ISC ziet sterke toename van scans op poort 23 (Telnet)
Het Internet Storm Center (ISC) waarschuwt voor een sterke toename van scans op poort 23 (Telnet). Mogelijk is dit het gevolg van een worm die systemen via Telnet infecteert en vervolgens gebruikt voor het scannen naar andere kwetsbare systemen.
Via Telnet is het mogelijk om op afstand toegang tot een systeem te krijgen. Het protocol bestaat al sinds 1969 en wordt onder andere in embedded devices gebruikt, zoals routers, VoIP-telefoons, digitale videorecorders, televisies en industriële controlesystemen. Telnetscans richten zich volgens Johannes Ullrich van het ISC dan ook voornamelijk op dit soort apparaten. Is er een apparaat gevonden, dan wordt geprobeerd via een bruteforceaanval in te loggen.
Eenmaal ingelogd wordt er aanvullende malware geïnstalleerd. De malware zoekt naar andere kwetsbare machines of laat de besmette machine ddos-aanvallen uitvoeren. Of en wat soort malware voor de recente piek verantwoordelijk is, is onbekend. Ullrich adviseert in ieder geval om voorzichtig te zijn met het gebruik van Telnet-servers en al helemaal geen standaardwachtwoorden te gebruiken.
Zou hij niet beter adviseren waar-mogelijk Telnet-servers te ondervangen voor ssh-servers? Telnet is intrinsiek bedoeld voor private-netwerken (door het uitblijven van security; alles gebeurt in plaintext bij telnet.).
Dat houdt niet in dat je het niet hoeft te blokkeren, in tegendeel zelfs; blokkeer deze poort voor alle gevallen behalve waar het echt nodig is en dan ook alleen beschikbaar stellen richting adressen waar je dit verkeer van mag verwachten...
In mijn situatie gebruik ik voor nog maar 1 machine Telnet, maar die is dankzij de switches/firewalls zo afgebakend dat die ook alleen door de juiste (interne) server benaderd zal kunnen worden...
Zou hij niet beter adviseren waar-mogelijk Telnet-servers te ondervangen voor ssh-servers?
Dat maakt toch niks uit? Het probleem met telnet in dit geval is niet dat de wachtwoorden worden afgeluisterd
maar dat er brute-force logins gedaan worden. Dat kan met SSH net zo goed.
(tenzij password authenticatie uitgezet is maar dat zet je er niet bij)
Sterke focus op 'kijk mij eens mooie grafiekjes maken' maar inhoudelijk geen enkele kijk op welke malware er naar de honeypot komt en wat die opgehaalde malware doet.
Dat je aan de hand van grafiekjes op je honeypot ziet dat je een toename aan scans hebt is vaak meer een teken dat de eigenaar weinig ervaring met honeypots heeft en/of een 'verkeerd' ip-adres heeft dat weinig scans krijgt en nauwelijks referentiemateriaal heeft om de resultaten van andere honeypots mee te vergelijken.
Als Johannes B. Ullrich, Ph.D. de moeite had genomen om zich meer in honeypots te verdiepen en ook de malware te onderzoeken dan had hij meer begrepen of er werkelijk een toename in telnet verkeer was en hoe dat komt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
