Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.
Coinhive & MikroTik
2. November 2018

Wir haben in den uns zur Verfügung stehenden Shodan Daten nach Systemen gesucht, die von der Krypto-Mining Kampagne gegen MikroTik Geräte betroffen sind. Dabei sind wir auf ca 330 IP-Adressen aus Österreich gestoßen und haben die entsprechenden Abuse-Kontakte informiert. Das ganze Thema ist zwar nicht mehr taufrisch, nichtsdestotrotz macht es natürlich weiterhin Sinn mit den vorhandenen Infektionen aufzuräumen.

Im Rahmen dieser Kampagne werden die Fehlerseiten der Router so manipuliert, dass sie Code der Seite Coinhive nachladen und somit das Opfer Krypto-Geld für die Angreifer schürft. Selbstverständlich lässt sich über den selben Weg das Gerät auch anderweitig manipulieren, um zum Beispiel Netzwerkverkehr zu belauschen.

Updates von MikroTik sind bereits seit April 2018 verfügbar.

Weitere Hintergründe zur Krypto-Mining Kampagne gegen MikroTik Geräte:

Autor: Olaf Schwarz

Der nächste Meilenstein: [CERT.at #1000000]
26. September 2018

Für unsere Kommunikation per E-Mail verwenden wir (wie viele Firmen) ein Ticketsystem, damit a) die Kommunikation für alle Teammitglieder nachvollziehbar ist, dass b) möglichst keine Anfragen unbeantwortet bleiben und c) der Workflow mit Meldung/Vorfall/Nachforschung abgebildet werden kann. Wir erklären das immer in unseren Jahresberichten.

Vor knapp drei Jahren hab ich über das Ticket #500000 geschrieben, jetzt ist die Million voll:

Die Kurve hat sich etwas abgeflacht, weil wir die Systematik hinter den automatisch verarbeiteten Tickets verändert haben. Details dazu wird es in unserem nächsten Jahresbericht geben.

Autor: Otmar Lendl

DoS-Schwachstelle im Kernel - keine Panik!
7. August 2018

In der Nacht auf heute wurde eine Schwachstelle im Linux Kernel bekannt, die einen DoS-Angriff durch spezielle TCP-Pakete ermöglicht:

Linux kernel versions 4.9+ can be forced to make very expensive calls to tcp_collapse_ofo_queue() and tcp_prune_ofo_queue() for every incoming packet which can lead to a denial of service. An attacker can induce a denial of service condition by sending specially modified packets within ongoing TCP sessions.
Auf den ersten Blick klingt das hochkritisch und stellt eine enorme Gefahr für Unternehmen dar, die Webauftritte und Mailserver auf Linux-Servern betreiben.

Auf den zweiten Blick gibt es jedoch einige wichtige Einschränkungen, die das Risiko minimieren. Betroffen sind nur Linux-Distributionen, die auf Kernelversionen neuer als 4.9 aufsetzen. Weder Red Hat Enterprise Linux noch SUSE Linux (ausser die gerade veröffentlichte Version 15) sind verwundbar.

Für die verwundbaren Distributionen Debian und Ubuntu (nur in Version 18.04, also dem letzten LTS-Release) gibt es bereits aktualisierte Kernelversionen in den Paketquellen.

Weiters ist das Ausnützen der Schwachstelle nicht so trivial, wie es auf den ersten Blick erscheint. Auch wenn noch kein PoC-Code öffentlich verfügbar ist scheint es so, als ob zwar potentiell sehr geringe Trafficmengen ausreichend sind, aber die TCP-Verbindung gewisse Parameter erfüllen muss, die nicht bei jedem Service gegeben sind.

Netzwerke, in denen die TCP-Verbindungen durch einen Loadbalancer terminiert werden mögen zwar in der Theorie verwundbar sein, werden aber durch eben jene Terminierung vor einer Ausnutzung geschützt.

Zusammengefasst sollte man sich auf folgende Punkte konzentrieren:

  • Die meisten Linuxdistributionen, die im Businessumfeld zu finden sind nutzen noch Kernelversionen <4.9 und sind dementsprechend nicht verwundbar.
  • Eine vollständige TCP-Verbindung ist notwendig, dementsprechend ..
    • .. ist IP-Spoofing unmöglich
    • .. handelt es sich hier nicht um ein simples "Ping of Death"-Szenario
    • .. müssen bestimmte Pakete vom Server zurückgeschickt werden, was die Anzahl an anfälligen Protokollen weiter reduziert.
  • Es gibt noch keinen öffentlich verfügbaren PoC-Code, allerdings bereits Patches für alle grösseren Distributionen (bzw. Betriebssysteme; FreeBSD ist von einer nahezu identen Lücke betroffen)
Wie so oft ist also zu sagen: Keine Panik. Eruieren, ob man selbst eine verwundbare Kernelversion im Einsatz hat und falls notwendig die verfügbaren Patches im Rahmen des nächsten regulären Patchzyklus einzuspielen ist ausreichend.

(Schlussanmerkung des Autors: Im Netz beginnt der Name "SegmentSmack" zu kursieren. Bitte, bitte .. nicht.)

Autor: Alexander Riepl

In eigener Sache: CERT.at sucht Verstärkung
5. Juni 2018

Für unsere täglichen Routineaufgaben suchen wir derzeit 1 Berufsein- oder -umsteiger/in mit ausgeprägtem Interesse an IT-Security, welche/r uns bei den täglich anfallenden Standard-Aufgaben unterstützt.

Details finden sich auf unserer Jobs-Seite.

Autor: Robert Waldner

Nächste >>
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Kritische Sicherheitslücken in Adobe Acrobat und Reader - Patches verfügbar
2. Oktober 2018 | Beschreibung Adobe ...
Kritische Sicherheitslücken in Adobe Acrobat und Reader - Patches verfügbar
19. September 2018 | Beschreibung Adobe ...
mehr ...
Coinhive & MikroTik
2. November 2018 | Wir ...
Der nächste Meilenstein: [CERT.at #1000000]
26. September 2018 | ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2018/11/2 - 16:01:39
Haftungsausschluss / Datenschutzerklärung