CERT-Bund Reports - Offene Portmapper-Dienste in Netzbereich x.x.x.x/28
CERT-Bund Reports - Offene Portmapper-Dienste in Netzbereich x.x.x.x/28
Ach wie haben wir hier die Emails von unserem BSI (Bundesamt für Sicherheit in der Informationstechnik) vermisst.
Gestern war es mal wieder so weit:
Sehr geehrter Damen und Herren,
der Portmapper-Dienst (portmap, rpcbind) wird benötigt, um RPC-Anfragen
(Remote Procedure Calls) dem korrekten Dienst zuzuordnen. Der Portmapper-
Dienst wird u.a. für Netzwerkfreigaben über das Network File System (NFS)
benötigt. Der Portmapper-Dienst verwendet Port 111 tcp/udp [1].
Ein aus dem Internet erreichbarer offener Portmapper-Dienst kann von einem
Angreifer zur Durchführung von DDoS-Reflection/Amplification-Angriffen
missbraucht werden. Weiterhin kann ein Angreifer darüber Informationen
über das Netzwerk erlangen, wie z.B. laufende RPC-Dienste oder vorhandene
Netzwerkfreigaben.
In den letzten Monaten wurden Systeme, welche Anfragen aus dem Internet
an den Portmapper-Dienst beantworten, zunehmend zur Durchführung von
DDoS-Reflection/Amplification-Angriffen missbraucht [2].
Im Rahmen des Shadowserver 'Open Portmapper Scanning Projects' werden
Systeme identifiziert, welche Anfragen an den Portmapper-Dienst aus dem
Internet beantworten. Diese Systeme können für DDoS-Angriffe missbraucht
werden, sofern keine anderen Gegenmaßnahmen implementiert wurden.
CERT-Bund erhält von Shadowserver die Testergebnisse für IP-Adressen in
Deutschland, um betroffene Systembetreiber benachrichtigen zu können.
Weitere Informationen zu den von Shadowserver durchgeführten Tests
finden Sie unter [3].
Nachfolgend senden wir Ihnen eine Liste betroffener Systeme in Ihrem
Netzbereich. Der Zeitstempel gibt an, wann das System geprüft wurde und
eine Anfrage an den Portmapper-Dienst aus dem Internet beantwortet hat.
Wir möchten Sie bitten, den Sachverhalt zu prüfen und Maßnahmen zur
Absicherung der Portmapper-Dienste auf den betroffenen Systemen zu
ergreifen bzw. Ihre Kunden entsprechend zu informieren.
Falls Sie kürzlich bereits Gegenmaßnahmen getroffen haben und diese
Benachrichtigung erneut erhalten, beachten Sie bitten den angegebenen
Zeitstempel. Wurde die Gegenmaßnahme erfolgreich umgesetzt, sollten
Sie keine Benachrichtigung mit einem Zeitstempel nach der Umsetzung
mehr erhalten.
Wir haben vor Kurzem festgestellt, dass viele Kundensysteme durch ein NFS-Update wieder für eine sogenannte Reflection Attack anfällig sind. Hierbei werden die anfälligen Server durch Angreifer für eine DDOS Attacke missbraucht.
Was können Sie tun:
1. Wenn NFS nicht genutzt wird, können Sie den Portmapper und NFS entfernen:
Unter Debian:
if [ ! -f /etc/exports ]; then if [ $(grep nfs /proc/mounts | wc -l) -eq 0 ]; then dpkg -P portmap nfs-common rpcbind; fi; fi
Bei CentOS, Fedora
chkconfig nfslock off
chkconfig rpcgssd off
chkconfig rpcidmapd off
chkconfig portmap off
chkconfig nfs off
yum remove portmap nfs-utils
2. Wenn NFS bewußt genutzt wird, per Firewall externe Zugriffe per UDP auf Port 111 blocken
iptables -A INPUT -p tcp -s! 10.10.0.0/24 --dport 111 -j DROP
iptables -A INPUT -p tcp -s 127.0.0.1 --dport 111 -j ACCEPT
iptables -A INPUT -p udp -s! 10.10.0.0/24 --dport 111 -j DROP
iptables -A INPUT -p udp -s 127.0.0.1 --dport 111 -j ACCEPT
