Wie Experten von Tenable herausgefunden haben, zählen Sicherheitslücken in SSL-VPN-Produkten zu den am häufigsten ausgenutzten Schwachstellen. Wollen IT-Teams ihre Unternehmensnetzwerke schützen, müssen sie ihre SSL-VPN-Produkte vollständig aktualisieren und richtig konfigurieren.
Unternehmen müssen dem Patchen von SSL-VPNs Vorrang einräumen.
Anfang des Jahres veröffentlichte das Tenable Security Response Team (SRT) seinen Report Threat Landscape Retrospective (TLR), der die wichtigsten Trends des Jahres 2020 untersucht. Einer dieser Trends waren die bei Angreifern beliebten Secure-Socket-Layer-Schwachstellen (SSL) in Virtual Private Networks (VPNs).
Der TLR-Report hob insbesondere die folgenden drei Common Vulnerabilities and Exposures (CVEs) in VPN-Produkten hervor. Sie zählen zu den am häufigsten ausgenutzten Schwachstellen von Advanced-Persistent-Threat-(APT)- und Ransomware-Gruppen.
CVE-2019-19781, von der der Citrix Application Delivery Controller (ADC), Gateway und SD-WAN WANOP betroffen sind.
CVE-2019-11510, wovon Pulse Connect Secure SSL VPN betroffen ist.
CVE-2018-13379, wovon Fortinet Fortigate SSL VPN betroffen ist.
Obwohl alle drei Schwachstellen im Jahr 2019 bekannt gegeben und bis Januar 2020 gepatcht wurden, werden sie auch in der zweiten Jahreshälfte 2021 noch routinemäßig ausgenutzt, so die Cybersecurity-Experten von Tenable. Laut einem gemeinsamen Cybersecurity Advisory von vier internationalen Regierungsbehörden gehörten diese Schwachstellen zu den am häufigsten ausgenutzten im Jahr 2020. Tatsächlich wurde CVE-2019-19781 den US-Regierungsdaten zufolge, als die am häufigsten ausgenutzte Schwachstelle des Jahres 2020 bezeichnet.
Auf der Grundlage dieser Informationen hielt es Tenable für angebracht, im Jahr 2021 erneut zu untersuchen, wie Angreifer diese Schwachstellen in der Vergangenheit ausgenutzt haben, und neue Berichte über Angriffe zu berücksichtigen. Die Zusammenstellung dieser Informationen verdeutlicht die dringende Notwendigkeit, diese Schwachstellen in allen Unternehmen zu patchen, die hier noch hinterherhinken.
Um ein umfassenderes Bild zu vermitteln, untersuchten Forscher auch mehrere andere relevante CVEs in den drei wichtigsten SSL-VPN-Produkten. Die zusätzlichen CVEs, die in der nachstehenden Auflistung hervorgehoben sind, wurden neben den drei oben genannten in Alarme aufgenommen oder mit anderen Schwachstellen als Teil von Angriffsketten kombiniert.
Citrix ADC, Gateway und SD-WAN WANOP: CVE-2019-19781, CVE-2020-8193, CVE-2020-8195, CVE-2020-8196.
CVE-2019-19781 ist eine Path- oder Directory-Traversal-Schwachstelle in Citrix-ADC-, -Gateway- und -SD-WAN-WANOP-Produkten, die am 17. Dezember 2019 bekannt wurde. Zum Zeitpunkt der Veröffentlichung der Schwachstelle waren keine Patches verfügbar. Um diese Sicherheitsanfälligkeit auszunutzen, könnte ein nicht authentifizierter Remote-Angreifer eine speziell gestaltete Anfrage, die eine Zeichenkette zur Umleitung eines Verzeichnisses enthält, an einen anfälligen Citrix-Endpunkt senden. Ein erfolgreicher Angriff würde es einem Angreifer ermöglichen, beliebigen Code auszuführen.
Schwachstellen beim Directory Traversal sind nicht neu, es gibt sie schon seit Jahrzehnten, aber sie haben in den letzten Jahren einen Aufschwung erlebt. Wie der Name schon sagt, kann ein Angreifer durch die Ausnutzung von Fehlern bei der Umleitung von Verzeichnissen Dateipfade durchqueren, die für einen nicht-administrativen Benutzer normalerweise unzugänglich wären.
CVE-2019-19781 wurde von mehreren Hackergruppen ausgenutzt, die es auf das Gesundheitswesen abgesehen haben. Ransomware-Gruppen wie Maze (inzwischen aufgelöst) und Conti greifen bevorzugt das Remote-Desktop-Protokoll an, nutzten aber auch schon CVE-2019-19781 bei Angriffen auf den Gesundheitssektor aus. Außerdem haben APT-Gruppen diese Schwachstelle gegen Unternehmen ausgenutzt, die an der Entwicklung von Covid-19-Impfstoffen arbeiten.
Pulse Connect Secure
Im April 2019 veröffentlichte Pulse Secure einen Out-of-Band-Sicherheitshinweis, um mehrere Schwachstellen in seiner SSL-VPN-Lösung Pulse Connect Secure zu beheben, darunter mehrere Schwachstellen, die vom DEVCORE-Forschungsteam aufgedeckt wurden. Die auffälligste Schwachstelle, die in dem Advisory aufgeführt wird, ist CVE-2019-11510, eine Schwachstelle, die die Offenlegung beliebiger Dateien ermöglicht und mit dem CVSSv3-Höchstwert von 10,0 bewertet wurde. Ein nicht authentifizierter, entfernter Angreifer könnte die Schwachstelle ausnutzen, indem er eine HTTP-Anfrage sendet, die eine speziell gestaltete Zeichenkette zum Umgehen von Verzeichnissen enthält.
Schwachstellen werden auch ausgenutzt, nachdem sich ein Angreifer erfolgreich bei einem anfälligen Gerät authentifiziert hat, entweder über eine separate Schwachstelle vor der Authentifizierung oder über gültige Zugangsdaten, die durch Diebstahl oder Brute-Force-Attacke erlangt wurden.
Fortinet FortiOS
Im Mai 2019 veröffentlichte Fortinet das Product Security Incident Response Team (PSIRT) Advisory FG-IR-18-384 zur Behebung von CVE-2018-13379, einer Directory-Traversal-Schwachstelle im FortiOS SSL VPN. Die Schwachstelle ermöglicht es einem nicht authentifizierten Angreifer, über manipulierte HTTP-Anfragen auf beliebige Systemdateien zuzugreifen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Diese Schwachstelle wurde von DEVCORE in denselben Präsentationen auf der Black Hat USA 2019 und der DEF CON 27 beschrieben wie die bereits erwähnte Pulse Secure-Schwachstelle. Die beiden Präsentationen zeigten, wie CVE-2018-13379 ausgenutzt werden könnte, um eine Session-Datei zu erhalten, die den Benutzernamen und das Klartextpasswort eines VPN-Benutzers enthält, ganz ähnlich wie CVE-2019-11510. Diese Daten würden sich als wertvoll erweisen, um sich weitere Schwachstellen im VPN, darunter CVE-2018-13383 zunutze zu machen. Diese Heap-Overflow-Schwachstelle nach der Authentifizierung macht es möglich, eine Remote-Shell auf betroffenen Versionen von FortiOS-SSL-VPNs zu erhalten. CVE-2018-13383 wurde im PSIRT-Advisory FG-IR-18-388 im April 2019 adressiert, weitere betroffene Releasestände wurden im Mai, August und November 2019 gepatcht.
Bedrohungsakteure haben es auf alle drei SSL-VPNs abgesehen
Staatliche Akteure haben eine Vorliebe für Schwachstellen in SSL-VPNs gezeigt. Am 15. April 2021 veröffentlichten die NSA und das FBI eine gemeinsame Warnung über Aktivitäten des russischen Auslandsgeheimdienstes (SVR), die alle diese Schwachstellen ausnutzen. Dies folgte auf Warnungen aus dem Jahr 2020, die in diesem Zusammenhang auf staatlich gesponserte Angriffe aus China, Iran und Russland hinwiesen. Diese Schwachstellen wurden häufig in Exploit-Ketten ausgenutzt, die zur Übernahme von Domain-Controllern unter Verwendung von CVE-2020-1472, auch bekannt als Zerologon, führten.
Es mag allgemein bekannt sein, aber man kann es nicht oft genug wiederholen: Bedrohungsakteure nutzen in der Regel ältere Schwachstellen aus, für die Exploit- oder PoC-Code verfügbar ist. Alle hier beschriebenen Produkte wurden von Ransomware-Gruppen ins Visier genommen, um sich Zugang zu fremden Netzwerken zu verschaffen. Die meisten modernen Ransomware-Gruppen arbeiten mit dem Modell Ransomware-as-a-Service, d.h. sie stellen die Malware und die Infrastruktur zur Verfügung, sind aber auf Partner angewiesen, um sich Zugang zu Unternehmen zu verschaffen, damit sie ihre Ransomware einsetzen können. Diese Partner verwenden eine Vielzahl von Methoden, um sich Zugang zu verschaffen. Da SSL-VPNs ein Einfallstor in Unternehmen darstellen, werden Ransomware-Affiliates weiterhin auf diese ungepatchten Schwachstellen abzielen, bis Unternehmen Maßnahmen ergreifen, um diese Einstiegspunkte durch das Patchen von Schwachstellen in SSL-VPN-Produkten zu verstärken.
Die Behebung dieser immer wieder ausgenutzten Schwachstellen in SSL-VPNs ist vielleicht die einfachste Entscheidung zur Priorisierung für alle Unternehmen. Für diese Schwachstellen gibt es seit Jahren Patches, und Angreifer aller Art haben es schon genauso lange auf sie abgesehen. Regierungsbehörden haben mehrere Warnungen herausgegeben, die ein sofortiges Handeln empfehlen. Die Einrichtung von Wartungsfenstern für die Aktualisierung von SSL-VPNs kann sich als schwierig erweisen, insbesondere bei Mitarbeitern, die über verschiedene Zeitzonen verteilt sind. Wenn ein Unternehmen jedoch eines dieser Produkte einsetzt und die entsprechenden Schwachstellen noch nicht gepatcht hat, gilt es jetzt, einen Plan zu entwickeln, um dies zu beheben. Das Risiko ist kaum zu unterschätzen.
Identifizierung betroffener Systeme
Tenable hat eine Liste von Plug-ins zur Identifizierung aller hier besprochenen Schwachstellen zusammengestellt. Darüber hinaus wurden viele dieser CVEs in die 2020-Threat-Landscape-Retrospective-Scan-Policy-Vorlage aufgenommen, die für gezielte Scans der im TLR-Report behandelten CVEs verwendet werden kann. Die Scan-Policy-Vorlage ist für alle Tenable-Produkte verfügbar, einschließlich Nessus, Tenable.sc und Tenable.io.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8b/9f/8b9fcc672e58910cb611859b4edfe7cd/0129323780v2.jpeg "Vom 6. Februar 2026 bis zum 22. Februar 2026 finden die Olympischen Winterspiele in Mailand statt. (Bild: © amelia629 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/2d/032d6a97078ed8b14c380b4cfb0125cd/0129257875v2.jpeg "Die beliebteste Passwortwahl hat sich kaum geändert, während Cyberkriminelle immer ausgeklügeltere Methoden entwickeln, um in Konten und Daten einzudringen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2e/2a/2e2ac965035d3a6fd7ac2fd253f1bbf0/0129285508v2.jpeg "Bei den gestohlenen Daten handle es sich größtenteils um interne Informationen sowie personenbezogene Daten von Bumble-Mitarbeitenden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7c/75/7c754f68090dae4a979abbbd877ff774/0129310503v2.jpeg "Instant Messaging und Kollaborationstools werden zum Einfallstor für Cyberangriffe auf die Automobilindustrie. Sichere, DSGVO-konforme Kommunikation wird zur strategischen Notwendigkeit. (Bild: © sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/bb/c8bbb90768f2d69adb08e0d58bb90645/0128934085v1.jpeg "Beim DNS-Tunneling wird legitimer Namensauflösungsverkehr genutzt, um Daten verdeckt durch bestehende Netzwerkverbindungen zu übertragen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7c/51/7c51f12b88847cbe6b67250785911120/0129310016v2.jpeg "Cybersecurity zog sich als roter Faden durch Debatten über KI, Robotik, den Schutz verteilter IoT-Endpunkte und kritischer Infrastrukturen – sowohl auf den Bühnen des WebSummit 2025 in Lissabon, als auch hinter den Kulissen. (Bild: Web Summit)")
:quality(80)/p7i.vogel.de/wcms/21/d1/21d1c191d71d4c5e11c33df897f23005/0129068361v1.jpeg "Symbolbild: Mehrstufige Perimetersicherung mit Zaun, Zutrittskontrolle und Videoüberwachung zählt zu den Basismaßnahmen, um kritische Rechenzentrumsstandorte vor unbefugtem Zugriff zu schützen. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/33/0b/330b92560794343f3b2e72a6c0201cfe/0129212056v2.jpeg "Ivanti Endpoint Manager Mobile ist erneut unter Beschuss: Zwei Zero-Day-Sicherheitslücken sollten sofort gepatcht werden. (Bild: Ar_TH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d8/3f/d83fb3f1382c7a4597fac1bfcfc5087b/0129166059v2.jpeg "Nach diversen Spionage-Aktivitäten gegen WhatsApp-Nutzer führt der Anbieter mit den „strengen Kontoeinstellungen“ neue Sicherheitsfunktionen ein. (Bild: © ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/cc/57cc4ad7badd6e36300bf10fcda97eac/0129117117v2.jpeg "Microsoft reagiert mit außerplanmäßigen Updates auf eine Sicherheitsanfälligkeit in Office 2016 bis 2024 und Office 365-Apps und stellt derzeit im Eiltempo Notfall-Patches bereit, um schwerwiegende Angriffe durch das Umgehen von Sicherheitsfunktionen zu verhindern. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d8/46/d8461a6f3d03070ca78af2eeb81aa7a0/0129133031v2.jpeg "Bei einem Cyberangriff auf die Stadt Schorndorf wurden mutmaßlich Anmeldedaten der „Forscherfabrik Schorndorf“ gestohlen. (Bild: StockUp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/ac/14/ac142911df215763484c6856d6fdcbfe/0123465740v1.jpeg "Bedrohungsakteure nutzen Schwachstellen in älteren Fernzugriffstechnologien. (Bild: beebright - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c0/ea/c0ea15d2614c54a6da1e18299428cc95/0128851547v2.jpeg "Im Rückblick auf 2025 verzeichnete der KEV-Katalog der CISA einen alarmierenden Anstieg von 20 Prozent ausgenutzten Schwachstellen, was die dringende Notwendigkeit für Unternehmen weltweit verdeutlicht, Sicherheitslücken aktiv zu priorisieren. (Bild: Nmedia - stock.adobe.com)")