Wir haben vor Kurzem festgestellt, dass viele Server durch ein NFS-Update oder veraltete Firewall-Einstellungen anfällig für eine sogenannte Reflection Attack sind. Hierbei werden die anfälligen Server durch Hacker für eine DDOS Attacke missbraucht.
Was können Sie tun:
1. Wenn NFS nicht genutzt wird, können Sie den Portmapper und NFS entfernen:
Unter Debian:
if [ ! -f /etc/exports ]; then if [ $(grep nfs /proc/mounts | wc -l) -eq 0 ]; then dpkg -P portmap nfs-common rpcbind; fi; fi
Unter CentOS, Fedora und Redhat:
chkconfig nfslock off chkconfig rpcgssd off chkconfig rpcidmapd off chkconfig portmap off chkconfig nfs off yum remove portmap nfs-utils
2. Wenn NFS genutzt wird, per Firewall externe Zugriffe per UDP auf Port 111 blocken
iptables -A INPUT -p tcp -s! 192.168.0.0/24 --dport 111 -j DROP iptables -A INPUT -p tcp -s 127.0.0.1 --dport 111 -j ACCEPT iptables -A INPUT -p udp -s! 192.168.0.0/24 --dport 111 -j DROP iptables -A INPUT -p udp -s 127.0.0.1 --dport 111 -j ACCEPT
Alle Details dazu:
der Portmapper-Dienst (portmap, rpcbind) wird benötigt, um RPC-Anfragen (Remote Procedure Calls) dem korrekten Dienst zuzuordnen. Der Portmapper- Dienst wird u.a. für Netzwerkfreigaben über das Network File System (NFS) benötigt. Der Portmapper-Dienst verwendet Port 111 tcp/udp [1].
Ein aus dem Internet erreichbarer offener Portmapper-Dienst kann von einem Angreifer zur Durchführung von DDoS-Reflection/Amplification-Angriffen missbraucht werden. Weiterhin kann ein Angreifer darüber Informationen über das Netzwerk erlangen, wie z.B. laufende RPC-Dienste oder vorhandene Netzwerkfreigaben.
In den letzten Monaten wurden Systeme, welche Anfragen aus dem Internet an den Portmapper-Dienst beantworten, zunehmend zur Durchführung von DDoS-Reflection/Amplification-Angriffen missbraucht [2].
Im Rahmen des Shadowserver 'Open Portmapper Scanning Projects' werden Systeme identifiziert, welche Anfragen an den Portmapper-Dienst aus dem Internet beantworten. Diese Systeme können für DDoS-Angriffe missbraucht werden, sofern keine anderen Gegenmaßnahmen implementiert wurden.
CERT-Bund erhält von Shadowserver die Testergebnisse für IP-Adressen in Deutschland, um betroffene Systembetreiber benachrichtigen zu können. Weitere Informationen zu den von Shadowserver durchgeführten Tests finden Sie unter [3].
Nachfolgend senden wir Ihnen eine Liste betroffener Systeme in Ihrem Netzbereich. Der Zeitstempel gibt an, wann das System geprüft wurde und eine Anfrage an den Portmapper-Dienst aus dem Internet beantwortet hat.
Wir möchten Sie bitten, den Sachverhalt zu prüfen und Maßnahmen zur Absicherung der Portmapper-Dienste auf den betroffenen Systemen zu ergreifen bzw. Ihre Kunden entsprechend zu informieren.
Falls Sie kürzlich bereits Gegenmaßnahmen getroffen haben und diese Benachrichtigung erneut erhalten, beachten Sie bitten den angegebenen Zeitstempel. Wurde die Gegenmaßnahme erfolgreich umgesetzt, sollten Sie keine Benachrichtigung mit einem Zeitstempel nach der Umsetzung mehr erhalten.
Referenzen:
[1] Wikipedia: Portmap https://en.wikipedia.org/wiki/Portmap [2] Level 3: A New DDoS Reflection Attack: Portmapper http://blog.level3.com/security/a-new-ddos-reflection-attack- portmapper-an-early-warning-to-the-industry/ [3] Shadowserver: Open Portmapper Scanning Project https://portmapperscan.shadowserver.org/ [4] US-CERT: UDP-based Amplification Attacks https://www.us-cert.gov/ncas/alerts/TA14-017A
|