Sie sind hier: Netz » Security » Sicherheitswarnungen

Sicherheitswarnungen

Hier finden Sie verschiedene mögliche Hinweise, die uns so aus vertrauenswürdigen Quellen auf täglicher Basis zugestellt werden.

Diese Informationen leiten wir als BelWü-CSIRT an unsere Kunden weiter. 

Weiterführende Informationen erhalten Sie hier:
https://www.bsi-fuer-buerger.de/BSIFB/DE/MeinPC/Infektionsbeseitigung/infektionsbeseitigung_node.html
 
 
 

SSDP

Das Simple Service Discovery Protocol (SSDP) ist ein Netzwerkprotokoll, welches zur Suche nach UPnP-Geräten im Netzwerk dient. SSDP nutzt üblicherweise den Port 1900/udp. Systeme, die SSDP-Anfragen aus dem Internet beantworten, können zur Durchführung von DDoS-Reflection/Amplification-Angriffen missbraucht werden. Dabei werden UDP-Antworten auf gespoofte M-SEARCH-Anfragen generiert, die von dem angegriffenen Opfer zu kommen scheinen.

Wir haben Beschwerden von erhalten, dass die hier aufgeführten Systeme an einem großräumigen DDoS-Reflection/Amplification-Angriff teilgenommen haben. Bitte sichern Sie Ihre Systeme schnellstmöglich durch eine der folgenden Maßnahmen ab:
1. Blockieren Sie an Ihrer Firewall den externen Zugriff auf Port 1900 (udp).
2. Deaktivieren Sie UPnP (SSDP ist eine Komponente des UPnP-Subsystems und kann nicht separat deaktiviert werden).
3. Konfigurieren Sie das Gerät so, dass es nicht auf externe M-SEARCH-Anfragen antwortet, oder beschränken Sie die Anzahl der Antworten.

Referenzen:
[1] Wikipedia: Simple Service Discovery Protocol <http://de.wikipedia.org/wiki/Simple_Service_Discovery_Protocol>
[2] Arbor Networks: Zunahme von DDoS-Angriffen mittels SSDP <http://www.arbornetworks.com/news-and-events/press-releases/recent-press-releases/5283-arbor-networks-atlas-data-shows-reflection-ddos-attacks-continue-to-be-significant-in-q3-2014>
[3] Sucuri: Quick Analysis of a DDoS Attack Using SSDP <http://blog.sucuri.net/2014/09/quick-analysis-of-a-ddos-attack-using-ssdp.html>
[4] US-CERT: UDP-based Amplification Attacks <https://www.us-cert.gov/ncas/alerts/TA14-017A>
[5] Shadowserver: Open SSDP Scanning Project <https://ssdpscan.shadowserver.org/>

 

 

 

NTP Monlist

Im Rahmen des Shadowserver 'Open NTP Monitor Scanning Projects' werden NTP-Server identifiziert, welche aktuell noch eine Anfrage mittels des 'monlist'-Kommandos beantworten. Diese NTP-Server können potenziell für DDoS-Angriffe mittels NTP-Amplification missbraucht werden, sofern keine anderen Gegenmaßnahmen implementiert wurden.

Referenzen:

[1] CERT-Bund: NTP: Missbrauch des monlist Kommandos <https://www.cert-bund.de/advisoryshort/CB-K14-0020>
[2] BSI: Maßnahmen gegen Reflection Angriffe <https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_downloads/anwender/dienste/BSI-CS_096.pdf>
[3] CERT.org: NTP can be abused to amplify denial-of-service attack traffic <http://www.kb.cert.org/vuls/id/348126>
[4] US-CERT: NTP Amplification Attacks Using CVE-2013-5211 <https://www.us-cert.gov/ncas/alerts/TA14-013A>
[5] NTP.org Security Notice <http://support.ntp.org/bin/view/Main/SecurityNotice>
[6] Shadowserver: Open NTP Monitor (Mode 7) Scanning Project <https://ntpmonitorscan.shadowserver.org/>

Geodo

CERT-Bund hat von einer externen vertrauenswürdigen Quelle Informationen zu Systemen in Deutschland erhalten, welche mit dem Online-Banking-Trojaner "Geodo" (aka "Cridex") infiziert sind. Die Schadsoftware wird per Spam-Mail über kompromittierte Mailaccounts als angebliche Rechnung zum Beispiel im Namen von Telekommunikationsunternehmen verbreitet. Weitere Informationen zu Geodo finden Sie u.a. unter <http://www.abuse.ch/?p=7930>

Dropperbot

CERT-Bund hat von einer vertrauenswürdigen externen Quelle Informationen zu Systemen in Deutschland erhalten, welche mit dem Schadprogramm "Dropperbot" infiziert sind.Weitere Informationen zum Schadprogramm "Dropperbot" sowie Hinweise zur Bereinigung infizierter Systeme finden Sie auf folgender Webseite des Bundesamts für Sicherheit in der Informationstechnik (BSI): <https://www.bsi-fuer-buerger.de/dropperbot>Das Bundeskriminalamt (BKA) stellt weitere Hintergrundinformationen und einen Hinweis auf die Möglichkeit, als Geschädigte(r) in dieser Sache Strafanzeige zu stellen, auf folgender Webseite bereit: <http://bka.de/hilfestellung>

 

 

SNMP

Das Simple Network Management Protocol (SNMP) ist ein Netzwerkprotokoll zur zentralen Überwachung und Steuerung von Netzwerkgeräten.

In den letzten Monaten wurden Systeme, welche SNMP-Anfragen aus dem Internet beantworten, zunehmend zur Durchführung von DDoS-Reflection/Amplification-Angriffen missbraucht. Im Rahmen des Shadowserver 'Open SNMP Scanning Projects' werden Systeme identifiziert, welche SNMP-Anfragen aus dem Internet beantworten. Diese Systeme können potenziell für DDoS-Angriffe missbraucht werden, sofern keine anderen Gegenmaßnahmen implementiert wurden.

Wir möchten Sie bitten, den Sachverhalt zu prüfen und Maßnahmen zur Absicherung der SNMP-Dienste auf den betroffenen Systemen zu ergreifen.

Open Resolver

Im Rahmen des Shadowserver 'Open Resolver Scanning Projects' werden offene DNS-Resolver identifiziert. Diese können potenziell für DDoS-Angriffe mittels DNS-Amplification missbraucht werden, sofern keine entsprechenden Gegenmaßnahmen wie Rate-Limiting implementiert wurden.

Nachfolgend senden wir Ihnen eine Liste identifizierter offener DNS-Resolver in Ihrem Netzbereich. Der Zeitstempel gibt an, wann der betreffende DNS-Server geprüft wurde. Der Wert "Min. Amplification" gibt den Verstärkungsfaktor (Verhältnis der Größe des Antwortpakets zur Paketgröße der Anfrage) an, welche von Angreifern bei Missbrauch des DNS-Servers für DNS-Amplification-Angriffe mindestens erreicht werden kann.

Mit dieser Benachrichtigung werden nur DNS-Server gemeldet, bei denen der Verstärkungsfaktor im Rahmen der Tests mindestens 5.0 betrug.

Wir möchten Sie bitten zu prüfen, ob die offenen Resolver in Ihrem Netzbereich beabsichtigt als solche konfiguriert sind und falls ja, ob entsprechende Schutzmaßnahmen zur Verhinderung des Missbrauchs der Server für DDoS-Angriffe implementiert wurden.

Multicast DNS (mDNS)

Multicast DNS (mDNS) dient der Auflösung von Hostnamen zu IP-Adressen
in lokalen Netzwerken, welche nicht über einen DNS-Server verfügen.
Implementierungen von mDNS sind z.B. Apple 'Bonjour' oder 'Avahi' bzw.
'nss-mdns' unter Linux/BSD. mDNS verwendet Port 5353/udp [1].
Neben der Preisgabe von Informationen über das System/Netzwerk können
offen aus dem Internet erreichbare mDNS-Dienste für DDoS-Reflection/
Amplification-Angriffe gegen Dritte missbraucht werden [2][3].
Im Rahmen des Shadowserver 'Open mDNS Scanning Projects' werden Systeme
identifiziert, welche mDNS-Anfragen aus dem Internet beantworten und
dadurch für DDoS-Angriffe missbraucht werden können, sofern keine anderen
Gegenmaßnahmen implementiert wurden.
CERT-Bund erhält von Shadowserver die Testergebnisse für IP-Adressen in
Deutschland, um betroffene Systembetreiber benachrichtigen zu können.
Weitere Informationen zu den von Shadowserver durchgeführten Tests
finden Sie unter [4].
Nachfolgend senden wir Ihnen eine Liste betroffener Systeme in Ihrem
Netzbereich. Der Zeitstempel gibt an, wann das System geprüft wurde
und mDNS-Anfragen aus dem Internet beantwortet hat.
Wir möchten Sie bitten, den Sachverhalt zu prüfen und Maßnahmen zur
Absicherung der mDNS-Dienste auf den betroffenen Systemen zu ergreifen
bzw. Ihre Kunden entsprechend zu informieren.
Falls Sie kürzlich bereits Gegenmaßnahmen getroffen haben und diese
Benachrichtigung erneut erhalten, beachten Sie bitten den angegebenen
Zeitstempel. Wurde die Gegenmaßnahme erfolgreich umgesetzt, sollten
Sie keine Benachrichtigung mit einem Zeitstempel nach der Umsetzung
mehr erhalten.
Referenzen:
[1] Wikipedia: Multicast DNS
<https://en.wikipedia.org/wiki/Multicast_DNS>
[2] US-CERT: UDP-based Amplification Attacks
<https://www.us-cert.gov/ncas/alerts/TA14-017A>
[3] US-CERT: Multicast DNS (mDNS) implementations may respond to
unicast queries originating outside the local link
<http://www.kb.cert.org/vuls/id/550620>
[4] Shadowserver: Open mDNS Scanning Project
<https://mdns.shadowserver.org/>

Redis

Redis[1] ist eine Open-Source In-Memory-Datenbank mit einer einfachen Schlüssel-Werte-Datenstruktur, welche häufig in Verbindung mit Web-Applikationen eingesetzt wird. Der Redis-Dienst unterstützt keine Authentifizierung, so dass Angreifer uneingeschränkten Zugriff auf die in den Datenstrukturen gespeicherten Daten haben, falls der Dienst aus dem Internet erreichbar ist. Dies ermöglicht Angreifern potenziell das Ausspähen von Informationen auf den betroffenen Systemen wie bspw.  Zugangsdaten zu Webapplikationen oder andere vertrauliche Inhalte.  Im Rahmen des Shadowserver 'Open Redis Key-Value Store Scanning Projects'[2] werden Redis-Dienste identifiziert, welche offen aus dem Internet erreichbar sind.Referenzen:[1] Redis <http://redis.io/>[2] Shadowserver: Open Redis Key-Value Store Scanning Project <https://redisscan.shadowserver.org/>

 

 

Memcached

Memcached[1] ist ein Open-Source Cache-Server zum einfachen Hinterlegen und Abholen von Daten aus dem Arbeitsspeicher. Memcached wird häufig in Verbindung mit Web-Applikationen eingesetzt. Der Memcached-Server unterstützt keine Authentifizierung, so dass Angreifer uneingeschränkten Zugriff auf die im Cache gespeicherten Daten haben, falls der Server aus dem Internet erreichbar ist. Dies ermöglicht Angreifern potenziell das Ausspähen von Informationen auf den betroffenen Systemen wie bspw.  Zugangsdaten zu Webapplikationen oder andere vertrauliche Inhalte.Im Rahmen des Shadowserver 'Open Memcached Key-Value Store Scanning Projects'[2] werden Memcached-Server identifiziert, welche offen aus dem Internet erreichbar sind.Referenzen:[1] Memcached <http://memcached.org/>

[2] Shadowserver: Open Memcached Key-Value Store Scanning Project <https://memcachedscan.shadowserver.org/>

MongoDB

MongoDB [1] ist ein so genanntes NoSQL-Datenbanksystem, welches häufig in Verbindung mit Web-Applikationen wird. Es wurde kürzlich entdeckt, dass Tausende MongoDB-Datenbanken offen aus dem Internet erreichbar sind und Angreifer dadurch u.a. Zugriff auf Millionen von Kundendaten aus Online-Shops erlangen können [2]. Im Rahmen des Shadowserver 'Accessible/Open MongoDB NoSQL Server Scanning Projects' [3] werden MongoDB-Datenbanken identifiziert, welche auch heute noch offen aus dem Internet erreichbar sind. CERT-Bund erhält von Shadowserver die Testergebnisse für IP-Adressen in Deutschland, um betroffene Server-Betreiber benachrichtigen zu können.

Referenzen:
[1] MongoDB <http://www.mongodb.org/>
[2] Studenten entdecken Tausende offene Firmen-Datenbanken im Internet <http://www.heise.de/security/meldung/Studenten-entdecken-Tausende-offene-Firmen-Datenbanken-im-Internet-2545183.html>
[3] Shadowserver: Accessible/Open MongoDB NoSQL Server Scanning Project <https://mongodbscan.shadowserver.org/>
[4] Sicherheitsempfehlungen für MongoDB <http://www.mongodb.com/mongodb-security-best-practices>

MS-SQL

MS-SQL ist der SQL-Server von Microsoft, welcher einen Browserdienst mitbringt, der standardmäßig auf Port 1434/udp lauscht [1]. Wird der Zugriff aus dem Internet auf diesen Dienst nicht unterbunden, können Angreifer dies ausnutzen, um Informationen über das Netzwerk auszuspähen, in dem der SQL-Server betrieben wird. Weiterhin kann der Dienst für DDoS-Amplification-Angriffe missbraucht werden. Im Rahmen des Shadowserver 'Open MS-SQL Server Resolution Service Scanning Projects'[2] werden MS-SQL Server Browserdienste identifiziert, welche offen aus dem Internet erreichbar sind. CERT-Bund erhält von Shadowserver die Testergebnisse für IP-Adressen in Deutschland, um betroffene Server-Betreiber benachrichtigen zu können.

Nachfolgend senden wir Ihnen eine Liste betroffener Systeme in Ihrem Netzbereich. Der Zeitstempel (Zeitzone UTC) gibt an, wann das System geprüft wurde und ein offener Browserdienst identifiziert wurde.  "Server Name" entspricht üblicherweise dem NetBIOS-Namen des Systems.  "Instance Name" gibt den Namen der SQL-Instanz auf dem Server an.  "Amplification" gibt die Verstärkung an, welche von Angreifern bei Missbrauch des Browserdienstes auf diesem Server im Rahmen von DDoS-Angriffen erzielt werden kann. Diese errechnet sich durch die Größe der Antwort im Vergleich zur Größe der Anfrage an den Server.

Empfehlung von Microsoft:
"Mit dem SQL Server-Browser-Dienst können Benutzer ohne Kenntnis der Portnummer Verbindungen mit Instanzen von Database Engine (Datenbankmodul) herstellen, die nicht den Port 1433 überwachen. Wenn Sie SQL Server-Browser verwenden möchten, müssen Sie UDP-Port 1434 öffnen. Um eine möglichst sichere Umgebung zu erzielen, lassen Sie den SQL Server-Browser-Dienst beendet, und konfigurieren Sie die Clients so, dass sie Verbindungen mithilfe der Portnummer herstellen müssen." [3]

Referenzen:
[1] Microsoft: SQL Server-Browserdienst <https://technet.microsoft.com/library/ms181087%28v=sql.105%29.aspx>
[2] Shadowserver: Open MS-SQL Server Resolution Service Scanning Project <https://mssqlscan.shadowserver.org/>
[3] Microsoft: Konfigurieren einer Windows-Firewall für Datenbankmodulzugriff <https://msdn.microsoft.com/de-de/library/ms175043.aspx>

Scada

Sie erhalten diese Nachricht, da eine IP-Adresse aus Ihrem Verantwortungsbereich einer Steuerungskomponente zugeordnet wurde, welche über das Internet verfügbar ist. Es besteht eine mögliche Gefährdung für die Systeme Ihres Kunden. Das BSI bittet Sie daher, den betroffenen Kunden mit dem beigefügten Informationsschreiben zu warnen, in dem die bestehenden Gefahren sowie mögliche Handlungsoptionen aufgezeigt werden.Explizit möchten wir darauf hinweisen, dass keine Anzeichen dafür vorliegen, dass von der genannten IP-Adresse ausgehend ein Angriff durchgeführt wurde.  Da es sich vermutlich um eine Steuerungskomponente aus der Fabrikautomation, Prozessautomatisierung oder Gebäudesteuerung handelt, sollte diese IP-Adresse nicht blockiert oder gesperrt werden, da dies u.a. kritische Folgen für den Betreiber bzw. den gesteuerten Prozess haben kann.

###############################################################################

Sie erhalten diese Nachricht, da eine Ihnen zugeordnete Steuerungskomponente unmittelbar über das Internet erreichbar ist. Das BSI hat von Dritten Kenntnis darüber erhalten und möchte Ihnen die damit verbundenen Gefahren sowie mögliche Handlungsoptionen aufzeigen. Speicher-programmierbare Steuerungen, Visualisierungsmodule oder andere Komponenten aus dem industriellen Umfeld im Bereich Fabrikautomation, Prozessautomatisierung oder Gebäudesteuerung werden zunehmend vernetzt. Mit der Anbindung an das Internet werden solche Komponenten einer Reihe von Gefährdungen ausgesetzt, die im Falle eines unberechtigten Zugriffs mitunter kritische Folgen haben können.Sofern eine mit dem Internet verbundene Komponente nicht hinreichend vor unberechtigtem Zugriff geschützt ist, kann ohne die dazu erforderlichen Authentisierungsinformationen darauf zugegriffen werden. Auch Standardpasswörter zu solchen Komponenten sind über das Internet zu ermitteln und bieten somit keinen Schutz. Auch wenn eine Anmeldung mit Benutzername und Passwort erforderlich ist, schützt dies noch nicht vor Angriffen. Häufig werden solche Komponenten nicht mit verfügbaren Updates und Patches versorgt, um bekannte Schwachstellen zu schließen. In der Folge kann ein Angreifer diese Schwachstellen ausnutzen, um ggf. die vollständige Kontrolle über die Komponente zu erlangen. In diesem Fall ist nicht nur die Komponente selbst betroffen. Ein Angreifer kann diese als Einfallstor in das lokale Netzwerk missbrauchen und sich so in der gesamten Infrastruktur ausbreiten.Was sollten Sie tun?- Bewerten Sie die genannten Gefährdungen und die damit verbundenen Risiken für ihren konkreten Anwendungsfall.- Verwenden Sie hinreichend komplexe Passwörter für den Zugriffsschutz.- Beschränken Sie den Zugriff auf Steuerungskomponenten über eine Firewall mit möglichst restriktivem Regelwerk.- Minimieren Sie die von der Steuerungskomponente bereitgestellten Dienste auf das, was unbedingt erforderlich ist (z.B. durch Deaktivieren von Diensten wie Telnet).- Versorgen Sie Steuerungskomponenten zeitnah mit Updates und Patches des jeweiligen Herstellers.- Setzen Sie VPN-Lösungen ein, um die Kommunikation über das Internet über einen kryptographisch geschützten Tunnel zu führen.Weitere Informationen bietet das BSI kostenfrei auf der Webseite https://www.bsi.bund.de/ICS an. Dort finden Sie u.a. das Dokument "Industrial Control System Security: Top 10 Bedrohungen und Gegenmaßnahmen" zum Download, welches über diese und weitere Gefährdungen informiert.https://www.bsi.bund.de/DE/Themen/weitereThemen/ICS-Security/Empfehlungen/Betreiber/Betreiber_node.htmlWenn Sie Fragen haben oder ein persönliches Gespräch wünschen, wenden Sie sich bitte per E-Mail an ics-sec@bsi.bund.de um das Referat "Cyber-Sicherheit in kritischen IT-Systemen, Anwendungen und Architekturen" direkt zu erreichen.

###############################################################################

Ramnit

Ramnit ist ein Schadprogramm, welches unter anderem Funktionen zum Online-Banking-Betrug und zum Identitätsdiebstahl enthält. Im Rahmen internationaler Ermittlungen durch Strafverfolgungsbehörden wurden die Kontrollserver für dieses Botnetz deaktiviert. Weitere Informationen des Bundeskriminalamts (BKA) hierzu finden Sie unter: <http://www.bka.de/DE/Presse/Pressemitteilungen/Presse2015/150225__BotnetzZerschlagen.html>

CERT-Bund hat von Europol Informationen zu IP-Adressen in Deutschland erhalten, unter denen sich Systeme befinden, welche mit der Schadsoftware Ramnit infiziert sind.

Online-Banking-Trojaner

CERT-Bund hat von einer vertrauenswürdigen externen Quelle Informationen zu Systemen in Deutschland erhalten, welche mit dem Online-Banking-Trojaner KINS/VMZeuS infiziert sind. Die infizierten Systeme haben Kontakt zu einem Kontrollserver unter www[.]ki-treuhand[.]ch aufgenommen und von dort eine Konfigurationsdatei für den Banking-Trojaner nachgeladen. Nachfolgend senden wir Ihnen eine Liste betroffener Systeme in Ihrem Netzbereich. Wir möchten Sie bitten, den Sachverhalt zu prüfen und entsprechende Maßnahmen zur Bereinigung der Systeme einzuleiten bzw. Ihre Kunden zu informieren.

 

 

 

 

Elasticsearch-Server

Elasticsearch[1] ist ein populärer Open-Source Such-Server auf Basis
von Apache Lucene, welcher üblicherweise auf Port 9200/tcp läuft.
Der Elasticsearch-Server selbst unterstützt keine Authentifizierung,
wodurch Angreifer nach Belieben die auf dem Server gespeicherten Daten
auslesen oder modifizieren können, falls der Server aus dem Internet
erreichbar ist. Weiterhin können Angreifer DoS-Angriffe gegen den
Server durchführen und (bis zur Version 1.2.x) beliebigen Programmcode
auf diesem ausführen.
Im Rahmen des Shadowserver 'Open Elasticsearch Server Scanning Projects'
werden Elasticsearch-Server identifiziert, welche offen aus dem Internet
erreichbar sind. CERT-Bund erhält von Shadowserver die Testergebnisse
für IP-Adressen in Deutschland, um betroffene Server-Betreiber
benachrichtigen zu können. Weitere Informationen zu den von Shadowserver
durchgeführten Tests finden Sie unter [2].
Nachfolgend senden wir Ihnen eine Liste betroffener Systeme in Ihrem
Netzbereich. Der Zeitstempel (Zeitzone UTC) gibt an, wann das System
geprüft und ein offener Elasticsearch-Server identifiziert wurde.
Wir möchten Sie bitten, den Sachverhalt zu prüfen und Maßnahmen zur
Absicherung der Elasticsearch-Server auf den betroffenen Systemen
zu ergreifen bzw. Ihre Kunden entsprechend zu informieren. Weitere
Informationen zur Absicherung eines Elasticsearch-Servers finden Sie
unter [3].
Falls Sie kürzlich bereits Gegenmaßnahmen getroffen haben und diese
Benachrichtigung erneut erhalten, beachten Sie bitten den angegebenen
Zeitstempel. Wurde die Gegenmaßnahme erfolgreich umgesetzt, sollten
Sie keine Benachrichtigung mit einem Zeitstempel nach der Umsetzung
mehr erhalten.
Referenzen:
[1] Elasticsearch
<https://www.elastic.co/products/elasticsearch>
[2] Shadowserver: Open Elasticsearch Server Scanning Project
<https://esscan.shadowserver.org/>
[3] Elasticsearch: Scripting and Security
<https://www.elastic.co/blog/scripting-security>

 

 

 

 

 

 

Gestohlene FTP-Zugangsdaten

im Rahmen der Analyse eines Botnetzes durch ein CERT wurde eine Liste mit mehreren zehntausend gestohlenen FTP-Zugangsdaten gefunden. Die Zugangsdaten wurden vermutlich auf mit Schadprogrammen infizierten PCs ausgespäht, von denen auf die FTP-Accounts zugegriffen wurde. In den meisten Fällen handelt es sich um FTP-Accounts für die Administration von Webseiten. Die Zugangsdaten werden offenbar aktuell aktiv von den Tätern missbraucht, um Skripte zur Verbreitung von Schadprogrammen über ein Angler Exploit Kit in die mit den FTP-Accounts verbundenen Webseiten einzuschleusen. CERT-Bund hat eine Liste der in Deutschland gehosteten betroffenen FTP-Accounts erhalten. Nachfolgend senden wir Ihnen eine Liste betroffener Accounts in Ihrem Netzbereich. Wir möchten Sie bitten, den Sachverhalt zu prüfen und entsprechende Maßnahmen einzuleiten bzw. Ihre Kunden zu informieren.

 

 

 

 

 

 

 

 

 

 

DNS-Server mit offenem AXFR

das 'AXFR'-Verfahren (Zonentransfer) dient zur Synchronisation der
DNS-Einträge für eine Domain zwischen den autoritativen DNS-Servern.
Eine AXFR-Abfrage sollte üblicherweise nur von den jeweiligen
Secondary DNS-Servern an den Primary DNS-Server zugelassen sein.
Bei einer Fehlkonfiguration des DNS-Servers kann eine AXFR-Abfrage
jedoch von jeder beliebigen IP-Adresse im Internet aus erfolgen.
Angreifer nutzen dies aus, um Informationen über die mit einer Domain
verbundenen Systeme zu erlangen und darüber ggf. weitere potenzielle
Angriffsziele zu identifizieren.
Weitere Informationen hierzu finden Sie unter:
<http://www.heise.de/security/meldung/Falsch-konfigurierte-DNS-Server-
liefern-Angreifern-wertvolle-Tipps-2595206.html>
CERT-Bund hat eine Liste von Domainnamen erhalten, deren autoritative
DNS-Server in Deutschland gehostet werden und diese eine AXFR-Abfrage
von beliebigen IP-Adressen aus zulassen.
Nachfolgend senden wir Ihnen eine Liste betroffener Domainnamen und
den zuständigen DNS-Servern in Ihrem Netzbereich.
Wir möchten Sie bitten, den Sachverhalt zu prüfen und entsprechende
Maßnahmen einzuleiten bzw. Ihre Kunden zu informieren.

 

 

 

 

 

 

 

 

Portmapper

Der Portmapper-Dienst (portmap, rpcbind) wird benötigt, um RPC-Anfragen (Remote Procedure Calls) dem korrekten Dienst zuzuordnen. Der Portmapper- Dienst wird u.a. für Netzwerkfreigaben über das Network File System (NFS) benötigt. Der Portmapper-Dienst verwendet Port 111 tcp/udp [1]. Ein aus dem Internet erreichbarer offener Portmapper-Dienst kann von einem Angreifer zur Durchführung von DDoS-Reflection/Amplification-Angriffen missbraucht werden. Weiterhin kann ein Angreifer darüber Informationen über das Netzwerk erlangen, wie z.B. laufende RPC-Dienste oder vorhandene Netzwerkfreigaben. In den letzten Monaten wurden Systeme, welche Anfragen aus dem Internet an den Portmapper-Dienst beantworten, zunehmend zur Durchführung von DDoS-Reflection/Amplification-Angriffen missbraucht [2]. Im Rahmen des Shadowserver 'Open Portmapper Scanning Projects' werden Systeme identifiziert, welche Anfragen an den Portmapper-Dienst aus dem Internet beantworten. Diese Systeme können für DDoS-Angriffe missbraucht werden, sofern keine anderen Gegenmaßnahmen implementiert wurden. CERT-Bund erhält von Shadowserver die Testergebnisse für IP-Adressen in Deutschland, um betroffene Systembetreiber benachrichtigen zu können. Weitere Informationen zu den von Shadowserver durchgeführten Tests finden Sie unter [3]. Nachfolgend senden wir Ihnen eine Liste betroffener Systeme in Ihrem Netzbereich. Der Zeitstempel gibt an, wann das System geprüft wurde und eine Anfrage an den Portmapper-Dienst aus dem Internet beantwortet hat. Wir möchten Sie bitten, den Sachverhalt zu prüfen und Maßnahmen zur Absicherung der Portmapper-Dienste auf den betroffenen Systemen zu ergreifen bzw. Ihre Kunden entsprechend zu informieren. Falls Sie kürzlich bereits Gegenmaßnahmen getroffen haben und diese Benachrichtigung erneut erhalten, beachten Sie bitten den angegebenen Zeitstempel. Wurde die Gegenmaßnahme erfolgreich umgesetzt, sollten Sie keine Benachrichtigung mit einem Zeitstempel nach der Umsetzung mehr erhalten.

Referenzen:

[1] Wikipedia: Portmap <https://en.wikipedia.org/wiki/Portmap>

[2] Level 3: A New DDoS Reflection Attack: Portmapper <http://blog.level3.com/security/a-new-ddos-reflection-attack- portmapper-an-early-warning-to-the-industry/>

[3] Shadowserver: Open Portmapper Scanning Project <https://portmapperscan.shadowserver.org/>

[4] US-CERT: UDP-based Amplification Attacks <https://www.us-cert.gov/ncas/alerts/TA14-017A>

 

 

 

 

 

 

 

DDoS-Angriffe mittels Wordpress Pingback

Das Content-Management-System Wordpress verfügt über eine so genannte "pingback"-Funktion, welche per default aktiviert ist. Diese Funktion wird seit einiger Zeit von Angreifern für DDoS-Angriffe gegen Dritte missbraucht. Die "pingback"-Funktion sollte daher deaktiviert bzw. der Zugriff auf vertrauenswürdige Quell-IPs eingeschränkt werden. Weitere Informationen hierzu finden Sie z.B. unter: <https://blog.sucuri.net/2016/02/wordpress-sites-leveraged-in-ddos-campaigns.html>

 

 

 

 

Aktive Teilnahme an DDOS-Attacken

CERT-Bund liegen Beschwerden zu Systemen in Ihrem Netzbereich vor, welche *aktiv* an DDoS-Angriffen gegen Dritte teilgenommen haben. Es handelt sich dabei um DDoS-Reflection-Angriffe, welche unter Ausnutzung offen aus dem Internet erreichbarer UDP-basierter Dienste ausgeführt wurden (offene DNS-Resolver, NTP-Server mit aktiver 'monlist'-Funktion, offene SNMP-Server, etc.). Nachfolgend senden wir Ihnen eine Liste der Systeme in Ihrem Netzbereich, welche aktiv an den DDoS-Angriffen beteiligt waren. Der Zeitstempel (Zeitzone UTC) gibt an, wann das erste Angriffspaket von dem jeweiligen System gesendet wurde. Weiterhin sind der Quellport sowie der missbrauchte Dienst angegeben. Viele der offenen Dienste wurden Ihnen bereits seit längerer Zeit regelmäßig präventiv von CERT-Bund gemeldet mit der Bitte, den Zugriff aus dem Internet auf diese Dienste zu unterbinden, um einen Missbrauch für DDoS-Angriffe zu verhindern. Wir möchten Sie nun bitten, den Sachverhalt zu prüfen und *umgehend* entsprechende Maßnahmen zu ergreifen, welche den weiteren Missbrauch der Dienste für DDoS-Angriffe gegen Dritte wirksam verhindern. Weitere Informationen zu dieser Benachrichtigung sowie Hinweise zur Absicherung der jeweiligen Dienste (HOWTOs) finden Sie unter: <https://reports.cert-bund.de>

 

 

 

 

 

Offene LDAP-Server

Das Lightweight Directory Access Protocol (LDAP) ist ein Netzwerk-
protokoll zur Abfrage und Verwaltung von Informationen verteilter
Verzeichnisdienste.
In den letzten Monaten wurden Systeme, welche LDAP-Anfragen aus dem
Internet beantworten, zunehmend zur Durchführung von DDoS-Reflection-
Angriffen gegen IT-Systeme Dritter missbraucht.
Nachfolgend senden wir Ihnen eine Liste betroffener Systeme in Ihrem
Netzbereich. Der Zeitstempel (Zeitzone UTC) gibt an, wann der offene
LDAP-Server identifiziert wurde.
Wir möchten Sie bitten, den Sachverhalt zu prüfen und Maßnahmen zur
Absicherung der LDAP-Dienste auf den betroffenen Systemen zu ergreifen
bzw. Ihre Kunden entsprechend zu informieren.
Falls Sie kürzlich bereits Gegenmaßnahmen getroffen haben und diese
Benachrichtigung erneut erhalten, beachten Sie bitten den angegebenen
Zeitstempel. Wurde die Gegenmaßnahme erfolgreich umgesetzt, sollten
Sie keine Benachrichtigung mit einem Zeitstempel nach der Umsetzung
mehr erhalten.




 

Verwundbare ownCloud/Nextcloud-Instanzen

ownCloud und Nextcloud sind Software-Lösungen zum Betrieb selbst
gehosteter Cloud-Instanzen zur Synchronisation und zum Austausch
von Daten.
Das Unternehmen Nextcloud GmbH hat offen aus dem Internet
erreichbare Installationen von ownCloud und Nextcloud geprüft.
Dabei wurden zahlreiche Cloud-Instanzen identifiziert, die mit
veralteten Software-Versionen laufen, welche verschiedene
Sicherheitslücken aufweisen.
Angreifer können diese Schwachstellen ausnutzen, um unter anderem
unberechtigt auf die in der Cloud gespeicherten Daten zuzugreifen.
Dabei können die Angreifer ggf. sensible Informationen wie z.B.
persönliche Dokumente, Fotos oder Kundendaten von Unternehmen
ausspähen und diese anschließend im Internet veröffentlichen oder
für kriminelle Zwecke wie Erpressungen nutzen.
Andere Schwachstellen ermöglichen Angreifern die Ausführung
beliebigen Programmcodes auf dem Cloud-Server. Dies kann ggf.
zu einer vollständigen Kompromittierung des Systems und dessen
Missbrauch für weitere kriminelle Aktivitäten führen.
Die Nextcloud GmbH hat CERT-Bund ihre Ergebnisse der Prüfungen
zur Unterstützung bei der Benachrichtigung betroffener Server-
Betreiber bereitgestellt.
Nachfolgend senden wir Ihnen eine Liste betroffener Systeme in
Ihrem Netzbereich. Der Zeitstempel (Zeitzone UTC) gibt an, wann
die verwundbare Cloud-Installation identifiziert wurde.
Weiterhin sind für jedes System eine Risikoeinstufung sowie eine
eindeutige ID (UUID) angegeben.
!! Bitte beachten Sie, dass diese Liste sowohl neu identifizierte
!! Instanzen enthält, als auch Instanzen, welche bereits gemeldet
!! wurden, aber Stand gestern noch verwundbar waren.
Die Nextcloud GmbH stellt unter folgender URL detaillierte
Informationen zu den bei der jeweiligen Cloud-Instanz erkannten
Schwachstellen und deren Behebung zur Verfügung:
https://scan.nextcloud.com/results/[UUID]
Der Parameter [UUID] muss dabei durch die zu der jeweiligen Instanz
angegebene UUID ersetzt werden. Beispiel:
https://scan.nextcloud.com/results/12345678-1234-1234-1234-12345678
Wir möchten Sie bitten, den Sachverhalt zu prüfen und Maßnahmen zur
Aktualisierung der Cloud-Installationen auf den betroffenen Systemen
zu ergreifen bzw. Ihre Kunden entsprechend zu informieren. Für alle
auf den betroffenen Systemen identifizierten Schwachstellen stehen
entsprechende Sicherheitsupdates der Hersteller zur Verfügung.
Bei Rückfragen zu den durchgeführten Prüfungen der Cloud-Instanzen
wenden Sie sich bitte direkt an die Nextcloud GmbH unter
<cloud-security-scan (at) nextcloud.com>.

 

 

 

 

 

Offene NetBIOS-Namensdienste

NetBIOS ist eine Programmierschnittstelle zur Kommunikation zwischen Programmen über ein lokales Netzwerk. NetBIOS over TCP/IP ist ein Netzwerkprotokoll, das es ermöglicht, auf der Programmierschnittstelle NetBIOS aufbauende Programme über das Netzwerkprotokoll TCP/IP zu verwenden. In den letzten Monaten wurden Systeme, welche Anfragen an NetBIOS- Namensdienste aus dem Internet beantworten, zunehmend zur Durchführung von DDoS-Reflection-Angriffen gegen IT-Systeme Dritter missbraucht. Der NetBIOS-Namensdienst verwendet Port 137/udp. Nachfolgend senden wir Ihnen eine Liste betroffener Systeme in Ihrem Netzbereich. Der Zeitstempel (Zeitzone UTC) gibt an, wann der offene NetBIOS-Namensdienst identifiziert wurde. Wir möchten Sie bitten, den Sachverhalt zu prüfen und Maßnahmen zur Absicherung der NetBIOS-Namensdienste auf den betroffenen Systemen zu ergreifen bzw. Ihre Kunden entsprechend zu informieren. Falls Sie kürzlich bereits Gegenmaßnahmen getroffen haben und diese Benachrichtigung erneut erhalten, beachten Sie bitten den angegebenen Zeitstempel. Wurde die Gegenmaßnahme erfolgreich umgesetzt, sollten Sie keine Benachrichtigung mit einem Zeitstempel nach der Umsetzung mehr erhalten.
Weitere Informationen:
For more information on this report go to: https://www.shadowserver.org/wiki/pmwiki.php/Services/Open-NetBIOS

 

Offene MySQL-Datenbanken mit Standard-Passwort

CERT-Bund hat von CERT-EE Informationen zu Systemen in Deutschland
erhalten, auf denen auf Port 3306/tcp ein MySQL-Datenbankserver
läuft, welcher offen aus dem Internet erreichbar ist und eine
Anmeldung als Datenbankadministrator mit dem Benutzer 'root' und
einem Standard-Passwort ('root', 'admin' oder 'password') erlaubt.
Angreifer können dies ausnutzen, um vollständigen Zugriff auf
den Datenbankserver zu erlangen und beliebige Daten auszuspähen,
zu löschen oder zu manipulieren. Ja nach Konfiguration können auch
beliebige Shell-Kommandos auf dem System darüber ausgeführt werden.
Nachfolgend senden wir Ihnen Informationen zu betroffenen Systemen
in Ihrem Netzbereich. Leider liegen uns keine exakten Zeitstempel
vor, wann die offenen Datenbanken identifiziert wurden.
Wir möchten Sie bitten, den Sachverhalt zu prüfen und entsprechende
Maßnahmen zur Absicherung der Systeme einzuleiten bzw. Ihre Kunden
entsprechend zu informieren.

SMB-Backdoor

mit dieser Benachrichtigung informieren wir Sie über Systeme
in Ihrem Netzbereich, auf denen von Angreifern eine Hintertür
(Backdoor) installiert wurde, über welche sie vollständigen
Zugriff auf das betroffene System haben.
Am 14.03.2017 hat Microsoft ein Sicherheitsupdate für eine
kritische Schwachstelle in Microsoft Windows veröffentlicht:
<https://technet.microsoft.com/de-de/library/security/ms17-010.aspx>
Die Ausnutzung der Schwachstelle ermöglicht einem Angreifer,
durch Senden speziell formulierter SMB-Anfragen an ein
Windows-System beliebigen Programmcode auf diesem auszuführen,
wenn Port 445/tcp offen aus dem Internet erreichbar ist.
Bei Systemen, auf welchen das oben genannte Sicherheitsupdate
noch nicht eingespielt wurde, nutzen Angreifer die Schwachstelle
aus, um eine Hintertür (Backdoor) zu installieren, über welche
sie anschließend vollständigen Zugriff auf das System haben.
Über diesen Weg wurde z.B. auch die Ransomware "WannaCry"
auf verwundbare Systeme geschleust:
<https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/
Presse2017/PM_WannaCry_13052017.html>
Die Shadowserver Foundation (https://www.shadowserver.org)
führt derzeit Scans nach Systemen im Internet durch, auf denen
eine solche Hintertür installiert wurde. Als nationales CERT
erhält CERT-Bund die Scan-Ergebnisse für Deutschland, um
betroffene Systembetreiber benachrichtigen zu können.
Nachfolgend senden wir Ihnen eine Liste betroffener Systeme
in Ihrem Netzbereich. Der Zeitstempel (Zeitzone UTC) gibt an,
wann die Hintertür auf dem betroffenen System von Shadowserver
identifiziert wurde.
Wir möchten Sie bitten, den Sachverhalt zu prüfen und Maßnahmen
zur Bereinigung der Systeme zu ergreifen bzw. Ihre Kunden
entsprechend zu informieren.
Betroffene Systeme sollten als vollständig kompromittiert
angesehen und neu aufgesetzt werden. Alternativ kann ggf.
eine Komplettsicherung (Backup) von einem Zeitpunkt vor der
Kompromittierung zurückgespielt werden.