Wir haben vor Kurzem festgestellt, dass viele Server durch ein NFS-Update oder veraltete Firewall-Einstellungen anfällig für eine sogenannte Reflection Attack sind. Hierbei werden die anfälligen Server durch Hacker für eine DDOS Attacke missbraucht. Der Portmapper-Dienst (portmap, rpcbind) wird benötigt, um RPC-Anfragen (Remote Procedure Calls) dem korrekten Dienst zuzuordnen. Der Portmapper- Dienst wird u.a. für Netzwerkfreigaben über das Network File System (NFS) benötigt. Der Portmapper-Dienst verwendet Port 111 tcp/udp [1]. Ein aus dem Internet erreichbarer offener Portmapper-Dienst kann von einem Angreifer zur Durchführung von DDoS-Reflection/Amplification-Angriffen missbraucht werden. Weiterhin kann ein Angreifer darüber Informationen über das Netzwerk erlangen, wie z.B. laufende RPC-Dienste oder vorhandene Netzwerkfreigaben. In den letzten Monaten wurden Systeme, welche Anfragen aus dem Internet an den Portmapper-Dienst beantworten, zunehmend zur Durchführung von DDoS-Reflection/Amplification-Angriffen missbraucht [2]. Im Rahmen des Shadowserver Open Portmapper Scanning Projects werden Systeme identifiziert, welche Anfragen an den Portmapper-Dienst aus dem Internet beantworten. Diese Systeme können für DDoS-Angriffe missbraucht werden, sofern keine anderen Gegenmaßnahmen implementiert wurden. CERT-Bund erhält von Shadowserver die Testergebnisse für IP-Adressen in Deutschland, um betroffene Systembetreiber benachrichtigen zu können. Weitere Informationen zu den von Shadowserver durchgeführten Tests finden Sie unter [3]. Nachfolgend senden wir Ihnen eine Liste betroffener Systeme in Ihrem Netzbereich. Der Zeitstempel gibt an, wann das System geprüft wurde und eine Anfrage an den Portmapper-Dienst aus dem Internet beantwortet hat. Wir möchten Sie bitten, den Sachverhalt zu prüfen und Maßnahmen zur Absicherung der Portmapper-Dienste auf den betroffenen Systemen zu ergreifen bzw. Ihre Kunden entsprechend zu informieren. Falls Sie kürzlich bereits Gegenmaßnahmen getroffen haben und diese Benachrichtigung erneut erhalten, beachten Sie bitten den angegebenen Zeitstempel. Wurde die Gegenmaßnahme erfolgreich umgesetzt, sollten Sie keine Benachrichtigung mit einem Zeitstempel nach der Umsetzung mehr erhalten. Was können Sie tun: 1. Wenn NFS nicht genutzt wird, können Sie den Portmapper und NFS entfernen: Unter Debian: if [ ! -f /etc/exports ]; then if [ $(grep nfs /proc/mounts | wc -l) -eq 0 ]; then dpkg -P portmap nfs-common rpcbind; fi; fi Unter CentOS, Fedora und Redhat: chkconfig nfslock off chkconfig rpcgssd off chkconfig rpcidmapd off chkconfig portmap off chkconfig nfs off yum remove portmap nfs-utils 2. Wenn NFS genutzt wird, per Firewall externe Zugriffe per UDP auf Port 111 blocken iptables -A INPUT -p tcp -s! 192.168.0.0/24 dport 111 -j DROP iptables -A INPUT -p tcp -s 127.0.0.1 dport 111 -j ACCEPT iptables -A INPUT -p udp -s! 192.168.0.0/24 dport 111 -j DROP iptables -A INPUT -p udp -s 127.0.0.1 dport 111 -j ACCEPT Der Beitrag Sicherheitslücke für alle Rootserver Kunden: Portmap UDP Reflection Attacke erschien zuerst auf 2xM Media.
Das Android Security Bulletin berichtete unlängst in der aktuellen Ausgabe vom 4. Februar von einer großen Gefahr für Android-Handys. Dabei geht es um eine Sicherheitslücke, bei der eine manipulierte PNG-Datei verwendet werden kann, um Schadsoftware zu in
zum Artikel gehenAngreifer nutzen eine Sicherheitslücke des Software-Distributionssystems TeamCity aus, das weltweit über 30.000 Firmen wie Citibank, HP und Nike einsetzen.
zum Artikel gehenDurch eine kombinierte Ausnutzung der Schwachstellen können Angreifer die Kontrolle über anfällige Supermicro-BMCs übernehmen. (Sicherheitslücke, Server)
zum Artikel gehenAVM schließt bei vielen Fritzboxen eine Sicherheitslücke. Unserer Analyse zufolge lässt sie sich aus der Ferne ausnutzen – sogar mit abgeschaltetem Fernzugriff.
zum Artikel gehenAtlassian hat eine kritische Sicherheitslücke in Confluence Data Center und Server geschlossen.
zum Artikel gehen