubs werden erstmals Details der Schwachstelle öffentlich.

Schwachstelle besteht weiter, aber Nutzer können sich schützen

Wann genau die Schwachstellen geschlossen werden sollen, ließ Cisco vorerst offen. Die Forscher bestätigten dem SPIEGEL, dass beide aktuell weiterhin bestehen. Um sich mit einem Workaround zu schützen, empfiehlt Cisco, AnyConnect auf die aktuelle Version 4.9.04052 zu aktualieren. Außerdem solle man die Einstellungen in der AnyConnectLocalPolicy-Datei so konfigurieren, dass keine Skripte ausgeführt werden. Wie genau das geht, erklärt das Unternehmen hier genauer auf Englisch .

Der Darmstädter Forscher Gerbert Roitburd empfiehlt außerdem in den Einstellungen die standardmäßig deaktivierte Funktion »Bypass Downloader« zu aktivieren. Damit wird ein wichtiger Schritt einer potenziellen Attacke ausgeschlossen.

Den meisten Nutzerinnen und Nutzern dürfte vermutlich gar nicht bekannt sein, dass es in AnyConnect solche Einstellungsmöglichkeiten gibt. AnyConnect habe außerdem noch weitere Funktionen, die über die reine VPN-Verbindung hinausgehen, so Ortmann. Aus Sicht der IT-Sicherheit ist das nicht unbedingt ideal. »Grundsätzlich gilt dabei, je mehr Features man in ein Programm einbaut, desto mehr Angriffsvektoren«, so Ortmann.