Menü
Ein Beitrag von Filoo

Serverdienste absichern – Mißbrauchsgefahr!

Seit einigen Monaten scannt das Sicherheitsteam des Bundes (CERT-Bund) automatisch das gesamte „deutsche Internet“ (also alle Netzblöcke, die nachweislich deutschen Providern zugeordnet sind) auf Sicherheitslücken. Diese Scans werden ohne Zutun der Provider durchgeführt und weisen darauf hin, wenn Serverdienste aus dem Internet erreichbar sind, die es nicht sein sollten.

Das CERT scannt nach den folgenden Diensten (Liste erhebt keinen Anspruch auf Vollständigkeit):

  • SSDP
  • MongoDB
  • Memcache
  • MS-SQL Browser
  • SNMP
  • SCADA
  • Redis
  • NTP (mit aktiver „monlist“-Funktion)
  • Offene DNS-Resolver

Sollten Sie einen solchen Dienst betreiben, dann prüfen Sie bitte, ob er tatsächlich aus dem Internet erreichbar sein soll. Oftmals ist das nämlich gar nicht nötig.

Wie prüfe ich, ob ein Dienst aus dem Internet erreichbar ist?

Mittels des Kommandos „netstat“ können Sie leicht prüfen, welche Serverdienste auf Ihrem Server laufen und ob diese auf der öffentlichen IP-Adresse „horchen“.

root@test:~# netstat -A inet,inet6 -nlp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address  State       PID/Program name
tcp        0      0 127.0.0.1:27017         0.0.0.0:*        LISTEN      28225/mongod
tcp        0      0 127.0.0.1:3306          0.0.0.0:*        LISTEN      2603/mysqld
tcp        0      0 127.0.0.1:6379          0.0.0.0:*        LISTEN      28280/redis-server
tcp        0      0 127.0.0.1:11211         0.0.0.0:*        LISTEN      27716/memcached
tcp        0      0 0.0.0.0:111             0.0.0.0:*        LISTEN      1684/rpcbind
tcp        0      0 0.0.0.0:80              0.0.0.0:*        LISTEN      2649/nginx
tcp        0      0 127.0.0.1:28017         0.0.0.0:*        LISTEN      28225/mongod
tcp        0      0 0.0.0.0:50513           0.0.0.0:*        LISTEN      1715/rpc.statd
tcp        0      0 0.0.0.0:22              0.0.0.0:*        LISTEN      2779/sshd
tcp        0      0 0.0.0.0:25              0.0.0.0:*        LISTEN      2864/master
tcp        0      0 0.0.0.0:443             0.0.0.0:*        LISTEN      2649/nginx
tcp6       0      0 :::111                  :::*             LISTEN      1684/rpcbind
tcp6       0      0 :::22                   :::*             LISTEN      2779/sshd
tcp6       0      0 :::36343                :::*             LISTEN      1715/rpc.statd
tcp6       0      0 :::25                   :::*             LISTEN      2864/master

Alle Dienste, die in der Spalte „Local Address“ auf der IP-Adresse „0.0.0.0“ (z.B. nginx in der 7. Zeile) horchen, nutzen alle verfügbaren IP-Adressen des Servers, also interne wie externe. Ebenso ist es bei IPv6-Diensten, die auf der Adresse :: zu erreichen sind (wie etwa sshd im obigen Beispiel). „::“ ist die Kurzform für die IPv6-Adresse 0000:0000:0000:0000:0000:0000:0000:0000.

Im obigen Beispiel sollte der Administrator prüfen, ob Dienste wie rpc.statd und rpcbind wirklich aus dem Internet erreichbar sein sollten – alle anderen potentiell gefährlichen Dienste sind nicht aktiv.

Wie schaffe ich Abhilfe?

Wenn Sie VServer oder Cloud-Server bei uns betreiben, so können Sie im Kunden-Interface ganz einfach ein „privates Netzwerk“ für Ihre Server freischalten, über das die Kommunikation zwischen Ihrem Webserver und der Datenbank, Memcache, Redis o.ä. laufen kann. So muß der entsprechende Dienst nicht auf der öffentlichen IP-Adresse erreichbar sein.

Linux-Serverdienste werden oft mit einer Konfigurationsdatei unterhalb von /etc konfiguriert, die dann eine Direktive der folgenden Form (oder ähnlich) enthält:

  • inet_interfaces = 0.0.0.0 (Postfix)
  • Listen 127.0.0.1:80 (Apache2)
  • -l 0.0.0.0 (MemcacheD)
  • bind_ip = 0.0.0.0 (mongodb)
  • bind 0.0.0.0 (Redis)
  • etc.

Wenn Sie hier die IP-Adresse eines internen Interfaces eintragen, z.b. 172.16.1.1, dann wird nach einem Neustart des Serverdienst auch nur diese IP-Adresse angesprochen und der Dienst ist nicht mehr aus dem Internet erreichbar. Bei Diensten, die IPv6 unterstützen, gilt das entsprechend.

Image

Hosting und Cloud Services auf höchstem Niveau

Ihre IT-Projekte werden größer und komplexer?
Gleichzeitig steigen die Anforderungen an Sicherheit und Flexibilität?

Zuverlässiger Betrieb Ihrer IT-Infrastruktur ist für uns keine Rocket-Science!

Jetzt über Filoo informieren!

Beispielmail vom CERT-Bund

Und so sehen die Mails vom CERT-Bund aus:

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

[CERT-Bund#2015020428001061]

[English version below]

Sehr geehrte Damen und Herren,

Memcached[1] ist ein Open-Source Cache-Server zum einfachen Hinterlegen
und Abholen von Daten aus dem Arbeitsspeicher. Memcached wird häufig
in Verbindung mit Web-Applikationen eingesetzt. Der Memcached-Server
unterstützt keine Authentifizierung. Angreifer können dadurch beliebig
die darin gespeicherten Daten auslesen oder modifizieren, falls der
Server aus dem Internet erreichbar ist. Dies ermöglicht Angreifern u.a.
das Ausspähen von Informationen auf den betroffenen Systemen wie bspw.
Zugangsdaten zu Webapplikationen oder andere vertrauliche Inhalte.

Im Rahmen des Shadowserver 'Open Memcached Key-Value Store Scanning
Projects' werden Memcached-Server identifiziert, welche offen aus dem
Internet erreichbar sind. CERT-Bund erhält von Shadowserver die
Testergebnisse für IP-Adressen in Deutschland, um betroffene
Server-Betreiber benachrichtigen zu können.

Weitere Informationen zu den von Shadowserver durchgeführten Tests
finden Sie unter [2].

Nachfolgend senden wir Ihnen eine Liste betroffener Systeme in Ihrem
Netzbereich. Der Zeitstempel (Zeitzone UTC) gibt an, wann das System
geprüft und ein offener Memcached-Server identifiziert wurde.

Wir möchten Sie bitten, den Sachverhalt zu prüfen und Maßnahmen zur
Absicherung der Memcached-Server auf den betroffenen Systemen zu ergreifen
bzw. Ihre Kunden entsprechend zu informieren.

Falls Sie kürzlich bereits Gegenmaßnahmen getroffen haben und diese          
Benachrichtigung erneut erhalten, beachten Sie bitten den angegebenen          
Zeitstempel. Wurde die Gegenmaßnahme erfolgreich umgesetzt, sollten
Sie keine Benachrichtigung mit einem Zeitstempel nach der Umsetzung
mehr erhalten.

Referenzen:

[1] Memcached
    <http://memcached.org/>
[2] Shadowserver: Open Memcached Key-Value Store Scanning Project
    <https://memcachedscan.shadowserver.org/>

Diese E-Mail ist mittels PGP digital signiert. Informationen zu dem
verwendeten Schlüssel finden Sie auf unserer Webseite unter:
<https://www.cert-bund.de/reports-sig>

Bitte beachten Sie:
Dies ist eine automatisch generierte Nachricht.
An die Absenderadresse kann nicht geantwortet werden.
Bei Rückfragen wenden Sie sich bitte an <certbund@bsi.bund.de>.

- -----------------------------------------------------------------------

Dear Sir or Madam,

Memcached[1] is an open-source distributed memory object caching system
which is generic in nature but often used for speeding up dynamic web
applications. Memcached does not support any forms of authorization.
Thus, anyone who can connect to the memcached server has unrestricted
access to the data stored in it. This allows attackers e.g. to steal
sensitive data like login credentials for web applications or any other
kind of content stored with memcached.

The Shadowserver 'Open Memcached Key-Value Store Scanning Project'
identifies memcached servers which are openly accessible from the
Internet. Shadowserver provides CERT-Bund with the test results
for IP addresses in Germany for notification of the owners of the
affected systems.

Futher information on the tests run by Shadowserver is available
at [2].

Please find below a list of affected systems hosted on your network.
The timestamp (timezone UTC) indicates when the system was found
to be running an openly accessible memcached server.

We would like to ask you to check this issue and take appropriate
steps to secure the memcached servers on the affected systems or
notify your customers accordingly.

If you have recently solved the issue but received this notification
again, please note the timestamp included below. You should not
receive any further notifications with timestamps after the issue
has been solved.

References:

[1] Memcached
    <http://memcached.org/>
[2] Shadowserver: Open Memcached Key-Value Store Scanning Project
    <https://memcachedscan.shadowserver.org/>

This message is digitally signed using PGP.
Details on the signature key used are available on our website at:
<https://www.cert-bund.de/reports-sig>

Please note:
This is an automatically generated message.
Replying to the sender address is not possible.
In case of questions, please contact <certbund@bsi.bund.de>.

- -----------------------------------------------------------------------

Betroffene Systeme in Ihrem Netzbereich:
Affected systems on your network:

Format: ASN | IP address | Timestamp (UTC) | Port | Memcached version

 47215 | xxx.xxx.xxx.xxx   | 2015-05-03 03:21:11 | 11211 | 1.4.17


Mit freundlichen Grüßen / Kind regards
Team CERT-Bund

Bundesamt für Sicherheit in der Informationstechnik (BSI)
Federal Office for Information Security
Referat C21 - CERT-Bund
Godesberger Allee 185-189, D-53175 Bonn, Germany

-----BEGIN PGP SIGNATURE-----

,

Die besten IT-News per E-Mail

Immer als Erster über brandaktuelle IT-Themen informiert sein!

Datenschutzhinweise


Weitere Artikel zum Thema lesen

Tipps für Admins

IT Security, IT-News

Was sind Anonymisierende Proxies?

Durch die Verwendung von Anonymisierenden Proxies können Nutzer ihre Aktivitäten im Browser verstecken. Häufig werden Anonymisierende Proxies am Arbeitsplatz dazu verwendet, um Sicherheitsfilter des...

weiter lesen

Nur ein Viertel verwenden Passwort-Manager

Biz & Trends, IT Security

Nur ein Viertel verwenden Passwort-Manager

Passwort-Safes sind eine bequeme und sichere Lösung für die verschlüsselte Verwaltung von Kennwörtern für Webanwendungen.

weiter lesen

Datenpannen vermeiden – Datenschutz-Tipps fürs Büro

IT Security

Datenpannen vermeiden – Datenschutz-Tipps fürs Büro

Gastautor Istvan Lam von Tresorit gibt Tipps wie sich Datenpannen vermeiden lassen.

weiter lesen


Neueste Nachrichten von Adacor

Biz & Trends

Bei uns erhalten Bewerber schnelles Feedback

Adacor hat sich eine hohe Wertschätzung von Mitarbeitern und Bewerbern auf die Fahne geschrieben, so ist es selbstverständlich, dass Bewerber schon nach wenigen Tagen...

weiter lesen

Cloud, Hosting

Kostenvergleich: Inhouse vs Cloud

Bei der Entscheidung ob Cloud oder In-House-Lösung müssen neben der Kostenfrage, auch Qualität und Leistung analysiert werden.

weiter lesen

Biz & Trends, IT-News

IT-Branche im stetigen Wandel

Mutige Experimente, neue Ideen und viel Innovationskraft machen die IT-Branche aus, wir haben die aktuellsten Trends zusammengestellt.

weiter lesen