[dk] [verwaltung] [web] [webadmin] [DFN-CERT#2017-1011017901] Stura-Server, MongoDB und ownCloud

Referat studentische Selbstverwaltung & Organisation StuRa HTW Dresden verwaltung at stura.htw-dresden.de
Fr Mär 10 17:15:25 CET 2017 

Hallo Martin Waleczek,

On 03/10/2017 11:30, DFN-CERT IR-Team wrote:
> Hallo zusammen,

eingangs darf ich mich für das zuständige Referat beim StuRa herzlich
für die freundliche Mail bedanken. Sweet!

> das DFN-CERT ist das Computer Notfall-Team des Deutschen Forschungsnetzes, also der Instanz, von der die HTW Dresden unter anderem ihren Internetzugang bezieht.
>
> Seit einiger Zeit sind die Webdienste, die der StuRa der HTW anbietet, in unserem System auffällig, da massiv veraltete Software eingesetzt wird. Dies betrifft unter anderem den offen erreichbaren Redis-Server und die offene MongoDB unter 141.56.50.137, die neben den Einträgen 'PLEASE_READ_ME', 'PLEASE_READ', 'admin', 'PWNED_SECURE_YOUR_STUFF_SILLY', 'DB_H4CK3D', 'READ1', 'PLEASEREAD', 'WARNING', 'ENCRYPTED', 'README', 'README_YOU_DB_IS_INSECURE' und 'CONTACTME' wahrscheinlich keine relevanten Daten mehr enthält. Zusätzlich ist der ownCloud-Server auffällig, der ein paar Versionsschritte hinter der aktuellen Version
>
> https://scan.owncloud.com/check
> cloud.stura.htw-dresden.de
>
> auf einem veralteten Apache vor sich hinvegetiert. Die Systeme sind offensichtlich zumindest hinsichtlich Datenverlust und Offenlegung von Informationen gefährdet, können aber durch manche Schwachstellen auch kompromittiert werden und in der Folge für weitere Angriffe auf das Netz der HTW Dresden und das DFN selbst genutzt werden.
>
> Ich möchte Sie daher bitte, die Systeme einmal zumindest glattzuziehen (also auf den neuesten Stand zu bringen) und nicht benötigte Angriffsflächen wie die MongoDB vom Netz zu nehmen. Falls Sie Hilfe bei der Identifizierung der betroffenen Systeme brauchen, melden Sie sich gerne zurück. Die Angabe der Vorfallsnummer DFN-CERT#2017-1011017901 im Betreff hilft uns bei der Zuordnung.

In aller Kürze nur schon einmal folgendes:

Wir erhielten, dank Ihres Hinweise, auch schon zuvor Nachricht dazu von
unserem Rechenzentrum. Daraufhin nahm ich mich dem sofort an und wies
die verantwortliche Kraft unsererseits darauf hin. (Wohl handelte es
sich dabei um eine unbenutzte Instanz zum Ausprobieren.) Eine
entsprechende Reaktion erfolgte unverzüglich.

Zu MongoDB habe ich habe ich eben selbst nochmal (dies und anderes)
nachgeschaut:

    nmap -p 27017 141.56.50.137 --script mongodb-brute

        PORT      STATE  SERVICE
        27017/tcp closed mongod

Passt? (Die Frage müsste höchstens im Falle von "Nein!" beantwortet werden.)

Um es Ihnen offen und ehrlich direkt zu sagen: Bei uns liegt einiges im
Argen. (Das hat verschiedenste Gründe.) Wir sind (stets) bemüht! Um das
aber alles einmal auf einen "ordentlichen" Stand zu bringen werden wir
länger brauchen. Selbstverständlich nehmen wir uns den Problemen
unverzüglich an. Das gilt - auch von der Priorität her - insbesondere
auch für die von Ihnen angesprochen Auffälligkeiten.

Zum Ende noch der wahrhaftige, aber triviale, Grund meiner sofortigen Mail:
Zu solchen - also ihren das DFN betreffende - Angelegenheiten wenden Sie
sich bitte am besten direkt an den Bereich Administration Rechentechnik
[1]. Die Mail-Adresse ich schlicht admin at stura.htw-dresden.de .
(Der Bereich Datenkultur ist Teil vom Referat Hochschulpolitik. Der
Bereich Webservices "klickt nur" auf der Oberfläche.)
btw: Chaotischen Mentalität lese ich persönlich auch beim Bereich
Administration Rechentechnik mit. Das ist aber bei einer Leitung des
Referates bei uns sonst eher nicht so.

Im Übrigen sind wir für Unterstützung aus dem DFN immer dankbar. Über
"howto" oder "best (known) practice" freuen wir uns.

Mit aufmerksam gemachten Grüßen

[1] http://www.stura.htw-dresden.de/stura/ref/verwaltung/admin/

-- 
(kommissarisch) Leitung
Paul Riegel

verwaltung at stura.htw-dresden.de

Referat studentische Selbstverwaltung & Organisation
Studentinnen- und Studentenrat
Hochschule für Technik und Wirtschaft Dresden

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.stura.htw-dresden.de/pipermail/dk/attachments/20170310/f7f1c63a/attachment.html>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : verwaltung.vcf
Dateityp    : text/x-vcard
Dateigröße  : 489 bytes
Beschreibung: nicht verfügbar
URL         : <http://lists.stura.htw-dresden.de/pipermail/dk/attachments/20170310/f7f1c63a/attachment.vcf>

Mehr Informationen über die Mailingliste dk