image

ISC ziet sterke toename van scans op poort 23 (Telnet)

woensdag 1 juni 2016, 10:36 door Redactie, 4 reacties

Het Internet Storm Center (ISC) waarschuwt voor een sterke toename van scans op poort 23 (Telnet). Mogelijk is dit het gevolg van een worm die systemen via Telnet infecteert en vervolgens gebruikt voor het scannen naar andere kwetsbare systemen.

Via Telnet is het mogelijk om op afstand toegang tot een systeem te krijgen. Het protocol bestaat al sinds 1969 en wordt onder andere in embedded devices gebruikt, zoals routers, VoIP-telefoons, digitale videorecorders, televisies en industriële controlesystemen. Telnetscans richten zich volgens Johannes Ullrich van het ISC dan ook voornamelijk op dit soort apparaten. Is er een apparaat gevonden, dan wordt geprobeerd via een bruteforceaanval in te loggen.

Eenmaal ingelogd wordt er aanvullende malware geïnstalleerd. De malware zoekt naar andere kwetsbare machines of laat de besmette machine ddos-aanvallen uitvoeren. Of en wat soort malware voor de recente piek verantwoordelijk is, is onbekend. Ullrich adviseert in ieder geval om voorzichtig te zijn met het gebruik van Telnet-servers en al helemaal geen standaardwachtwoorden te gebruiken.

Image

Reacties (4)
01-06-2016, 13:35 door Anoniem
"Ullrich adviseert in ieder geval om voorzichtig te zijn met het gebruik van Telnet-servers"
Zou hij niet beter adviseren waar-mogelijk Telnet-servers te ondervangen voor ssh-servers? Telnet is intrinsiek bedoeld voor private-netwerken (door het uitblijven van security; alles gebeurt in plaintext bij telnet.).
Dat houdt niet in dat je het niet hoeft te blokkeren, in tegendeel zelfs; blokkeer deze poort voor alle gevallen behalve waar het echt nodig is en dan ook alleen beschikbaar stellen richting adressen waar je dit verkeer van mag verwachten...

In mijn situatie gebruik ik voor nog maar 1 machine Telnet, maar die is dankzij de switches/firewalls zo afgebakend dat die ook alleen door de juiste (interne) server benaderd zal kunnen worden...
01-06-2016, 14:49 door Anoniem
Door Anoniem:
Zou hij niet beter adviseren waar-mogelijk Telnet-servers te ondervangen voor ssh-servers?

Dat maakt toch niks uit? Het probleem met telnet in dit geval is niet dat de wachtwoorden worden afgeluisterd
maar dat er brute-force logins gedaan worden. Dat kan met SSH net zo goed.
(tenzij password authenticatie uitgezet is maar dat zet je er niet bij)
01-06-2016, 14:52 door Anoniem
Is Johannes B. Ullrich, Ph.D. op zoek naar aandacht of toont hij hier zijn gebrek aan kennis en onderzoeksvaardigheden ?

Sterke focus op 'kijk mij eens mooie grafiekjes maken' maar inhoudelijk geen enkele kijk op welke malware er naar de honeypot komt en wat die opgehaalde malware doet.

Dat je aan de hand van grafiekjes op je honeypot ziet dat je een toename aan scans hebt is vaak meer een teken dat de eigenaar weinig ervaring met honeypots heeft en/of een 'verkeerd' ip-adres heeft dat weinig scans krijgt en nauwelijks referentiemateriaal heeft om de resultaten van andere honeypots mee te vergelijken.

Als Johannes B. Ullrich, Ph.D. de moeite had genomen om zich meer in honeypots te verdiepen en ook de malware te onderzoeken dan had hij meer begrepen of er werkelijk een toename in telnet verkeer was en hoe dat komt.
02-06-2016, 11:10 door Anoniem
Ik kan dit bevestigen. Op sommige momenten is TCP/23 in de laatste weken een derde van alle traffic naar onze organisatie. Dit is meestal veel lager.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.