[dk] [DFN-CERT#2017-1011017901] Stura-Server, MongoDB und ownCloud

DFN-CERT IR-Team cert at dfn-cert.de
Fr Mär 10 11:30:37 CET 2017 

Hallo zusammen,

das DFN-CERT ist das Computer Notfall-Team des Deutschen Forschungsnetzes, also der Instanz, von der die HTW Dresden unter anderem ihren Internetzugang bezieht.

Seit einiger Zeit sind die Webdienste, die der StuRa der HTW anbietet, in unserem System auffällig, da massiv veraltete Software eingesetzt wird. Dies betrifft unter anderem den offen erreichbaren Redis-Server und die offene MongoDB unter 141.56.50.137, die neben den Einträgen 'PLEASE_READ_ME', 'PLEASE_READ', 'admin', 'PWNED_SECURE_YOUR_STUFF_SILLY', 'DB_H4CK3D', 'READ1', 'PLEASEREAD', 'WARNING', 'ENCRYPTED', 'README', 'README_YOU_DB_IS_INSECURE' und 'CONTACTME' wahrscheinlich keine relevanten Daten mehr enthält. Zusätzlich ist der ownCloud-Server auffällig, der ein paar Versionsschritte hinter der aktuellen Version

https://scan.owncloud.com/check
cloud.stura.htw-dresden.de

auf einem veralteten Apache vor sich hinvegetiert. Die Systeme sind offensichtlich zumindest hinsichtlich Datenverlust und Offenlegung von Informationen gefährdet, können aber durch manche Schwachstellen auch kompromittiert werden und in der Folge für weitere Angriffe auf das Netz der HTW Dresden und das DFN selbst genutzt werden.

Ich möchte Sie daher bitte, die Systeme einmal zumindest glattzuziehen (also auf den neuesten Stand zu bringen) und nicht benötigte Angriffsflächen wie die MongoDB vom Netz zu nehmen. Falls Sie Hilfe bei der Identifizierung der betroffenen Systeme brauchen, melden Sie sich gerne zurück. Die Angabe der Vorfallsnummer DFN-CERT#2017-1011017901 im Betreff hilft uns bei der Zuordnung.

Schönen Gruß aus Hamburg
  Martin Waleczek

--
Martin Waleczek, Incident Response Team

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone  +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.:  DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : pgp_sign.asc
Dateityp    : application/pgp-signature
Dateigröße  : 819 bytes
Beschreibung: nicht verfügbar
URL         : <http://lists.stura.htw-dresden.de/pipermail/dk/attachments/20170310/b7cf3194/attachment.bin>

Mehr Informationen über die Mailingliste dk