In der Serie "Cyberien im Winterschlaf" befassen wir uns mit schwerwiegenden,
von externer Seite ausnutzbaren Sicherheitslücken, die im Unternehmensumfeld
definitiv zu kritischen Problemen führen können, aber vielfach dennoch
nicht gefixt werden.
Zusätzlich betrachten wir die Bedrohungslage für den deutschsprachigen Raum anhand von OSINT-Daten, um RZ-Betreiber dahingehend zu sensibilisieren, den Blick auf die externe Angriffsoberfläche zu schärfen und diese eigenständig gezielt zu reduzieren.
Alle Artikel der "Cyberien im Winterschlaf" - Serie finden Sie unter diesem Link
Disclaimer: alle Luup - Kunden wurden bereits im
Dezember informiert.
GoAhead: Simple, Insecure, Embedded Webserver
Anfang Dezember veröffentlichte das Talos-Research-Team ein Advisory[1] für den weit verbreiteten Webserver für Emdbedded Devices "GoAhead", mit der Beschreibung einer kritischen Lücke, die zu Remote Code Execution führen kann:
"A specially crafted HTTP request can lead to a use-after-free condition during the processing of this request that can be used to corrupt heap structures that could lead to full code execution. The request can be unauthenticated in the form of GET or POST requests, and does not require the requested resource to exist on the server." [1]
Im Bereich deutscher IPs lassen sich 3200 IPs mit diesem Webserver finden, wie eine Suche mit Binaryedge ergab.
Wenn man sich die IPs genauer ansieht, stößt man auf eine Reihe teils sehr stark veralteter Appliances, die keinesfalls extern erreichbar sein sollten:
- Telefonanlagen
- Internet-Router
- Alarmanlagen mit ungeschützten Zugängen
- KVM-Konsolen
- Videoüberwachungssysteme
- Solaranlagen-Steuerungen
Aufgeschlüsselt nach AS-Nummern sieht man, dass es sich bei den IPs vornehmlich um Business-IPs handelt, sich also primär Fimennetze dahinter verbergen.
ASN_NR | Count | ASNName
----------+--------+-----------------------------------
3320 | 1174 | DTAG Internet service provider operations, DE
6830 | 339 | LGI-UPC formerly known as UPC Broadband Holding B.V., AT
3209 | 134 | VODANET International IP-Backbone of Vodafone, DE
24940 | 132 | HETZNER-AS, DE
31334 | 118 | KABELDEUTSCHLAND-AS, DE
16202 | 102 | TELECOLUMBUS-AS, DE
8881 | 86 | VERSATEL, DE
31103 | 59 | KEYWEB-AS, DE
553 | 33 | BELWUE BelWue-Koordination, DE
9145 | 32 | EWETEL Cloppenburger Strasse 310, DE
12843 | 32 | TELEMAXX, DE
6805 | 30 | TDDE-ASN1, DE
196922 | 29 | HOFMEIR-AS, DE
51167 | 20 | CONTABO, DE
12586 | 19 | ASGHOSTNET, DE
35244 | 19 | KMS-DE_AS, DE
13101 | 17 | TNG-AS TNG Stadtnetz GmbH, DE
20676 | 16 | PLUSNET *****************, DE
8422 | 16 | NETCOLOGNE, DE
24961 | 16 | MYLOC-AS, DE
197071 | 14 | ACTIVE-SERVERS active-servers.com, DE
34171 | 14 | INTERDOTNET-LIG-AS, DE
8767 | 14 | MNET-AS Germany, DE
200567 | 14 | MDEX, DE
680 | 14 | DFN Verein zur Foerderung eines Deutschen Forschungsnetzes e.V., DE
31400 | 12 | ACCELERATED-IT, DE
21413 | 12 | ENVIA-TEL-AS D-09114 Chemnitz, DE
28753 | 12 | LEASEWEB-DE-FRA-10, DE
47215 | 10 | FILOO-ASN Rhedaer Straße 25, DE
61157 | 10 | PLUSSERVER-ASN1, DE
Wir gehen davon aus, dass ein Großteil der angreifebaren GoAhead-Installationen mittlerweile gehackt wurden.
Referenzen
Anhang
IPs : 2873
Networks : 620
ASNs : 185
Top 100 ASNs
ASN_NR | Count | ASNName
----------+--------+-----------------------------------
3320 | 1174 | DTAG Internet service provider operations, DE
6830 | 339 | LGI-UPC formerly known as UPC Broadband Holding B.V., AT
3209 | 134 | VODANET International IP-Backbone of Vodafone, DE
24940 | 132 | HETZNER-AS, DE
31334 | 118 | KABELDEUTSCHLAND-AS, DE
16202 | 102 | TELECOLUMBUS-AS, DE
8881 | 86 | VERSATEL, DE
31103 | 59 | KEYWEB-AS, DE
553 | 33 | BELWUE BelWue-Koordination, DE
9145 | 32 | EWETEL Cloppenburger Strasse 310, DE
12843 | 32 | TELEMAXX, DE
6805 | 30 | TDDE-ASN1, DE
196922 | 29 | HOFMEIR-AS, DE
51167 | 20 | CONTABO, DE
12586 | 19 | ASGHOSTNET, DE
35244 | 19 | KMS-DE_AS, DE
13101 | 17 | TNG-AS TNG Stadtnetz GmbH, DE
20676 | 16 | PLUSNET *****************, DE
8422 | 16 | NETCOLOGNE, DE
24961 | 16 | MYLOC-AS, DE
197071 | 14 | ACTIVE-SERVERS active-servers.com, DE
34171 | 14 | INTERDOTNET-LIG-AS, DE
8767 | 14 | MNET-AS Germany, DE
200567 | 14 | MDEX, DE
680 | 14 | DFN Verein zur Foerderung eines Deutschen Forschungsnetzes e.V., DE
31400 | 12 | ACCELERATED-IT, DE
21413 | 12 | ENVIA-TEL-AS D-09114 Chemnitz, DE
28753 | 12 | LEASEWEB-DE-FRA-10, DE
47215 | 10 | FILOO-ASN Rhedaer Straße 25, DE
61157 | 10 | PLUSSERVER-ASN1, DE
16097 | 9 | HLKOMM 04107 Leipzig, DE
42652 | 9 | DELUNET, DE
8820 | 8 | TAL-DE Robertstrasse 6, DE
13045 | 8 | HTP-AS, DE
8893 | 7 | ARTFILES-AS Zirkusweg 1, DE
197242 | 6 | REP-, DE
12337 | 6 | NORIS-NETWORK IT Service Provider located in Nuernberg, Germany, DE
25394 | 6 | MK-NETZDIENSTE-AS, DE
15598 | 5 | QSC-AG-IPX, DE
205703 | 5 | SW-TET, DE
47447 | 5 | TTM, DE
30962 | 5 | COMTRANCE-AS, DE
44066 | 5 | DE-FIRSTCOLO www.first-colo.net, DE
203865 | 5 | OVERTURN, DE
29551 | 5 | HGCOMP-ASN, DE
35776 | 5 | TELEOS, DE
15763 | 4 | ASDOKOM, DE
208821 | 4 | DURUNET, TR
48918 | 4 | GLOBALWAYS, DE
198930 | 4 | DE-VSM-ASN Peering, DE
201596 | 4 | THREENETAS, NO
34549 | 4 | MEER-AS meerfarbig GmbH & Co. KG, DE
25260 | 3 | QUALITYHOSTING-AS D-63571 Gelnhausen, DE
8220 | 3 | COLT, GB
24989 | 3 | IXEUROPE-DE-FRANKFURT-ASN Equinix Germany (Previously IX Europe Germany AS), DE
45031 | 3 | PROVIDERBOX IPv4 & IPv6 DUS1, DE
702 | 3 | UUNET - MCI Communications Services, Inc. d/b/a Verizon Business, US
24679 | 3 | SSERV-AS, DE
51191 | 3 | XIRRA, DE
12312 | 3 | ECOTEL, DE
208988 | 3 | BUCHHOLZ-DIGITAL Buchholz Digital GmbH, DE
201492 | 3 | NETVERSOR-4, DE
20880 | 3 | TELECOLUMBUS, DE
196763 | 3 | KEY-SYSTEMS-AS Im Oberen Werk 1, DE
29259 | 3 | DE-IABG-TELEPORT, DE
201011 | 3 | NETZBETRIEB-GMBH, DE
199284 | 3 | ENCOLINE, DE
12897 | 3 | HEAGMEDIANET Darmstadt, Germany, DE
12693 | 3 | EDISCOM Am Kanal 4a, 14467 Potsdam, DE
20810 | 3 | NETCOM-KASSEL Netcom Kassel, DE
47297 | 3 | TK-LINDAU, DE
12360 | 3 | KTK KEVAG Telekom GmbH, DE
8426 | 2 | CLARANET-AS ClaraNET LTD, GB
15456 | 2 | INTERNETX-AS, DE
15366 | 2 | DNSNET German Internet Service Providers, DE
3257 | 2 | GTT-BACKBONE GTT, DE
9063 | 2 | SAARGATE-AS Nell-Breunig-Allee 6, DE
9066 | 2 | BCC Hinter dem Turme 12, DE
57353 | 2 | VITROCONNECT-AS, DE
34984 | 2 | TELLCOM-AS, TR
2857 | 2 | RLP-NET, DE
43341 | 2 | MDLINK MDlink online service center GmbH, DE
44592 | 2 | SKYLINK, NL
42184 | 2 | TKRZ-AS, DE
20886 | 2 | DE-IORG-AS-1 Pennefeldsweg 12, D-53177 Bonn, Germany, DE
4436 | 2 | AS-GTT-4436 - GTT, US
200924 | 2 | SIS2, DE
NA | 2 | NA
41998 | 2 | NETCOMBW-AS, DE
34154 | 2 | CONFIGO-AS, DE
59939 | 2 | WIBO-AS, LT
15657 | 2 | SPEEDBONE-AS, DE
9022 | 2 | TWL-KOM-AS Donnersbergweg 4, DE
29413 | 2 | KOMRO-AS Komro Telekommunikations GmbH, DE
33984 | 2 | SURFPLANET-AS, DE
5520 | 2 | UNI-KOELN, DE
202741 | 2 | EDV-TEAM-OBERLAND, DE
29404 | 2 | ELBRACHT-COMPUTER-AS, DE
209480 | 2 | SMARTWEB-AS, DE
12759 | 2 | SOCO-AS Nordstrasse 102, DE
Fragen? Kontakt: info@zero.bs