In der Serie "Cyberien im Winterschlaf" befassen wir uns mit schwerwiegenden,
von externer Seite ausnutzbaren Sicherheitslücken, die im Unternehmensumfeld
definitiv zu kritischen Problemen führen können, aber vielfach dennoch
nicht gefixt werden.
Zusätzlich betrachten wir die Bedrohungslage für den deutschsprachigen Raum anhand von OSINT-Daten, um RZ-Betreiber dahingehend zu sensibilisieren, den Blick auf die externe Angriffsoberfläche zu schärfen und diese eigenständig gezielt zu reduzieren.
Alle Artikel der "Cyberien im Winterschlaf" - Serie finden Sie unter diesem Link
Disclaimer: alle Luup - Kunden wurden bereits im
Dezember informiert.
Sharepoint: All You Can Read
Eine Woche vor Weihnachten veröffentlichte Microsoft ein Advisory[1], in dem vor einer "All-You-Can-Read" - Lücke im Sharepoint-Server gewarnt wurde.
Die Lücke wurde zwar mit dem Dezember-Patchday gefixt, jedoch das detaillierte Advisory mit CVE-Nummer zu diesem Zeitpunkt noch zurückgehalten, weshalb das Update an vielen Admins als nicht kritisch vorbei ging. Hinzu kam der Zeitpunkt: eine Woche vor Weihnachten - so werden eine Vielzahl von Sharepoint-Installationen bis ins neue Jahr hinein ungepatcht bleiben.
Um das mögliche Schadenspotential für den deutschsprachigen Raum abschätzen zu können,
haben wir unser bevorzugtes OSINT-Tool (Binaryedge) mit folgendem Suchbegriff gefüttert:
sharepoint country:DE.
Aus den immerhin 1200 Ergebnissen lassen sich knapp 900 IPs mit
Sharepoint-Installationen extrahieren.
Da die Lücke einfach auszunutzen ist "... an attacker would need to send a specially crafted request to a susceptible SharePoint Server instance."[1], und Sharepoint eher im internen/Office-IT-Umfeld zu finden ist, kann man davon ausgehen, dass die Reverse-Engineering-Teams der Chinesen und Russen sehr schnell Exploits entwickelt haben, um diese gegen entsprechend lohnenswerte Ziele einsetzen. Dass chinesische Forscher gerne auch mal 5 Monate auf einem Exploit sitzen, bevor dieser veröffentlicht wird, hat der Fall PulseVPN/FortigateVPN eindrücklich gezeigt.
Es kann davon ausgegangen werden, dass ungepatchte Systeme in den letzten Tagen durchaus ungefragte Besucher hatten, die nach eventuell spannenden Daten Ausschau hielten.
Für die nachstehende Analyse haben wir nur die in den TLS-Zertifikaten gefundenen Hostnamen der "Common Names" und "Subject Alt Name" berücksichtigt; dies allein aber ist schon sehr aufschlußreich.
Folgende große Firmen/Ogranisationen wurden gefunden, die übers Internet erreichbare Services anbieten (ob gewollt oder ungewollt wissen wir nicht, vielfach sehen die Hostnamen eher nach "internen Systemen" aus).
BASF
- developer-sharepoint-apps.basf.com
- qual-sharepoint-apps.basf.com
- sharepoint-apps.basf.com
Capgemini
- sharepoint.ce.capgemini.com
Coca Cola
- my.apps-sharepoint.cceag.de
- wac.sharepoint.cceag.de
Deutsche Bahn
- dbca-abn.sharepoint.app.db.de
- dbca.sharepoint.app.db.de
- dbnetzapps.mynet-abn.sharepoint.app.db.de
- dbnetzapps.mynet-test.sharepoint.app.db.de
- dbnetzapps.sharepoint.app.db.de
EON
- www.sharepoint.eon.com
Land Niedersachsen
- sharepoint-pwc.niedersachsen.de
Lufthansa
- sharepoint-clh.app.lufthansa.com
Max Planck Gesellschaft
- sharepoint.mpi-muelheim.mpg.de
- sharepoint.neuro.mpg.de
- sharepoint.mpifg.de
RWE
- wac-sharepoint.rwe.com
Stadt Frankfurt
- apphub.stadt-frankfurt.de
- sharepoint.stadt-frankfurt.de
- sysadmins.stadt-frankfurt.de
Telekom
- sharepoint-l.telekom-cloudcenter.de
- sharepoint-m.telekom-cloudcenter.de
VW Financial Services
- sharepoint.vwfs.com
Referenzen:
Anhang
Domain-Liste
1and1.org
20-20.info
accovion.biz
adctherapeutics.com
adventisten.de
aemtec.com
anagent.de
astralus.com
atos.net
bad-nauheim.de
basf.com
bcs-t3.de
berghof-systeme.de
bf-at.de
capgemini.com
cceag.de
cloud4partner.com
cloud-works.de
config.ba
consilio.de
csi-sharepoint.de
db.de
dehosted.net
dgia.de
dhbw-stuttgart.de
education-siemens.com
eict.de
elbformat.de
em-group.de
eon.com
epcan.link
eurogroupconsulting.de
evkirchepfalz.de
fab-wetterau.de
fu-berlin.de
ga-germany.de
gevita.de
gfb-consulting.de
goerg.de
gpsolar.de
gwdg.de
haus-sonnabend.de
hemminger.de
hessgroup.com
hs-lu.de
hs-ludwigsburg.de
hs-merseburg.de
igr.de
ikn.de
imadairyfood.com
ineosphenol.de
infra-fuerth.de
innowerk-it.de
iowell2.org
jksweb.net
koerber.com
l.de
leogis.com
lufthansa.com
lvb.de
manoni.com
marburg-biedenkopf.de
mlconsulting.de
mpg.de
mpifg.de
mymitek.de
mythi.de
netconnex.be
nfdi4ing.de
nfdi4ing.org
niedersachsen.de
nuclearblast.de
numrich-collegen.de
osi.de
process-one.de
proszenium-delmenhorst.de
rullko.de
rwe.com
sec-bremen.de
serviceplan.com
sfp-net.com
sharepoint.com
sharepoint-iup.de
sharepoint-template.com
sps-net.com
stadt-datteln.de
stadt-frankfurt.de
standex.eu
stredich.de
technify.de
tekom.de
telekom-cloudcenter.de
thi.de
ttvsa.de
tu-berlin.de
tu-darmstadt.de
ufk-holding.de
uni-bremen.de
uni-giessen.de
uni-hamburg.de
uni-kl.de
uni-leipzig.de
uni-trier.de
uni-wh.de
voicetrust.de
vwfs.com
waltercloudservices.de
wa-online.de
wb-sharepoint.de
weiss-gmbh.de
wkn-group.com
zwei-p.net
Liste mit Hostnamen
apphub.stadt-frankfurt.de
apps-che02.sharepoint.dehosted.net
apps.sharepoint.uni-trier.de
appstore.sharepoint.leogis.com
cicc.sharepoint.serviceplan.com
collaborate.nfdi4ing.de
collaborate.nfdi4ing.org
dbca-abn.sharepoint.app.db.de
dbca.sharepoint.app.db.de
dbnetzapps.mynet-abn.sharepoint.app.db.de
dbnetzapps.mynet-test.sharepoint.app.db.de
dbnetzapps.sharepoint.app.db.de
developer-sharepoint-apps.basf.com
dev-www.sharepoint.eon.com
drittmittel.tu-darmstadt.de
estos.evkirchepfalz.de
extranet.csi-sharepoint.de
fb07dida-sharepoint.didaktik.physik.uni-giessen.de
fb07dida-sharepoint.uni-giessen.de
innocate.sharepoint.com
integration.sharepoint.elbformat.de
intern.hrz.tu-darmstadt.de
intern.sc.tu-darmstadt.de
intranet.csi-sharepoint.de
intranet-intern.uni-kl.de
intranet.uni-kl.de
lbl-sharepoint1.rrz.uni-hamburg.de
m00005.sharepoint.noncd.db.de
my.apps-sharepoint.cceag.de
mysite-intern.uni-kl.de
mysite.tu-darmstadt.de
mysite.uni-kl.de
my.thi.de
mythi.de
mythi.thi.de
nfdi4ing.tu-darmstadt.de
ntp.mynet-abn.sharepoint.app.db.de
ntp.mynet-test.sharepoint.app.db.de
onedrive.manoni.com
onedrive.thi.de
owa.technify.de
qual-sharepoint-apps.basf.com
sharepoint.20-20.info
sharepoint.accovion.biz
sharepoint.adctherapeutics.com
sharepoint.adventisten.de
sharepoint.aemtec.com
sharepoint.anagent.de
sharepoint-apps.basf.com
sharepoint.astralus.com
sharepoint.atos.net
sharepoint.bad-nauheim.de
sharepoint.berghof-systeme.de
sharepoint.bf-at.de
sharepoint.ce.capgemini.com
sharepoint-clh.app.lufthansa.com
sharepoint.cloud4partner.com
sharepoint.cloud-works.de
sharepoint.config.ba
sharepoint.consilio.de
sharepoint.dgia.de
sharepoint.dhbw-stuttgart.de
sharepoint.education-siemens.com
sharepoint.eict.de
sharepoint.em-group.de
sharepoint.eurogroupconsulting.de
sharepoint.evkirchepfalz.de
sharepoint.extranet.1and1.org
sharepoint.fab-wetterau.de
sharepoint.fu-berlin.de
sharepoint.ga-germany.de
sharepoint.gevita.de
sharepoint.gfb-consulting.de
sharepoint.goerg.de
sharepoint.gpsolar.de
sharepoint.gwdg.de
sharepoint.haus-sonnabend.de
sharepoint.hemminger.de
sharepoint.hessgroup.com
sharepoint.hs-lu.de
sharepoint.hs-merseburg.de
sharepoint.igr.de
sharepoint.ikn.de
sharepoint.imadairyfood.com
sharepoint.ineosphenol.de
sharepoint.infra-fuerth.de
sharepoint.innowerk-it.de
sharepoint-intern.uni-kl.de
sharepoint-int.spz.tu-darmstadt.de
sharepoint.iowell2.org
sharepoint.it-solutions.atos.net
sharepoint.jksweb.net
sharepoint.koerber.com
sharepoint.l.de
sharepoint.leogis.com
sharepoint-l.telekom-cloudcenter.de
sharepoint.lvb.de
sharepoint.manoni.com
sharepoint.marburg-biedenkopf.de
sharepoint.math.uni-bremen.de
sharepoint.mlconsulting.de
sharepoint.mpifg.de
sharepoint.mpi-muelheim.mpg.de
sharepoint-m.telekom-cloudcenter.de
sharepoint.mymitek.de
sharepoint.netconnex.be
sharepoint.neuro.mpg.de
sharepoint-ntlm-test.uni-hamburg.de
sharepoint-ntlm.uni-hamburg.de
sharepoint.nuclearblast.de
sharepoint.numrich-collegen.de
sharepoint.osi.de
sharepoint.process-one.de
sharepoint-prod.uni-hamburg.de
sharepoint.proszenium-delmenhorst.de
sharepoint-pwc.niedersachsen.de
sharepoint-qs.lvb.de
sharepoint.rullko.de
sharepoint-s.bcs-t3.de
sharepoint.sec-bremen.de
sharepoint.sfp-net.com
sharepoint.sps-net.com
sharepoint.spz.tu-darmstadt.de
sharepoint.stadt-datteln.de
sharepoint.stadt-frankfurt.de
sharepoint.standex.eu
sharepoint.stredich.de
sharepoint.studnet.hs-ludwigsburg.de
sharepoint.technify.de
sharepoint.tekom.de
sharepoint-template.com
sharepoint-test.uni-hamburg.de
sharepoint.thi.de
sharepoint.ttvsa.de
sharepoint.tu-berlin.de
sharepoint.ufk-holding.de
sharepoint.uni-hamburg.de
sharepoint.uni-kl.de
sharepoint.uni-leipzig.de
sharepoint.uni-trier.de
sharepoint.uni-wh.de
sharepoint.voicetrust.de
sharepoint.vwfs.com
sharepoint.waltercloudservices.de
sharepoint.wa-online.de
sharepoint.weiss-gmbh.de
sharepoint.wiso.uni-hamburg.de
sharepoint.wkn-group.com
sharepoint.zwei-p.net
sysadmins.stadt-frankfurt.de
wac.sharepoint.cceag.de
wac-sharepoint.rwe.com
www.sharepoint.eon.com
www.sharepoint.epcan.link
www.sharepoint-iup.de
www.wb-sharepoint.de
Alle ASNs
SUMMARY
IPs : 841
Networks : 383
ASNs : 179
Countries : 8
Top 100 ASNs
ASN_NR | Count | ASNName
----------+--------+-----------------------------------
3320 | 123 | DTAG Internet service provider operations, DE
680 | 74 | DFN Verein zur Foerderung eines Deutschen Forschungsnetzes e.V., DE
16509 | 51 | AMAZON-02 - Amazon.com, Inc., US
3209 | 25 | VODANET International IP-Backbone of Vodafone, DE
206618 | 24 | VOLKSWAGEN Volkswagen AG, Wolfsburg, DE
8560 | 17 | ONEANDONE-AS Brauerstrasse 48, DE
8972 | 16 | GD-EMEA-DC-SXB1, DE
6830 | 16 | LGI-UPC formerly known as UPC Broadband Holding B.V., AT
8767 | 15 | MNET-AS Germany, DE
24940 | 14 | HETZNER-AS, DE
45012 | 14 | CLOUDPIT, DE
20773 | 13 | GODADDY, DE
6724 | 13 | STRATO STRATO AG, DE
200517 | 13 | MS-DEUTSCHLAND, DE
10753 | 12 | LVLT-10753 - Level 3 Parent, LLC, US
20594 | 12 | MOSAICDE-ATOS, DE
553 | 12 | BELWUE BelWue-Koordination, DE
14061 | 11 | DIGITALOCEAN-ASN - DigitalOcean, LLC, US
24961 | 10 | MYLOC-AS, DE
34156 | 10 | BAHN-AS-BLN, DE
8220 | 10 | COLT, GB
51167 | 10 | CONTABO, DE
8881 | 10 | VERSATEL, DE
8422 | 9 | NETCOLOGNE, DE
9145 | 9 | EWETEL Cloppenburger Strasse 310, DE
20676 | 8 | PLUSNET *****************, DE
199578 | 8 | UNIKL, DE
34878 | 8 | KIT Karlsruhe Institute of Technology, DE
8075 | 8 | MICROSOFT-CORP-MSN-AS-BLOCK - Microsoft Corporation, US
2857 | 7 | RLP-NET, DE
43722 | 7 | ATNEDC-AS, DE
25068 | 6 | KONICA-MINOLTA-EMEA-HEADQUARTER-AS, DE
34086 | 6 | SCZN-AS, DE
48152 | 6 | DIGITAL-REALTY-, DE
31334 | 6 | KABELDEUTSCHLAND-AS, DE
24778 | 5 | DATAPIPE-UK, GB
8469 | 5 | PIRONETNDH-AS CANCOM Pironet AG & Co. KG, DE
8365 | 5 | MANDA, DE
8879 | 4 | DTS-SYSTEME DTS Systeme GmbH, DE
35329 | 4 | GD-EMEA-DC-CGN3, DE
198726 | 4 | KOMDSL, DE
61333 | 4 | ASTRALUS, DE
21413 | 4 | ENVIA-TEL-AS D-09114 Chemnitz, DE
25260 | 3 | QUALITYHOSTING-AS D-63571 Gelnhausen, DE
15763 | 3 | ASDOKOM, DE
15366 | 3 | DNSNET German Internet Service Providers, DE
9063 | 3 | SAARGATE-AS Nell-Breunig-Allee 6, DE
15854 | 3 | HP_WEBSERVICES, DE
34011 | 3 | GD-EMEA-DC-CGN1, DE
30915 | 3 | LIEBHERR, DE
16084 | 3 | EON-IS ISP in Hannover, DE
44973 | 3 | RZHAS-AS, DE
13045 | 3 | HTP-AS, DE
33846 | 3 | DATAPORT-AS, DE
20640 | 3 | TITAN-NETWORKS Bleichstrasse 1, DE
15495 | 3 | BASF-IT-SERVICES, DE
42652 | 3 | DELUNET, DE
28753 | 3 | LEASEWEB-DE-FRA-10, DE
42777 | 3 | WISTA-AS, DE
61157 | 3 | PLUSSERVER-ASN1, DE
29252 | 2 | NETCOM-TSG-AS, DE
8549 | 2 | AISEU-AS, DE
20775 | 2 | KPSDIGITAL Am Kai 2-6, DE
60294 | 2 | DE-DGW Deutsche Glasfaser Wholesale Internet, DE
702 | 2 | UUNET - MCI Communications Services, Inc. d/b/a Verizon Business, US
25325 | 2 | BAHN-AS, DE
12399 | 2 | SCAN-PLUS-AS scanplus GmbH, DE
20740 | 2 | MESSEFFM Ludwig-Erhard-Anlage 1, DE
47295 | 2 | ITELLIGENCE-AS, DE
57667 | 2 | UPTIME-IT-01, DE
200297 | 2 | ACS-IP, DE
12337 | 2 | NORIS-NETWORK IT Service Provider located in Nuernberg, Germany, DE
9022 | 2 | TWL-KOM-AS Donnersbergweg 4, DE
204146 | 2 | DRADIO-B, DE
51401 | 2 | PERDATA, DE
19229 | 2 | IFOXNETODPD-ENSONO-DCCS - Ensono LP, US
60781 | 2 | LEASEWEB-NL-AMS-01 Netherlands, NL
205795 | 2 | KOERBER-AS, DE
16205 | 2 | DSINET-ASN, DE
197540 | 2 | NETCUP-AS netcup GmbH, DE
26651 | 2 | CAREFUSION-AS - CareFusion Corporation, US
9211 | 2 | WORK-AS N@work Internet Informationssysteme GmbH, DE
21150 | 2 | INACDE-ATOS, DE
15960 | 2 | GLOBALACCESS, DE
8426 | 1 | CLARANET-AS ClaraNET LTD, GB
20677 | 1 | IMOS-AS Alfons-Feifel-Str. 9, DE
6878 | 1 | AS6878, DE
12374 | 1 | LFNET-AS01, DE
12676 | 1 | NCORE-AS Hochstadenstr. 5, DE
208868 | 1 | CLAAS-AS, DE
20738 | 1 | GD-EMEA-DC-LD5, GB
42102 | 1 | ASN-LRNC, DE
2914 | 1 | NTT-COMMUNICATIONS-2914 - NTT America, Inc., US
9067 | 1 | one4vision, DE
200846 | 1 | D-VELOP, DE
6659 | 1 | NEXINTO-, DE
15598 | 1 | QSC-AG-IPX, DE
20686 | 1 | BISPING ISP & Citycarrier, Germany, DE
12306 | 1 | PLUSLINE, DE
15987 | 1 | PORTUNITY-AS, DE
Fragen? Kontakt: info@zero.bs