GoAnywhere, Aspera und das Problem der selbst gehosteten Dateiübertragung

von | Zuletzt aktualisiert am 6. Juni 2023

Ein Trio von weitreichenden Datenschutzverletzungen bei den großen Dateiübertragungsplattformen GoAnywhere, IBM Aspera und MOVEit haben das erhebliche Risiko der Kopplung Ihrer eigenen Server mit großen Dateiübertragungsdiensten aufgezeigt.

Im Folgenden gehen wir auf die Art dieser Vorfälle ein, erläutern, wer davon betroffen war und wie die Kopplung Ihrer eigenen Server mit großen Dateiübertragungsdiensten leicht zu einer erhöhten Anfälligkeit für Datenschutzverletzungen führen kann - und möglicherweise zu viel Schlimmerem.

Inhaltsübersicht

Sichere Cloud-Dateiübertragung

MASV is an ISO 27001, SOC 2, and TPN-compliant (Gold Shield status) secure file transfer service.

Was sind diese Datenverstöße? Und wie hängen sie mit der selbst gehosteten Dateiübertragung zusammen?

Kritische Schwachstellen wurden in folgenden beiden Bereichen entdeckt IBM Aspera, GoAnywhereund die MOVEit-Software in diesem Jahr.

Die Aspera-Sicherheitslücke

Die IBM Aspera SchwachstelleDie als CVE-2022-47986 verfolgte Sicherheitslücke ermöglicht es nicht authentifizierten Benutzern, aus der Ferne bösartigen Code auf Servern mit IBM Aspera auszuführen. Die Sicherheitslücke erhielt eine Schweregrad von 9,8 von 10 - oder "die schlimmste Sicherheitslücke, die man bekommen kann", so die Der neue Stapel.

Sicherheitsforscher von Sentinel Eins CVE-2022-47986 wurde von IceFire, einer kriminellen Hackergruppe, zur Installation von Ransomware oder anderer Malware auf den Servern verschiedener Unternehmen verwendet.

IBM hat Ende Januar vor dieser Schwachstelle gewarnt und gleichzeitig einen Patch für die Schwachstelle veröffentlicht.

Die GoAnywhere-Schwachstelle

GoAnywhere, das zu Fortra (früher HelpSystems) gehört, hatte kürzlich ein ähnliches Problem.

Eine Sicherheitslücke in der Plattform von GoAnywhere, die unter CVE-2023-0669 erfasst ist, wurde von der Cl0p Ransomware-Bande um in die Server der GoAnywhere-Nutzer einzudringen und Ransomware zu installieren. Die Gruppe drohte mit der Veröffentlichung sensibler Daten, die sie gesammelt hatte, falls das Lösegeld nicht gezahlt würde.

Medienberichten zufolge sind etwa Über 130 Organisationen betroffen waren, darunter Hitachi Energy, Saks Fifth Avenue, die Stadt Toronto und Galderma, obwohl einige Organisationen könnten betroffen sein und sind sich dessen noch nicht bewusst.

Anders als bei IBM Aspera wurden die Details des GoAnywhere-Verstoßes jedoch erst bekannt, als Sicherheitsforscher Brian Krebs berichtete erstmals am 2. Februar über das Problem, nachdem ihm eine Warnung hinter einer GoAnywhere-Anmeldeseite aufgefallen war.

Während Fortra zunächst eine Behelfsmäßige Entschärfung (dazu gehört das Auffinden und Entfernen einer bestimmten Servlet-Mapping-Konfiguration im Code) und empfahl Administratoren, ihre Installationen zu überprüfen, veröffentlichte das Unternehmen fünf Tage später einen Patch.

Die MOVEit-Schwachstelle

Der jüngste der drei Vorfälle, ein Sicherheitslücke im verwalteten Dateiübertragungsdienst MOVEit (CVE-2023-34362) nutzt eine Schwachstelle aus, die böswilligen Akteuren erweiterte Rechte und unbefugten Zugriff auf die Benutzerumgebung verschaffen kann. Die Schwachstelle betrifft sowohl lokale als auch cloudbasierte Systeme, und es wurden bereits Anzeichen für eine Ausnutzung und Datenexfiltration beobachtet.

Progress Software, die Muttergesellschaft von Ipswitch (dem Entwickler von MOVEit), forderte die Benutzer auf, den Internetverkehr zur MOVEit-Umgebung sofort abzuschalten, nachdem das Problem entdeckt worden war.

Patches haben bereits veröffentlicht worden von Progress. Diese sollten von allen MOVEit-Benutzern sofort angewandt werden, zusammen mit einer proaktiven Überwachung Ihres Systems auf Anzeichen für unbefugten Zugriff - insbesondere in den letzten 90 Tagen.

Sofortiges Software-Update erforderlich

Während IBM, Fortra, und Fortschritt Patches veröffentlicht für diese Bugs in relativ kurzer Zeit, alle drei Verstöße waren Zero-Day-Schwachstellen die sich über Monate hinziehen konnten, bevor sie entdeckt wurden.

"Sie müssen also Ihre Software sofort auf den neuesten Patch-Stand bringen, um Ihre Systeme zu schützen", erklärt der bereits erwähnte Artikel von The New Stack. "Das war's, Kinder."

Einfach, oder? Aber Unternehmen brauchen oft Wochen (oder sogar Monate), um manuelle Patches auf ihre Software aufzuspielen, wenn sie dies überhaupt tun. In der Zwischenzeit sind ihre Daten in Situationen wie dieser zutiefst gefährdet.

Verbesserte Sicherheitskontrollen

Alle MASV-Übertragungen werden während des Flugs und im Ruhezustand verschlüsselt, und Sie können benutzerdefinierte Kennwörter, Download-Limits und Verfallsdaten für Dateien festlegen.

Warum selbst gehostete Dateiübertragung Ihre Vertrauensprobleme nicht lösen wird

Einige Organisationen, die die Übertragung großer Dateien Dienste ziehen es vor, ihre Übertragungsdaten auf ihren eigenen Servern unterzubringen. Dies hat in der Regel einen der folgenden Gründe:

  • Viele etablierte Medien- und Unterhaltungsunternehmen haben bereits in lokale Datenserver investiert. Sie sehen keinen brauchbaren Business Case für den Einstieg in die Cloud, ohne dass die Kosten versunken sind.
  • Sie haben strenge Anforderungen an die Datenhoheit oder andere Vorschriften
  • Sie trauen ihrem Dateitransferdienst nicht zu, dass er verantwortungsvoll mit ihren Daten umgeht (was in Anbetracht der Anzahl der Datenschutzverletzungen da draußen)

Letzteres ist eine weit verbreitete Meinung unter Unternehmen, die ihre Daten lieber in ihrer eigenen Infrastruktur aufbewahren möchten. Leider ist dies jedoch nicht der Fall, das Selbst-Hosten Ihrer Daten bietet nur eine Illusion von Sicherheit.

Das liegt daran, dass Sie verschiedene Softwareanwendungen - wie GoAnywhere oder Aspera - in Ihr System einbinden können, Sie laden automatisch den Code anderer Leute in Ihre Infrastruktur ein.Dadurch werden die Vertrauens- und Sicherheitsvorteile des Selbst-Hostings im Grunde genommen hinfällig. Und eine Plattform wie GoAnywhere speichert nicht nur Mediendateien auf Ihrem Server: Sie speichert auch wichtige Daten wie Authentifizierungsinformationen und Benutzerdaten.

Kein Problem, werden Sie sagen...

...Für die Sicherheit sind Sie und Ihr Anbieter gemeinsam verantwortlich. Sie können einfach Ihre eigene Sicherheit erhöhen.

Das Hinzufügen weiterer Sicherheitsmaßnahmen auf der Serverseite, wie z. B. ein virtuelles privates Netzwerk (VPN), führt jedoch in der Regel zu einer drastischen Verlangsamung der Dateiübertragungsgeschwindigkeiten.

Das bedeutet, dass die meisten Benutzer von selbst gehosteten Dateiübertragungslösungen überhaupt keine zusätzlichen Schutzmaßnahmen ergreifen. Sie sind völlig ungeschützt und anfällig für Sicherheitslücken, falls (und wenn) diese auftauchen, ähnlich wie ein Angriff auf die Lieferkette durch kompromittierte Software von Zulieferern.

Wenn das alles schlimm klingt, wird es noch schlimmer

Jeder Verstoß gegen eine selbst gehostete Dateiübertragungseinrichtung wird unweigerlich viel teurer, stressiger und störender sein, als es sonst der Fall gewesen wäre.

Unternehmen, die einen selbst gehosteten Dateitransfer nutzen und feststellen, dass ein Sicherheitsverstoß vorliegt, haben mehrere Möglichkeiten, darauf zu reagieren.

  1. Sie können zum Beispiel einfach ihr System abschalten, um dem IT-Team Zeit zu geben, die Software zu patchen und gleichzeitig den Schaden zu begrenzen. Bei Hunderten von Nutzern, Partnern und Mitarbeitern ist das jedoch eine enorme Störung.
  2. Sie können auch versuchen, die Sicherheitslücke auf einem aktiven System zu schließen, aber das bringt eine ganze Reihe anderer Probleme mit sich. Bevor Sie die Aktualisierung durchführen können, müssen Sie jedoch eine ganze Reihe weiterer Aufgaben erledigen, darunter die Überprüfung, das Testen und die Zertifizierung der gepatchten Software. Diese Aktualisierungen sind in der Regel teuer und nehmen Zeit in Anspruch, die kleine IT-Abteilungen einfach nicht haben.

Keine dieser Optionen ist besonders appetitlich. Und die gute Nachricht? Sie können in der Regel ganz vermieden werden, wenn Sie einen großen Dateitransferdienst nutzen, der Ihre Daten für Sie speichert.

Premium-Cloud-Sicherheit

MASV läuft auf einer hochwertigen und sicheren AWS-Cloud-Infrastruktur.

Die Vorteile der Cloud-gehosteten Übertragung großer Dateien

Kein Unternehmen und keine Person ist vor Schwachstellen, Cyberangriffen oder Datenschutzverletzungen gefeit. Diese potenziellen Probleme können auf jede Software zutreffen.

Der Unterschied besteht darin, dass die Behebung einer Schwachstelle in einem in der Cloud gehosteten Dienst zur Übertragung großer Dateien in der Regel viel weniger schmerzhaft ist und nicht bedeutet, dass alles abgeschaltet werden mussoder davon abhängig, dass die Benutzer das Problem zuerst bemerken und dann ihre Versionen manuell patchen.

Stattdessen werden in der Cloud gehostete Dienste zur Übertragung großer Dateien, die ihre eigene Infrastruktur verwalten - wie z. B. MASV - kann jede Schwachstelle innerhalb von Minuten für alle Nutzer mit minimalen bis gar keinen Unterbrechungen beheben. Alle Kunden erhalten automatisch das neueste Update, ohne dass sie selbst etwas dafür tun müssen.

MASV und AWS: Eine sicherere Lösung für die Dateiübertragung

ein Laptop wird diskret für den sicheren Dateiaustausch verwendet

Während MASV eine einfache Integrationen zu den meisten großen Cloud-SpeicherplattformenUnser primärer Cloud-Service-Anbieter ist AWS.

Wir wollen ganz offen sein: Wenn es bei AWS zu einem ähnlichen Verstoß käme, wären MASV-Kunden davon betroffen.

Ein wesentlicher Unterschied besteht jedoch darin, dass es sehr viel schwieriger ist, in AWS einzudringen als in einen beliebigen lokalen Server. AWS hostet eine Vielzahl von sensible DatenDas Unternehmen ist unter anderem für das US-Verteidigungsministerium tätig und tätigt regelmäßig umfangreiche Sicherheitsinvestitionen zum Schutz seiner Kunden.

Außerdem sind wir höchstwahrscheinlich besser in der Lage, Ihre großen Dateiübertragungsdaten zu schützen als ein internes IT-Team, das wahrscheinlich eine Million wichtigere Dinge zu tun hat - und möglicherweise ohnehin keine Experten für bewährte Cloud-Sicherheitsverfahren sind.

Bei MASV sind wir Experten für Cloud-SicherheitWir haben unsere Software mit einer ausgefeilten Sicherheitsmethodik entwickelt, die im Mittelpunkt steht:

1. Konformität & Zertifizierungen

Sicherheitsprüfungen durch Dritte und Zertifizierungen durch führende Organisationen helfen uns, unsere Sicherheitslage zu bestätigen.

  • MASV ist nach ISO 27001 zertifiziert, einer internationalen Norm für Informationssicherheit, die die besten Praktiken und Grundsätze der Informationssicherheit berücksichtigt.
  • Wir haben auch die SOC 2 Typ II-Konformität gemäß dem American Institute of Certified Public Accountants (AICPA) erreicht. SOC 2 gewährleistet, dass Drittanbieter Kundendaten auf sichere Weise speichern und verarbeiten.
  • MASV is also a member of the Trusted Partner Network (TPN) vendor roster after undergoing a rigorous third-party security assessment to ensure compliance with TPN standards. We have recently graduated from Blue Shield status to Gold Shield status. TPN is a global film and television content protection initiative owned and managed by the Motion Picture Association (MPA).

Darüber hinaus erfüllen wir die Anforderungen der EU-Datenschutzgrundverordnung (GDPR) und des kanadischen Gesetzes zum Schutz persönlicher Daten und elektronischer Dokumente (PIPEDA).

2. Sicherheit der Software-Lieferkette

MASV gewährleistet stets einen angemessenen Schutz des Codes durch ein striktes Änderungsmanagement, unabhängig davon, ob wir unseren eigenen Code oder Open-Source-Code von Dritten verwenden. Kein MASV-Entwickler hat die Befugnis, Codeänderungen einseitig zu implementieren, und jede Codeänderung muss einen gut dokumentierten Genehmigungsprozess durchlaufen, an dem hochrangige Entwickler beteiligt sind. Außerdem werden alle Codeänderungen automatisch auf Schwachstellen und Regressionen überprüft.

3. Schutzmaßnahmen für Mitarbeiter

MASV wendet eine Reihe strenger Sicherheitsvorkehrungen für seine Mitarbeiter an, darunter obligatorische und regelmäßige Schulungen zum Sicherheitsbewusstsein, Zugangskontrollen mit geringstem Privileg und Endpunktüberwachung.

4. Schutz der Kundendaten

MASV provides both internal and external guardrails to protect customer data. Internally, we deploy multiple safeguards to prevent access without proper authorization, like least privileged access in addition to periodic access reviews and audits. All elevated internal access requests generate automated alerts requiring mandatory justification.

Our global cloud infrastructure is built on AWS and includes built-in enforcements to prevent deploying publicly open resources, such as leaky S3 buckets. And, just in case, our external monitoring ensures these enforcements are never disabled.

At the product level we provide multiple security controls that allow our customers to further protect their data from unauthorized access, like automatic file transfer expiry, access limits, and user access controls such as password protection and Einmalige Anmeldung (SSO). MASV supports SSO with SAML-based authentication, which strengthens your security posture by reducing the number of required login attempts. Afterall, each login attempt to any application is a potential opportunity for hackers to gain access.

MASV unterstützt auch multi-factor authorization (MFA) using authenticator apps such as Authy and Google Authenticator. We will soon expand our MFA options to also include hardware security key logins.

MFA guards against account takeover attacks by verifying the identity of a user attempting to log in to your account. It achieves this by asking for additional credentials beyond a login and password.

Selbstgehostete Dateiübertragung: Die Realität

Die kalte, harte Realität der Die selbst gehostete Dateiübertragung ist nicht so sicher, wie es vielleicht scheint..

Das liegt daran, dass Selbst gehostete Server sind nur so sicher wie die auf ihnen laufenden Anwendungen.. Und wenn Sie Softwareanwendungen wie Dateitransfer-Apps in Ihr System einbinden, laden Sie automatisch den Code (und das Risiko) von Drittanbietern in Ihre Infrastruktur ein.

Sollte eine größere Sicherheitslücke auftauchen, sind Sie auf sich allein gestellt, wenn Sie das Problem zuerst bemerken, einen Patch finden und dann Ihre Version manuell patchen und aktualisieren müssen (wobei Sie das System in der Zwischenzeit in der Regel herunterfahren müssen).

Cloud-gehostete Dateiübertragungslösungen wie MASVhingegen haben diese Probleme nicht. Zwar ist niemand völlig immun gegen Cybersicherheitsprobleme, aber Cloud-Dienste verwalten ihre eigene Infrastruktur und können Schwachstellen für alle Nutzer innerhalb weniger Minuten und fast ohne Unterbrechung beheben.

Registrieren Sie sich für MASV und testen Sie unsere sichere und konforme Übertragung großer Dateien.

MASV-Dateiübertragung

Holen Sie sich 20 GB zur kostenlosen Nutzung mit dem schnellsten und sichersten Dienst zur Übertragung großer Dateien, den es derzeit gibt: MASV.