Praxisversuch: Systeme mit verwundbarer Software schon nachdem Zahlungsfrist aufschieben gehackt
Die IT-Experten von Palo Altos Unit42 nach sich ziehen ein Netzwerk mit 320 Honeypots im World Wide Web aufgesetzt und überprüft, wie tief es dauert, solange bis die Dienste darauf angegriffen und unterwandert wurden. Solche Systeme setzen Forscher wie Köder zu Gunsten von Cyberkriminelle hinaus, um etwa ihre Vorgehensweisen zu untersuchen. Dasjenige nicht unerwartete, demgegenüber ungeachtet erschreckende Ergebnis: Nachher ohne Rest durch zwei teilbar mal einem Tag waren 80 v. H. dieser Honeypots geknackt.
Die Knoten des Honeynet stellten zu gleichen Teilen Dienste wie dies Remote Desktop Protocol (RDP), Secure Shell (SSH), Samba oder PostgreSQL-Datenbanken parat. Im Kontext den Zugangsdaten nach sich ziehen die Sicherheitsforscher in voller Absicht schwache Nutzer-Passwort-Kombinationen wie admin:admin, guest:guest oder administrator:password. Welcher Test lief zwischen Juli und August 2021 reichlich 30 Tage, wodurch die einzelnen Honeypots im nordamerikanischen, asiatisch-pazifischen und europäischen Raum angesiedelt waren. Nachher erkanntem Einbruch oder wenn eine Maschine nicht mehr reagierte, wurde sie hinaus den Ausgangsstatus zurückgesetzt.
Solange bis zum ersten erfolgreichen Übergriff hinaus SSH vergingen im Schnittwunde rund 3 Zahlungsfrist aufschieben, hinaus PostegreSQL 8,5 Zahlungsfrist aufschieben, hinaus RDP 11 Zahlungsfrist aufschieben und hinaus die Samba-Dienste etwa 41 Zahlungsfrist aufschieben. Dies korreliere mit dieser Angriffshäufigkeit, charakterisieren die Unit42-Forscher in ihrem Geschlechtswort zu diesem Test. Welcher Durchschnittswert verschleiert die reale Gefahr – schließlich wurden dem Neuigkeit zufolge die ersten Systeme schon nachdem Minuten gefunden und kompromittiert.
Angreifbarer Tätigkeit wie umkämpfte Ressource
Es findet demgegenüber zweite Geige eine Weise Kampf um die infiltrierbaren Maschinen statt. Welcher nächste Angreifer stand nachdem recht ähnlichen Zeiträumen wieder hinaus dieser Matte und drang in die Honeypots ein. Den Palo-Alto-Forschern zufolge versuchten Angreifer üblicherweise, Hinterlassenschaften vorheriger Einbrecher wie Backdoors und Schadsoftware zu explantieren und nennen Crypto-Mining-Cybergangs in diesem Kontext. Welche nutzen die gekaperten Maschinen, um Kryptowährungen wie Bitcoins zu schürfen.
Weiterhin listen die IT-Sicherheitsexperten die Reihe an durchschnittlichen Angreifer-IPs hinaus, die ein Honeypot in den 30 Tagen gesehen hat. Die meisten IPs versuchten Angriffe hinaus SSH, nämlich 179. Darauf folgten 50 Angreifer-IPs hinaus RDP, 11 hinaus Samba und 7 hinaus PostgreSQL. Von den beobachteten Adressen waren etwa 85 v. H. nur verschmelzen Tag unter Strom stehend, die Angreifer wechseln folglich oft den Null. Damit sind Filterregeln zu Gunsten von Firewalls, die hinaus Listen bekannter angreifender IP-Adressen basieren, wenig wirksam.
Zudem waren weniger wie ein Fünftel dieser IPs gleich hinaus mehreren Knoten des Honeynet unter Strom stehend. Davon stach ein Angreifer jedoch namentlich hervor – 96 v. H. dieser 80 multinational aufgestellten PostgreSQL-Honeypots übernahm er in lediglich 30 Sekunden.
Aufwärts Zack sein
Schluss den Ergebnissen dieses Tests lassen sich wenige Empfehlungen generalisieren. Die Reaktionszeiten zum Flickschustern von Schwachstellen sind zu weit, wenn sie Tage oder Wochen dauern. Dies sieht man zweite Geige in dieser Realität etwa mit den noch nicht angewendeten, jedoch seit dem Zeitpunkt spätestens Frühling dieses Jahres bereitstehenden Exchange-Updates zu Gunsten von Sicherheitslücken, die Angreifer zum Einbrechen in dies System nutzen. Oder den regelmäßigen Einbrüchen in Netzwerke via nicht aktualisierter VPN-Software.
Administratoren sollen inzwischen sehr rasch bereitstehende Sicherheitsupdates installieren, ggf. bereitstehende Workarounds umtopfen oder Angriffsflächen hinaus Dienste etwa durch (Teil-)Abschaltungen reduzieren. Es empfiehlt sich zudem, etwa ein Monitoring einzuführen und dessen Ergebnisse regelmäßig zu prüfen. Oftmals sind in Netzwerken zweite Geige exponierte Dienste unter Strom stehend, die weder noch nötig sind – hier hilft, sie reibungslos abzuschalten. Zu guter Letzt zeigen die Ergebnisse zweite Geige, dass man gute, komplexe Passwörter benutzen sollte.
(dmk)