Über 13.000 iSCSI-Speichercluster sind derzeit über das Internet zugänglich, weil deren Besitzer vergessen haben, die Authentifizierung zu aktivieren. Das eröffnet neue Angriffsvektoren, um Backdoors in die Netzwerkspeicher und NAS von Privatpersonen und Unternehmen einzuschleusen.
Ein paar Grundlagen
Das Kürzel iSCSI steht für Internet Small Computer Systems Interface und ist ein Protokoll zur Verbindung von Workstations und Servern mit Datenspeichern, wie z.B. Disk Storage Arrays (in Rechenzentren und Großunternehmen) und Network Attached Storage (NAS)-Geräten (in Privathaushalten und kleinen bis mittleren Unternehmen – KMUs).
Über eine Netzverbindung können Betriebssysteme über das iSCSI-Protokoll auf die betreffenden Speicher zugreifen. Unter anderem ermöglicht das iSCSI-Protokoll es virtuellen Maschinen (VMs) von entfernten Festplatten zu booten. Und iSCSI ist ein wichtiger Bestandteil vieler Datenreplikationslösungen.
Das iSCSI-Protokoll unterstützt verschiedene Authentifizierungsmaßnahmen, die Gerätebesitzer einrichten müssen, um einen Zugriff durch Unbefugte auf die Speichercluster zu verhindern. Genau da scheint es aber im Argen zu liegen.
Viele iSCSI-Systeme ohne Schutz online
Sicherheitsforscher A Shadow hat auf Twitter u.a. ZDNet vor einigen Tagen darauf aufmerksam gemacht, dass wohl über 13.500 iSCSI-Speichercluster derzeit über das Internet ohne Passwort geschützt betrieben werden und daher für Dritte zugänglich sind.
Just #discovered new type of attack vector.
More than a 13K possible vulnerable #iSCS cluster left on the internet! without authorization.
Most of them contain a high size of drives with sensitive data and backup files from the business can be used for ransom? and data breach… pic.twitter.com/caEWKpI7z0— A Shadow (@arealshadow) 30. März 2019
Gefunden werden diese Systeme über Suchmaschinen wie Shodan. Viele dieser Speicher enthalten Backups oder sensitive Daten. Die offenen iSCSI-Speichercluster stellen ein reales Sicherheitsrisiko dar, auch wenn sie später vom Benutzer mit einem Kennwort vor Fremdzugriffen geschützt werden. Denn in der Zwischenzeit könnten Angreifer längt per Administrator-Oberfläche eine Backdoor in die Firmware injiziert haben. ZDnet.com hat in einem Artikel weitere Details veröffentlicht.
Ach du dickes Ei, das ist ja so schlimm, wie Ransomware auf dem Rechner.
Da niemand weiß, wie der Angreifer vorgeht beim Firmware verändern, ob sich da was zurück setzen lässt.
Bemerkt man so was überhaupt? Wenn ja, hilft nur alles platt machen und neu aufsetzen.
Platt machen und neu aufsetzen ist im Falle von so manchem Billig-NAS gar nicht so einfach, weil die Firmware dort in einer Partirion auf der gleichen Platte liegt, auf der der Nutzer auch seine Bilder aus den letzten 10 Jahren und andere wichtige Dinge gelagert hat. Wenn Du da nämlich wirklich Sicherheit haben willst, dann hilft nur, neue Platten holen, mit der Firmware des Herstellers und dem passenden Tool die Partitionierung vornehmen und die Firmware auf die Platte spielen, das Ganze dann im NAS-Gehäuse einbauen und dann alle Deine Daten neu auf das NAS verschieben.