Vulnerable

Accessible AMQP

Beschreibung

AMQP (Advanced Message Queuing Protocol) ist ein offenes Internetprotokoll, das für den Nachrichtenaustausch in Unternehmen entwickelt wurde. Außerdem wird es für die Verwaltung von IoT-Geräten eingesetzt.

Risiken

  • Angreifer können durch Ausnutzen gewisser Schwachstellen die Authentifizierung umgehen, remote Code ausführen oder andere Angriffe wie DoS Attacken auf andere Geräte starten.

Behebung

  • Verwenden Sie Verschlüsselungen wie TLS.
  • Beschränken Sie den Zugriff auf interne Netzwerke.
  • Wenn Zugriffe von außerhalb unbedingt notwendig sind, verwenden Sie ein VPN.

https://www.shadowserver.org/what-we-do/network-reporting/accessible-amqp-report/ (Englisch)

Accessible Android Debug Bridge

Beschreibung

Die Android Debug Bridge (ADB) ist ein Programmiertool zum Debuggen von Android basierten Geräten. Dieser Dienst läuft standardmäßig auf Port 5555/TCP und sollte nicht aus dem Internet erreichbar sein.

Risiken

  • Angreifer können remote ein Adminterminal öffnen und somit auf nahezu alles zugreifen.

Behebung

  • Deaktivieren des Dienstes, wenn er nicht unbedingt benötigt wird.
  • Beschränken Sie den Zugriff auf interne Netzwerke.
  • Wenn Zugriffe von außerhalb unbedingt notwendig sind, verwenden Sie ein VPN.

https://www.shadowserver.org/what-we-do/network-reporting/accessible-adb-report/ (Englisch)

Accessible Apple Filing Protocol

Beschreibung

Das Apple Filing Protocol (AFP) ist ein Netzwerkprotokoll von Apple, das Rechnern mit den Betriebssystemen Mac OS oder macOS den Dateizugriff über ein Netzwerk ermöglicht.

Risiken

  • Angreifer können die Authentifizierung umgehen und alle Daten lesen.

Behebung

  • Deaktivieren des Dienstes, wenn er nicht unbedingt benötigt wird.
  • Beschränken Sie den Zugriff auf interne Netzwerke.
  • Wenn Zugriffe von außerhalb unbedingt notwendig sind, verwenden Sie ein VPN.

https://www.shadowserver.org/what-we-do/network-reporting/accessible-afp-report/ (Englisch)

Accessible Apple Remote Desktop

Beschreibung

Apple Remote Desktop (ARD) ist ein remote access tool, mit dem Administratoren Mac Computer über ein Netzwerk fernsteuern, darauf zugreifen und managen können.

Risiken

  • Angreifer können diesen Service für Amplification DDoS Angriffe nutzen.
  • Angreifer können an vertrauliche Informationen gelangen.

Behebung

  • Deaktivieren des Dienstes, wenn er nicht unbedingt benötigt wird.
  • Beschränken Sie den Zugriff auf interne Netzwerke.
  • Wenn Zugriffe von außerhalb unbedingt notwendig sind, verwenden Sie ein VPN.

https://www.shadowserver.org/what-we-do/network-reporting/accessible-apple-remote-desktop-ard-report/ (Englisch)

Accessible Cisco Smart Install

Beschreibung

Cisco Smart Install ist ein Legacy-Feature in manchen Cisco Switches, das eine automatische Konfiguration neuer Switches ermöglicht. Cisco weist explizit darauf hin, dass diese Funktionalität nur aus vertrauenswürdigen Netzwerken erreichbar sein darf, da es keinerlei Authentifikation gibt. Per Default lauscht Cisco Smart Install auf Port 4786/TCP.

Risiken

  • Kriminelle können über Ihren Switch über Cisco Smart Install vollständig übernehmen, also z.B. beliebige Kommandos auführen oder sogar das Betriebssystem ersetzen.

Behebung

  • Deaktivieren Sie Cisco Smart Install nach erfolgter Installation, wenn es nicht unbedingt benötigt wird.
  • Beschränken Sie den Zugriff auf interne Netzwerke.
  • Wenn Zugriffe von außerhalb unbedingt notwendig sind, verwenden Sie ein VPN.

Ciscos PSIRT (Product Security Incident Response Team) hat ein Advisory[0] und einen Blogpost[1] veröffentlicht, die die Best Practice beim Umgang mit Cisco Smart Install beschreiben.

[0]: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170214-smi (englisch)
[1]: https://blogs.cisco.com/security/cisco-psirt-mitigating-and-detecting-potential-abuse-of-cisco-smart-install-feature (englisch)

Accessible CoAP

Beschreibung

Das Constrained Application Protocol (CoAP) ist ein Web-Übertragungsprotokoll das speziell für das Internet-of-Things (IoT) und für Embedded Systems entwickelt wurde und ist daher hervorragent für die Machine-to-Machine (M2M)-Kommunikation in verscheidensten Anwendungen wie intelligentem Energiemanagement und Gebäudeautomatisierungstechnik geeignet.

Risiken

  • Angreifer können diesen Service bei Amplification DDoS Angriffe als Reflektor benutzen.
  • Angreifer können authentifiziert remote Code ausführen.

Behebung

  • Deaktivieren des Dienstes, wenn er nicht unbedingt benötigt wird.
  • Beschränken Sie den Zugriff auf interne Netzwerke.
  • Wenn Zugriffe von außerhalb unbedingt notwendig sind, verwenden Sie ein VPN.

https://www.shadowserver.org/what-we-do/network-reporting/accessible-coap-report/ (Englisch)

Accessible CouchDB

Beschreibung

Aus dem öffentlichen Internet erreichbare Apache CouchDB Instanzen, die auf Port 5984/tcp lauschen.[0]

Risiken

  • Kriminelle können diese Geräte eventuell als Einfallstor in interne Netzwerke missbrauchen.

Behebung

  • Beschränken Sie den Zugriff auf interne Netzwerke.
  • Wenn Zugriffe von außerhalb unbedingt notwendig sind, verwenden Sie ein VPN.

[0]: https://www.shadowserver.org/what-we-do/network-reporting/accessible-couchdb-report/ (englisch)

Accessible DVR DHCPDiscover

Beschreibung

DHCPDiscover ist ein Netzwerkprotokoll, das zum managen von vernetzen DVRs (Digital Video Recorders). Dieser Dienst läuft standardmäßig auf Port 37810/TCP und sollte nicht aus dem Internet erreichbar sein.

Risiken

  • Angreifer können diesen Dienst für Amplification DDoS Attacken verwenden.

Behebung

  • Beschränken Sie den Zugriff auf interne Netzwerke.
  • Wenn Zugriffe von außerhalb unbedingt notwendig sind, verwenden Sie ein VPN.
  • Deaktivieren des Dienstes, wenn er nicht unbedingt benötigt wird.

https://www.shadowserver.org/what-we-do/network-reporting/open-dvr-dhcpdiscover-report/ (Englisch)

Accessible Docker Service

Beschreibung

Docker ist eine Software, mit der Anwendungen in leichtgewichtige Container verpackt werden können, so dass die Anwendung in verschiedenen Umgebungen effizient und isoliert laufen kann. Dieser Dienst läuft standardmäßig auf Port 2375/TCP und sollte nicht aus dem Internet erreichbar sein. [0]

Risiken

  • Kriminelle können diese Geräte eventuell als Einfallstor in interne Netzwerke missbrauchen.
  • Durch das Ausnutzen einer Schwachstelle können Angreifer Administrator(Root)-Rechte auf dem Host-System erhalten.

Behebung

  • Beschränken Sie den Zugriff auf interne Netzwerke.
  • Wenn Zugriffe von außerhalb unbedingt notwendig sind, verwenden Sie ein VPN.

[0]: https://www.shadowserver.org/what-we-do/network-reporting/accessible-docker-service-report/ (englisch)

Accessible Erlang Port Mapper Daemon

Beschreibung

Der Erlang Port Mapper Daemon (EPMD) ist eine wichtige Komponente in der Erlang-Laufzeitumgebung,  die die Kommunikation zwischen verteilten Erlang-Knoten erleichtert. Dieser Dienst sollte nicht aus dem Internet erreichbar sein.

Risiken

  • Angreifer könnten durch Ausnutzen von Schwachstellen remote Code ausführen.

Behebung

  • Deaktivieren des Dienstes, wenn er nicht unbedingt benötigt wird.
  • Beschränken Sie den Zugriff auf interne Netzwerke.
  • Wenn Zugriffe von außerhalb unbedingt notwendig sind, verwenden Sie ein VPN.

https://www.shadowserver.org/what-we-do/network-reporting/accessible-erlang-port-mapper-report-daemon/  (Englisch)

Accessible FTP

Wir informieren nur über die Instanzen mit bekannten Schwachstellen.

https://www.shadowserver.org/what-we-do/network-reporting/accessible-ftp-report/ (Englisch)

Accessible Hadoop

Beschreibung

Apache Hadoop ist eine für Computer-Cluster entwickelte Software, die eine verteilte Verarbeitung von riesigen Datenmengen (Big Data) ermöglicht.

Risiken

  • Angreifer können durch gezieltes Ausnutzen von Schwachstellen die Daten lesen und manipulieren.

Behebung

  • Beschränken Sie den Zugriff auf interne Netzwerke.
  • Wenn Zugriffe von außerhalb unbedingt notwendig sind, verwenden Sie ein VPN.

https://www.shadowserver.org/what-we-do/network-reporting/accessible-hadoop-report/ (Englisch)

Accessible ICS

Beschreibung

Aus dem öffentlichen Internet erreichbare Geräte, die auf ICS (Industrial Control System) Protokolle wie z.B. Siemens S7, BACnet oder Modbus antworten.[0]

Risiken

  • Kriminelle können diese Geräte eventuell als Einfallstor in interne Netzwerke missbrauchen und ggf. Sensoren auslesen oder Industrieanlagen manipulieren.

Behebung

  • Beschränken Sie den Zugriff auf interne Netzwerke.
  • Wenn Zugriffe von außerhalb unbedingt notwendig sind, verwenden Sie ein VPN.

[0]: https://www.shadowserver.org/what-we-do/network-reporting/accessible-ics-report/ (englisch)

Accessible Kubernetes API

Beschreibung

Kubernetes API die mit "200 OK HTTP" auf Anfragen antworten.[0]

Risiken

  • Ermöglicht es Informationen über die Version zu erhalten.

Behebung

  • Authorisierten Zugriff einrichten.
  • Auf Firewall blockieren.

[0]: https://www.shadowserver.org/what-we-do/network-reporting/accessible-kubernetes-api-server-report (englisch)

Accessible MSMQ

Beschreibung

Microsoft Message Queuing (MSMQ) ist eine Messaging-Infrastruktur und Entwicklungsplattform, die für die Erstellung verteilter Messaging-Anwendungen für Windows-Betriebssystem konzipiert ist. Mit MSMQ können Anwendungen über verschiedene Netze hinweg kommunizieren, selbst wenn bestimmte Computer offline sind. Diese Technologie bietet mehrere Schlüsselfunktionen, darunter garantierte Nachrichtenzustellung, effizientes Routing, Unterstützung und die Möglichkeit Nachrichten nach ihrer Wichtigkeit zu priorisieren.

Risiken

  • Angreifer können ohne die nötigen Berechtigungen remote Code ausführen.

Behebung

  • Deaktivieren des Dienstes, wenn er nicht unbedingt benötigt wird.
  • Beschränken Sie den Zugriff auf interne Netzwerke.
  • Wenn Zugriffe von außerhalb unbedingt notwendig sind, verwenden Sie ein VPN.

[0]: https://www.shadowserver.org/what-we-do/network-reporting/accessible-msmq-service-report/

Accessible MySQL Server

Beschreibung

MySQL Server läuft standardmäßig auf Port 3306/TCP. Diese Server sollten im Normalfall nicht aus dem öffentlichen Internet erreichbar sein.

Risiken

  • Kriminelle können versuchen Zugriff auf die Daten in der Datenbank zu erhalten um Informationen zu stehlen; zumindest aber können sie Informationen über den SQL-Server auslesen.

Behebung

  • Beschränken Sie den Zugriff auf interne Netzwerke.
  • Wenn Zugriffe von außerhalb unbedingt notwendig sind, verwenden Sie ein VPN.

[0]: https://www.shadowserver.org/what-we-do/network-reporting/accessible-mysql-server-report/ (englisch)

Accessible PostgreSQL Server Report

Beschreibung

PostgreSQl ist ein weit verbreiteter Datnebankserver der stantadmäßig auf Port 5432/TCp läuft und nicht aus dem öffentlichen Internet erreichbar sein sollte.

Risiken

  • Ohne extra Authentifizierung oder bei Verwendung der Standartpasswörter können Angreifer remote Access erlangen.

Behebung

  • Beschränken Sie den Zugriff auf interne Netzwerke.
  • Wenn Zugriffe von außerhalb unbedingt notwendig sind, verwenden Sie ein VPN.

https://www.shadowserver.org/what-we-do/network-reporting/accessible-postgresql-server-report/ (Englisch)

Accessible Radmin

Beschreibung

Radmin ist ein remote access tool, mit dem ein Benutzer Computer über ein Netzwerk fernsteuern, darauf zugreifen und managen kann.

Risiken

  • Unerlaubter Zugriff bzw. unauthentifizierte Zugriffe.

Behebung

  • Beschränken Sie den Zugriff auf interne Netzwerke.
  • Wenn Zugriffe von außerhalb unbedingt notwendig sind, verwenden Sie ein VPN.

https://www.shadowserver.org/what-we-do/network-reporting/accessible-radmin-report/ (Englisch)

Accessible RDP

Beschreibung

RDP (Remote Desktop Protocol) ist ein Microsoft-Protokoll das per default auf 3389/UDP und 3389/TCP lauscht und über das Nutzer*innen sich remote zu anderen Computern verbinden können. Häufig wird es auch zur Administration verwendet. RDP-Server sollten nicht aus dem offenen Internet erreichbar sein.

Risiken

  • Angreifer*innen können versuchen mit Brute-force Attacken[0] Zugriff auf den Server zu erhalten. Gelingt dies, können sie alle Aktionen setzen, zu denen der geknackte Account berechtigt ist und evtl. sensible Daten stehlen sowie Informationen über das interne Netzwerk erhalten.
  • Fehlerhaft konfigurierte Server sind für Monster-In-The-Middle (MITM) Angriffe anfällig.[1]

Behebung

  • Wenn möglich, beschränken Sie den Zugriff auf RDP-Server auf interne Netzwerke.
  • Ist Remote-Zugriff notwendig, verwenden Sie ein VPN, sperren Sie Accounts nach mehreren fehlgeschlagenen Login-Versuchen,[2] erzwingen Sie starke Passwörter und verwenden Sie wenn möglich Multi-Faktor Authentifizierung[3].

[0]: https://en.wikipedia.org/wiki/Brute-force_attack (englisch)
[1]: https://www.exploit-db.com/docs/english/41621-attacking-rdp---how-to-eavesdrop-on-poorly-secured-rdp-connections.pdf (englisch)
[2]: https://blogs.technet.microsoft.com/secguide/2014/08/13/configuring-account-lockout/ (englisch)
[3]: https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-mfa-nps-extension-rdg (englisch)

Accessible Rsync Service

Beschreibung

Rsync ist ein Programm das die Synchronisation eines Files innerhalb eine Netzes ermöglicht. Dieser Dienst läuft standardmäßig auf Port 873/TCP, sollte nicht aus dem Internet erreichbar sein und nicht ohne Passwort erreichbar sein.

Risiken

  • Bei falscher Konfiguration können Angreifer an sensible Daten gelangen.

Behebung

  • Beschränken Sie den Zugriff auf interne Netzwerke.
  • Wenn Zugriffe von außerhalb unbedingt notwendig sind, verwenden Sie ein VPN.
  • Deaktivieren des Dienstes, wenn er nicht unbedingt benötigt wird.
  • Halten Sie sich bei der Konfiguration an die Best-Practices vom Hersteller.

https://www.shadowserver.org/what-we-do/network-reporting/accessible-rsync-report/ (Englisch)

Accessible Session Traversal Utilities for NAT

Beschreibung

Das Session Traversal Utilities for NAT (STUN) ist ein Protokoll das die Verbindung zwischen zwei Geräten, welche sich hinter einem NAT befinden, herzustellen. Dieser Dienst läuft standardmäßig auf Port 3478/UDP und sollte nicht aus dem Internet erreichbar sein.

Risiken

  • Dieser Dienst kann für Amplification DDoS Attacken verwendet werden.

Behebung

  • Konfigurieren Sie STUN so, dass es standardmäßig TCP anstelle von UDP verwendet.
  • Beschränken Sie den Zugriff auf interne Netzwerke.
  • Wenn Zugriffe von außerhalb unbedingt notwendig sind, verwenden Sie ein VPN.

https://www.shadowserver.org/what-we-do/network-reporting/accessible-stun-service-report/ (Englisch)

Accessible SIP

Beschreibung

Das Session Initiation Protocol (SIP) ist in Kommunikationssystemen weit verbreitet, um Multimedia-Sitzungen aufzubauen, zu ändern und zu beenden. Es ermöglicht die Initiierung von Sprach-, Video- und Messaging-Anwendungen über IP-Netze. SIP erleichtert die Kommunikation zwischen verschiedenen Geräten und Plattformen. Es unterstützt Dienste wie Internet-Telefonie, private IP-Telefonsysteme und Mobiltelefonie über LTE (VoLTE). Seine Client-Server-Architektur und seine Flexibilität machen es zu einer beliebten Wahl für Echtzeit-Kommunikationsprotokolle.

Risiken

  • Zu den potenziellen Bedrohungen im Zusammenhang mit SIP gehören der unbefugte Zugriff auf Kommunikationssitzungen, Imitationsangriffe, das Abhören sensibler Informationen und Amplification DDoS Angriffe.

Behebung

  • Beschränken Sie den Zugriff wenn möglich auf interne Netzwerke.
  • Ist Remote-Zugriff notwendig, verwenden Sie ein VPN, verwenden Sie starke Passwörter und halten Sie sich an Best Practices.

https://www.shadowserver.org/what-we-do/network-reporting/accessible-sip-report/ (Englisch)

Accessible SLP Service

Beschreibung

Das Service Location Protocol (SLP), auch bekannt als srvloc, ist ein Protokoll, das für die Ermittlung von Diensten in einem lokalen Netz (LAN) entwickelt wurde. Sein Zweck ist es, Computer und verschiedene Geräte in die Lage zu versetzen, die in ihrer Netzwerkumgebung verfügbaren Dienste zu finden.

Risiken

  • Angreifer können diese Geräte für Amplification DDoS Angriffe missbrauchen. In Diensten, die das Service Location Protocol (SLP) verwenden, wie openSLP, wurden mehrere Schwachstellen festgestellt. Ein nennenswertes Beispiel ist VMware ESXi.

Behebung

  • Beschränken Sie den Zugriff auf interne Netzwerke.
  • Wenn Zugriffe von außerhalb unbedingt notwendig sind, verwenden Sie ein VPN.
  • Deaktivieren des Dienstes, wenn er nicht unbedingt benötigt wird.

https://www.shadowserver.org/what-we-do/network-reporting/accessible-slp-service-report/ (Englisch)

Accessible SMB

Beschreibung

SMB (Server Message Block) ist ein Protokoll um Zugriff auf Daten über das Netzwerk zu ermöglichen. Server lauschen per Default auf Port 445/TCP. Sie sollten nicht über das offene Internet zugänglich sein.

Risiken

  • Über die Jahre gab es immer wieder Schwachstellen in der Implementierung von SMB, die teilweise verhehrende Folgen hatten.[0] Aus dem Internet erreichbare Server bieten dafür besonders leichte Ziele.
  • Kriminelle können versuchen durch Brute-force Angriffe[1] in offene Server einzubrechen und im Erfolgsfall sensible Daten stehlen.
  • Je nach Konfiguration können sich noch weitere Angriffsvektoren ergeben.

Behebung

  • Beschränken Sie den Zugriff wenn möglich auf interne Netzwerke.
  • Ist Remote-Zugriff notwendig, verwenden Sie ein VPN, verwenden Sie starke Passwörter und halten Sie sich an Best Practices[2].

[0]: https://de.wikipedia.org/wiki/WannaCry
[1]: https://en.wikipedia.org/wiki/Brute-force_attack (englisch)
[2]: https://www.us-cert.gov/ncas/current-activity/2017/01/16/SMB-Security-Best-Practices (englisch)

Accessible SOCKS 4/5 Proxy

Beschreibung

Das SOCKS-Protokoll ist ein Internet-Protokoll, das Client-Server-Anwendungen erlaubt, protokollunabhängig und transparent die Dienste eines Proxyservers zu nutzen. Dieser Dienst läuft standardmäßig auf Port 1080/TCP.

Risiken

  • Offene SOCKS-Server ohne Authentifizierung können von Angreifern missbraucht werden.

Behebung

  • Halten Sie sich bei der Konfiguration von SOCKS-Servern an die Best-Practices vom Hersteller.
  • Deaktivieren des Dienstes, wenn er nicht unbedingt benötigt wird.

[0]: https://www.shadowserver.org/what-we-do/network-reporting/accessible-socks4-5-proxy-report/

Accessible Telnet

Beschreibung

Telnet ist ein veraltetes Protokoll dessen Server per Default auf Port 23/TCP lauscht. Es wurde und wird teilweise noch heute zur Administration v.a. von Netzwerkgeräten verwendet. Da es über keinerlei Verschlüsselung verfügt sollte es nur dort zum Einsatz kommen, wo es keine Alternative gibt und auch dann nur innerhalb des eigenen Netzwerks erreichbar sein.

Risiken

  • Telnet verschickt alle Daten -- auch Accountnamen und Passwörter -- in Plaintext. Dementsprechen kann jede*r die/der Netzwerkpakete sniffen kann diese Informationen auslesen und sich damit anschließend in die betroffenen Systeme einloggen. Da Telnet v.a. zu administrativen Zwecken genutzt wird, haben solche Accountübernahmen oft verhehrende Folgen.
  • Wenn eine Maschine unbeabsichtigt über Telnet aus dem öffentlichen Internet erreichbar ist und die (oft allgemein bekannten) ab Werk Zugangsdaten nicht geändert wurden, können Angreifer*innen sich problemlos Zugriff auf solche Geräte verschaffen.

Behebung

  • Steigen Sie auf verschlüsselte Protokolle wie SSH um wenn das vom Device unterstützt wird.
  • Beschränken Sie den Zugriff auf interne Netzwerke, sofern das möglich ist.
  • Sollte Remote-Zugriff notwendig sein, verwenden Sie ein VPN über das nur berechtigte Personen den Server erreichen können.

[0]: https://en.wikipedia.org/wiki/Brute-force_attack (englisch)

Accessible Ubiquiti Service Discovery

Beschreibung

Geräte der Firma Ubiquiti setzen auf ein Discovery Protokoll, um andere Ubiquiti Geräte innerhalb des Netzwerks automatisch zu erkennen, das per Default auf Port 10001/UPD (bei neueren Versionen auch 10001/TCP) lauscht. Dieser Service sollte nicht aus dem öffentlichen Internet erreichbar sein.

Risiken

  • Der Service ermöglicht es, zahlreiche Informationen über das System ohne Authentifizierung auszulesen.
  • Schwachstellen in älteren Firmware Versionen ermöglich(t)en automatisierte Kompromittierungen der betroffenen Geräte.[0][1] Sollten Sie eine CSV Datei erhalten haben, die in der Spalte classification.taxonomy das Wort intrusion enthält, ist Ihr System unseren Informationen zufolge bereits übernommen worden und es besteht dringender Handlungsbedarf.
  • Kriminelle können diese Geräte für UDP Amplification DDoS Angriffe[2] missbrauchen.

Behebung

  • Beschränken Sie den Zugriff auf interne Netze oder VPNs. Eine Anleitung zur korrekten Konfiguration finden Sie auf der Webseite von Ubiquiti[3].

[0]: https://www.zdnet.com/article/over-485000-ubiquiti-devices-vulnerable-to-new-attack/ (englisch)
[1]: https://blog.rapid7.com/2019/02/01/ubiquiti-discovery-service-exposures/ (englisch)
[2]: https://www.us-cert.gov/ncas/alerts/TA14-017A (englisch)
[3]: https://help.ui.com/hc/en-us/articles/204976244-EdgeRouter-UBNT-Device-Discovery (englisch)

Accessible VNC

Beschreibung

Das Virtual Network Computing (VNC) ist eine Software um remote auf Rechner zuzugreifen. Dieser Dienst läuft standardmäßig auf Port 5900/TCP und 5901/TCP und sollte nicht aus dem Internet erreichbar sein.

Risiken

  • Angreifer können remote unauthentifiziert Code ausführen.

Behebung

  • Deaktivieren des Dienstes, wenn er nicht unbedingt benötigt wird.
  • Beschränken Sie den Zugriff auf interne Netzwerke.
  • Wenn Zugriffe von außerhalb unbedingt notwendig sind, verwenden Sie ein VPN.

https://www.shadowserver.org/what-we-do/network-reporting/accessible-vnc-report/ (Englisch)

Accessible WS-Discovery Service

Beschreibung

Web Services Dynamic Discovery (WS-Discovery) definiert ein Multicast Protokoll, dass andere Dienste im lokalen Netzwerk lokalisieren soll. Dieser Dienst läuft standardmäßig auf Port 3702/UDP und sollte nicht aus dem Internet erreichbar sein.

Risiken

  • Der Dienst ist bekannt für einen hohen Amplification Faktor und kann daher Für DDoS Attacken missbraucht werden.

Behebung

  • Beschränken Sie den Zugriff auf interne Netzwerke.
  • Wenn Zugriffe von außerhalb unbedingt notwendig sind, verwenden Sie ein VPN.
  • Deaktivieren des Dienstes, wenn er nicht unbedingt benötigt wird.

https://www.shadowserver.org/what-we-do/network-reporting/accessible-ws-discovery-service-report/ (Englisch)

Accessible XDMCP Service

Beschreibung

Das XDMCP (X Display Manager Control Protocol) ist der Kommunikationsprotokoll zwischen einem X-Server und dem X Display-manager.

Risiken

  • Das Protokoll kann Informationen über das Host-System verraten.
  • Es kann für Amplification DDoS Angriffe verwendet werden.

Behebung

  • Beschränken Sie den Zugriff auf interne Netzwerke.
  • Wenn Zugriffe von außerhalb unbedingt notwendig sind, verwenden Sie ein VPN.
  • Deaktivieren des Dienstes, wenn er nicht unbedingt benötigt wird.

https://www.shadowserver.org/what-we-do/network-reporting/accessible-xdmcp-service-report/ (Englisch)

DDoS Middlebox

Beschreibung

Verwundbare Middleboxes (Firewalls, Intrusion Detection Systems, Load Balancers, etc.) können für einen TCP Reflection DDoS Angriff missbraucht werden. [0]

Risiken

  • Abhängig von der Konfiguration und Art der eingesetzten Middlebox lässt sich durch den potentiell sehr hohen Verstärkungsfaktor eine DDoS-Attacke mit hohem Volumen ausführen. [1]

Behebung

  • Rekonfigurieren der betroffenen Middlebox, Anpassen von Firewall oder IDS-Regeln um entsprechende Pakete zu verwerfen. [2]

[0]: https://www.shadowserver.org/news/over-18-8-million-ips-vulnerable-to-middlebox-tcp-reflection-ddos-attacks/ (englisch)
[1]: https://www.usenix.org/system/files/sec21fall-bock.pdf (englisch)
[2]: https://www.akamai.com/blog/security/tcp-middlebox-reflection (englisch)

DDoS Participant

Beschreibung

Ein Distributed Denial of Service (DDoS)-Angriff ist ein Cyberangriff, bei dem ein Zielserver von mehreren Geräten gleichzeitig mit vielen unnötigen Anfragen bombardiert wird und dadurch mit einer Flut von Datenverkehr überschwemmt wird.

Risiken

  • DDoS-Angriff können aufgrund des gewaltigen Datenverkehrsaufkommens zu Netzüberlastungen und Unterbrechungen bei Onlinediensten führen. Dies geschieht durch die Auslastung von Netzwerkressourcen wie Bandbreite, Verarbeitungsleistung und Speicher.

Behebung

  • Beschränken Sie den Zugriff gefährdete Dienste auf interne Netzwerke.
  • Wenn Zugriffe von außerhalb unbedingt notwendig sind, verwenden Sie ein VPN.

https://www.shadowserver.org/what-we-do/network-reporting/ddos-participant-report/ (Englisch)

Honeypot Brute Force Events

Beschreibung

Ein Brute-Force Angriff ist eine Angriffsmethode bei der wahllos jede mögliche Kombination probiert wird bis man das Passwort erraten hat. Die Dauer dieses Erratens stiegt mit der Länge und Komplexität des Passwortes.

Risiken

  • Werden einfache und zu kurze Passwörter verwendet, können sie mit modernen Computern innerhalb kürzester Zeit erraten werden.

Behebung

  • Verwenden Sie Passwörter die möglichst lang sind und nach Möglichkeit aus verschiedenen Zeichengruppen (Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen, ...) bestehen.

https://www.shadowserver.org/what-we-do/network-reporting/honeypot-brute-force-events-report/ (Englisch)

Honeypot DDoS Amplification Events

Beschreibung

Ein Amplification-DDoS-Angriff ist ein Cyberangriff, bei dem Angreifer bestimmte Protokolle oder Dienste ausnutzen, um ein größeres Volumen an Angriffsverkehr zu erzeugen. Sie senden kleine Anfragen an öffentlich zugängliche Server oder Dienste, die daraufhin mit deutlich größeren Antworten reagieren. Indem der Angreifer die Quell-IP-Adresse fälschen, werden diese verstärkten Antworten an das Netzwerk des Opfers gerichtet, das dadurch mit einer Flut von Datenverkehr überschwemmt wird.

Risiken

  • Amplification-DDoS-Angriff können aufgrund des gewaltigen Datenverkehrsaufkommens zu Netzüberlastungen und Unterbrechungen bei Onlinediensten führen. Dies geschieht durch die Auslastung von Netzwerkressourcen wie Bandbreite, Verarbeitungsleistung und Speicher.

Behebung

  • Beschränken Sie den Zugriff gefährdete Dienste auf interne Netzwerke.
  • Wenn Zugriffe von außerhalb unbedingt notwendig sind, verwenden Sie ein VPN.

https://www.shadowserver.org/what-we-do/network-reporting/honeypot-amplification-ddos-events-report/ (Englisch)

Loop DoS

https://www.shadowserver.org/what-we-do/network-reporting/high-loop-dos-report/ (Englisch)

Netcore/Netis Router Vulnerability Scan

Beschreibung

Netcore oder auch Netis genant ist ein Hersteller für Netzwerkkomponenten wie Router oder Switches. Manche dieser Geräte weißen jedoch Schwachstellen auf, die unter Andern in Diensten die auf Port 53413/UDP laufen auftreten.

Risiken

  • Angreifer können so Zugriff auf das Netzwerk erlangen.

Behebung

  • Das betroffene Gerät austauschen oder (falls vorhanden) Firmwareupdates einspielen.

https://www.shadowserver.org/what-we-do/network-reporting/netcore-netis-router-vulnerability-scan-report/ (Englisch)

NTP Monitor

Beschreibung

Das Network Time Protocol (NTP) ist ein Protokoll zur Synchronisierung der Uhrzeit in Computersystemen.

Risiken

  • Angreifer können NTP Server für Amplification DDoS Attacken missbrauchen.

Behebung

  • Verwenden Sie eine Firewall um den Netzwerkverkehr bestmöglich zu filtern.

https://www.shadowserver.org/what-we-do/network-reporting/ntp-monitor-report/ (Englisch)

NTP Version

Beschreibung

NTP, das Network Time Protocol, ist ein Protokoll mit dem Computer über das Netzwerk ihre Zeiteinstellung synchronisieren können. Server lauschen per Default auf Port 123/UDP oder 123/TCP. Ob NTP aus dem öffentlichen Internet erreichbar sein soll, ist je nach Situation unterschiedlich.

Risiken

  • NTP-Server können von Kriminellen je nach Konfiguration auf bis zu zwei unterschiedliche Arten für UDP Amplification DDoS Angriffe[0] missbraucht werden, und zwar über eine Modus 6 Anfrage nach READVAR[1] oder eine Modus 7 Anfrage nach MON_GETLIST_1[2].

Behebung

  • Beschränken Sie den Zugriff wenn möglich auf interne Netzwerke oder VPNs.
  • Ist ein Zugriff aus dem öffentlichen Internet erwünscht, achten Sie auf die korrekte Konfiguration.[3][4][5]

[0]: https://www.us-cert.gov/ncas/alerts/TA14-017A (englisch)
[1]: https://scan.shadowserver.org/ntpversion/ (englisch)
[2]: https://scan.shadowserver.org/ntpmonitor/ (englisch)
[3]: https://wiki.univie.ac.at/display/CERT/Tag+Vuln.ntpd_monlist
[4]: https://www.team-cymru.com/secure-ntp-template.html (englisch)
[5]: http://support.ntp.org/bin/view/Support/AccessRestrictions (englisch)

Open BGP

Beschreibung

Das Border Gateway Protocol (BGP) ist das Routing-Protokoll für das Internet. Es ist dafür zuständig das jedes Packet den bestmöglichen Weg zum Ziel findet. Dieser Dienst läuft standardmäßig auf Port 179/TCP und sollte keine BGP OPEN Requests von unautorisierten Quellen annehmen.

Risiken

  • Angreifer könnten die BGP Routing Tabellen manipulieren.

Behebung

  • Verwenden Sie ACls (Access Control List) um alle ungewollten BGP Anfragen zu Port 179/TCP auszufiltern.

[0]: https://www.shadowserver.org/what-we-do/network-reporting/open-bgp-service-report/ (englisch)

Open CHARGEN

Beschreibung

CHARGEN (Character Generation Protocol)[0] ist ein uralt Protokoll, das v.a. zum Testen und Debuggen gedacht war und per Default auf Port 19/UDP oder 19/TCP lauscht. Es gab und gibt kaum legitime Gründe CHARGEN-Server aus dem öffentlichen Internet erreichbar zu machen. Heute sind offene CHARGEN-Server im Normalfall von den Betreiber*innen nicht beabsichtigt und gefährlichen Default-Einstellungen geschuldet. Häufig sind es alte Netzwerkdrucker die einen solchen Service laufen haben.

Risiken

  • CHARGEN-Server lassen sich ausgezeichnet für UDP Amplification Angriffe[1][2] mit einem Amplifikationsfaktor von fast 360 missbrauchen.

Behebung

  • Deaktivieren Sie den CHARGEN-Service oder beschränken Sie den Zugriff zumindest auf interne Netze, wenn Sie ihn unbedingt benötigen.

[0]: https://en.wikipedia.org/wiki/Character_Generator_Protocol (englisch)
[1]: https://de.wikipedia.org/wiki/Denial_of_Service#Distributed-Reflected-Denial-of-Service-Angriff
[2]: https://www.us-cert.gov/ncas/alerts/TA14-017A (english)

Open CWMP

Beschreibung

Das CPE WAN Management Protocol (CWMP) ermöglicht es ISPs Kundengeräte, sog. CPEs (Customer Premises Equipment) mithilfe von ACSs (Auto Configuration Server) automatisiert einzurichten und remote zu administrieren. CPEs und ACSs die zu diesem Zweck auf Port 7547/TCP lauschen, sollten dabei nicht aus dem offenen Internet zugänglich sein, da sie sonst zum Ziel von Angriffen werden können.

Risiken

  • Einige ACS-Implementierungen hatten bzw. haben Schwachstellen die für eine RCE (Remote Code Execution) ausgenutzt werden können.[0] Auf diesem Weg können Kriminelle im schlimmsten Fall den ACS übernehmen und bösartige Firmware bei CPEs einspielen.
  • Einige Implementierungen der CPEs, i.e. Home-Router, sind auf diesem Port für DDoS-Attacken anfällig.[1]

Behebung

  • Zugang zu ACSs und CPEs von außerhalb des ISP-Netzwerks blocken.

[0]: https://2016.hack.lu/archive/2014/I-hunt-TR-069-admins-shahar-tal-hacklu.pdf (englisch)
[1]: https://www.heise.de/security/meldung/Grossstoerung-bei-der-Telekom-Was-wirklich-geschah-3520212.html

Open DNS Resolver

Beschreibung

Das DNS (Domain Name System) ist einer der Grundbausteine des Internets und lauscht auf Port 53/UDP bzw Port 53/TCP. Ein offener DNS Resolver ist ein DNS-Server der rekursive DNS-Anfragen von beliebigen Clients aus dem Internet annimmt.

Risiken

  • Kriminelle können an einen offenen DNS-Resolver auf 53/UDP Anfragen mit gespoofter IP Source-Adresse stellen, die eine besonders große Antwort erzeugen. häufig wird dabei ein ANY-Request[0] verwendet, siehe aber [1]. Dieser Mechanismus kann für DNS DDoS-Angriffe missbraucht werden.[2]

Behebung

  • Konfigurieren Sie Ihren DNS Resolver so, dass er nur auf Anfragen bestimmter Clients antwortet.
  • Verwenden Sie Source-IP Verifikation um Anfragen mit gespooften Adressen gar nicht erst entstehen zu lassen.
  • Verwenden Sie Response Rate Limiting, d.h. limitieren Sie die mögliche Anzahl an Abfragen pro Sekunde.
  • Schalten Sie rekursive Anfragen auf authoritativen Name Servern komplett ab.

Eine Anleitung, wie Sie diese Maßnahmen durchführen können finden Sie im Wiki des aconet-CERTs.

[0]: Auf eine solche Anfrage antwortet der Server mit allen ihm bekannten RRs aller Typen.
[1]: https://tools.ietf.org/html/rfc8482 (englisch)
[2]: https://de.wikipedia.org/wiki/DNS_Amplification_Attack

Open Elasticsearch

Beschreibung

Elasticsearch ist eine Suchmaschine die Unternehmen installieren können, um Informationen durchsuchbar zu machen. Per Default lauscht der Server auf Port 9200/TCP. Wenn durch die Instanz keine öffentliche Suchmaschine zur Verfügung gestellt werden soll, ist eine Erreichbarkeit aus dem Internet nicht sinnvoll.

Risiken

  • Wenn die Elasticsearch-Instanz sensible Daten enthält und aus dem öffentlichen Internet erreichbar ist, können Unbefugte diese Daten lesen und durchsuchen.

Behebung

  • Beschränken Sie den Zugriff auf interne Netzwerke.
  • Sollten Remote-Zugriffe notwendig sein, verwenden Sie ein VPN.

Open HTTP Proxy

Beschreibung

Proxy-Server fungieren als Kommunikationsschnittstelle zwischen zwei Netzen oder Geräten. Er nimmt die Anfragen einer Seite an und schickt sie unter seiner eingen Adresse weiter, dadurch kann die eigentliche Absenderadresse verschleiert werden.

Risiken

  • An offen Proxy-Servern können Angreifer durch das Ausnutzen gewisser Schachstellen an sensible Daten gelangen.
  • Angreifer können diese offene Proxys auch für reflektierte Angriffe nutzen.

Behebung

  • Verwenden Sie Authentifizierung.
  • Halten Sie sich bei der Konfiguration an die Best-Practices vom Hersteller.
  • Verwenden Sie eine Firewall um den Netzwerkverkehr zu filtern.

[0] https://www.shadowserver.org/what-we-do/network-reporting/open-http-proxy-report/

Open IPMI

Beschreibung

IPMI (Intelligent Platform Management Interface) ermöglicht es Computer remote zu administrieren ohne dabei auf die CPU, das Betriebssystem oder die Firmware desselben angewiesen zu sein. Da eine Übernahme des IPMI verhehrende Folgen haben kann, sollte es niemals aus dem öffentlichen Internet erreichbar sein. Es lauscht per Default auf Port 623/UDP. Bekannte Implementierungen von IPMI sind z.B. HPEs iLO oder Dells (i)DRAC.

Risiken

  • Kriminelle können mithilfe von Brute-force Angriffen[0] auf IPMI den Computer vollständig übernehmen.
  • Da die Standardpasswörter und -accounts gängiger Implementierungen oft bekannt sind, können diese von Kriminellen benutzt werden, falls vergessen wurde das Passwort zu ändern.

Behebung

  • Beschränken Sie den Zugriff auf IPMI auf interne Netzwerke.
  • Wenn Remote-Zugriff auch außerhalb der Firmennetze notwendig ist, verwenden Sie ein VPN über das sich authorisierte Mitarbeiter*innen zum IPMI verbinden können.

[0]: https://en.wikipedia.org/wiki/Brute-force_attack (englisch)

Open IPP

Beschreibung

Das IPP (Internet Printing Protocol) ermöglicht die Kommunikation zwischen Clients und Druckern (oder Druckerservern). Es kann für lokale oder entfernte Nutzung (Internet) konfiguriert werden. Dieser Report beinhaltet Geräte bei denen ein offener IPP Dienst über port 631/TCP erreichbar ist[0].

Risiken

  • Kriminelle können Zugriff auf Drucker und deren Druckaufträge erhalten und diese einsehen oder manipulieren.
  • In manchen Fällen kann Code auf den Geräten ausgeführt werden, um über diese Zugriff auf interne Netzwerke zu erlangen.
Behebung
  • Beschränken Sie den Zugriff auf interne Netzwerke.
  • Wenn Zugriffe von außerhalb unbedingt notwendig sind, verwenden Sie ein VPN.

[0]: https://www.shadowserver.org/what-we-do/network-reporting/open-ipp-report/ (englisch)

Open LDAP

Beschreibung

Active-Directory/LDAP-Server lauschen auf Port 389/UDP oder 389/TCP. Sie sollten niemals aus dem offenen Internet erreichbar sein. Suchmaschinen wie shodan.io machen das Auffinden solcher Server trivial, d.h. das Geheimhalten einer URL biete keinerlei Schutz.

Risiken

  • Angreifer*innen können versuchen Accounts durch Brute-force-[0] oder Credential-stuffing-Attacken[1] zu übernehmen. Wenn dies gelingt, können sie Daten entsprechend den Befugnissen des Accounts lesen und verändern sowie neue Dateien anlegen.
  • Wird 389/UDP genutzt, kann der Server zusätzlich für DDoS-Amplification-Angriffe[2] missbraucht werden.

Behebung

  • Konfigurieren Sie den Server so, dass er nur von internen Netzwerken erreichbar ist.
  • Wenn Remote-Zugriffe unvermeidlich sind, richten Sie ein VPN ein über das berechtigte Personen Zugriff auf den Server erhalten.

[0]: https://en.wikipedia.org/wiki/Brute-force_attack (englisch)
[1]: https://en.wikipedia.org/wiki/Credential_stuffing (englisch)
[2]: https://de.wikipedia.org/wiki/Denial_of_Service#Distributed-Reflected-Denial-of-Service-Angriff

Open mDNS

Beschreibung

mDNS (Multicast DNS) ist ein Protokoll das zur Namensauflösung in kleinen Netzwerken gedacht ist und keinerlei Konfiguration benötigt. Geräte die mDNS unterstützen schicken Anfragen an eine multicast IP-Adresse aus, die andere mDNS Geräte empfangen und ihre IP-Adresse ebenfalls an die multicast IP-Adresse schicken wenn ihr Name angefragt ist. Per Default lauscht mDNS auf Port 5353/UDP. Dieser Service sollte niemals aus dem öffentlichen Internet erreichbar sein.

Risiken

  • Aus dem öffentlichen Internet erreichbare Geräte mit mDNS geben bei Anfragen möglicherweise sensible Daten über sich Preis wie z.B. IPv4- und IPv6-Adressen, Namen oder MAC Adressen.

Behebung

  • Beschränken Sie den Zugang auf internet Netzwerke. mDNS ist explizit für kleine Netzwerke gedacht, sollte also die Notwendigkeit bestehen, den von mDNS erbrachten Service über das öffentliche Internet zu routen, ist mDNS das falsche Tool und Sie sollten auf "richtiges" DNS umstellen.

Open memcached

Beschreibung

Memcached ist ein verteilter Cache-Server, der meist dazu eingesetzt wird, um die Antwortgeschwindigkeit von Webseiten zu erhöhen indem z.B. Ergebnisse von Datenbankabfragen gecached und dadurch mehrfache Anfragen im Backend verhindert werden. Per Default lauscht memcached auf den Ports 11211/TCP und 11211/UDP und sollte laut Angaben der Entwickler*innen niemals aus dem öffentlichen Internet erreichbar sein.[0]

Risiken

  • Kriminelle können aus dem Internet erreichbare memcached-Server für UDP Amplification DDoS-Angriffe[1] missbrauchen.

Behebung

  • Beschränken Sie den Zugriff auf interne Netzwerke.
  • Wenn Remote-Zugriff unerlässlich ist, verwenden Sie ein VPN.
  • Deaktivieren Sie UDP für Ihre(n) memcached-Server.

[0]: https://github.com/memcached/memcached/wiki/ConfiguringServer#networking (englisch)
[1]: https://www.us-cert.gov/ncas/alerts/TA14-017A (englisch)

Open MongoDB

Beschreibung

MongoDB ist eine NoSQL-Datenbank die per default auf 27017/TCP lauscht. In den meisten Fällen ist es nicht notwendig, dass sie aus dem offenen Internet erreichbar ist.

Risiken

  • Wenn die Datenbank aus dem offenen Internet erreichbar ist und Authentifikation nicht aktiviert ist, kann jede beliebige Person die darin enthaltenen Daten einsehen.
  • Ist Authentification aktiviert, können Kriminelle mit von Brute-force Angriffen[0] oder Credential Stuffing[1] ersuchen, Zugang zur Datenbank zu erhalten.

Behebung

  • Beschränken Sie den Zugriff auf den Datenbankserver auf interne Netzwerke.
  • Wenn remote-Zugriff unerlässlich ist, richten Sie ein VPN ein über das Verbindungen möglich sind bzw. aktivieren Sie Authentifikation[2] und achten darauf, dass starke Passwörter verwendet werden.

[0]: https://en.wikipedia.org/wiki/Brute-force_attack (englisch)
[1]: https://en.wikipedia.org/wiki/Credential_stuffing (englisch)
[2]: https://docs.mongodb.com/manual/tutorial/enable-authentication/ (englisch)

Open MSSQL

Beschreibung

Microsoft SQL Server ist Microsofts SQL-Server der per Default auf Port 1433/TCP und 1433/UDP. Diese Server sollten im Normalfall nicht aus dem öffentlichen Internet erreichbar sein.

Risiken

  • Kriminelle können versuchen Zugriff auf die Daten in der Datenbank zu erhalten um Informationen zu stehlen; zumindest aber können sie Informationen über den SQL-Server auslesen.
  • Kriminelle können die Server für UDP Amplification DDoS Angriffe[0] missbrauchen.[1]

Behebung

  • Beschränken Sie den Zugriff auf interne Netzwerke.
  • Wenn Remote-Zugriff notwendig ist, verwenden Sie ein VPN.

[0]: https://www.us-cert.gov/ncas/alerts/TA14-017A (englisch)
[1]: https://scan.shadowserver.org/mssql/ (englisch)

Open MQTT

Beschreibung

MQTT ist ein Kommunikationsprotokoll, das für IoT Geräte mit geringer verfügbarer Bandbreite entwickelt wurde. Es funktioniert nach dem publish/subscribe System. Dieser Dienst läuft standardmäßig unverschlüsselt auf Port 1883/TCP und verschlüsselt auf Port 8883/TCP.

Risiken

  • Wenn die MQTT Instanz anonyme Zugriffe (ohne Authentifizierung) erlaubt, können Angreifer an sensible Daten gelangen.

Behebung

  • Verwenden Sie nur die verschlüsselte Version.
  • Deaktivieren des Dienstes, wenn er nicht unbedingt benötigt wird.

https://www.shadowserver.org/what-we-do/network-reporting/open-mqtt-report/ (Englisch)

Open NAT-PMP

Beschreibung

NAT-PMP (Network Address Translation - Port Mapping Protocol) ermöglicht NAT und Port-Forwarding ohne Interaktion von Benutzer*innen. Wichtig ist dabei, dass das Gerät, das NAT und Port-Forwarding ermöglicht, dies nur auf seinem internen Interface zulässt, nicht aber auf seinem externen. Der NAT-PMP Service lauscht per Default auf Port 5351/UDP und sollte nicht aus dem öffentlichen Internet erreichbar sein.

Risiken

  • Ist der NAT-PMP Service auch auf dem externen Interface verfügbar und ist dieses aus dem öffentlichen Internet zugänglich, können Angreifer*innen Information über das Gerät erhalten, das Port-Mapping manipulieren, öffentliche und private Kommunikationen mitlesen, auf private Client-Services zugreifen und die Host-Services des Geräts blockieren.

Behebung

  • Deaktivieren Sie NAT-PMP wenn möglich.
  • Beschränken Sie den Zugriff auf interne Netzwerke.
  • Sollten Sie miniupnp verwenden, könnte dessen Konfiguration das Problem ausgelöst haben. Gehen Sie sicher, dass Ihre Version von miniupnp größer oder gleich 1.8.20141022 ist.
  • Stellen Sie sicher, dass NAT-PMP sicher konfiguriert ist, d.h.
    1. WAN- und LAN- Interface sind korrekt zugewiesen.
    2. NAT-PMP Anfragen werden nur am internen Interface akzeptiert.
    3. Port-Mappings werden nur für die anfragende, interne IP-Adresse freigeschalten.

Mehr Informationen finden Sie im originalen Blogpost von Rapid7[0]. Die Informationen über die Risiken und die Behebung sind dem Advisory von cert.org[1] entnommen.

[0]: https://blog.rapid7.com/2014/10/21/r7-2014-17-nat-pmp-implementation-and-configuration-vulnerabilities/ (englisch)
[1]: https://www.kb.cert.org/vuls/id/184540/ (englisch)

Open NetBIOS

Beschreibung

NetBIOS ist ein Protokoll das es Rechnern erlaubt, im lokalen Netzwerk miteinander zu kommunizieren. Einer der Services den es dabei anbietet, ist Namensauflösung im lokalen Netzwerk. Dazu lauscht es per Default auf Port 137/UDP. Dieser sollte nicht aus dem offenen Internet erreichbar sein.

Risiken

  • Die Antwort auf einen Anfrage an den Port enthält je nach Konfiguration die MAC-Adresse und den Computernamen sowie den Namen der/des Nutzer*in.
  • Kriminelle können den Computer für einen UDP Amplification DDoS-Angriff[0] missbrauchen.

Behebung

  • Deaktivieren Sie NetBIOS komplett, wenn es nicht unbedingt benötigt wird.
  • Beschränken Sie den Zugriff auf interne Netzwerke.

[0]: https://www.us-cert.gov/ncas/alerts/TA14-017A (englisch)

Open Portmapper

Beschreibung

Portmapper ermöglicht Remote Procedure Calls und lauscht per default auf den Ports 111/TCP und 111/UDP. Dieser Service sollte nicht aus dem öffentlichen Internet erreichbar sein.

Risiken

  • Kriminelle können portmapper für UDP Amplification Angriffe[0] missbrauchen.
  • Je nach Konfiguration können über portmapper Informationen über den Server sowie das Netzwerk ausgelesen werden.

Behebung

  • Beschränken Sie den Zugriff auf interne Netzwerke.
  • Wenn Remote-Zugriffe notwendig sind, verwenden Sie ein VPN.

Weiterführend Informationen finden Sie im Wiki des ACOnet.[1]

[0]: https://www.us-cert.gov/ncas/alerts/TA14-017A (englisch)
[1]: https://wiki.univie.ac.at/display/CERT/Tag+Vuln.open_portmapper

Open QOTD

Beschreibung

Quote Of The Day (QOTD) ist ein Service der auf Anfrage eine Nachricht des Tages schickt. Er lauscht per default auf den Ports 17/TCP und 17/UDP.

Risiken

  • Wenn QOTD auf 17/UDP lauscht, kann der Service für UDP Amplification Angriffe[0] missbraucht werden.

Behebung

  • Schalten Sie den Service auf 17/UDP wenn möglich ab.
  • Beschränken Sie den Zugriff auf interne Netzwerke.
  • Wenn Remote-Zugriff notwendig ist, verwenden Sie ein VPN.

[0]: https://wiki.univie.ac.at/display/CERT/Amplified+UDP+reflection+attack

Open Redis

Beschreibung

Redis ist eine NoSQL In-Memory-Datenbank. Der Server lauscht per Default auf Port 6379/TCP. Redis-Datenbanken sollten im Normalfall nicht aus dem öffentlichen Internet erreichbar sein, da sein Sicherheitsmodell explizit davon ausgeht, dass nur vertrauenswürdige Clients den Abfragen stellen können.[0]

Risiken

  • Unbefugte können durch einfaches Abfragen sämtliche Inhalte der Datenbank auslesen oder je nach Konfiguration sogar manipulieren wenn der Service aus dem öffentlichen Internet erreichbar ist.

Behebung

  • Beschränken Sie den Zugriff auf interne Netzwerke.
  • Wenn Remote-Zugriff notwendig ist, benutzen Sie ein VPN.

[0]: https://redis.io/topics/security

Open SNMP

Beschreibung

Das SNMP (Simple Network Management Protocol) ermöglicht remotes Monitoring und remote Konfigurationsänderungen von Geräten im Netzwerk. Per Default lauscht der Agent auf über SNMP verwalteten Geräten auf Port 161/UDP. SNMP-Agenten sollten nicht über das öffentlicht Internet erreichbar sein.

Risiken

  • Öffentlich erreichbare SNMP-Agenten können bei unsicherer Konfiguration sensible Informationen über einzelne Hosts und das gesamte Netzwerk verraten.
  • Öffentlich erreichbare SNMPv2c-Agenten können für UDP-based DDoS Amplification-Angriffe[0] missbraucht werden.

Behebung

  • Stellen Sie sicher, dass SNMP entsprechend aktueller Best Practices konfiguriert ist. Einen möglichen Leitfaden finden Sie hier[1].
  • Beschränken Sie den Zugriff auf interne Netzwerke.
  • Sollte Remote-Zugriff notwendig sein, verwenden Sie ein VPN.

[0]: https://www.us-cert.gov/ncas/alerts/TA14-017A (englisch)
[1]: https://blog.rapid7.com/2016/01/27/simple-network-management-protocol-snmp-best-practices/ (englisch)

Open SSDP

Beschreibung

Das SSDP (Simple Service Discovery Protocol) ermöglicht es Geräten in kleinen Netzwerken sich über Adressen und verfügbare Services auszutauschen ohne dabei auf spezialisierte Server (z.B. DHCP, DNS) zurückgreifen zu müssen. Per Default lauscht der Service auf Port 1900/UDP. Er sollte keinesfalls aus dem öffentlichen Internet zugänglich sein.

Risiken

  • Aus dem öffentlichen Internet erreichbare SSDP-Services können von Kriminellen für UDP-based Amplification Angriffe[0] missbraucht werden.

Behebung

  • Schalten Sie SSDP ab, wenn Sie es nicht unbedingt benötigen. Heute findet sich SSDP meist im Zusammenhang mit UPnP, das auch keinesfalls aus dem öffentlichen Internet erreichbar sein sollte.
  • Sollten Sie SSDP unbedingt benötigen, stellen Sie sicher, dass der Service auf interne Netze beschränkt ist.

[0]: https://www.us-cert.gov/ncas/alerts/TA14-017A (englisch)

Open TFTP

Beschreibung

TFTP, das Trivial File Transfer Protocol, ist ein sehr einfaches Protokoll mit dessen Hilfe Dateien gelesen und geschrieben werden können. Der Server lauscht per Default auf Port 69/UDP. Da TFTP über keinerlei Sicherheitsmechanismen verfügt, sollte es nicht aus dem öffentlichen Internet erreichbar sein.

Risiken

  • Kriminelle können Dateien vom TFTP-Server herunterladen, oder auf ihn hochladen wenn er aus dem öffentlichen Internet erreichbar ist.

Behebung

  • Beschränken Sie den Zugriff auf interne Netzwerke.
  • Wenn Remote-Zugriff notwendig ist, verwenden Sie ein VPN.

Open XDMCP

Beschreibung

XDMCP (X Display Manager Control Protocol) ist ein Protokoll das die Verwendung von X Displays über das Netzwerk ermöglicht. Der Server lauscht per Default auf Port 177/UDP. In den allermeisten Fällen sollte der Server nicht aus dem öffentlichen Internet erreichbar sein.

Risiken

  • Die Authentisierung unter XDMCP erfolgt unverschlüsselt, d.h. Personen die den Netzwerkverkehr mitlesen können, können User*innennamen und Passwörter im Plaintext sehen.
  • Ist der Server aus dem öffentlichen Internet zugänglich, können über XDMCP Informationen über das Host-System erlangt werden.
  • XDMCP-Server die aus dem öffentlichen Internet erreichbar sind, können für UDP DDoS Amplification Angriffe[0] missbraucht werden.

Behebung

  • Setzen Sie statt auf XDMCP aus einen verschlüsselten SSH-Tunnel für remote X Displays.
  • Beschränken Sie den Zugriff auf interne Netze.
  • Ist Remote-Zugriff notwendig, verwenden Sie ein VPN.

[0]: https://www.us-cert.gov/ncas/alerts/TA14-017A (englisch)

SSL FREAK

Beschreibung

SSL FREAK (Factoring RSA_EXPORT keys) ist eine 2015 entdeckte Schwachstelle, die einen Monster-In-The-Middle (MITM) Angriff ermöglicht. Dabei wird serverseitig ein Downgrade auf RSA Export Keys versucht, einer Key-Klasse die bewusst kaum Sicherheit bietet und eingeführt wurde um US Geheimdiensten das Entschlüsseln der Kommunikation anderer Staaten zu ermöglichen.[0]

Risiken

  • Bei erfolgreichem MITM Angriff ist es möglich die gesamte verschlüsselte Kommunikation mit relativ geringem Aufwand zu entschlüsseln.

Behebung

  • Für sämtliche Betroffene Clients gibt es seit 2015 Updates, die das Problem beheben.[1]
  • Deaktivieren Sie bei Ihrem Server die RSA_EXPORT Ciphers. Dadurch können Clients nicht gezwungen werden, diese unsichere Methode zur Verschlüsselung zu verwenden. Ein MITM-Angriff schlägt in diesem Fall einfach fehl, da der Server den Verbindungsversuch ablehnen wird.

[0]: https://en.wikipedia.org/wiki/Export_of_cryptography_from_the_United_States (englisch)
[1]: https://mitls.org/pages/attacks/SMACK#freak (englisch)

SSL Poodle

Beschreibung

SSL-Poodle ist ein Angriff auf SSLv3 (Secure Socket Layer) und manche Formen von TLS (Transport Layer Security), der 2014 entdeckt wurde und immer dann möglich ist wenn Cipher-Block-Chaining (CBC) Modus Chiffren[0] verwendet werden. Dabei können Angreifer*innen in einer Monster-In-The-Middle (MITM) Position die verschlüsselte Kommunikation aufgrund von Fehlern im Protokoll relativ einfach entschlüsseln.

SSLv3 ist schon seit langem überholt und meistens durch TLS ersetzt. Allerdings wurde es aus Gründen der Kompatibilität lange Zeit von vielen Servern, Browsern und anderer Software unterstützt.

Risiken

  • Nach erfolgreicher Monster-In-The-Middle (MITM) Attacke können die Angreifer*innen ein Downgrade auf SSLv3 erzwingen und dann mittels Poodle die Kommunikation mitlesen und auf diesem Weg z.B. Passwörter stehlen.

Behebung

  • Im Falle der betroffenen TLS-Implementierungen: Spielen Sie Updates ein, die diesen Angriff unmöglich machen.
  • Konfigurieren Sie Server und Clients so, dass Sie SSLv3 und betroffene TLS-Versionen nicht mehr unterstützen.

Mehr Informationen über die Poodle finden Sie im originalen Artikel dazu[1] und auf unserer Webseite[2]. Anleitungen, wie Sie SSLv3 deaktivieren können, finden sich z.B. hier[3].

[0]: https://de.wikipedia.org/wiki/Cipher_Block_Chaining_Mode (englisch)
[1]: https://www.openssl.org/~bodo/ssl-poodle.pdf (englisch, PDF)
[2]: https://www.cert.at/services/blog/20141015093742-1272.html
[3]: https://www.heise.de/-2424327

Synful Scan

Beschreibung

Die SYNful knock backdoor ist eine Schwachstelle in Cisco Routern.

Risiken

  • Angreifer können vollen Zugriff auf das jeweilige Gerät erhalten.

Behebung

  • Die Malware lebt nur im RAM daher kann sie durch Neustarten des betroffenen Gerätes beseitigt werden.
  • Einspielen von Updates die diese Schwachstelle nicht mehr enthalten.

https://www.shadowserver.org/what-we-do/network-reporting/synful-scan-report/ (Englisch)

Vulnerable Exchange Server

Note: Unsere Aussendungen decken zwei unterschiedliche Schwachstellen(-Komplexe) ab, einmal die Schwachstellen CVE-2021-26855, CVE-2021-26857, CVE-2021-26858  und CVE-2021-27065, welche von der HAFNIUM-Gruppe ausgenutzt wurden und einmal CVE-2022-41080/CVE-2022-41082 (RCE) aus dem ProxyNotShell-Schwachstellenkomplex.

CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065 (HAFNIUM)

Beschreibung

Im März 2021 veröffentlichte Microsoft Notfallpatches für Schwachstellen in Microsoft Exchange die bereits aktiv ausgenutzt wurden [0].

Risiken

  • Kriminelle können verwundbare Installationen vollständig übernehmen, beliebige Veränderungen am Betriebssystem vornehmen und den Inhalt sämtlicher E-Mails lesen.
  • In vielen Fällen installierten AngreiferInnen "nur" Webshells, um so zu einem späteren Zeitpunkt zurückkehren und weitere Schritte setzen zu können.

Behebung

  • Einspielen der Patches mit Hilfe des von Microsoft zur Verfügung gestellten Exchange On-premises Mitigation Tools [1]. Dieses Tool versucht auch, bereits installierte Webshells zu entfernen.
  • Upgrade auf eine Microsoft Exchange Version, in der die Schwachstellen behoben wurden, d.h.
    • Exchange Server 2019: Cumulative Update 9 (Version 15.02.0858.005) oder später
    • Exchange Server 2016: Cumulative Update 20 (Version 15.01.2242.004) oder später
    • Exchange Server 2013: Für diese Version gab es bereits keine Cumulative Updates mehr, sondern nur noch die Patches.

[0]: https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/ (Englisch)
[1]: https://github.com/microsoft/CSS-Exchange/tree/main/Security#exchange-on-premises-mitigation-tool-eomt (Englisch)

CVE-2022-41080, CVE-2022-41082 (ProxyNotShell)

Beschreibung

Im November 2022 veröffentlichte Microsoft Patches für Schwachstellen in Microsoft Exchange Server 2019, Exchange Server 2016 und Exchange Server 2013 die aktiv ausgenutzt werden [0].

Die für die ProxyNotShell-Schwachstellen zuvor veröffentlichten Workarounds  können durch Ausnutzen von CVE-2022-41082 umgangen werden [1].

Risiken

  • Kriminelle können verwundbare Installationen vollständig übernehmen, beliebige Veränderungen am Betriebssystem vornehmen und den Inhalt sämtlicher E-Mails lesen.

Behebung

  • Einspielen der Sicherheitsupdates vom Microsoft Patchday vom November 2022

[0]: https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/ (Englisch)
[1]: https://www.crowdstrike.com/blog/owassrf-exploit-analysis-and-recommendations/ (Englisch)

Weitere Informationen zu den Shadowserver-Daten und eine Detailauflistung verwundbarer Exchange-Versionen finden Sie unter: https://www.shadowserver.org/what-we-do/network-reporting/vulnerable-exchange-server-report/

Vulnerable HTTP

Beschreibung

Das HTTP (HyperText Transfer Protocol) ist ein Protokoll, welches die Datenübertragung zwischen Anwendungen regelt. Im Internet wird es zur Übertragung zwischen Browsern und Servern benutzt. Meist ist jedoch nicht HTTP selbst fehlerhaft sondern die Software die es verwendet (z.B. Fortinet, VMWare, Citrix). Wenn Sie eine Meldung von uns erhalten haben, können sie in der .CSV Datei, im Anhang, in der Spalte 'extra' unter 'tag' (meist eine CVS-Nummer wie z.B. CVE-2023-3519) die gefundene Schwachstelle sehen.

Risiken

Angreifer können je nach Schwachstelle:

  • remote Code ausführen.
  • unautorisiert auf Webservices und APIs zugreifen.
  • direkt auf den Speicher zugreifen.
  • diverse Login Mechanismen umgehen.
  • remote den kompletten Desktop übernehmen.

Behebung

  • Spielen Sie die neuersten Updates des Herstellers ein.
  • Falls diese noch nicht vorhanden sein sollten, informieren Sie sich auf der Webseite des Herstellers über etwaige Workarounds.

https://www.shadowserver.org/what-we-do/network-reporting/vulnerable-http-report/ (Englisch)

Vulnerable ISAKMP

Beschreibung

ISAKMP (Internet Security Association and Key Management Protocol) definiert die Erstellung, Aushandlung, Veränderung und Löschung von Security Associations sowie die Verwaltung von kryptographischen Schlüsseln. In der Cisco-Implementierung des auf ISAKMP aufsetzenden Protokolls IKEv1 wurde 2016 eine eine schwere Schwachstelle gefunden.[0] Diese wurde zwar bald behoben, allerdings wurde das notwendige Update bis heute nicht auf allen betroffenen Systemen eingespielt.

Die IKEv1-Implementierung von Cisco kann auf den Ports 500/UDP, 848/UDP, 4500/UDP, oder 4848 lauschen.

Risiken

  • Kriminelle können durch Schicken eines Pakets Teile des Arbeitsspeichers des betroffenen Geräts auslesen und dadurch möglicherweise an sensible Informationen kommen.

Behebung

  • Spielen Sie das von Cisco bereitgestellte Update ein, wie im unten verlinkten Advisory beschrieben.

[0]: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160916-ikev1

https://www.shadowserver.org/what-we-do/network-reporting/vulnerable-isakmp-report/ (Englisch)

Vulnerable SMTP

Beschreibung

Das Simple Mail Transfer Protocol (SMTP) ist ein Internetprotokoll zum Austausch von Emails.

Risiken

  • Durch verschiedenste Schwachstellen können Angreifer Authentifizierung umgehen und/oder remote Code mit Admin-Rechten ausführen.

Behebung

  • Die Zugriffe mit Hilfe von eine Firewall und der entsprechenden Konfiguration so gut wie möglich regulieren, damit wirklich nur jene auf den Server zugreifen können die es auch sollen.

https://www.shadowserver.org/what-we-do/network-reporting/vulnerable-smtp-report/ (Englisch)