DEF CON 33: Kritische Schwachstellen in Zero-Trust-Produkten von Check Point, Zscaler und NetSkope aufgedeckt

Auf der diesjährigen DEF CON 33 stellte die Sicherheitsforscherin AmberWolf alarmierende Sicherheitslücken in führenden Zero-Trust-Netzwerkzugangslösungen vor. Im Fokus standen dabei die Produkte von Zscaler, NetSkope und Check Point Perimeter 81. Die Untersuchung enthüllte kritische Schwachstellen, die Angreifern erlauben, Berechtigungen auf Endgeräten auszuweiten, die Authentifizierung komplett zu umgehen und sich unbemerkt Zugriff auf interne Ressourcen zu verschaffen – ein schwerwiegendes Risiko für Unternehmen, die auf diese marktführenden Systeme vertrauen.

Ergebnisse

Über einen Zeitraum von sieben Monaten haben die AmberWolf-Forscher David Cash und Richard Warren eine Reihe von Schwachstellen in führenden ZTNA-Produkten von Netskope, Zscaler und Check Point identifiziert:

• Netskope – Umgehung der Authentifizierung im IdP-Registrierungsmodus
  • Vollständige Umgehung der Authentifizierung und Schwachstelle zur Identitätsübernahme von Benutzern, wenn ein nicht widerrufbarer „OrgKey”-Wert bekannt ist.
• Netskope – Beliebige (organisationsübergreifende) Identitätsausgabe
  • Vollständige Umgehung der Authentifizierung und Schwachstelle zur Identitätsausgabe, wenn ein nicht widerrufbarer „OrgKey”-Wert zusammen mit einem Registrierungsschlüssel bekannt ist. Dieser Schlüssel muss nicht mit demselben Mandanten wie der OrgKey verknüpft sein.
• Netskope – Erhöhung der Berechtigungen über einen betrügerischen Server (CVE ausstehend)
  • Lokale Privilegieneskalation auf SYSTEM durch Zwingen des Netskope-Clients zur Kommunikation mit einem betrügerischen Server.
• Zscaler – Umgehung der SAML-Authentifizierung (CVE-2025-54982)
  • Vollständige Umgehung der Authentifizierung, da Zscaler nicht überprüft hat, ob SAML-Assertions korrekt signiert waren.
• Check Point – Fest codierter SFTP-Schlüssel
  • Zugriff auf einen SFTP-Server mit Client-Protokollen für mehrere Mandanten, darunter Dateien mit JWT-Material, das eine Authentifizierung gegenüber dem Perimeter 81-Dienst ermöglichen könnte.

Bei allen Schwachstellen, bei denen eine vollständige Umgehung der Authentifizierung erreicht wurde, führte dies zum Zugriff sowohl auf die Web-Proxys als der imitierte Benutzer als auch auf die „Private Access”-Dienste. Diese Dienste ermöglichen die Weiterleitung des Datenverkehrs an interne Ressourcen, wodurch möglicherweise lokale Umgebungen kompromittiert werden können.

In Bezug auf die Umgehung der Authentifizierung im IdP-Registrierungsmodus in Netskope teilte uns der Anbieter mit, dass es sich hierbei um ein bekanntes Problem handelt, das ursprünglich von Sander di Wit gemeldet und unter CVE-2024-7401 / NSKPSA-2024-001 verfolgt wurde. AmberWolf war zum Zeitpunkt der Untersuchung nicht über diese vorherige Offenlegung informiert und möchte Sander di Wit als ursprünglichen Melder würdigen.

Hinweise

Im Anschluss an die Präsentation veröffentlicheAmberWolf detaillierte Hinweise zu den während deren Präsentation offengelegten Sicherheitslücken. Diese Hinweise enthalten technische Beschreibungen, Angriffsvektoren und Abhilfemaßnahmen, um Unternehmen dabei zu helfen, sich vor diesen Bedrohungen zu schützen. Der Hinweis zu CVE-2025-54982 wurde bereits veröffentlicht, weitere Hinweise werden in den kommenden Wochen folgen.

Update:

„Nachdem AmberWolf Check Point im März über die Sicherheitslücke (CVE-2025-3831 – Bericht von AmberWolf) informiert hatte, haben wir umgehend Maßnahmen zu deren Behebung ergriffen. Unsere Kunden mussten keine Maßnahmen ergreifen, um sich vor dieser CVE zu schützen. Wir können bestätigen, dass Check-Point-Kunden seit März nicht mehr von dieser CVE betroffen sind.“ – Weitere Informationen zu dieser Sicherheitslücke finden Sie hier: CVE-2025-3831

Das könnte Sie ebenfalls interessieren