Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.
Wartungsarbeiten Dienstag, 24. 1. 2017
20. Jänner 2017

Am Dienstag, 24. Jänner 2017, werden wir Wartungsarbeiten an unserer Infrastruktur vornehmen. Dies wird zu Ausfällen der extern erreichbaren Services (zB Mail, Webserver, Mailinglisten) führen. Es gehen dabei keine Daten (zb Emails) verloren, die Bearbeitung kann sich allerdings verzögern.

In dringenden Fällen können sie uns wie gewohnt telephonisch unter +43 1 505 64 16 78 erreichen.

Autor: Robert Waldner

Erpressung ist (immer noch) in!
17. Jänner 2017

Das neue Jahr bringt sicherlich wieder viele technische Neuerungen und (potentiell unsägliche) Trends mit sich. Eines bleibt leider unverändert: Erpressung ist in.

Neben DDoS-Drohungen und Ransomware in allen Farben, Formen und Ausprägungen ist in letzter Zeit vermehrt das eingetreten, wovor Experten bereits lange gewarnt haben: Kriminelle haben eine enorme Anzahl an über das Internet erreichbaren, ungesicherten Datenbanksystemen (z.B. Elasticsearch, MongoDB) missbraucht und in (digitale) Geiselhaft genommen.

Das Prinzip ist, in leicht veränderter Form, altbekannt: Die in der Datenbank gespeicherten Daten werden gelöscht, und die hinterlassene Notiz instruiert den Besitzer, eine bestimmte Menge an Bitcoin (oder irgendeiner anderen Kryptowährung) zu bezahlen, um seine Daten zurückzubekommen. Es gibt jedoch einen essentiellen Unterschied.

Ransomware bringt den Tätern zum Teil deshalb so hohe Profite, weil die 'Kundenbetreuung' vergleichsweise gut funktioniert (oftmals sogar besser, als bei legitimen Technikunternehmen), und eine realistische Chance besteht, dass das Opfer seine Daten zurückbekommt. Bei den bisher gesehenen Erpressungsfällen mit offenen Datenbankinstanzen ist dies nicht der Fall. Es handelt sich, bisher, nicht um koordinierte Kampagnen, sondern eher um opportunistische Täter(gruppen).

Mit den heute verfügbaren Bandbreiten ist ein Scan über das ganze Internet kein Problem mehr, und vorgefertigte Skripte, mit denen sich eine Datenbank leerräumen lässt, sind frei im Netz verfügbar. Relativ kurz nach den ersten Vorfällen dieser Art sind bereits verschiedenste Nachahmer aufgetaucht, die sich nun gegenseitig ihre Lösegeldforderungen überschreiben.

Die Chance, dass man seine Daten wiedersieht, ist also ziemlich gering. Jedes Opfer, das daran denkt, die geforderte Summe zu zahlen, sollte sich auf jeden Fall beweisen lassen, dass die Daten wirklich im Besitz des Erpressers sind.

Dennoch konnten die Täter, laut Medienberichten, bereits über 20.000 Euro mit diesen Angriffen verdienen. Was kann man also tun, um sich gegen derlei Angriffe zu schützen?

  • Im Idealfall ist die Software nur in einem lokalen, nicht gerouteten Netz erreichbar
  • Sollte ein Zugriff über das Internet notwendig sein: Zugriffskontrollen einrichten, sei es nun durch eine Firewall oder durch ACLs innerhalb der Software; idealerweise die Verbindung durch einen VPN-Tunnel schützen
  • Regelmässige Sicherungskopien seiner Daten anlegen; dabei nicht vergessen auch den Wiederherstellungsprozess zu testen
Softwarespezifische Tipps sind bei den jeweiligen Herstellern verfügbar, zum Beispiel Elastic oder MongoDB. Im Sinne der Sicherheit seiner Daten ist es im Interesse jedes Administrators, hier jetzt zu handeln.

Autor: Alexander Riepl

Avalanche Takedown
1. Dezember 2016

Am 30. November 2016 wurde durch eine breit angelegte Kooperation von Polizei (Europol, Eurojust, FBI, ...), Staatsanwälten und IT Sicherheitsorganisationen (BSI, Shadowserver, CERTs) das Avalanche Botnet übernommen.

Die Zahlen von Shadowserver sind eindrucksvoll:

Jurisdictions: 30
Arrests: 5
Premises searched: 37
Servers seized: 39
Servers taken offline through abuse reports: 221
Countries with victim IP's: 180+
Domains blocked or delegated to Shadowserver's sinkholes: Over 800,000 in 60+ TLDs

CERT.at war nur am Rande involviert, wir werden aber - wie immer in diesen Fällen - die über die Sinkholes gewonnen Daten über Infektionen an die Netzbetreiber weitergeben.

Update (1. Dez. 18:30): Inzwischen haben wir den ersten Datensatz erhalten, danach sind in Österreich 711 IP-Adressen betroffen. Diese verteilen sich so auf die einzelne Schädlinge:

2016-12-01-avalanche

Autor: Otmar Lendl

Port 7547 in Österreich
30. November 2016

[Update am 1.12.2016]

In der Zeit seit meinem letzten Blogpost zu Mirai/TR-069 sind ein paar neue Informationen dazugekommen:

  • Jemand hat den Mirai Botnet Code so angepasst, dass Mirai auch eine Schwachstelle in der Implementation der Fernwartungsprotokolle TR-064 und TR-069 von diversen DSL/Kabel-Modems ausnutzen kann, um sich weiterzuverbreiten.
  • In Deutschland hat es viele Telekom-Kunden erwischt: inzwischen ist aber klar, dass die betroffenen CPEs gar nicht Mirai-infiziert waren, sondern dass diese das Scannen auf Port 7547 nicht ausgehalten haben und es so zu den Ausfällen gekommen ist.
  • International wurden uns durchaus schon Infektionswellen gemeldet. Dabei dürften Zyxel AMG1202, AMG1302 und P-660H beteiligt sein. Welche Firmware-Versionen relevant sind, wissen wir nicht.
  • Neben Port 7547 wird auch der Port 5555 gescannt. Manche Geräte/ISPs verwenden diesen Port für TR-069.
  • Wir stehen im Kontakt mit den österreichischen ISPs. Nach unseren vorläufigen Erkenntnissen gibt es keine Masseninfektionen durch diese Schadsoftware in Österreich.
  • Es gibt Berichte, dass auch aus Österreich Scan-Aktivitäten in Richtung Port 7547 beobachtet werden. Das kann gut Mirai sein, die Infektion muss aber nicht notwendigerweise auch über genau diesen Exploit passiert sein.

Shodan testet schon länger das ganze Internet auf erreichbare Dienste, u.A. auch TR-069 auf Port 7547. Uns wurde das Ergebnis einer Abfrage bei Shodan für "Österreich und Port 7547" zugespielt (danke!). Hier ist eine Zusammenfassung der Erkenntnisse:

In Summe meldet Shodan aktuell 52.314 IP-Adressen in AT, die auf Port 7547 auf Webanfragen antworten. Das dürfte fast alles TR-069 sein. Shodan testet nicht alles an einem Tag durch, sondern benötigt Wochen für seine Scans. Es kann daher sein, dass die dynamische Vergabe von IP-Adressen dieses Ergebnis verzerrt.

Wichtig ist weiters hier anzumerken, dass Shodan erreichbare Server meldet, aber nicht zwischen verwundbaren bzw. sicheren unterscheidet.

Wie verteilen sich die IP-Adressen auf ISPs? Rund 48.000 (also rund 92%) sind bei einem ISP, ein weiterer hat rund 3.300 (6%), der nächste hat schon nur noch 150 erreichbare TR-069 IP-Adressen. In Summe werden IP-Adressen aus 52 Autonomen Systemen (ISPs) gemeldet.

Diese Zahlen sind zu klein, als dass alle Kunden eines der ISPs betroffen sein könnten. Andererseits sind sie zu hoch, als dass man sie durch vom Kunden selbst gekaufte Modems erklären könnte. Ich gehen also davon aus, dass manche Chargen von CPEs, die in den letzten 15 Jahren an die Kunden verschickt wurden, den Management-Port nach außen offen haben. Ob diese providerseitig mit neuer Firmware/Konfiguration ausgestattet werden können, ist leider fraglich. Gerade dafür würde man ja TR-069 im Management-Netz brauchen.

Welche Modems sind denn das?

In den Shodan-Daten sind die HTTP-Header enthalten. Dort gibt es zwei Felder, die Aufschluss über das Gerät geben können (aber nicht müssen). Manche TR-069 Implementationen schicken einen "Server:" Header mit. Das ist bei 511 IP-Adressen der Fall gewesen. Mehr als ein mal sehen wir:

2016-11-30-tr069-server

Andere TR-069 Implementationen schicken im Authentication-Realm die Information mit, was sie für ein Gerät sind. Hier liefern rund 19.000 IP-Adressen keine sinnvolle Information, die anderen ergeben folgendes Bild:

2016-11-30-tr069-realm

Das sind also fast ausschließlich Thomson CPEs.

Weitere Links:

Autor: Otmar Lendl

Nächste >>
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Update: Kritische Sicherheitslücke in PHPmailer - betrifft u.a. Wordpress, Drupal, Joomla
27. Dezember 2016 | Update: ...
Update: Kritische Sicherheitslücke in Mozilla Firefox - aktiv ausgenützt - Patch jetzt verfügbar
30. November 2016 | ...
mehr ...
Wartungsarbeiten Dienstag, 24. 1. 2017
20. Jänner 2017 | Am ...
Erpressung ist (immer noch) in!
17. Jänner 2017 | Das ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2017/1/20 - 19:16:36
Haftungsausschluss