Tag Vuln.open_portmapper

Kurzinfo:

Maschinen, die offene Portmapper (open portmapper) Dienste sind und für Amplification Attacken missbraucht werden um ein fremdes Ziel zu attackieren.

Treffsicherheit:

Sehr gut, da offene Services relativ einfach via nmap & rpcinfo zu finden sind. Etwaige Rate-Limits werden vom Test nicht erkannt.

Beschreibung:

Durch (weltweit)offene Portmapper-Services können die betroffenen Maschinen leicht für Amplification Attacken ausgenutzt werden. Da dieses Service per UDP erreichbar ist, sind hier vor allem gespoofte IP Adressen mit im Spiel.

Durch das vermindern solcher weltweit offener Dienste (DNS, NTP monlist, Portmapper, SSDP,...) trägt man als Betreiber wesentlich zur Hygiene im Internet bei und schützt damit implizit andere vor DDoS Attacken bzw. seine eigene Infrastruktur vor (Ressourcen) Missbrauch und dem enummerieren von Services auf der Maschine, was vielleicht für weitere Attacken auf die Maschine selbst dienen kann.

Amplification Faktor:

lt. US-CERT ca. 7-28-fache Verstärkung (request/result)

Gegenmaßnahmen:

  • Service abdrehen sofern es nicht benötigt wird (zB für NFS Shares)
  • Firewallregeln gezielt setzen und nur benötigte (zB. alle die NFS Shares nutzen müssen) und damit berechtigte IP Adressen via Firewall freischalten
    • jedenfalls einschränken auf zB.
      • Instituts-/fakultätsinterne, DLE-interne, zentrumsinterne IP Adressen
      • zusätzlich wenn benötigt VPN IP Adressen
      • ACOnet-Teilnehmer-interne IP Adressen
  • In regelmäßigen Abständen Firewallregeln sichten und zB. nach any-any-Rules oder dergleichen suchen
  • In regelmäßigen Abständen die aufgedrehten Services auf den Maschinen sichten und nicht (mehr) benötigte abdrehen

Links:

http://blog.level3.com/security/a-new-ddos-reflection-attack-portmapper-an-early-warning-to-the-industry/

https://www.us-cert.gov/ncas/alerts/TA14-017A (siehe Portmap/RPC)

https://www.sans.org/security-resources/idfaq/is-blocking-port-111-sufficient-to-protect-your-systems-from-rpc-attacks/7/5

https://www.cert.org/historical/advisories/ca-1994-15.cfm

https://www.belwue.de/netz/security/sicherheitswarnungen.html (siehe Portmapper)

https://portmapperscan.shadowserver.org/

http://www.securityweek.com/rpc-portmapper-abused-ddos-attack-reflection-amplification

Erfahrungen:

  • Sperren des UDP Ports 111 via Firewall dürfte helfen
  • mehrere Interfaces einer Maschine werden durch den Scan (natürlich) nicht erkannt - d.h. es kann zu mehreren Meldungen für eigentlich dieselbe Maschine kommen
  • Achtgeben, auch bei Minimalinstallationen ist dieses Service oft auch unbemerkt aufgedreht
  • Bisher kaum false-positives bekannt