Statistic Survey

(english version)

Für die Suche nach ausgewählten verwundbaren Software-Installationen verwendet CERT.at "masscan" oder andere Scanning Tools analog zu Suchmaschinen wie shodan.io. Dieser meldet sich als CERT.at-Statistics-Survey/1.0 (+http://www.cert.at/about/consec/content.html).

Der Suchbereich beschränkt sich hierbei üblicherweise auf IP-Ranges mit Österreich-Bezug oder auf .at Domains.

Wie funktioniert das?

  1. Hole aktuelle IP-Ranges von Österreich (bzw. alle .at Domains)
  2. Mache einen initialen TCP Handshake mit jeder IP Adresse dieser Liste auf dem jeweiligen öffentlich zugänglichen Port (siehe "Aktuelle Scans")
  3. Speichere, ob dieser Port offen war. Wenn ja, gibt es eventuell einen Hinweis, dass die gescannte IP Adresse infiziert ist oder verwundbar ist.

Aktuelle Scans

SSLv2

SSLv2 ist ein 1995 veröffentlichtes Protokoll zur Verschlüsselung von z.B. Web- und E-Mail-Verkehr. Es weist gravierende Schwachstellen auf Protokoll-Ebene auf und sollte daher nicht mehr eingesetzt werden. CERT.at versucht dabei mit allen .at-Domänen eine SSLv2 Verbindung für HTTPS, IMAPS und POPS aufzubauen. Ist eine Anfrage erfolgreich, verschickt CERT.at eine Warnung an die Betroffenen.

Heartbleed

Heartbleed war ein Fehler in der OpenSSL Bibliothek (CVE-2014-0160) der 2014 veröffentlicht und behoben wurde. Mit diesem Fehler können entfernte AngreiferInnen sensible Daten aus dem Hauptspeicher des Servers extrahieren. Darunter können z.B. Passwörter oder SSH-Schlüssel sein.

Leider sind bis heute nicht auf allen Systemen die notwendigen Updates eingespielt worden, es gibt also immer noch verwundbare Server.

Apache Webserver CVE-2021-41773 (2021-10-07)

Anfang Oktober 2021 wurde mit CVE-2021-41773 eine schwere Sicherheitslücke im Apache Webserver bekannt, die ausschließlich Version 2.4.49 betrifft. Dabei handelt es sich grundsätzlich um eine Path-Traversal Schwachstelle, d.h. Angreifer:innen können dadurch auf Dateien außerhalb des Web-Root Verzeichnisses des Webservers zugreifen. Allerdings wurden innerhalb kurzer Zeit Exploits veröffentlicht, mit deren Hilfe die Lücke zu einer Remote Code Execution (RCE) ausgebaut werden kann, d.h. bei Angriffen können beliebige Befehle mit den Rechten des Dienstes ausgeführt werden.

Microsoft Exchange CVE-2021-34473 (2021-08-12)

Auf der BlackHat US 2021 stellte der Researcher Orange Tsai einen Angriff auf Microsoft Exchange vor, der ProxyShell getauft wurde und AngreiferInnen ermöglicht, ohne jegliche Authentifizierung beliebige Befehle als NT Authority\System über das Netzwerk auszuführen. Innerhalb weniger Tage wurde über Internet-weite Scans nach verwundbaren Servern berichtet. CERT.at sucht via Shodan nach potentiell verwundbaren Installationen in Österreich und verifiziert die Ergebnisse mit Hilfe der Logik eines NMAP-Scripts eines Researchers. Zusätzlich haben wir alle Geräte, die uns im Zuge der Scans zu CVE-2021-26855 als Exchange Server gemeldet wurden, miteinbezogen.

Microsoft Exchange CVE-2021-26855 (2021-03-09)

Am 3. März veröffentlichte Microsoft außerhalb des üblichen Updatezyklus' Patches für bereits aktiv ausgenutzte Schwachstellen in Microsoft Exchange Server 2013, 2016 und 2019. Nähere Informationen können Sie unserem Beitrag in der Kategorie "Aktuelles" sowie unserer Warnung entnehmen. CERT.at sucht in diesem Fall via Shodan nach potentiell verwundbaren Geräten in Österreich und verifiziert die Ergebnisse mit Hilfe der Logik eines von Microsoft zur Verfügung gestellten NMAP-Scripts.

Netgear Router mit kritischen Schwachstellen (2020-06-23)

Am 15. Juni 2020 veröffentlichte die Firma Grimm Co. einen Blogpost über einige Zero-Day Lücken in zahlreichen Netgear Routern. Zeitgleich veröffentlichten sie auch einen Proof of Concept Exploit auf GitHub. CERT.at hat mithilfe der Suchmaschine shodan.io nach Netgear Geräten in Österreich gesucht, die aus dem öffentlichen Internet erreichbar sind und über die Modell- und Versionsnummer versucht, potentiell betroffene Geräte zu identifizieren. 

QNAP NAS Geräte mit Photo Station (2020-05-22)

Im November 2019 veröffentlichte die Firma QNAP Patches für mehrere kritische Schwachstellen in ihren NAS-Geräten. Im Mai 2020 wurde Exploit-Code dazu veröffentlicht. CERT.at hat daher mithilfe der Suchmaschine shodan.io nach potentiell verwundbaren Geräten in Österreich gesucht und die Betroffenen informiert. Selbstverständlich wurde die Lücke dabei nicht ausgenutzt.

UPnP Devices auf Port 1900 (2020-04-16)

Wir testen Devices, die auf Port 1900 öffentlich erreichbar sind auf eine noch nicht veröffentlichte Schwachstelle.

Exchange Server die für CVE-2020-0688 anfällig sind (2020-04-09)

Im Februar 2020 gab Microsoft bekannt, dass es eine Schwachstelle in einigen Versionen des Exchange E-Mail-Servers gibt, die es AngreiferInnen ermöglicht, beliebige Befehle mit Administrationsrechten über das Netzwerk auszuführen. Sie benötigen dafür nur Zugangsdaten mit beschränkten Rechten, da es bei der Schwachstelle auch zu einer Privilege-Escalation kommt.

CERT.at erstellt dabei eine Liste aller Exchange-Server in Österreich mit Hilfe der Suchmaschine shodan.io und testet alle so gefundenen IP-Adressen auf Verwundbarkeit mit einem Script von CERT.LV, dem nationalen Computer-Notfallteam Lettlands. Das Script ist öffentlich auf GitHub verfügbar: https://github.com/cert-lv/CVE-2020-0688. Dabei wird nicht versucht, die Lücke auszunützen, sondern nur der retournierte Versionsstring in einem HTTP-Header überprüft.

TLS < 1.2 (2020-02-05)

Im März 2020 werden die führenden Browser (Chrome, Firefox, Safari, Microsoft Edge) die Untersützung für TLS-Versionen niedriger als 1.2 standardmäßig deaktivieren, d.h. ab diesem Zeitpunkt werden NutzerInnen Webseiten, die nicht mindestens TLSv1.2 unterstützen nicht mehr besuchen können.

CERT.at testet daher alle öffentlich per HTTPS erreichbaren .at Domänen und in Österreich geolokalisierten IPv4-Adressen und infomiert deren BetreiberInnen, falls ihre Server ab März 2020 über gängige Browser nicht mehr erreichbar sein werden.

Siehe dazu die Statements von Google, Mozilla, Apple und Microsoft.

Oft gestellte Fragen

Welches Ziel verfolgt CERT.at damit?

CERT.at verwendet die Daten in erster Linie zur Warnung von Betroffenen (Betreiber entsprechend ungepatchter Server) und zur Einschätzung der aktuellen Situation in Österreich. Die Daten werden nicht an Dritte weitergegeben.

Darf CERT.at das?

CERT.at hat diesbezüglich mit mehreren Juristen den Sachverhalt ausführlich erörtert und wir sind der Meinung, dass für die Abwendung von Gefahren in ausgewählten Fällen, masscan sinnvoll sein kann und legal ist. Hierbei gilt es zu beachten:

  • Wir verwenden diese Daten ausschließlich um potentiell Betroffene über ein evtl. infiziertes Gerät zu informieren.
  • Wir werden nicht die ersten sein, die diesen Scan gemacht haben. masscan ist ein Werkzeug, dass jeder am Internet bedienen kann und beliebig abscannen kann.
  • Wir beachten den Datenschutz
  • Wir bieten eine Opt-out Möglichkeit an

Ich will nicht, dass CERT.at auf meine IP-Adresse zugreift, wie kann ich das verhindern?

Bitte kontaktieren Sie uns - Details auf unserer Kontakt-Seite.

Es gibt ein technisches Problem mit dem Statistics Survey Scanner, Hilfe!

Bitte kontaktieren Sie uns - Details auf unserer Kontakt-Seite.

Historische Scans

"httpoxy" auf Port 80 und 443 (2016-07-18)

Die "httpoxy" Verwundbarkeit ergibt sich aus der Eigenschaft von vielen Webservern, den (nicht standardisierten) "Proxy" HTTP Header an CGI Scripts weiter zu reichen. Diese wiederum interpretieren das als "HTTP_PROXY" Environment Variable und erlauben somit einen "Man-In-the-Middle" Angriff.

CERT.at kann durch ein Ansurfen (so wie es Google auch macht) von Webservern (mit gesetztem Proxy: Header im HTTP Handshake) feststellen, ob eine Seite verwundbar ist. Die Daten und Ergebnisse werden gesammelt und ausschließlich an die Betroffenen weitergegeben, mit entsprechenden Hinweisen zur Bereinigung des Problems.

Siehe auch die Warnung von CERT.at.

Ubiquity AirOS Port 443 (2016-05-18)

Der Hersteller Ubiquity hat eine verwundbare Version von seinem auf OpenWRT basierendem Betriebssystem "AirOS": gewisse Versionen haben ein bekanntes Server Zertifikat für den eingebauten Webserver. Dabei ist der Client Key öffentlich bekannt. Weiters gibt es bei AirOS eine Sicherheitslücke, die es jedermann am Netzwerk erlaubt, die AirOS Router zu übernehmen (Remote Code Execution).

CERT.at versucht durch ein scannen/Ansurfen von Port 443 und holen des SSL Client Certificates, herauszufinden, ob diese Version aktualisiert werden muss. Betroffene erhalten dann eine Mail von CERT.at. Es wird lediglich ein TCP-Handshake gemacht und das SSL Server Zertifikat geholt.

Black Energy (2016-01-11)

Black Energy Infektionen äußern sich durch einen offenen SSH Daemon (dropbear) auf Port 6789. Siehe auch: http://www.welivesecurity.com/2016/01/03/blackenergy-sshbeardoor-details-2015-attacks-ukrainian-news-media-electric-industry/. CERT.at schaut sich das österreichische Internet nach Port 6789 + SSH an. Wenn etwas gefunden wurde, werden die potentiellen Opfer informiert. Bitte beachten: wir werden niemals Passwörder ausprobieren. Insofern muss ein potentiell Betroffener selber schauen, ob der Server mit Black Energy befallen ist. CERT.at kann somit nur einen Hinweis liefern.

Winnti (2019-07-30)

Winnti Infektionen äußern sich durch eine Antwort auf spezielle Requests an bestimmte TCP-Ports. CERT.at scannt das österreichische Internet nach diesen Ports. Es wird lediglich ein simpler Portscan auf eine limitierte Anzahl von Ports durchgeführt. Die Daten und Ergebnisse werden gesammelt und ausschließlich an die Betroffenen weitergegeben, mit entsprechenden Hinweisen zur Bereinigung des Problems.