Seit einiger Zeit habe ich einen Testserver mit Honeypots laufen. Ziel war es zu schauen wie der Server angegriffen wird. Am Wochenende bekam ich überraschend Post von meinen Provider. Es handelte sich um eine Abuse Meldung eingereicht vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Daten wurden wohl vom Projekt https://www.shadowserver.org/ an die BSI weitergegeben. Hier der Auszug der Abuse Meldung.
Nachtrag: Gescannt werden wohl viele der bekannten NoSql Datenbanken wie Redis, CouchDB, MongoDB. Allesamt verwenden die Datenbanken keine oder nur rudimentäre Sicherheitskonzepte.
Sehr geehrte Damen und Herren,
Memcached[1] ist ein Open-Source Cache-Server zum einfachen Hinterlegen
und Abholen von Daten aus dem Arbeitsspeicher. Memcached wird häufig
in Verbindung mit Web-Applikationen eingesetzt. Der Memcached-Server
unterstützt keine Authentifizierung. Angreifer können dadurch beliebig
die darin gespeicherten Daten auslesen oder modifizieren, falls der
Server aus dem Internet erreichbar ist. Dies ermöglicht Angreifern u.a.
das Ausspähen von Informationen auf den betroffenen Systemen wie bspw.
Zugangsdaten zu Webapplikationen oder andere vertrauliche Inhalte.Im Rahmen des Shadowserver ‚Open Memcached Key-Value Store Scanning
Projects‘ werden Memcached-Server identifiziert, welche offen aus dem
Internet erreichbar sind. CERT-Bund erhält von Shadowserver die
Testergebnisse für IP-Adressen in Deutschland, um betroffene
Server-Betreiber benachrichtigen zu können.Weitere Informationen zu den von Shadowserver durchgeführten Tests
finden Sie unter [2].Nachfolgend senden wir Ihnen eine Liste betroffener Systeme in Ihrem
Netzbereich. Der Zeitstempel (Zeitzone UTC) gibt an, wann das System
geprüft und ein offener Memcached-Server identifiziert wurde.Wir möchten Sie bitten, den Sachverhalt zu prüfen und Maßnahmen zur
Absicherung der Memcached-Server auf den betroffenen Systemen zu ergreifen
bzw. Ihre Kunden entsprechend zu informieren.Referenzen:
[1] Memcached
[2] Shadowserver: Open Memcached Key-Value Store Scanning Project
Diese E-Mail ist mittels PGP digital signiert. Informationen zu dem
verwendeten Schlüssel finden Sie auf unserer Webseite unter:
Bitte beachten Sie:
Dies ist eine automatisch generierte Nachricht.
An die Absenderadresse kann nicht geantwortet werden.
Bei Rückfragen wenden Sie sich bitte an. – ———————————————————————–
Dear Sir or Madam,
Memcached[1] is an open-source distributed memory object caching system
which is generic in nature but often used for speeding up dynamic web
applications. Memcached does not support any forms of authorization.
Thus, anyone who can connect to the memcached server has unrestricted
access to the data stored in it. This allows attackers e.g. to steal
sensitive data like login credentials for web applications or any other
kind of content stored with memcached.The Shadowserver ‚Open Memcached Key-Value Store Scanning Project‘
identifies memcached servers which are openly accessible from the
Internet. Shadowserver provides CERT-Bund with the test results
for IP addresses in Germany for notification of the owners of the
affected systems.Futher information on the tests run by Shadowserver is available
at [2].Please find below a list of affected systems hosted on your network.
The timestamp (timezone UTC) indicates when the system was found
to be running an openly accessible memcached server.We would like to ask you to check this issue and take appropriate
steps to secure the memcached servers on the affected systems or
notify your customers accordingly.References:
[1] Memcached
[2] Shadowserver: Open Memcached Key-Value Store Scanning Project
This message is digitally signed using PGP.
Details on the signature key used are available on our website at:
Please note:
This is an automatically generated message.
Replying to the sender address is not possible.
In case of questions, please contact. – ———————————————————————–
Betroffene Systeme in Ihrem Netzbereich:
Affected systems on your network:Format: ASN | IP address | Timestamp (UTC) | Port | Memcached version
24940 | xxx.xxx.xxx.xxx | 2015-02-05 01:49:07 | 11211 | 1.4.4Mit freundlichen Grüßen / Kind regards
Team CERT-BundBundesamt für Sicherheit in der Informationstechnik (BSI)
Federal Office for Information Security
Referat C21 – CERT-Bund
Godesberger Allee 185-189, D-53175 Bonn, Germany
Neueste Kommentare