Shadowserver

Accessible Cisco Smart Install

Beschreibung

Cisco Smart Install ist ein Legacy-Feature in manchen Cisco Switches, das eine automatische Konfiguration neuer Switches ermöglicht. Cisco weist explizit darauf hin, dass diese Funktionalität nur aus vertrauenswürdigen Netzwerken erreichbar sein darf, da es keinerlei Authentifikation gibt. Per Default lauscht Cisco Smart Install auf Port 4786/TCP.

Risiken

  • Kriminelle können über Ihren Switch über Cisco Smart Install vollständig übernehmen, also z.B. beliebige Kommandos auführen oder sogar Betriebssystem ersetzen.

Behebung

  • Deaktivieren Sie Cisco Smart Install nach erfolgter Installation, wenn es nicht unbedingt benötigt wird.
  • Beschränken Sie den Zugriff auf interne Netzwerke.
  • Wenn Zugriffe von außerhalb unbedingt notwendig sind, verwenden Sie ein VPN.

Ciscos PSIRT (Product Security Incident Response Team) hat ein Advisory[0] und einen Blogpost[1] veröffentlicht, die die Best Practice beim Umgang mit Cisco Smart Install beschreiben.

[0]: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170214-smi (englisch)
[1]: https://blogs.cisco.com/security/cisco-psirt-mitigating-and-detecting-potential-abuse-of-cisco-smart-install-feature (englisch)

Accessible RDP

Beschreibung

RDP (Remote Desktop Protocol) ist ein Microsoft-Protokoll das per default auf 3389/UDP und 3389/TCP lauscht und über das Nutzer*innen sich remote zu anderen Computern verbinden können. Häufig wird es auch zur Administration verwendet. RDP-Server sollten nicht aus dem offenen Internet erreichbar sein.

Risiken

  • Angreifer*innen können versuchen mit Brute-force Attacken[0] Zugriff auf den Server zu erhalten. Gelingt dies, können sie alle Aktionen setzen, zu denen der geknackte Account berechtigt ist und evtl. sensible Daten stehlen sowie Informationen über das interne Netzwerk erhalten.
  • Fehlerhaft konfigurierte Server sind für Monster-In-The-Middle (MITM) Angriffe anfällig.[1]

Behebung

  • Wenn möglich, beschränken Sie den Zugriff auf RDP-Server auf interne Netzwerke.
  • Ist Remote-Zugriff notwendig, verwenden Sie ein VPN, sperren Sie Accounts nach mehreren fehlgeschlagenen Login-Versuchen,[2] erzwingen Sie starke Passwörter und verwenden Sie wenn möglich Multi-Faktor Authentifizierung[3].

[0]: https://en.wikipedia.org/wiki/Brute-force_attack (englisch)
[1]: https://www.exploit-db.com/docs/english/41621-attacking-rdp---how-to-eavesdrop-on-poorly-secured-rdp-connections.pdf (englisch)
[2]: https://blogs.technet.microsoft.com/secguide/2014/08/13/configuring-account-lockout/ (englisch)
[3]: https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-mfa-nps-extension-rdg (englisch)

Accessible SMB

Beschreibung

SMB (Server Message Block) ist ein Protokoll um Zugriff auf Daten über das Netzwerk zu ermöglichen. Server lauschen per Default auf Port 445/TCP. Sie sollten nicht über das offene Internet zugänglich sein.

Risiken

  • Über die Jahre gab es immer wieder Schwachstellen in der Implementierung von SMB, die teilweise verhehrende Folgen hatten.[0] Aus dem Internet erreichbare Server bieten dafür besonders leichte Ziele.
  • Kriminelle können versuchen durch Brute-force Angriffe[1] in offene Server einzubrechen und im Erfolgsfall sensible Daten stehlen.
  • Je nach Konfiguration können sich noch weitere Angriffsvektoren ergeben.

Behebung

  • Beschränken Sie den Zugriff wenn möglich auf interne Netzwerke.
  • Ist Remote-Zugriff notwendig, verwenden Sie ein VPN, verwenden Sie starke Passwörter und halten Sie sich an Best Practices[2].

[0]: https://de.wikipedia.org/wiki/WannaCry
[1]: https://en.wikipedia.org/wiki/Brute-force_attack (englisch)
[2]: https://www.us-cert.gov/ncas/current-activity/2017/01/16/SMB-Security-Best-Practices (englisch)

Accessible Telnet

Beschreibung

Telnet ist ein veraltetes Protokoll dessen Server per Default auf Port 23/TCP lauscht. Es wurde und wird teilweise noch heute zur Administration v.a. von Netzwerkgeräten verwendet. Da es über keinerlei Verschlüsselung verfügt sollte es nur dort zum Einsatz kommen, wo es keine Alternative gibt und auch dann nur innerhalb des eigenen Netzwerks erreichbar sein.

Risiken

  • Telnet verschickt alle Daten -- auch Accountnamen und Passwörter -- in Plaintext. Dementsprechen kann jede*r die/der Netzwerkpakete sniffen kann diese Informationen auslesen und sich damit anschließend in die betroffenen Systeme einloggen. Da Telnet v.a. zu administrativen Zwecken genutzt wird, haben solche Accountübernahmen oft verhehrende Folgen.
  • Wenn eine Maschine unbeabsichtigt über Telnet aus dem öffentlichen Internet erreichbar ist und die (oft allgemein bekannten) ab Werk Zugangsdaten nicht geändert wurden, können Angreifer*innen sich problemlos Zugriff auf solche Geräte verschaffen.

Behebung

  • Steigen Sie auf verschlüsselte Protokolle wie SSH um wenn das vom Device unterstützt wird.
  • Beschränken Sie den Zugriff auf interne Netzwerke, sofern das möglich ist.
  • Sollte Remote-Zugriff notwendig sein, verwenden Sie ein VPN über das nur berechtigte Personen den Server erreichen können.

[0]: https://en.wikipedia.org/wiki/Brute-force_attack (englisch)

NTP Version

Beschreibung

NTP, das Network Time Protocol, ist ein Protokoll mit dem Computer über das Netzwerk ihre Zeiteinstellung synchronisieren können. Server lauschen per Default auf Port 123/UDP oder 123/TCP. Ob NTP aus dem öffentlichen Internet erreichbar sein soll, ist je nach Situation unterschiedlich.

Risiken

  • NTP-Server können von Kriminellen je nach Konfiguration auf bis zu zwei unterschiedliche Arten für UDP Amplification DDoS Angriffe[0] missbraucht werden, und zwar über eine Modus 6 Anfrage nach READVAR[1] oder eine Modus 7 Anfrage nach MON_GETLIST_1[2].

Behebung

  • Beschränken Sie den Zugriff wenn möglich auf interne Netzwerke oder VPNs.
  • Ist ein Zugriff aus dem öffentlichen Internet erwünscht, achten Sie auf die korrekte Konfiguration.[3][4][5]

[0]: https://www.us-cert.gov/ncas/alerts/TA14-017A (englisch)
[1]: https://ntpscan.shadowserver.org/ (englisch)
[2]: https://ntpmonitorscan.shadowserver.org/ (englisch)
[3]: https://wiki.univie.ac.at/display/CERT/Tag+Vuln.ntpd_monlist
[4]: https://www.team-cymru.com/secure-ntp-template.html (englisch)
[5]: http://support.ntp.org/bin/view/Support/AccessRestrictions (englisch)

Open CHARGEN

Beschreibung

CHARGEN (Character Generation Protocol)[0] ist ein uralt Protokoll, das v.a. zum Testen und Debuggen gedacht war und per Default auf Port 19/UDP oder 19/TCP lauscht. Es gab und gibt kaum legitime Gründe CHARGEN-Server aus dem öffentlichen Internet erreichbar zu machen. Heute sind offene CHARGEN-Server im Normalfall von den Betreiber*innen nicht beabsichtigt und gefährlichen Default-Einstellungen geschuldet. Häufig sind es alte Netzwerkdrucker die einen solchen Service laufen haben.

Risiken

  • CHARGEN-Server lassen sich ausgezeichnet für UDP Amplification Angriffe[1][2] mit einem Amplifikationsfaktor von fast 360 missbrauchen.

Behebung

  • Deaktivieren Sie den CHARGEN-Service oder beschränken Sie den Zugriff zumindest auf interne Netze, wenn Sie ihn unbedingt benötigen.

[0]: https://en.wikipedia.org/wiki/Character_Generator_Protocol (englisch)
[1]: https://de.wikipedia.org/wiki/Denial_of_Service#Distributed-Reflected-Denial-of-Service-Angriff
[2]: https://www.us-cert.gov/ncas/alerts/TA14-017A (english)

Open CWMP

Beschreibung

Das CPE WAN Management Protocol (CWMP) ermöglicht es ISPs Kundengeräte, sog. CPEs (Customer Premises Equipment) mithilfe von ACSs (Auto Configuration Server) automatisiert einzurichten und remote zu administrieren. CPEs und ACSs die zu diesem Zweck auf Port 7547/TCP lauschen, sollten dabei nicht aus dem offenen Internet zugänglich sein, da sie sonst zum Ziel von Angriffen werden können.

Risiken

  • Einige ACS-Implementierungen hatten bzw. haben Schwachstellen die für eine RCE (Remote Code Execution) ausgenutzt werden können.[0] Auf diesem Weg können Kriminelle im schlimmsten Fall den ACS übernehmen und bösartige Firmware bei CPEs einspielen.
  • Einige Implementierungen der CPEs, i.e. Home-Router, sind auf diesem Port für DDoS-Attacken anfällig.[1]

Behebung

  • Zugang zu ACSs und CPEs von außerhalb des ISP-Netzwerks blocken.

[0]: https://2016.hack.lu/archive/2014/I-hunt-TR-069-admins-shahar-tal-hacklu.pdf (englisch)
[1]: https://www.heise.de/security/meldung/Grossstoerung-bei-der-Telekom-Was-wirklich-geschah-3520212.html

Open DNS Resolver

Beschreibung

Das DNS (Domain Name System) ist einer der Grundbausteine des Internets und lauscht auf Port 53/UDP bzw Port 53/TCP. Ein offener DNS Resolver ist ein DNS-Server der rekursive DNS-Anfragen von beliebigen Clients aus dem Internet annimmt.

Risiken

  • Kriminelle können an einen offenen DNS-Resolver auf 53/UDP Anfragen mit gespoofter IP Source-Adresse stellen, die eine besonders große Antwort erzeugen. häufig wird dabei ein ANY-Request[0] verwendet, siehe aber [1]. Dieser Mechanismus kann für DNS DDoS-Angriffe missbraucht werden.[2]

Behebung

  • Konfigurieren Sie Ihren DNS Resolver so, dass er nur auf Anfragen bestimmter Clients antwortet.
  • Verwenden Sie Source-IP Verifikation um Anfragen mit gespooften Adressen gar nicht erst entstehen zu lassen.
  • Verwenden Sie Response Rate Limiting, d.h. limitieren Sie die mögliche Anzahl an Abfragen pro Sekunde.
  • Schalten Sie rekursive Anfragen auf authoritativen Name Servern komplett ab.

Eine Anleitung, wie Sie diese Maßnahmen durchführen können finden Sie im Wiki des aconet-CERTs.

[0]: Auf eine solche Anfrage antwortet der Server mit allen ihm bekannten RRs aller Typen.
[1]: https://tools.ietf.org/html/rfc8482 (englisch)
[2]: https://de.wikipedia.org/wiki/DNS_Amplification_Attack

Open Elasticsearch

Beschreibung

Elasticsearch ist eine Suchmaschine die Unternehmen installieren können, um Informationen durchsuchbar zu machen. Per Default lauscht der Server auf Port 9200/TCP. Wenn durch die Instanz keine öffentliche Suchmaschine zur Verfügung gestellt werden soll, ist eine Erreichbarkeit aus dem Internet nicht sinnvoll.

Risiken

  • Wenn die Elasticsearch-Instanz sensible Daten enthält und aus dem öffentlichen Internet erreichbar ist, können Unbefugte diese Daten lesen und durchsuchen.

Behebung

  • Beschränken Sie den Zugriff auf interne Netzwerke.
  • Sollten Remote-Zugriffe notwendig sein, verwenden Sie ein VPN.

Open IPMI

Beschreibung

IPMI (Intelligent Platform Management Interface) ermöglicht es Computer remote zu administrieren ohne dabei auf die CPU, das Betriebssystem oder die Firmware desselben angewiesen zu sein. Da eine Übernahme des IPMI verhehrende Folgen haben kann, sollte es niemals aus dem öffentlichen Internet erreichbar sein. Es lauscht per Default auf Port 623/UDP. Bekannte Implementierungen von IPMI sind z.B. HPEs iLO oder Dells (i)DRAC.

Risiken

  • Kriminelle können mithilfe von Brute-force Angriffen[0] auf IPMI den Computer vollständig übernehmen.
  • Da die Standardpasswörter und -accounts gängiger Implementierungen oft bekannt sind, können diese von Kriminellen benutzt werden, falls vergessen wurde das Passwort zu ändern.

Behebung

  • Beschränken Sie den Zugriff auf IPMI auf interne Netzwerke.
  • Wenn Remote-Zugriff auch außerhalb der Firmennetze notwendig ist, verwenden Sie ein VPN über das sich authorisierte Mitarbeiter*innen zum IPMI verbinden können.

[0]: https://en.wikipedia.org/wiki/Brute-force_attack (englisch)

Open LDAP

Beschreibung

Active-Directory/LDAP-Server lauschen auf Port 389/UDP oder 389/TCP. Sie sollten niemals aus dem offenen Internet erreichbar sein. Suchmaschinen wie shodan.io machen das Auffinden solcher Server trivial, d.h. das Geheimhalten einer URL biete keinerlei Schutz.

Risiken

  • Angreifer*innen können versuchen Accounts durch Brute-force-[0] oder Credential-stuffing-Attacken[1] zu übernehmen. Wenn dies gelingt, können sie Daten entsprechend den Befugnissen des Accounts lesen und verändern sowie neue Dateien anlegen.
  • Wird 389/UDP genutzt, kann der Server zusätzlich für DDoS-Amplification-Angriffe[2] missbraucht werden.

Behebung

  • Konfigurieren Sie den Server so, dass er nur von internen Netzwerken erreichbar ist.
  • Wenn Remote-Zugriffe unvermeidlich sind, richten Sie ein VPN ein über das berechtigte Personen Zugriff auf den Server erhalten.

[0]: https://en.wikipedia.org/wiki/Brute-force_attack (englisch)
[1]: https://en.wikipedia.org/wiki/Credential_stuffing (englisch)
[2]: https://de.wikipedia.org/wiki/Denial_of_Service#Distributed-Reflected-Denial-of-Service-Angriff

Open mDNS

Beschreibung

mDNS (Multicast DNS) ist ein Protokoll das zur Namensauflösung in kleinen Netzwerken gedacht ist und keinerlei Konfiguration benötigt. Geräte die mDNS unterstützen schicken Anfragen an eine multicast IP-Adresse aus, die andere mDNS Geräte empfangen und ihre IP-Adresse ebenfalls an die multicast IP-Adresse schicken wenn ihr Name angefragt ist. Per Default lauscht mDNS auf Port 5353/UDP. Dieser Service sollte niemals aus dem öffentlichen Internet erreichbar sein.

Risiken

  • Aus dem öffentlichen Internet erreichbare Geräte mit mDNS geben bei Anfragen möglicherweise sensible Daten über sich Preis wie z.B. IPv4- und IPv6-Adressen, Namen oder MAC Adressen.

Behebung

  • Beschränken Sie den Zugang auf internet Netzwerke. mDNS ist explizit für kleine Netzwerke gedacht, sollte also die Notwendigkeit bestehen, den von mDNS erbrachten Service über das öffentliche Internet zu routen, ist mDNS das falsche Tool und Sie sollten auf "richtiges" DNS umstellen.

Open memcached

Beschreibung

Memcached ist ein verteilter Cache-Server, der meist dazu eingesetzt wird, um die Antwortgeschwindigkeit von Webseiten zu erhöhen indem z.B. Ergebnisse von Datenbankabfragen gecached und dadurch mehrfache Anfragen im Backend verhindert werden. Per Default lauscht memcached auf den Ports 11211/TCP und 11211/UDP und sollte laut Angaben der Entwickler*innen niemals aus dem öffentlichen Internet erreichbar sein.[0]

Risiken

  • Kriminelle können aus dem Internet erreichbare memcached-Server für UDP Amplification DDoS-Angriffe[1] missbrauchen.

Behebung

  • Beschränken Sie den Zugriff auf interne Netzwerke.
  • Wenn Remote-Zugriff unerlässlich ist, verwenden Sie ein VPN.
  • Deaktivieren Sie UDP für Ihre(n) memcached-Server.

[0]: https://github.com/memcached/memcached/wiki/ConfiguringServer#networking (englisch)
[1]: https://www.us-cert.gov/ncas/alerts/TA14-017A (englisch)

Open MongoDB

Beschreibung

MongoDB ist eine NoSQL-Datenbank die per default auf 27017/TCP lauscht. In den meisten Fällen ist es nicht notwendig, dass sie aus dem offenen Internet erreichbar ist.

Risiken

  • Wenn die Datenbank aus dem offenen Internet erreichbar ist und Authentifikation nicht aktiviert ist, kann jede beliebige Person die darin enthaltenen Daten einsehen.
  • Ist Authentification aktiviert, können Kriminelle mit von Brute-force Angriffen[0] oder Credential Stuffing[1] ersuchen, Zugang zur Datenbank zu erhalten.

Behebung

  • Beschränken Sie den Zugriff auf den Datenbankserver auf interne Netzwerke.
  • Wenn remote-Zugriff unerlässlich ist, richten Sie ein VPN ein über das Verbindungen möglich sind bzw. aktivieren Sie Authentifikation[2] und achten darauf, dass starke Passwörter verwendet werden.

[0]: https://en.wikipedia.org/wiki/Brute-force_attack (englisch)
[1]: https://en.wikipedia.org/wiki/Credential_stuffing (englisch)
[2]: https://docs.mongodb.com/manual/tutorial/enable-authentication/ (englisch)

Open MSSQL

Beschreibung

Microsoft SQL Server ist Microsofts SQL-Server der per Default auf Port 1433/TCP und 1433/UDP. Diese Server sollten im Normalfall nicht aus dem öffentlichen Internet erreichbar sein.

Risiken

  • Kriminelle können versuchen Zugriff auf die Daten in der Datenbank zu erhalten um Informationen zu stehlen; zumindest aber können sie Informationen über den SQL-Server auslesen.
  • Kriminelle können die Server für UDP Amplification DDoS Angriffe[0] missbrauchen.[1]

Behebung

  • Beschränken Sie den Zugriff auf interne Netzwerke.
  • Wenn Remote-Zugriff notwendig ist, verwenden Sie ein VPN.

[0]: https://www.us-cert.gov/ncas/alerts/TA14-017A (englisch)
[1]: https://mssqlscan.shadowserver.org/ (englisch)

Open NAT-PMP

Beschreibung

NAT-PMP (Network Address Translation - Port Mapping Protocol) ermöglicht NAT und Port-Forwarding ohne Interaktion von Benutzer*innen. Wichtig ist dabei, dass das Gerät, das NAT und Port-Forwarding ermöglicht, dies nur auf seinem internen Interface zulässt, nicht aber auf seinem externen. Der NAT-PMP Service lauscht per Default auf Port 5351/UDP und sollte nicht aus dem öffentlichen Internet erreichbar sein.

Risiken

  • Ist der NAT-PMP Service auch auf dem externen Interface verfügbar und ist dieses aus dem öffentlichen Internet zugänglich, können Angreifer*innen Information über das Gerät erhalten, das Port-Mapping manipulieren, öffentliche und private Kommunikationen mitlesen, auf private Client-Services zugreifen und die Host-Services des Geräts blockieren.

Behebung

  • Deaktivieren Sie NAT-PMP wenn möglich.
  • Beschränken Sie den Zugriff auf interne Netzwerke.
  • Sollten Sie miniupnp verwenden, könnte dessen Konfiguration das Problem ausgelöst haben. Gehen Sie sicher, dass Ihre Version von miniupnp größer oder gleich 1.8.20141022 ist.
  • Stellen Sie sicher, dass NAT-PMP sicher konfiguriert ist, d.h.
    1. WAN- und LAN- Interface sind korrekt zugewiesen.
    2. NAT-PMP Anfragen werden nur am internen Interface akzeptiert.
    3. Port-Mappings werden nur für die anfragende, interne IP-Adresse freigeschalten.

Mehr Informationen finden Sie im originalen Blogpost von Rapid7[0]. Die Informationen über die Risiken und die Behebung sind dem Advisory von cert.org[1] entnommen.

[0]: https://blog.rapid7.com/2014/10/21/r7-2014-17-nat-pmp-implementation-and-configuration-vulnerabilities/ (englisch)
[1]: https://www.kb.cert.org/vuls/id/184540/ (englisch)

Open NetBIOS

Beschreibung

NetBIOS ist ein Protokoll das es Rechnern erlaubt, im lokalen Netzwerk miteinander zu kommunizieren. Einer der Services den es dabei anbietet, ist Namensauflösung im lokalen Netzwerk. Dazu lauscht es per Default auf Port 137/UDP. Dieser sollte nicht aus dem offenen Internet erreichbar sein.

Risiken

  • Die Antwort auf einen Anfrage an den Port enthält je nach Konfiguration die MAC-Adresse und den Computernamen sowie den Namen der/des Nutzer*in.
  • Kriminelle können den Computer für einen UDP Amplification DDoS-Angriff[0] missbrauchen.

Behebung

  • Deaktivieren Sie NetBIOS komplett, wenn es nicht unbedingt benötigt wird.
  • Beschränken Sie den Zugriff auf interne Netzwerke.

[0]: https://www.us-cert.gov/ncas/alerts/TA14-017A (englisch)

Open Portmapper

Beschreibung

Portmapper ermöglicht Remote Procedure Calls und lauscht per default auf den Ports 111/TCP und 111/UDP. Dieser Service sollte nicht aus dem öffentlichen Internet erreichbar sein.

Risiken

  • Kriminelle können portmapper für UDP Amplification Angriffe[0] missbrauchen.
  • Je nach Konfiguration können über portmapper Informationen über den Server sowie das Netzwerk ausgelesen werden.

Behebung

  • Beschränken Sie den Zugriff auf interne Netzwerke.
  • Wenn Remote-Zugriffe notwendig sind, verwenden Sie ein VPN.

Weiterführend Informationen finden Sie im Wiki des ACOnet.[1]

[0]: https://www.us-cert.gov/ncas/alerts/TA14-017A (englisch)
[1]: https://wiki.univie.ac.at/display/CERT/Tag+Vuln.open_portmapper

Open QOTD

Beschreibung

Quote Of The Day (QOTD) ist ein Service der auf Anfrage eine Nachricht des Tages schickt. Er lauscht per default auf den Ports 17/TCP und 17/UDP.

Risiken

  • Wenn QOTD auf 17/UDP lauscht, kann der Service für UDP Amplification Angriffe[0] missbraucht werden.

Behebung

  • Schalten Sie den Service auf 17/UDP wenn möglich ab.
  • Beschränken Sie den Zugriff auf interne Netzwerke.
  • Wenn Remote-Zugriff notwendig ist, verwenden Sie ein VPN.

[0]: https://wiki.univie.ac.at/display/CERT/Amplified+UDP+reflection+attack

Open Redis

Beschreibung

Redis ist eine NoSQL In-Memory-Datenbank. Der Server lauscht per Default auf Port 6379/TCP. Redis-Datenbanken sollten im Normalfall nicht aus dem öffentlichen Internet erreichbar sein, da sein Sicherheitsmodell explizit davon ausgeht, dass nur vertrauenswürdige Clients den Abfragen stellen können.[0]

Risiken

  • Unbefugte können durch einfaches Abfragen sämtliche Inhalte der Datenbank auslesen oder je nach Konfiguration sogar manipulieren wenn der Service aus dem öffentlichen Internet erreichbar ist.

Behebung

  • Beschränken Sie den Zugriff auf interne Netzwerke.
  • Wenn Remote-Zugriff notwendig ist, benutzen Sie ein VPN.

[0]: https://redis.io/topics/security

Open SNMP

Beschreibung

Das SNMP (Simple Network Management Protocol) ermöglicht remotes Monitoring und remote Konfigurationsänderungen von Geräten im Netzwerk. Per Default lauscht der Agent auf über SNMP verwalteten Geräten auf Port 161/UDP. SNMP-Agenten sollten nicht über das öffentlicht Internet erreichbar sein.

Risiken

  • Öffentlich erreichbare SNMP-Agenten können bei unsicherer Konfiguration sensible Informationen über einzelne Hosts und das gesamte Netzwerk verraten.
  • Öffentlich erreichbare SNMPv2c-Agenten können für UDP-based DDoS Amplification-Angriffe[0] missbraucht werden.

Behebung

  • Stellen Sie sicher, dass SNMP entsprechend aktueller Best Practices konfiguriert ist. Einen möglichen Leitfaden finden Sie hier[1].
  • Beschränken Sie den Zugriff auf interne Netzwerke.
  • Sollte Remote-Zugriff notwendig sein, verwenden Sie ein VPN.

[0]: https://www.us-cert.gov/ncas/alerts/TA14-017A (englisch)
[1]: https://blog.rapid7.com/2016/01/27/simple-network-management-protocol-snmp-best-practices/ (englisch)

Open SSDP

Beschreibung

Das SSDP (Simple Service Discovery Protocol) ermöglicht es Geräten in kleinen Netzwerken sich über Adressen und verfügbare Services auszutauschen ohne dabei auf spezialisierte Server (z.B. DHCP, DNS) zurückgreifen zu müssen. Per Default lauscht der Service auf Port 1900/UDP. Er sollte keinesfalls aus dem öffentlichen Internet zugänglich sein.

Risiken

  • Aus dem öffentlichen Internet erreichbare SSDP-Services können von Kriminellen für UDP-based Amplification Angriffe[0] missbraucht werden.

Behebung

  • Schalten Sie SSDP ab, wenn Sie es nicht unbedingt benötigen. Heute findet sich SSDP meist im Zusammenhang mit UPnP, das auch keinesfalls aus dem öffentlichen Internet erreichbar sein sollte.
  • Sollten Sie SSDP unbedingt benötigen, stellen Sie sicher, dass der Service auf interne Netze beschränkt ist.

[0]: https://www.us-cert.gov/ncas/alerts/TA14-017A (englisch)

Open TFTP

Beschreibung

TFTP, das Trivial File Transfer Protocol, ist ein sehr einfaches Protokoll mit dessen Hilfe Dateien gelesen und geschrieben werden können. Der Server lauscht per Default auf Port 69/UDP. Da TFTP über keinerlei Sicherheitsmechanismen verfügt, sollte es nicht aus dem öffentlichen Internet erreichbar sein.

Risiken

  • Kriminelle können Dateien vom TFTP-Server herunterladen, oder auf ihn hochladen wenn er aus dem öffentlichen Internet erreichbar ist.

Behebung

  • Beschränken Sie den Zugriff auf interne Netzwerke.
  • Wenn Remote-Zugriff notwendig ist, verwenden Sie ein VPN.

Open XDMCP

Beschreibung

XDMCP (X Display Manager Control Protocol) ist ein Protokoll das die Verwendung von X Displays über das Netzwerk ermöglicht. Der Server lauscht per Default auf Port 177/UDP. In den allermeisten Fällen sollte der Server nicht aus dem öffentlichen Internet erreichbar sein.

Risiken

  • Die Authentisierung unter XDMCP erfolgt unverschlüsselt, d.h. Personen die den Netzwerkverkehr mitlesen können, können User*innennamen und Passwörter im Plaintext sehen.
  • Ist der Server aus dem öffentlichen Internet zugänglich, können über XDMCP Informationen über das Host-System erlangt werden.
  • XDMCP-Server die aus dem öffentlichen Internet erreichbar sind, können für UDP DDoS Amplification Angriffe[0] missbraucht werden.

Behebung

  • Setzen Sie statt auf XDMCP aus einen verschlüsselten SSH-Tunnel für remote X Displays.
  • Beschränken Sie den Zugriff auf interne Netze.
  • Ist Remote-Zugriff notwendig, verwenden Sie ein VPN.

[0]: https://www.us-cert.gov/ncas/alerts/TA14-017A (englisch)

Sandbox URL

Wenn Sie eine Meldung über "Sandbox-URL"s erhalten haben, so bedeutet das, dass Schadsoftware die in den Sandboxen des Shadowserver-Projektes untersucht wird, versucht hat auf diese URL zuzugreifen, d.h. unter dieser URL haben Verbrecher*innen Dateien abgelegt, die die Schadsoftware herunterladen will. Oft handelt es sich dabei um weitere Viren, Trojaner, etc.

Hier sind die Risiken und dementsprechend die Behebung bei jedem Fall unterschiedlich.

Sinkhole HTTP Drone

Beschreibung

Der Sinkhole-HTTP-Drone Feed von shadowserver zeigt an, dass Ihr System mit hoher Wahrscheinlichkeit von Schadsoftware befallen ist. Dabei wird ausgenutzt, dass bestimmte Malware-Arten mit einem sog. Command & Control (C2) Server kommunizieren, um Befehle zu erhalten, Dateien herunterzuladen, Dateien hochzuladen, etc. Ist der Name des Servers in der Schadsoftware als URL hinterlegt, muss dieser zuerst mittels DNS (Domain Name System) auf eine IP-Adresse aufgelöst werden. Shadowserver hat dabei die Möglichkeit, einen DNS-Server so einzustellen, dass er eine IP-Adresse zurückliefert, die nicht zum C2-Server gehört, sondern zu einem von ihnen kontrollierten Computer. Alle Verbindungsversuche zu diesem kommen dann wahrscheinlich von infizierten Maschinen.

Risiken

  • Je nach installierter Schadsoftware sehr unterschiedlich, oft werden z.B. Passwörter, Bankdaten, Dateien, Browserverläufe, etc. gestohlen oder der PC wird verwendet um Spam zu verschicken oder um andere PCs im Netzwerk zu infizieren.

Behebung

  • Wiederum je nach Schadsoftware unterschiedlich. CERT.at empfiehlt einen infizierten Computer vollständig neu aufzusetzen und anschließend die Daten aus einem Backup einzuspielen von dem sicher ist, dass es vor der Infektion angelegt wurde. Sollten keine (sauberen) Backups vorhanden sein, kann der PC mithilfe einer Antiviren-Software gereinigt werden. Da sich die Antiviren-Firmen und Schadsoftware-Developer*innen in einem ständigen Katz-und-Maus-Spiel befinden, ist diese Methode weniger verlässlich als die Reinstallation. Zögern Sie auch nicht sich professionelle Hilfe zu holen, wenn Sie nicht sicher sind, wie Sie vorgehen sollen.

Spam URL

Beschreibung

Der Spam-URL Feed von shadowserver enthält URLs und IP Adressen von Relay-Server die in Spam E-Mails gefunden wurden.

Zu den URLs ist zu beachten, dass Spam E-Mails oft mehrere legitime URLs enthalten, um insgesamt glaubwürdiger zu erscheinen und so die Wahrscheinlichkeit zu erhöhen, dass eine der bösartigen URLs ebenfalls angeklickt wird. Dennoch sollte die URL am eigenen Webserver überprüft werden, um ausschließen zu können, dass es Kriminellen gelungen ist, einzubrechen und Dateien dort abzulegen.

Außerdem sammelt shadowserver die IP Adresse des letzten Hops vor der Zustellung, da diese nicht gefälscht werden kann. Sollte einer Ihrer IPs als solche aufgelistet sein, bedeutet das, dass Ihr Server Spam E-Mails weiterleitet oder versendet.

Risiken

  • Kriminelle haben potentiell Zugang zu Ihrem Web- und/oder E-Mail-Server.

Behebung

  • Überprüfen Sie Ihren Web- und/oder E-Mail-Server auf unerlaubte Zugriffe und Einbruchsspuren. Sollten Sie feststellen, dass Ihr Server übernommen wurde oder Schadsoftware enhält, empfiehlt CERT.at eine Neuinstallation des Betriebssystems und das anschließende Einspielen der Daten von einem Backup, das vor der Infektion/Übernahme angelegt wurde. Achten Sie dabei darauf, keine alten Passwörter wiederzuverwenden. Sollte kein (sauberes) Backup vorhanden sein, kann versucht werden den Computer mithilfe von Antiviren-Software zu bereinigen. Zögern Sie dabei nicht, sich professionelle Hilfe zu holen, wenn Sie nicht sicher sind, wie Sie vorgehen sollen.

SSL FREAK

Beschreibung

SSL FREAK (Factoring RSA_EXPORT keys) ist eine 2015 entdeckte Schwachstelle, die einen Monster-In-The-Middle (MITM) Angriff ermöglicht. Dabei wird serverseitig ein Downgrade auf RSA Export Keys versucht, einer Key-Klasse die bewusst kaum Sicherheit bietet und eingeführt wurde um US Geheimdiensten das Entschlüsseln der Kommunikation anderer Staaten zu ermöglichen.[0]

Risiken

  • Bei erfolgreichem MITM Angriff ist es möglich die gesamte verschlüsselte Kommunikation mit relativ geringem Aufwand zu entschlüsseln.

Behebung

  • Für sämtliche Betroffene Clients gibt es seit 2015 Updates, die das Problem beheben.[1]
  • Deaktivieren Sie bei Ihrem Server die RSA_EXPORT Ciphers. Dadurch können Clients nicht gezwungen werden, diese unsichere Methode zur Verschlüsselung zu verwenden. Ein MITM-Angriff schlägt in diesem Fall einfach fehl, da der Server den Verbindungsversuch ablehnen wird.

[0]: https://en.wikipedia.org/wiki/Export_of_cryptography_from_the_United_States (englisch)
[1]: https://mitls.org/pages/attacks/SMACK#freak (englisch)

SSL Poodle

Beschreibung

SSL-Poodle ist ein Angriff auf SSLv3 (Secure Socket Layer) und manche Formen von TLS (Transport Layer Security), der 2014 entdeckt wurde und immer dann möglich ist wenn Cipher-Block-Chaining (CBC) Modus Chiffren[0] verwendet werden. Dabei können Angreifer*innen in einer Monster-In-The-Middle (MITM) Position die verschlüsselte Kommunikation aufgrund von Fehlern im Protokoll relativ einfach entschlüsseln.

SSLv3 ist schon seit langem überholt und meistens durch TLS ersetzt. Allerdings wurde es aus Gründen der Kompatibilität lange Zeit von vielen Servern, Browsern und anderer Software unterstützt.

Risiken

  • Nach erfolgreicher Monster-In-The-Middle (MITM) Attacke können die Angreifer*innen ein Downgrade auf SSLv3 erzwingen und dann mittels Poodle die Kommunikation mitlesen und auf diesem Weg z.B. Passwörter stehlen.

Behebung

  • Im Falle der betroffenen TLS-Implementierungen: Spielen Sie Updates ein, die diesen Angriff unmöglich machen.
  • Konfigurieren Sie Server und Clients so, dass Sie SSLv3 und betroffene TLS-Versionen nicht mehr unterstützen.

Mehr Informationen über die Poodle finden Sie im originalen Artikel dazu[1] und auf unserer Webseite[2]. Anleitungen, wie Sie SSLv3 deaktivieren können, finden sich z.B. hier[3].

[0]: https://de.wikipedia.org/wiki/Cipher_Block_Chaining_Mode (englisch)
[1]: https://www.openssl.org/~bodo/ssl-poodle.pdf (englisch, PDF)
[2]: https://www.cert.at/services/blog/20141015093742-1272.html
[3]: https://www.heise.de/-2424327

Vulnerable ISAKMP

Beschreibung

ISAKMP (Internet Security Association and Key Management Protocol) definiert die Erstellung, Aushandlung, Veränderung und Löschung von Security Associations sowie die Verwaltung von kryptographischen Schlüsseln. In der Cisco-Implementierung des auf ISAKMP aufsetzenden Protokolls IKEv1 wurde 2016 eine eine schwere Schwachstelle gefunden.[0] Diese wurde zwar bald behoben, allerdings wurde das notwendige Update bis heute nicht auf allen betroffenen Systemen eingespielt.

Die IKEv1-Implementierung von Cisco kann auf den Ports 500/UDP, 848/UDP, 4500/UDP, oder 4848 lauschen.

Risiken

  • Kriminelle können durch Schicken eines Pakets Teile des Arbeitsspeichers des betroffenen Geräts auslesen und dadurch möglicherweise an sensible Informationen kommen.

Behebung

  • Spielen Sie das von Cisco bereitgestellte Update ein, wie im unten verlinkten Advisory beschrieben.

[0]: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160916-ikev1