Sie sind hier: Netz » Security » Sicherheitswarnungen

Sicherheitswarnungen

Hier finden Sie verschiedene mögliche Hinweise, die uns so aus vertrauenswürdigen Quellen auf täglicher Basis zugestellt werden.

Diese Informationen leiten wir als BelWü-CSIRT an unsere Kunden weiter. 

Weiterführende Informationen erhalten Sie hier:
https://www.bsi-fuer-buerger.de/BSIFB/DE/MeinPC/Infektionsbeseitigung/infektionsbeseitigung_node.html
 
 
 

SSDP

Das Simple Service Discovery Protocol (SSDP) ist ein Netzwerkprotokoll, welches zur Suche nach UPnP-Geräten im Netzwerk dient. SSDP nutzt üblicherweise den Port 1900/udp. Systeme, die SSDP-Anfragen aus dem Internet beantworten, können zur Durchführung von DDoS-Reflection/Amplification-Angriffen missbraucht werden. Dabei werden UDP-Antworten auf gespoofte M-SEARCH-Anfragen generiert, die von dem angegriffenen Opfer zu kommen scheinen.

Wir haben Beschwerden von erhalten, dass die hier aufgeführten Systeme an einem großräumigen DDoS-Reflection/Amplification-Angriff teilgenommen haben. Bitte sichern Sie Ihre Systeme schnellstmöglich durch eine der folgenden Maßnahmen ab:
1. Blockieren Sie an Ihrer Firewall den externen Zugriff auf Port 1900 (udp).
2. Deaktivieren Sie UPnP (SSDP ist eine Komponente des UPnP-Subsystems und kann nicht separat deaktiviert werden).
3. Konfigurieren Sie das Gerät so, dass es nicht auf externe M-SEARCH-Anfragen antwortet, oder beschränken Sie die Anzahl der Antworten.

Referenzen:
[1] Wikipedia: Simple Service Discovery Protocol <http://de.wikipedia.org/wiki/Simple_Service_Discovery_Protocol>
[2] Arbor Networks: Zunahme von DDoS-Angriffen mittels SSDP <http://www.arbornetworks.com/news-and-events/press-releases/recent-press-releases/5283-arbor-networks-atlas-data-shows-reflection-ddos-attacks-continue-to-be-significant-in-q3-2014>
[3] Sucuri: Quick Analysis of a DDoS Attack Using SSDP <http://blog.sucuri.net/2014/09/quick-analysis-of-a-ddos-attack-using-ssdp.html>
[4] US-CERT: UDP-based Amplification Attacks <https://www.us-cert.gov/ncas/alerts/TA14-017A>
[5] Shadowserver: Open SSDP Scanning Project <https://ssdpscan.shadowserver.org/>

 

 

 

NTP Monlist

Im Rahmen des Shadowserver 'Open NTP Monitor Scanning Projects' werden NTP-Server identifiziert, welche aktuell noch eine Anfrage mittels des 'monlist'-Kommandos beantworten. Diese NTP-Server können potenziell für DDoS-Angriffe mittels NTP-Amplification missbraucht werden, sofern keine anderen Gegenmaßnahmen implementiert wurden.

Referenzen:

[1] CERT-Bund: NTP: Missbrauch des monlist Kommandos <https://www.cert-bund.de/advisoryshort/CB-K14-0020>
[2] BSI: Maßnahmen gegen Reflection Angriffe <https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_downloads/anwender/dienste/BSI-CS_096.pdf>
[3] CERT.org: NTP can be abused to amplify denial-of-service attack traffic <http://www.kb.cert.org/vuls/id/348126>
[4] US-CERT: NTP Amplification Attacks Using CVE-2013-5211 <https://www.us-cert.gov/ncas/alerts/TA14-013A>
[5] NTP.org Security Notice <http://support.ntp.org/bin/view/Main/SecurityNotice>
[6] Shadowserver: Open NTP Monitor (Mode 7) Scanning Project <https://ntpmonitorscan.shadowserver.org/>

Geodo

CERT-Bund hat von einer externen vertrauenswürdigen Quelle Informationen zu Systemen in Deutschland erhalten, welche mit dem Online-Banking-Trojaner "Geodo" (aka "Cridex") infiziert sind. Die Schadsoftware wird per Spam-Mail über kompromittierte Mailaccounts als angebliche Rechnung zum Beispiel im Namen von Telekommunikationsunternehmen verbreitet. Weitere Informationen zu Geodo finden Sie u.a. unter <http://www.abuse.ch/?p=7930>

Dropperbot

CERT-Bund hat von einer vertrauenswürdigen externen Quelle Informationen zu Systemen in Deutschland erhalten, welche mit dem Schadprogramm "Dropperbot" infiziert sind.Weitere Informationen zum Schadprogramm "Dropperbot" sowie Hinweise zur Bereinigung infizierter Systeme finden Sie auf folgender Webseite des Bundesamts für Sicherheit in der Informationstechnik (BSI): <https://www.bsi-fuer-buerger.de/dropperbot>Das Bundeskriminalamt (BKA) stellt weitere Hintergrundinformationen und einen Hinweis auf die Möglichkeit, als Geschädigte(r) in dieser Sache Strafanzeige zu stellen, auf folgender Webseite bereit: <http://bka.de/hilfestellung>

 

 

SNMP

Das Simple Network Management Protocol (SNMP) ist ein Netzwerkprotokoll zur zentralen Überwachung und Steuerung von Netzwerkgeräten.

In den letzten Monaten wurden Systeme, welche SNMP-Anfragen aus dem Internet beantworten, zunehmend zur Durchführung von DDoS-Reflection/Amplification-Angriffen missbraucht. Im Rahmen des Shadowserver 'Open SNMP Scanning Projects' werden Systeme identifiziert, welche SNMP-Anfragen aus dem Internet beantworten. Diese Systeme können potenziell für DDoS-Angriffe missbraucht werden, sofern keine anderen Gegenmaßnahmen implementiert wurden.

Wir möchten Sie bitten, den Sachverhalt zu prüfen und Maßnahmen zur Absicherung der SNMP-Dienste auf den betroffenen Systemen zu ergreifen.

Open Resolver

Im Rahmen des Shadowserver 'Open Resolver Scanning Projects' werden offene DNS-Resolver identifiziert. Diese können potenziell für DDoS-Angriffe mittels DNS-Amplification missbraucht werden, sofern keine entsprechenden Gegenmaßnahmen wie Rate-Limiting implementiert wurden.

Nachfolgend senden wir Ihnen eine Liste identifizierter offener DNS-Resolver in Ihrem Netzbereich. Der Zeitstempel gibt an, wann der betreffende DNS-Server geprüft wurde. Der Wert "Min. Amplification" gibt den Verstärkungsfaktor (Verhältnis der Größe des Antwortpakets zur Paketgröße der Anfrage) an, welche von Angreifern bei Missbrauch des DNS-Servers für DNS-Amplification-Angriffe mindestens erreicht werden kann.

Mit dieser Benachrichtigung werden nur DNS-Server gemeldet, bei denen der Verstärkungsfaktor im Rahmen der Tests mindestens 5.0 betrug.

Wir möchten Sie bitten zu prüfen, ob die offenen Resolver in Ihrem Netzbereich beabsichtigt als solche konfiguriert sind und falls ja, ob entsprechende Schutzmaßnahmen zur Verhinderung des Missbrauchs der Server für DDoS-Angriffe implementiert wurden.

Multicast DNS (mDNS)

Multicast DNS (mDNS) dient der Auflösung von Hostnamen zu IP-Adressen
in lokalen Netzwerken, welche nicht über einen DNS-Server verfügen.
Implementierungen von mDNS sind z.B. Apple 'Bonjour' oder 'Avahi' bzw.
'nss-mdns' unter Linux/BSD. mDNS verwendet Port 5353/udp [1].
Neben der Preisgabe von Informationen über das System/Netzwerk können
offen aus dem Internet erreichbare mDNS-Dienste für DDoS-Reflection/
Amplification-Angriffe gegen Dritte missbraucht werden [2][3].
Im Rahmen des Shadowserver 'Open mDNS Scanning Projects' werden Systeme
identifiziert, welche mDNS-Anfragen aus dem Internet beantworten und
dadurch für DDoS-Angriffe missbraucht werden können, sofern keine anderen
Gegenmaßnahmen implementiert wurden.
CERT-Bund erhält von Shadowserver die Testergebnisse für IP-Adressen in
Deutschland, um betroffene Systembetreiber benachrichtigen zu können.
Weitere Informationen zu den von Shadowserver durchgeführten Tests
finden Sie unter [4].
Nachfolgend senden wir Ihnen eine Liste betroffener Systeme in Ihrem
Netzbereich. Der Zeitstempel gibt an, wann das System geprüft wurde
und mDNS-Anfragen aus dem Internet beantwortet hat.
Wir möchten Sie bitten, den Sachverhalt zu prüfen und Maßnahmen zur
Absicherung der mDNS-Dienste auf den betroffenen Systemen zu ergreifen
bzw. Ihre Kunden entsprechend zu informieren.
Falls Sie kürzlich bereits Gegenmaßnahmen getroffen haben und diese
Benachrichtigung erneut erhalten, beachten Sie bitten den angegebenen
Zeitstempel. Wurde die Gegenmaßnahme erfolgreich umgesetzt, sollten
Sie keine Benachrichtigung mit einem Zeitstempel nach der Umsetzung
mehr erhalten.
Referenzen:
[1] Wikipedia: Multicast DNS
<https://en.wikipedia.org/wiki/Multicast_DNS>
[2] US-CERT: UDP-based Amplification Attacks
<https://www.us-cert.gov/ncas/alerts/TA14-017A>
[3] US-CERT: Multicast DNS (mDNS) implementations may respond to
unicast queries originating outside the local link
<http://www.kb.cert.org/vuls/id/550620>
[4] Shadowserver: Open mDNS Scanning Project
<https://mdns.shadowserver.org/>

Redis

Redis[1] ist eine Open-Source In-Memory-Datenbank mit einer einfachen Schlüssel-Werte-Datenstruktur, welche häufig in Verbindung mit Web-Applikationen eingesetzt wird. Der Redis-Dienst unterstützt keine Authentifizierung, so dass Angreifer uneingeschränkten Zugriff auf die in den Datenstrukturen gespeicherten Daten haben, falls der Dienst aus dem Internet erreichbar ist. Dies ermöglicht Angreifern potenziell das Ausspähen von Informationen auf den betroffenen Systemen wie bspw.  Zugangsdaten zu Webapplikationen oder andere vertrauliche Inhalte.  Im Rahmen des Shadowserver 'Open Redis Key-Value Store Scanning Projects'[2] werden Redis-Dienste identifiziert, welche offen aus dem Internet erreichbar sind.Referenzen:[1] Redis <http://redis.io/>[2] Shadowserver: Open Redis Key-Value Store Scanning Project <https://redisscan.shadowserver.org/>

 

 

Memcached

Memcached[1] ist ein Open-Source Cache-Server zum einfachen Hinterlegen und Abholen von Daten aus dem Arbeitsspeicher. Memcached wird häufig in Verbindung mit Web-Applikationen eingesetzt. Der Memcached-Server unterstützt keine Authentifizierung, so dass Angreifer uneingeschränkten Zugriff auf die im Cache gespeicherten Daten haben, falls der Server aus dem Internet erreichbar ist. Dies ermöglicht Angreifern potenziell das Ausspähen von Informationen auf den betroffenen Systemen wie bspw.  Zugangsdaten zu Webapplikationen oder andere vertrauliche Inhalte.Im Rahmen des Shadowserver 'Open Memcached Key-Value Store Scanning Projects'[2] werden Memcached-Server identifiziert, welche offen aus dem Internet erreichbar sind.Referenzen:[1] Memcached <http://memcached.org/>

[2] Shadowserver: Open Memcached Key-Value Store Scanning Project <https://memcachedscan.shadowserver.org/>

MongoDB

MongoDB [1] ist ein so genanntes NoSQL-Datenbanksystem, welches häufig in Verbindung mit Web-Applikationen wird. Es wurde kürzlich entdeckt, dass Tausende MongoDB-Datenbanken offen aus dem Internet erreichbar sind und Angreifer dadurch u.a. Zugriff auf Millionen von Kundendaten aus Online-Shops erlangen können [2]. Im Rahmen des Shadowserver 'Accessible/Open MongoDB NoSQL Server Scanning Projects' [3] werden MongoDB-Datenbanken identifiziert, welche auch heute noch offen aus dem Internet erreichbar sind. CERT-Bund erhält von Shadowserver die Testergebnisse für IP-Adressen in Deutschland, um betroffene Server-Betreiber benachrichtigen zu können.

Referenzen:
[1] MongoDB <http://www.mongodb.org/>
[2] Studenten entdecken Tausende offene Firmen-Datenbanken im Internet <http://www.heise.de/security/meldung/Studenten-entdecken-Tausende-offene-Firmen-Datenbanken-im-Internet-2545183.html>
[3] Shadowserver: Accessible/Open MongoDB NoSQL Server Scanning Project <https://mongodbscan.shadowserver.org/>
[4] Sicherheitsempfehlungen für MongoDB <http://www.mongodb.com/mongodb-security-best-practices>

MS-SQL

MS-SQL ist der SQL-Server von Microsoft, welcher einen Browserdienst mitbringt, der standardmäßig auf Port 1434/udp lauscht [1]. Wird der Zugriff aus dem Internet auf diesen Dienst nicht unterbunden, können Angreifer dies ausnutzen, um Informationen über das Netzwerk auszuspähen, in dem der SQL-Server betrieben wird. Weiterhin kann der Dienst für DDoS-Amplification-Angriffe missbraucht werden. Im Rahmen des Shadowserver 'Open MS-SQL Server Resolution Service Scanning Projects'[2] werden MS-SQL Server Browserdienste identifiziert, welche offen aus dem Internet erreichbar sind. CERT-Bund erhält von Shadowserver die Testergebnisse für IP-Adressen in Deutschland, um betroffene Server-Betreiber benachrichtigen zu können.

Nachfolgend senden wir Ihnen eine Liste betroffener Systeme in Ihrem Netzbereich. Der Zeitstempel (Zeitzone UTC) gibt an, wann das System geprüft wurde und ein offener Browserdienst identifiziert wurde.  "Server Name" entspricht üblicherweise dem NetBIOS-Namen des Systems.  "Instance Name" gibt den Namen der SQL-Instanz auf dem Server an.  "Amplification" gibt die Verstärkung an, welche von Angreifern bei Missbrauch des Browserdienstes auf diesem Server im Rahmen von DDoS-Angriffen erzielt werden kann. Diese errechnet sich durch die Größe der Antwort im Vergleich zur Größe der Anfrage an den Server.

Empfehlung von Microsoft:
"Mit dem SQL Server-Browser-Dienst können Benutzer ohne Kenntnis der Portnummer Verbindungen mit Instanzen von Database Engine (Datenbankmodul) herstellen, die nicht den Port 1433 überwachen. Wenn Sie SQL Server-Browser verwenden möchten, müssen Sie UDP-Port 1434 öffnen. Um eine möglichst sichere Umgebung zu erzielen, lassen Sie den SQL Server-Browser-Dienst beendet, und konfigurieren Sie die Clients so, dass sie Verbindungen mithilfe der Portnummer herstellen müssen." [3]

Referenzen:
[1] Microsoft: SQL Server-Browserdienst <https://technet.microsoft.com/library/ms181087%28v=sql.105%29.aspx>
[2] Shadowserver: Open MS-SQL Server Resolution Service Scanning Project <https://mssqlscan.shadowserver.org/>
[3] Microsoft: Konfigurieren einer Windows-Firewall für Datenbankmodulzugriff <https://msdn.microsoft.com/de-de/library/ms175043.aspx>

Scada

Sie erhalten diese Nachricht, da eine IP-Adresse aus Ihrem Verantwortungsbereich einer Steuerungskomponente zugeordnet wurde, welche über das Internet verfügbar ist. Es besteht eine mögliche Gefährdung für die Systeme Ihres Kunden. Das BSI bittet Sie daher, den betroffenen Kunden mit dem beigefügten Informationsschreiben zu warnen, in dem die bestehenden Gefahren sowie mögliche Handlungsoptionen aufgezeigt werden.Explizit möchten wir darauf hinweisen, dass keine Anzeichen dafür vorliegen, dass von der genannten IP-Adresse ausgehend ein Angriff durchgeführt wurde.  Da es sich vermutlich um eine Steuerungskomponente aus der Fabrikautomation, Prozessautomatisierung oder Gebäudesteuerung handelt, sollte diese IP-Adresse nicht blockiert oder gesperrt werden, da dies u.a. kritische Folgen für den Betreiber bzw. den gesteuerten Prozess haben kann.

###############################################################################

Sie erhalten diese Nachricht, da eine Ihnen zugeordnete Steuerungskomponente unmittelbar über das Internet erreichbar ist. Das BSI hat von Dritten Kenntnis darüber erhalten und möchte Ihnen die damit verbundenen Gefahren sowie mögliche Handlungsoptionen aufzeigen. Speicher-programmierbare Steuerungen, Visualisierungsmodule oder andere Komponenten aus dem industriellen Umfeld im Bereich Fabrikautomation, Prozessautomatisierung oder Gebäudesteuerung werden zunehmend vernetzt. Mit der Anbindung an das Internet werden solche Komponenten einer Reihe von Gefährdungen ausgesetzt, die im Falle eines unberechtigten Zugriffs mitunter kritische Folgen haben können.Sofern eine mit dem Internet verbundene Komponente nicht hinreichend vor unberechtigtem Zugriff geschützt ist, kann ohne die dazu erforderlichen Authentisierungsinformationen darauf zugegriffen werden. Auch Standardpasswörter zu solchen Komponenten sind über das Internet zu ermitteln und bieten somit keinen Schutz. Auch wenn eine Anmeldung mit Benutzername und Passwort erforderlich ist, schützt dies noch nicht vor Angriffen. Häufig werden solche Komponenten nicht mit verfügbaren Updates und Patches versorgt, um bekannte Schwachstellen zu schließen. In der Folge kann ein Angreifer diese Schwachstellen ausnutzen, um ggf. die vollständige Kontrolle über die Komponente zu erlangen. In diesem Fall ist nicht nur die Komponente selbst betroffen. Ein Angreifer kann diese als Einfallstor in das lokale Netzwerk missbrauchen und sich so in der gesamten Infrastruktur ausbreiten.Was sollten Sie tun?- Bewerten Sie die genannten Gefährdungen und die damit verbundenen Risiken für ihren konkreten Anwendungsfall.- Verwenden Sie hinreichend komplexe Passwörter für den Zugriffsschutz.- Beschränken Sie den Zugriff auf Steuerungskomponenten über eine Firewall mit möglichst restriktivem Regelwerk.- Minimieren Sie die von der Steuerungskomponente bereitgestellten Dienste auf das, was unbedingt erforderlich ist (z.B. durch Deaktivieren von Diensten wie Telnet).- Versorgen Sie Steuerungskomponenten zeitnah mit Updates und Patches des jeweiligen Herstellers.- Setzen Sie VPN-Lösungen ein, um die Kommunikation über das Internet über einen kryptographisch geschützten Tunnel zu führen.Weitere Informationen bietet das BSI kostenfrei auf der Webseite https://www.bsi.bund.de/ICS an. Dort finden Sie u.a. das Dokument "Industrial Control System Security: Top 10 Bedrohungen und Gegenmaßnahmen" zum Download, welches über diese und weitere Gefährdungen informiert.https://www.bsi.bund.de/DE/Themen/weitereThemen/ICS-Security/Empfehlungen/Betreiber/Betreiber_node.htmlWenn Sie Fragen haben oder ein persönliches Gespräch wünschen, wenden Sie sich bitte per E-Mail an ics-sec@bsi.bund.de um das Referat "Cyber-Sicherheit in kritischen IT-Systemen, Anwendungen und Architekturen" direkt zu erreichen.

###############################################################################

Ramnit

Ramnit ist ein Schadprogramm, welches unter anderem Funktionen zum Online-Banking-Betrug und zum Identitätsdiebstahl enthält. Im Rahmen internationaler Ermittlungen durch Strafverfolgungsbehörden wurden die Kontrollserver für dieses Botnetz deaktiviert. Weitere Informationen des Bundeskriminalamts (BKA) hierzu finden Sie unter: <http://www.bka.de/DE/Presse/Pressemitteilungen/Presse2015/150225__BotnetzZerschlagen.html>

CERT-Bund hat von Europol Informationen zu IP-Adressen in Deutschland erhalten, unter denen sich Systeme befinden, welche mit der Schadsoftware Ramnit infiziert sind.

Online-Banking-Trojaner

CERT-Bund hat von einer vertrauenswürdigen externen Quelle Informationen zu Systemen in Deutschland erhalten, welche mit dem Online-Banking-Trojaner KINS/VMZeuS infiziert sind. Die infizierten Systeme haben Kontakt zu einem Kontrollserver unter www[.]ki-treuhand[.]ch aufgenommen und von dort eine Konfigurationsdatei für den Banking-Trojaner nachgeladen. Nachfolgend senden wir Ihnen eine Liste betroffener Systeme in Ihrem Netzbereich. Wir möchten Sie bitten, den Sachverhalt zu prüfen und entsprechende Maßnahmen zur Bereinigung der Systeme einzuleiten bzw. Ihre Kunden zu informieren.

 

 

 

 

Elasticsearch-Server

Elasticsearch[1] ist ein populärer Open-Source Such-Server auf Basis
von Apache Lucene, welcher üblicherweise auf Port 9200/tcp läuft.
Der Elasticsearch-Server selbst unterstützt keine Authentifizierung,
wodurch Angreifer nach Belieben die auf dem Server gespeicherten Daten
auslesen oder modifizieren können, falls der Server aus dem Internet
erreichbar ist. Weiterhin können Angreifer DoS-Angriffe gegen den
Server durchführen und (bis zur Version 1.2.x) beliebigen Programmcode
auf diesem ausführen.
Im Rahmen des Shadowserver 'Open Elasticsearch Server Scanning Projects'
werden Elasticsearch-Server identifiziert, welche offen aus dem Internet
erreichbar sind. CERT-Bund erhält von Shadowserver die Testergebnisse
für IP-Adressen in Deutschland, um betroffene Server-Betreiber
benachrichtigen zu können. Weitere Informationen zu den von Shadowserver
durchgeführten Tests finden Sie unter [2].
Nachfolgend senden wir Ihnen eine Liste betroffener Systeme in Ihrem
Netzbereich. Der Zeitstempel (Zeitzone UTC) gibt an, wann das System
geprüft und ein offener Elasticsearch-Server identifiziert wurde.
Wir möchten Sie bitten, den Sachverhalt zu prüfen und Maßnahmen zur
Absicherung der Elasticsearch-Server auf den betroffenen Systemen
zu ergreifen bzw. Ihre Kunden entsprechend zu informieren. Weitere
Informationen zur Absicherung eines Elasticsearch-Servers finden Sie
unter [3].
Falls Sie kürzlich bereits Gegenmaßnahmen getroffen haben und diese
Benachrichtigung erneut erhalten, beachten Sie bitten den angegebenen
Zeitstempel. Wurde die Gegenmaßnahme erfolgreich umgesetzt, sollten
Sie keine Benachrichtigung mit einem Zeitstempel nach der Umsetzung
mehr erhalten.
Referenzen:
[1] Elasticsearch
<https://www.elastic.co/products/elasticsearch>
[2] Shadowserver: Open Elasticsearch Server Scanning Project
<https://esscan.shadowserver.org/>
[3] Elasticsearch: Scripting and Security
<https://www.elastic.co/blog/scripting-security>

 

 

 

 

 

 

Gestohlene FTP-Zugangsdaten

im Rahmen der Analyse eines Botnetzes durch ein CERT wurde eine Liste mit mehreren zehntausend gestohlenen FTP-Zugangsdaten gefunden. Die Zugangsdaten wurden vermutlich auf mit Schadprogrammen infizierten PCs ausgespäht, von denen auf die FTP-Accounts zugegriffen wurde. In den meisten Fällen handelt es sich um FTP-Accounts für die Administration von Webseiten. Die Zugangsdaten werden offenbar aktuell aktiv von den Tätern missbraucht, um Skripte zur Verbreitung von Schadprogrammen über ein Angler Exploit Kit in die mit den FTP-Accounts verbundenen Webseiten einzuschleusen. CERT-Bund hat eine Liste der in Deutschland gehosteten betroffenen FTP-Accounts erhalten. Nachfolgend senden wir Ihnen eine Liste betroffener Accounts in Ihrem Netzbereich. Wir möchten Sie bitten, den Sachverhalt zu prüfen und entsprechende Maßnahmen einzuleiten bzw. Ihre Kunden zu informieren.

 

 

 

 

 

 

 

 

 

 

DNS-Server mit offenem AXFR

das 'AXFR'-Verfahren (Zonentransfer) dient zur Synchronisation der
DNS-Einträge für eine Domain zwischen den autoritativen DNS-Servern.
Eine AXFR-Abfrage sollte üblicherweise nur von den jeweiligen
Secondary DNS-Servern an den Primary DNS-Server zugelassen sein.
Bei einer Fehlkonfiguration des DNS-Servers kann eine AXFR-Abfrage
jedoch von jeder beliebigen IP-Adresse im Internet aus erfolgen.
Angreifer nutzen dies aus, um Informationen über die mit einer Domain
verbundenen Systeme zu erlangen und darüber ggf. weitere potenzielle
Angriffsziele zu identifizieren.
Weitere Informationen hierzu finden Sie unter:
<http://www.heise.de/security/meldung/Falsch-konfigurierte-DNS-Server-
liefern-Angreifern-wertvolle-Tipps-2595206.html>
CERT-Bund hat eine Liste von Domainnamen erhalten, deren autoritative
DNS-Server in Deutschland gehostet werden und diese eine AXFR-Abfrage
von beliebigen IP-Adressen aus zulassen.
Nachfolgend senden wir Ihnen eine Liste betroffener Domainnamen und
den zuständigen DNS-Servern in Ihrem Netzbereich.
Wir möchten Sie bitten, den Sachverhalt zu prüfen und entsprechende
Maßnahmen einzuleiten bzw. Ihre Kunden zu informieren.

 

 

 

 

 

 

 

 

Portmapper

Der Portmapper-Dienst (portmap, rpcbind) wird benötigt, um RPC-Anfragen (Remote Procedure Calls) dem korrekten Dienst zuzuordnen. Der Portmapper- Dienst wird u.a. für Netzwerkfreigaben über das Network File System (NFS) benötigt. Der Portmapper-Dienst verwendet Port 111 tcp/udp [1]. Ein aus dem Internet erreichbarer offener Portmapper-Dienst kann von einem Angreifer zur Durchführung von DDoS-Reflection/Amplification-Angriffen missbraucht werden. Weiterhin kann ein Angreifer darüber Informationen über das Netzwerk erlangen, wie z.B. laufende RPC-Dienste oder vorhandene Netzwerkfreigaben. In den letzten Monaten wurden Systeme, welche Anfragen aus dem Internet an den Portmapper-Dienst beantworten, zunehmend zur Durchführung von DDoS-Reflection/Amplification-Angriffen missbraucht [2]. Im Rahmen des Shadowserver 'Open Portmapper Scanning Projects' werden Systeme identifiziert, welche Anfragen an den Portmapper-Dienst aus dem Internet beantworten. Diese Systeme können für DDoS-Angriffe missbraucht werden, sofern keine anderen Gegenmaßnahmen implementiert wurden. CERT-Bund erhält von Shadowserver die Testergebnisse für IP-Adressen in Deutschland, um betroffene Systembetreiber benachrichtigen zu können. Weitere Informationen zu den von Shadowserver durchgeführten Tests finden Sie unter [3]. Nachfolgend senden wir Ihnen eine Liste betroffener Systeme in Ihrem Netzbereich. Der Zeitstempel gibt an, wann das System geprüft wurde und eine Anfrage an den Portmapper-Dienst aus dem Internet beantwortet hat. Wir möchten Sie bitten, den Sachverhalt zu prüfen und Maßnahmen zur Absicherung der Portmapper-Dienste auf den betroffenen Systemen zu ergreifen bzw. Ihre Kunden entsprechend zu informieren. Falls Sie kürzlich bereits Gegenmaßnahmen getroffen haben und diese Benachrichtigung erneut erhalten, beachten Sie bitten den angegebenen Zeitstempel. Wurde die Gegenmaßnahme erfolgreich umgesetzt, sollten Sie keine Benachrichtigung mit einem Zeitstempel nach der Umsetzung mehr erhalten.

Referenzen:

[1] Wikipedia: Portmap <https://en.wikipedia.org/wiki/Portmap>

[2] Level 3: A New DDoS Reflection Attack: Portmapper <http://blog.level3.com/security/a-new-ddos-reflection-attack- portmapper-an-early-warning-to-the-industry/>

[3] Shadowserver: Open Portmapper Scanning Project <https://portmapperscan.shadowserver.org/>

[4] US-CERT: UDP-based Amplification Attacks <https://www.us-cert.gov/ncas/alerts/TA14-017A>

 

 

 

 

 

 

 

DDoS-Angriffe mittels Wordpress Pingback

Das Content-Management-System Wordpress verfügt über eine so genannte "pingback"-Funktion, welche per default aktiviert ist. Diese Funktion wird seit einiger Zeit von Angreifern für DDoS-Angriffe gegen Dritte missbraucht. Die "pingback"-Funktion sollte daher deaktiviert bzw. der Zugriff auf vertrauenswürdige Quell-IPs eingeschränkt werden. Weitere Informationen hierzu finden Sie z.B. unter: <https://blog.sucuri.net/2016/02/wordpress-sites-leveraged-in-ddos-campaigns.html>

 

 

 

 

Offene LDAP-Server

Das Lightweight Directory Access Protocol (LDAP) ist ein Netzwerk-
protokoll zur Abfrage und Verwaltung von Informationen verteilter
Verzeichnisdienste.
In den letzten Monaten wurden Systeme, welche LDAP-Anfragen aus dem
Internet beantworten, zunehmend zur Durchführung von DDoS-Reflection-
Angriffen gegen IT-Systeme Dritter missbraucht.
Nachfolgend senden wir Ihnen eine Liste betroffener Systeme in Ihrem
Netzbereich. Der Zeitstempel (Zeitzone UTC) gibt an, wann der offene
LDAP-Server identifiziert wurde.
Wir möchten Sie bitten, den Sachverhalt zu prüfen und Maßnahmen zur
Absicherung der LDAP-Dienste auf den betroffenen Systemen zu ergreifen
bzw. Ihre Kunden entsprechend zu informieren.
Falls Sie kürzlich bereits Gegenmaßnahmen getroffen haben und diese
Benachrichtigung erneut erhalten, beachten Sie bitten den angegebenen
Zeitstempel. Wurde die Gegenmaßnahme erfolgreich umgesetzt, sollten
Sie keine Benachrichtigung mit einem Zeitstempel nach der Umsetzung
mehr erhalten.