Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.
StringBleed ist kein zweites Heartbleed
27. April 2017

Es wird mal wieder eine benamste Schwachstellen-Kuh durch die IT-Security Community getrieben. Der Name soll offensichtlich an Heartbleed erinnern, aber soweit wir das jetzt einschätzen können, ist StringBleed (jedenfalls in Österreich) ziemlich harmlos.

Um was geht es?

StringBleed ist ein Bug in der SNMP-Implementation (oder Konfiguration) in Kabelmodems, DSL-Modems oder ähnlichen Geräten.

SNMP (simple network management protocol) wird zur Fernwartung/Monitoring von diversen Geräten im Internet benutzt. Typischerweise sind das Router (incl. CPEs) oder Server. An sich sollte SNMP aus dem offenen Internet gar nicht erreichbar sein, und wenn das nicht vermeidbar ist, wenigstens per Access-Control (je nach SNMP Version gibt es da verschiedene Möglichkeiten) abgesichert sein. Das ist leider bei weitem nicht der Fall, und solche offenen (bzw. mit Default-Passwörtern "gesicherte") SNMP Agents lassen sich auch für DDoS-Reflection missbrauchen. Das erklären wir in unserem Jahresbericht ausführlich. Dort gibt es auch eine Grafik, die das Mengengerüst für Österreich dokumentiert:

Wir haben also rund 4000 IP Adressen in Österreich, die auf offene SNMP-Anfragen antworten.

Was ist der Bug?

Laut den Findern ist schlicht die Überprüfung der Authorisierung der SNMP-Anfrage komplett kaputt. Man kann mit beliebigen Credentials SNMP-Anfragen durchführen. Das mag bei puren Lesezugriffen noch nicht dramatisch sein, das gleiche soll aber auch bei Schreibzugriffen funktionieren, und damit kann man potentiell das Device umkonfigurieren.

Wie stark ist Österreich betroffen?

Meine Datenbasis ist das Ergebnis des letzten SNMP-Scans von Shadowserver. Das waren knapp 4200 IP-Adressen und inkludiert auch den Wert des "SysDescr" Attributes, das oft den Hersteller, das Produkt und die Softwareversion enthält. Die Webseite von StringBleed enthält eine Liste von betroffenen Modellen. Sucht man diese in der Liste von Shadowserver so erhält man 305 Treffer.

Davon sind 216 D-Link DCM-704, 40 Thomson TWG870 und 30 Thomson THG540. Der Rest verteilt sich auf diverse Modelle von Cisco und ARRIS.

Aber antworten diese auch wirklich auf Anfragen mit beliebigen Credentials?

Einen Schreibversuch will ich nicht machen, aber die gleiche Frage nach der "SysDescr" habe ich an alle 4200 geschickt.

Auf meine Anfrage mit zufällig gewähltem Passwort ("community string") haben 303 geantwortet. Diese verteilen sich auf 210 D-Link DCM-704, 39 Thomson TWG870 und 30 Thomson THG540. Das deckt sich also sehr gut.

Ein Blick auf die Netzbetreiber/ISPs zeigt, dass es hier um kleine, regional agierende Provider geht. Diese werden wir - wie immer bei solchen Fällen - entsprechend verständigen.

Aber lassen wir die Kuh lieber im Dorf (oder im Stall, um beim Bild der Einleitung zu bleiben): 300 angreifbare Kabelmodems in Österreich sind Tagesgeschäft und kein Grund für eine besondere Aufregung (oder (SCNR) aufg'scheichte Hendln).

Autor: Otmar Lendl

Wartungsarbeiten Donnerstag, 20. 4. 2017
18. April 2017

Am Donnerstag, 20. April 2017, ab etwa 19h, werden wir Wartungsarbeiten an unserer Infrastruktur vornehmen. Dies wird zu kurzen Ausfällen der extern erreichbaren Services (zB Mail, Webserver, Mailinglisten) führen, diese können jeweils mehrere Minuten andauern. Es gehen dabei keine Daten (zb Emails) verloren, die Bearbeitung kann sich allerdings leicht verzögern.

In dringenden Fällen können sie uns wie gewohnt telephonisch unter +43 1 505 64 16 78 erreichen.

Autor: Robert Waldner

Workaround? Abdrehen!
21. März 2017

Langsam gibt es erste Details zu den 0-days, die im Vault-7-Leak enthalten sind.

Betroffen sind u.A. Switche von Cisco. Patches sind noch nicht für alle Modelle verfügbar, laut Heise gibt es aber folgenden Workaround:

Bis dahin empfiehlt der Hersteller Telnet auf betroffenen Geräte zu deaktivieren und bis zum Erscheinen des Patches auf SSH zu setzen.

Das ist meiner Meinung nach viel zu kurz gegriffen. Wir empfehlen:

  • Wir haben 2017, telnet ist obsolet. Ja, es mag ab und zu noch irgendwelche obskuren Devices geben, die nur telnet können, aber halbwegs aktuelle Switche und Router können schon lange ssh. Wenn das die aufgespielte Firmware nicht kann, dann stehen die Chancen gut, dass diese so alt ist, dass sie noch eine Reihe von weiteren bekannten Sicherheitslücken aufweist. Von telnet auf ssh umsteigen ist daher kein "Workaround", sondern eine längst überfällige Sicherheitsmaßnahme.
  • Management-Plane Protection. Egal ob telnet, ssh oder snmp: kein Router, Switch oder CPE sollte diese Interfaces für das ganze Internet erreichbar haben. Optimalerweise sind diese nur über ein Wartungsnetz per VPN erreichbar, aber auch schon strikte Filter auf Basis Source-IP-Adresse helfen enorm. Barry Greene hat im Rahmen der NANOG eine umfassende Präsentation zum Thema Sicherheit für ISPs erstellt.
Wir überlegen, auf Basis von Scans von Shadowserver die österreichischen ISPs darüber zu informieren, auf welchen IP-Adressen der Telnet-Port erreichbar ist. Betroffen sind aktuell rund 9000 IP-Adressen in Österreich. Input und Feedback dazu ist willkommen!

Autor: Otmar Lendl

Propaganda auf Twitter
15. März 2017

Der echte Groundhog Day ist noch nicht lange her, und manchmal kommt es einem so vor, als wäre im Internet jeden Tag "Groundhog Day": manche Sachen wiederholen sich einfach viel zu oft.

Aktuell geht es um missbrauchte Twitter-Accounts. Das hatte wir schon im November: twittercounter.com hatte ein Problem, und schon werden Tweets unter falschem Namen verteilt. Das gleiche ist gerade wieder passiert, dieses mal wurde pro-türkische Propaganda verteilt. Siehe WebStandard, FuZo, ...

Weil das in den Medien wieder großes Echo findet, hier meine Einschätzung dazu:

Fast immer, wenn es Spannungen zwischen Staaten gibt, versuchen nationalistische "Hackergruppen" im Internet Propaganda für die eigene Seite zu machen und Online-Auftritte der Gegenseite mit virtuellem Graffiti zu beschmieren. Das können "Defacements" auf Webseiten sein, oder eben Einbrüche in Social Media Accounts.

Natürlich wird hier zuerst versucht, möglichst prominente Opfer zu finden. Gelingt das nicht, dann gehen diese Gruppen rein opportunistisch vor: wer halbwegs in das Beuteschema fällt und verwundbar ist, der wird zum Opfer dieser juvenilen Propaganda-Aktionen.

Daher die Empfehlung: Schauen sie auf die Sicherheit ihrer Webseite und ihrer Social Media Accounts! Es wäre doch hinreichend peinlich, wenn unter ihrem Namen Propaganda für nationalistische oder islamistische Gruppen verteilt wird.

Autor: Otmar Lendl

<< Vorige Nächste >>
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Ransomware/Wurm WannaCry
14. Mai 2017 | Seit ...
Kritische Lücke in verbreiteter Webshop-Software Magento - keine Updates verfügbar
14. April 2017 | Wie ...
mehr ...
Tanze (aktualisierten) Samba mit mir
26. Mai 2017 | Die Erinnerung ...
Ein paar Gedanken zu WannaCry
14. Mai 2017 | Wir haben ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2017/5/26 - 13:52:38
Haftungsausschluss