Praxisversuch: Verwundbare Systeme bereits nach wenigen Minuten gehackt

Die IT-Experten von Palo Altos Unit 42 haben ein Netz mit 320 Honeypots im Internet aufgesetzt und überprüft, wie lange es dauert, bis die Dienste darauf angegriffen und unterwandert wurden. Solche Systeme setzen Forscher als Köder für Cyberkriminelle auf, um etwa ihre Vorgehensweisen zu analysieren. Das nicht unerwartete, aber dennoch erschreckende Ergebnis: Nach gerade mal einem Tag waren 80 Prozent der Honeypots geknackt.

Die Knoten des Honeynet stellten zu gleichen Teilen Dienste wie das Remote Desktop Protocol (RDP), Secure Shell (SSH), Samba oder PostgreSQL-Datenbanken bereit. Bei den Zugangsdaten haben die Sicherheitsforscher absichtlich schwache Nutzer-Passwort-Kombinationen wie admin:admin, guest:guest oder administrator:password gesetzt. Der Test lief zwischen Juli und August 2021 über 30 Tage, wobei die einzelnen Honeypots im nordamerikanischen, asiatisch-pazifischen und europäischen Raum angesiedelt waren. Nach erkanntem Einbruch oder wenn eine Maschine nicht mehr reagierte, wurde sie auf den Ausgangsstatus zurückgesetzt.

Bis zum ersten erfolgreichen Angriff auf SSH vergingen im Schnitt rund 3 Stunden, auf PostegreSQL 8,5 Stunden, auf RDP 11 Stunden und auf die Samba-Dienste etwa 41 Stunden. Dies korreliere mit der Angriffshäufigkeit, beschreiben die Unit 42-Forscher in ihrem Artikel zu diesem Test. Der Durchschnittswert verschleiert die reale Gefahr – schließlich wurden dem Bericht zufolge die ersten Systeme bereits nach Minuten gefunden und kompromittiert.

Angreifbarer Dienst als umkämpfte Ressource

Es findet aber auch eine Art Kampf um die infiltrierbaren Maschinen statt. Der nächste Angreifer stand nach recht ähnlichen Zeiträumen wieder auf der Matte und drang in die Honeypots ein. Den Palo-Alto-Forschern zufolge versuchten Angreifer üblicherweise, Hinterlassenschaften vorheriger Einbrecher wie Backdoors und Malware zu entfernen und nennen Crypto-Mining-Cybergangs in diesem Kontext. Diese nutzen die gekaperten Maschinen, um Kryptowährungen wie Bitcoins zu schürfen.

Weiterhin listen die IT-Sicherheitsexperten die Anzahl an durchschnittlichen Angreifer-IPs auf, die ein Honeypot in den 30 Tagen gesehen hat. Die meisten IPs versuchten Angriffe auf SSH, nämlich 179. Darauf folgten 50 Angreifer-IPs auf RDP, 11 auf Samba und 7 auf PostgreSQL. Von den beobachteten Adressen waren etwa 85 Prozent nur einen Tag aktiv, die Angreifer wechseln also oft den Ausgangspunkt. Damit sind Filterregeln für Firewalls, die auf Listen bekannter angreifender IP-Adressen basieren, wenig wirksam.

Zudem waren weniger als ein Fünftel der IPs gleich auf mehreren Knoten des Honeynet aktiv. Davon stach ein Angreifer jedoch besonders hervor – 96 Prozent der 80 global aufgestellten PostgreSQL-Honeypots übernahm er in lediglich 30 Sekunden.

Auf Zack sein

Aus den Ergebnissen dieses Tests lassen sich einige Empfehlungen ableiten. Die Reaktionszeiten zum Ausbessern von Schwachstellen sind zu lang, wenn sie Tage oder Wochen dauern. Dies sieht man auch in der Praxis etwa mit den noch nicht angewendeten, jedoch seit spätestens Frühling dieses Jahres bereitstehenden Exchange-Updates für Sicherheitslücken, die Angreifer zum Einbrechen in das System nutzen. Oder den regelmäßigen Einbrüchen in Netzwerke via nicht aktualisierter VPN-Software.

Administratoren müssen inzwischen sehr rasch bereitstehende Sicherheitsupdates installieren, gegebenenfalls bereitstehende Workarounds umsetzen oder Angriffsflächen auf Dienste etwa durch (Teil-)Abschaltungen reduzieren. Es empfiehlt sich zudem, etwa ein Monitoring einzuführen und dessen Ergebnisse regelmäßig zu prüfen. Oftmals sind in Netzwerken auch exponierte Dienste aktiv, die gar nicht nötig sind – hier hilft, sie einfach abzuschalten. Zu guter Letzt zeigen die Ergebnisse auch, dass man gute, komplexe Passwörter benutzen sollte.

(UPDATE 25.11.2021 07:05 Uhr)

Überschrift präzisiert.

(dmk)