Menü
Ein Beitrag von Filoo

Serverdienste absichern – Mißbrauchsgefahr!

Seit einigen Monaten scannt das Sicherheitsteam des Bundes (CERT-Bund) automatisch das gesamte „deutsche Internet“ (also alle Netzblöcke, die nachweislich deutschen Providern zugeordnet sind) auf Sicherheitslücken. Diese Scans werden ohne Zutun der Provider durchgeführt und weisen darauf hin, wenn Serverdienste aus dem Internet erreichbar sind, die es nicht sein sollten.

Das CERT scannt nach den folgenden Diensten (Liste erhebt keinen Anspruch auf Vollständigkeit):

  • SSDP
  • MongoDB
  • Memcache
  • MS-SQL Browser
  • SNMP
  • SCADA
  • Redis
  • NTP (mit aktiver „monlist“-Funktion)
  • Offene DNS-Resolver

Sollten Sie einen solchen Dienst betreiben, dann prüfen Sie bitte, ob er tatsächlich aus dem Internet erreichbar sein soll. Oftmals ist das nämlich gar nicht nötig.

Wie prüfe ich, ob ein Dienst aus dem Internet erreichbar ist?

Mittels des Kommandos „netstat“ können Sie leicht prüfen, welche Serverdienste auf Ihrem Server laufen und ob diese auf der öffentlichen IP-Adresse „horchen“.

root@test:~# netstat -A inet,inet6 -nlp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address  State       PID/Program name
tcp        0      0 127.0.0.1:27017         0.0.0.0:*        LISTEN      28225/mongod
tcp        0      0 127.0.0.1:3306          0.0.0.0:*        LISTEN      2603/mysqld
tcp        0      0 127.0.0.1:6379          0.0.0.0:*        LISTEN      28280/redis-server
tcp        0      0 127.0.0.1:11211         0.0.0.0:*        LISTEN      27716/memcached
tcp        0      0 0.0.0.0:111             0.0.0.0:*        LISTEN      1684/rpcbind
tcp        0      0 0.0.0.0:80              0.0.0.0:*        LISTEN      2649/nginx
tcp        0      0 127.0.0.1:28017         0.0.0.0:*        LISTEN      28225/mongod
tcp        0      0 0.0.0.0:50513           0.0.0.0:*        LISTEN      1715/rpc.statd
tcp        0      0 0.0.0.0:22              0.0.0.0:*        LISTEN      2779/sshd
tcp        0      0 0.0.0.0:25              0.0.0.0:*        LISTEN      2864/master
tcp        0      0 0.0.0.0:443             0.0.0.0:*        LISTEN      2649/nginx
tcp6       0      0 :::111                  :::*             LISTEN      1684/rpcbind
tcp6       0      0 :::22                   :::*             LISTEN      2779/sshd
tcp6       0      0 :::36343                :::*             LISTEN      1715/rpc.statd
tcp6       0      0 :::25                   :::*             LISTEN      2864/master

Alle Dienste, die in der Spalte „Local Address“ auf der IP-Adresse „0.0.0.0“ (z.B. nginx in der 7. Zeile) horchen, nutzen alle verfügbaren IP-Adressen des Servers, also interne wie externe. Ebenso ist es bei IPv6-Diensten, die auf der Adresse :: zu erreichen sind (wie etwa sshd im obigen Beispiel). „::“ ist die Kurzform für die IPv6-Adresse 0000:0000:0000:0000:0000:0000:0000:0000.

Im obigen Beispiel sollte der Administrator prüfen, ob Dienste wie rpc.statd und rpcbind wirklich aus dem Internet erreichbar sein sollten – alle anderen potentiell gefährlichen Dienste sind nicht aktiv.

Wie schaffe ich Abhilfe?

Wenn Sie VServer oder Cloud-Server bei uns betreiben, so können Sie im Kunden-Interface ganz einfach ein „privates Netzwerk“ für Ihre Server freischalten, über das die Kommunikation zwischen Ihrem Webserver und der Datenbank, Memcache, Redis o.ä. laufen kann. So muß der entsprechende Dienst nicht auf der öffentlichen IP-Adresse erreichbar sein.

Linux-Serverdienste werden oft mit einer Konfigurationsdatei unterhalb von /etc konfiguriert, die dann eine Direktive der folgenden Form (oder ähnlich) enthält:

  • inet_interfaces = 0.0.0.0 (Postfix)
  • Listen 127.0.0.1:80 (Apache2)
  • -l 0.0.0.0 (MemcacheD)
  • bind_ip = 0.0.0.0 (mongodb)
  • bind 0.0.0.0 (Redis)
  • etc.

Wenn Sie hier die IP-Adresse eines internen Interfaces eintragen, z.b. 172.16.1.1, dann wird nach einem Neustart des Serverdienst auch nur diese IP-Adresse angesprochen und der Dienst ist nicht mehr aus dem Internet erreichbar. Bei Diensten, die IPv6 unterstützen, gilt das entsprechend.

Image

Hosting und Cloud Services auf höchstem Niveau

Ihre IT-Projekte werden größer und komplexer?
Gleichzeitig steigen die Anforderungen an Sicherheit und Flexibilität?

Zuverlässiger Betrieb Ihrer IT-Infrastruktur ist für uns keine Rocket-Science!

Jetzt über Filoo informieren!

Beispielmail vom CERT-Bund

Und so sehen die Mails vom CERT-Bund aus:

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

[CERT-Bund#2015020428001061]

[English version below]

Sehr geehrte Damen und Herren,

Memcached[1] ist ein Open-Source Cache-Server zum einfachen Hinterlegen
und Abholen von Daten aus dem Arbeitsspeicher. Memcached wird häufig
in Verbindung mit Web-Applikationen eingesetzt. Der Memcached-Server
unterstützt keine Authentifizierung. Angreifer können dadurch beliebig
die darin gespeicherten Daten auslesen oder modifizieren, falls der
Server aus dem Internet erreichbar ist. Dies ermöglicht Angreifern u.a.
das Ausspähen von Informationen auf den betroffenen Systemen wie bspw.
Zugangsdaten zu Webapplikationen oder andere vertrauliche Inhalte.

Im Rahmen des Shadowserver 'Open Memcached Key-Value Store Scanning
Projects' werden Memcached-Server identifiziert, welche offen aus dem
Internet erreichbar sind. CERT-Bund erhält von Shadowserver die
Testergebnisse für IP-Adressen in Deutschland, um betroffene
Server-Betreiber benachrichtigen zu können.

Weitere Informationen zu den von Shadowserver durchgeführten Tests
finden Sie unter [2].

Nachfolgend senden wir Ihnen eine Liste betroffener Systeme in Ihrem
Netzbereich. Der Zeitstempel (Zeitzone UTC) gibt an, wann das System
geprüft und ein offener Memcached-Server identifiziert wurde.

Wir möchten Sie bitten, den Sachverhalt zu prüfen und Maßnahmen zur
Absicherung der Memcached-Server auf den betroffenen Systemen zu ergreifen
bzw. Ihre Kunden entsprechend zu informieren.

Falls Sie kürzlich bereits Gegenmaßnahmen getroffen haben und diese          
Benachrichtigung erneut erhalten, beachten Sie bitten den angegebenen          
Zeitstempel. Wurde die Gegenmaßnahme erfolgreich umgesetzt, sollten
Sie keine Benachrichtigung mit einem Zeitstempel nach der Umsetzung
mehr erhalten.

Referenzen:

[1] Memcached
    <http://memcached.org/>
[2] Shadowserver: Open Memcached Key-Value Store Scanning Project
    <https://memcachedscan.shadowserver.org/>

Diese E-Mail ist mittels PGP digital signiert. Informationen zu dem
verwendeten Schlüssel finden Sie auf unserer Webseite unter:
<https://www.cert-bund.de/reports-sig>

Bitte beachten Sie:
Dies ist eine automatisch generierte Nachricht.
An die Absenderadresse kann nicht geantwortet werden.
Bei Rückfragen wenden Sie sich bitte an <certbund@bsi.bund.de>.

- -----------------------------------------------------------------------

Dear Sir or Madam,

Memcached[1] is an open-source distributed memory object caching system
which is generic in nature but often used for speeding up dynamic web
applications. Memcached does not support any forms of authorization.
Thus, anyone who can connect to the memcached server has unrestricted
access to the data stored in it. This allows attackers e.g. to steal
sensitive data like login credentials for web applications or any other
kind of content stored with memcached.

The Shadowserver 'Open Memcached Key-Value Store Scanning Project'
identifies memcached servers which are openly accessible from the
Internet. Shadowserver provides CERT-Bund with the test results
for IP addresses in Germany for notification of the owners of the
affected systems.

Futher information on the tests run by Shadowserver is available
at [2].

Please find below a list of affected systems hosted on your network.
The timestamp (timezone UTC) indicates when the system was found
to be running an openly accessible memcached server.

We would like to ask you to check this issue and take appropriate
steps to secure the memcached servers on the affected systems or
notify your customers accordingly.

If you have recently solved the issue but received this notification
again, please note the timestamp included below. You should not
receive any further notifications with timestamps after the issue
has been solved.

References:

[1] Memcached
    <http://memcached.org/>
[2] Shadowserver: Open Memcached Key-Value Store Scanning Project
    <https://memcachedscan.shadowserver.org/>

This message is digitally signed using PGP.
Details on the signature key used are available on our website at:
<https://www.cert-bund.de/reports-sig>

Please note:
This is an automatically generated message.
Replying to the sender address is not possible.
In case of questions, please contact <certbund@bsi.bund.de>.

- -----------------------------------------------------------------------

Betroffene Systeme in Ihrem Netzbereich:
Affected systems on your network:

Format: ASN | IP address | Timestamp (UTC) | Port | Memcached version

 47215 | xxx.xxx.xxx.xxx   | 2015-05-03 03:21:11 | 11211 | 1.4.17


Mit freundlichen Grüßen / Kind regards
Team CERT-Bund

Bundesamt für Sicherheit in der Informationstechnik (BSI)
Federal Office for Information Security
Referat C21 - CERT-Bund
Godesberger Allee 185-189, D-53175 Bonn, Germany

-----BEGIN PGP SIGNATURE-----

,

Sie möchten keinen Beitrag verpassen?

Es gibt einen Newsletter. Hier können Sie ihn abonnieren.

Datenschutzhinweise


Weitere Artikel zum Thema lesen

Phishing kann jeden treffen

Biz & Trends, IT Security

Phishing kann jeden treffen

Phishing ist nur eine Gefahr der zunehmenden Computer- und Internetkriminalität. Die häufigsten Attacken in einer Infografik symbolisiert.

weiter lesen

Bericht zur Lage

IT Security

IT-Sicherheit: Der Bericht zur Lage der Nation

Wir werfen einen Blick auf die größten Schadensereignisse, die von der nationalen Cyber-Sicherheitsbehörde erfasst wurden.

weiter lesen

Shellshock – Schwere Sicherheitslücke bedroht Mac und Linux Rechner

Biz & Trends, Hosting, IT Security

Shellshock – Schwere Sicherheitslücke bedroht Mac und Linux Rechner

Die Bash Sicherheitslücke übertrifft in ihrer Relevanz den Heartbleed-Bug. Wir informieren über den aktuellen Stand.

weiter lesen


Neueste Nachrichten von Adacor

Hosting

Durch Site Reliability Engineering die Servicequalität steigern

Durch Site Reliability Engineering wird Servicequalität in einem Unternehmen messbar und steuerbar gemacht.

weiter lesen

Biz & Trends

Apps im Test: So gelingt das perfekte Workout

Mit Fitness-Apps trainieren Sie nach einem stressigen Tag im Büro wann und wo Sie wollen.

weiter lesen

Hosting

Storage Migration: Wenn Daten umziehen müssen

Der Austausch von Storage Solutions kann zu einer echten Herausforderung werden. So gelingt sie optimal.

weiter lesen