WAF von Imperva: API-Keys und SSL-Zertifikate von Kunden geklaut

28. August 2019, 11:55
  • security
  • cloud
  • cyberangriff
  • salt
image

Der bedeutende WAF-Anbieter Imperva meldet, es habe einen "Security-Incident" gegeben.

Der bedeutende WAF-Anbieter Imperva meldet, es habe einen "Security-Incident" gegeben. Es geht um die Cloud-WAF, früher bekannt als Incapsula.
Betroffen seien vom Datendiebstahl nur Kunden des Cloud WAF-Produkts, grenzt der Imperva-CEO Chris Hylen ein. In der Tat bietet Imperva auch eine on-prem WAF an, welche nichts mit dem Breach zu tun hat.
Hylen gibt zu, dass bei einigen Cloud-WAF-Kunden, die bis 15.9.2017 ein Konto gehabt haben, E-Mail-Adressen geleakt seien, zudem sowohl gehashte Passworte und mit Salt versehene. Für Hash-Interessierte: Laut Imperva selbst sind die Passworte mit SHA-2 gehashed.
Bei einigen Imperva-Kunden für Incapsula seien zudem API Keys und vom Kunden bereitgestellte SSL-Zertifikate betroffen. Es ist aber aus dem Blogpost von Hylen für uns unklar, ob die Keys und die SSL-Zertifikate korrespondieren.
Wie es zum "Security Incident" kommen konnte, wird nicht erklärt, man habe externe Forensiker am Werk.
Entdeckt hat den Breach nicht Imperva selbst, der Securityanbieter wurde von Externen vor einigen Tagen darauf aufmerksam gemacht. Seither habe man Behörden und Kunden informiert und untersuche den Vorfall. Zudem habe man neu zwingende Passwortänderungen und 90-Tage-Ablauffristen für Passwörter in der Imperva Cloud WAF implementiert.
Nichtsdestotrotz empfiehlt Imperva den Kunden, Passwörter zu ändern, Single-Sign-On zu aktivieren und 2-Faktor-Authentifizierung zu ermöglichen, neue SSL-Zertifikate zu generieren und zu implementieren sowie API Keys zurückzusetzen.
Imperva mit Sitz in Kalifornien verkauft Technologien und Services, die darauf abzielen, verschiedene Arten von bösartigem Webverkehr zu erkennen und zu blockieren, von Denial-of-Service-Angriffen bis hin zu digitalen "Sonden", die die Sicherheit von webbasierten Softwareanwendungen untergraben sollen.
Mit den geleakten Daten, so Rich Mogull von DisruptOps zu 'Krebs on Security', könnten "Angreifer sich selbst whitelitsten und Sites ohne den Schutz der WAF angreifen. Sie könnten jede der Sicherheitseinstellungen von Incapsula ändern, und wenn sie das SSL-Zertifikat des Ziels erhalten haben, kann dies möglicherweise den Datenverkehr gefährden. Für einen Security-as-a-Service-Provider wie Imperva ist das die Art von Fehler, die den schlimmsten Alptraum bedeutet."
Die Imperva-WAF-Lösungen, Konkurrenzprodukte zum Schweizer Airlock, sind global weit verbreitet, unter den Kunden sind viele Banken, so der Security-Forscher Kevin Beaumont. Die Produkte sind auch bei einigen Schweizer Banken sowie bei mindestens einem Schweizer Multi im Einsatz, so ein Branchenkenner zu inside-it.ch.
Auch Gartner mag Imperva, die Firma ist im entsprechenden "Magic" Quadranten jeweils weit rechts oben als "Leader" angesiedelt. (mag)

Loading

Mehr zum Thema

image

Cyberattacken abwehren bis zum Burnout

Laut einer aktuellen Umfrage leidet fast die Hälfte aller Incident-Responder unter extremem Stress oder sogar Burnouts.

publiziert am 11.8.2022
image

Cisco bestätigt Cyberangriff

Der Angriff fand bereits im Mai statt, die Cyberkriminellen haben jetzt angeblich erbeutete Daten veröffentlicht. Cisco schildert den Ablauf detailliert.

publiziert am 11.8.2022
image

Branchen-Grössen schaffen gemeinsamen Standard für Security-Lösungen

AWS, Splunk und weitere grosse Anbieter von Security-Software kooperieren, um die Integration von Lösungen zu vereinfachen und Datensilos aufzubrechen.

publiziert am 11.8.2022
image

Chaos Computer Club hackt Verfahren zur Videoidentifikation

Laut CCC ist die Video-Identifizierung ein "Totalausfall". Als Konsequenz des Berichts wurde in Deutschland der Zugang zur E-Patientenakte mittels Video-Ident gestoppt.

publiziert am 10.8.2022