Aanvallen op poort 5000 UPnP explosief gestegen
Het aantal aanvallen op poort 5000 Universal Plug & Play (UPnP) is het eerste kwartaal van dit jaar explosief gestegen. Daarnaast verdrievoudigde het aantal aanvallen op poort 23 Telnet, zo blijkt uit het State of the Internet Report van internetgigant Akamai.
Tijdens het laatste kwartaal van vorig jaar maakten aanvallen op poort 5000 nog minder dan 0,1% van al het aanvalsverkeer uit. In het eerste kwartaal van dit jaar steeg dit naar 12%, een toename van meer dan een factor 100, aldus Akamai. De aanvallen zijn mogelijk afkomstig van Bitcoin-malware die digitale videorecorders infecteert.
Deze recorders worden vaak gebruikt om video van surveillancecamera's op te slaan. De malware zou, naast het delven van Bitcoins, naar andere kwetsbare apparaten zoeken, wat de toename van het aanvalsverkeer kan verklaren. Ondanks de toename van het aanvalsverkeer bleef poort 445 de meest aangevallen poort op het internet, hoewel het percentage aanvallen op deze poort ten opzichte van het vierde kwartaal van 2013 met 16% afnam.
Poort 445 wordt door Microsoft Directory Services gebruikt en is al sinds het eerste kwartaal van 2008 de meest aangevallen poort. Onder andere de beruchte Confickerworm verspreidt zich via deze poort. Op de derde plek in het overzicht van de tien meest aangevallen poorten staat poort 23 Telnet. Het aanvalsverkeer dat via deze poort toegang tot systemen probeerde te krijgen of hierop scande steeg van 3% naar 8,7%.
Nu krijg ik door deze berichtgeving het gevoel dat dat ontoereikend is. Is dat zo? Browsercommando bevat poort 5000.
Op mijn Nas draait alleen Anti-Virus en LT Mediaserver. Gebruik 'm verder alleen als bestanden backup medium
Wat moet ik doen en bestaat hiervoor een stappenplan? Ben erg onrustig door deze info.
Nu krijg ik door deze berichtgeving het gevoel dat dat ontoereikend is. Is dat zo? Browsercommando bevat poort 5000.
Op mijn Nas draait alleen Anti-Virus en LT Mediaserver. Gebruik 'm verder alleen als bestanden backup medium
Wat moet ik doen en bestaat hiervoor een stappenplan? Ben erg onrustig door deze info.
Het belangrijkste van dit bericht is dat je ten alle tijden UPnP op je router UIT moet zetten. Dan maar handmatig een poortje open zetten...
Noot: Back-ups dienen off-site te zijn, als je netwerk op wat voor manier dan ook een steekje laat vallen zijn je back-ups ook niet meer te vertrouwen.
https://www.security.nl/posting/39877/Overheid+waarschuwt+voor+UPnP+op+router
https://www.security.nl/posting/39877/Overheid+waarschuwt+voor+UPnP+op+router
Noot: Back-ups dienen off-site te zijn, als je netwerk op wat voor manier dan ook een steekje laat vallen zijn je back-ups ook niet meer te vertrouwen.
Off-site is mooi, bijvoorbeeld voor als er brand komt of een fysieke inbraak, maar met het kwijtraken van je gegevens
door een hack heeft dat niks te maken.
Daarvoor moet je backup medium off-line zijn. Dus een tape die in de kast of kluis ligt, niet een mirror naar je vriends NAS
of een "online backup van KPN".
EN uiteraard moet je een schema met meerdere generaties en een lange bewaartermijn hebben, niet een of twee copietjes
die je steeds weer overschrijft.
Nu krijg ik door deze berichtgeving het gevoel dat dat ontoereikend is. Is dat zo? Browsercommando bevat poort 5000.
Op mijn Nas draait alleen Anti-Virus en LT Mediaserver. Gebruik 'm verder alleen als bestanden backup medium
Wat moet ik doen en bestaat hiervoor een stappenplan? Ben erg onrustig door deze info.
Synology heeft enkele updates geleden de bug opgelost en indien je geinfecteerd was zat in het update process ook ineens een cleaning van de NAS.
Je kunt trouwens zien als je geïnfecteerd bent, er is dan een bepaald process (weet niet meer hetwelke) dat dan in de achtergrond (niet verborgen) draait.
Is ook enkel als je de synology rechtstreeks op internet aansluit of als je port forwarding doet vanop je internet router en als de firewall niet poort 5000 van buiten blokkeert.
De firewall op mijn synology staat ingesteld dat hij van alle interne ip's alles toelaat, maar als iets van externe ip's hij dit enkel op specifieke poorten doorlaat (OpenVPN en PhotoStation in mijn geval)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
