Hohe Gefahr durch Schwachstellen beim Fernzugang

Port-Scans werden häufig aufgrund spektakulärer Angriffsarten wie Phishing, Brute Force oder DDoS (Distributed Denial of Service) unterschätzt. Doch gerade die automatisierte, systematische Suche nach Sicherheitslücken eröffnet Cyberkriminellen zahlreiche, einfach nutzbare Einfallstore. Dann können sie Schadprogramme für Spionage, Datendiebstahl oder Ransomware installieren.

Um die aktuelle Bedrohungslage durch Port-Scans besser zu verstehen, untersucht F5 Labs in Zusammenarbeit mit Effluxio regelmäßig den weltweiten Angriffsverkehr. Aktuell wurden Scans von globalen Honeypots mit geringer Interaktion über drei Quartale des Jahres 2021 hinweg analysiert. Dies erlaubt einen Vergleich der Aktivitäten in den ersten beiden Quartalen (Januar bis Juni) mit denen des dritten Quartals (Juli bis September).

Die Verbindungsversuche, die aus diesen Scans hervorgehen, stammen aber nicht unbedingt tatsächlich von der scheinbaren Quelle. Laut der Studie nutzen fortgeschrittene Angreifer häufig eine kompromittierte Infrastruktur als Proxy-Botnet. So war Litauen im untersuchten Zeitraum eines der wichtigsten Herkunftsländer für Scans weltweit. Doch dies ist eher auf russische Cyberangreifer zurückzuführen, welche die litauische Infrastruktur kaperten.

Am häufigsten gescannte Ports

Für Unternehmen wichtig ist auch die Tatsache, dass die drei am häufigsten gescannten Ports in den ersten drei Quartalen 2021 allesamt Fernanmeldungen betrafen. So erhält ein Angreifer mit einer einzigen erfolgreichen Authentifizierung einen direkten Zugang zur Infrastruktur eines Unternehmens. Diese sollten ihre Dienste daher mit Patches und starker Authentifizierung schützen. Für Systemadministratoren und den damit verbundenen erhöhten Privilegien sollten noch strengere Kontrollen für die Fernverwaltung gelten.

Die drei am häufigsten gescannten Ports sind 5900 (VNC), 22 (SSH) und 3389 (RDP). Ihr Anteil ist aber jeweils im Laufe des Jahres 2021 leicht zurückgegangen, während die Zahl der gescannten Ports 3306 (MySQL), 21 (FTP) und 9200 (Elasticsearch API) gestiegen ist. Doch der Scan ergibt nicht unbedingt, dass der Port auch abgehört werden kann. Eine Suche auf Shodan zeigt fast 5 Millionen offene Ports auf 3389, über eine Million Ports auf 5900 und satte 21 Millionen Ports auf 22.

Port 9200-Scans im dritten Quartal 2021

Der zunehmend gescannte Port 9200 wird von Elasticsearch genutzt. Er lag im dritten Quartal weltweit auf Platz sechs (3,6 % des gesamten Scanverkehrs). Im gleichen Zeitraum war er in den USA sogar unter den ersten drei. Warum Elasticsearch? Das Programm war zuletzt eine Quelle für viele große Datenschutzverletzungen, wie in den Application Protection Reports 2019 und 2021 festgestellt wurde. Aus diesem Grund ist dringend zu empfehlen, alle dem Internet ausgesetzten APIs zu härten, vor allem die stark betroffenen APIs wie Elasticsearch.

Die häufigsten Ziele

Um festzustellen, ob ein Land ungewöhnlich häufig angegriffen wird, ist im ersten Schritt die Zahl der IP-Adressen festzustellen. Der Anteil der etwa vier Milliarden IP-Adressen im Internet variiert von Land zu Land, je nach Nutzung und Zuweisung. Bei ungezielten Angriffen sollten die attackierten Länder in den Effluxio-Honeypot-Daten in etwa dieselben regionalen Anteile besitzen. Obwohl der Angriffs-Scan-Verkehr in die USA mit dem Anteil der zugewiesenen IP-Adressen ungefähr übereinstimmt, ist dies bei den meisten anderen Ländern nicht der Fall. Als extremer Ausreißer sticht Malaysia hervor, das im dritten Quartal 2021 an zweiter Stelle steht.

Angriffe auf Malaysia laufen über China

Da dies sehr ungewöhnlich ist, hat die Studie Angriffe auf Malaysia von Juli bis September 2021 näher untersucht. Die drei am häufigsten angegriffenen Ports in Malaysia waren 3306 (79,53 %), 5900 (14,31 %) und 22 (3,83 %). Das war in etwa zu erwarten, obwohl 3306 (MySQL) in Malaysia siebenmal häufiger angegriffen wird als weltweit (11,3 %).

Eingehende Scans nach Malaysia kamen vor allem aus China (20,52 %), den USA (15,90 %), Litauen (9,21 %), Deutschland (9,16 %) und Russland (8,41 %). Litauen scheint hier ein Ausreißer zu sein, aber dieses Ergebnis stimmt mit dem übrigen weltweiten Angriffsverkehr im gleichen Zeitraum überein.

Der eigentliche Ausreißer ist China, das Malaysia fast doppelt so häufig gescannt hat wie der Durchschnitt im Internet (11,2 %). Es sieht so aus, als käme der größte Teil dieses Datenverkehrs (20,83 %) vom Access Service Network (ASN) 37963, das Alibaba China zugeordnet ist. Auch dies ist überproportional und liegt fast sechsmal so hoch wie der weltweite Durchschnitt für dieses Zugangsnetz (3,6 %).

Dabei könnte es sich um eine dedizierte Kampagne von Cyberkriminellen handeln, die Alibaba-Scanner einsetzen, aber auch um eine statistische Anomalie oder einen politisch motivierten Angriff. Dies können die vorliegenden Daten nicht klären.

Wer scannt das Internet?

Einfacher zu beantworten ist die Frage, woher die Scans stammen. Das ungewöhnlichste Ergebnis: Litauen ist das Herkunftsland für die meisten Cyberangriffsscans im Jahr 2021. Den Grund dafür erklärt das litauische Ministerium für Staatssicherheit selbst. Es stellte im März fest, dass russische Cyberangreifer die IT-Infrastruktur des Landes missbraucht hatten, um Organisationen anzugreifen, die COVID-19-Impfstoffe entwickelten. Tatsächlich ist zu beobachten, dass der aus Litauen stammende Datenverkehr abnimmt, vermutlich weil das Land die Kompromittierungen bereinigt hat, während der aus Russland stammende Datenverkehr wieder zunimmt. Diese Grafik deutet jedoch darauf hin, dass auch Deutschland ein entsprechendes Problem haben könnte.

Die wichtigsten Scan-Quellen nach Zugangsnetzen blieben im Jahr 2021 relativ gleich. Erneut führen die Liste Serverius Holding B.v. (AS50673) aus den Niederlanden mit 33,8 Prozent und DigitalOcean (AS14061) mit 10,3 Prozent an. Diese beiden Unternehmen standen bereits in den letzten Jahren an der Spitze.

Empfehlungen für den Port-Schutz

Um die hier besprochenen Angriffsarten abzuwehren, sollten Unternehmen folgende Schutzmechanismen einführen:

• Härten und Patchen exponierter Ports, die häufig angegriffen werden, wie Elasticsearch-APIs, VNC und SSH
• Multifaktor-Authentifizierung für alle Remote-Anmeldedienste – falls dies nicht möglich ist: Implementieren einer robusten Kennwortrichtlinie
• Verwenden einer Antibot-Lösung, um Brute-Force- und Credential-Stuffing-Angriffe auf Remote-Dienste zu reduzieren
• Verwenden von Firewalls, um alle unnötigen Zugriffe auf häufig angegriffene Ports zu beschränken, die öffentlich zugänglich sein müssen
• Deaktivieren von schwachen und ungenutzten Protokollen wie Telnet
• Netzwerkzugriffskontrolle so konfigurieren, dass der Zugang zu administrativen Ports nur von offiziell festgelegten IP-Adressbereichen aus möglich ist