Myloc/Webtropia: Offene VNC-Ports ermöglichten Angriffe auf Server

Golem.de hat den Serverhoster Webtropia über eine kritische Schwachstelle informiert: Über eine Lücke in den Ports der Kontrollserver hätten Angreifer ohne Passwort die Kontrolle übernehmen können - zumindest bei einigen Systemen.

Artikel von Hanno Böck veröffentlicht am
Über VNC kann man aus der Ferne auf ein anderes System zugreifen - das sollte aber natürlich nicht ohne Authentifizierung über das Internet erlaubt werden.
Über VNC kann man aus der Ferne auf ein anderes System zugreifen - das sollte aber natürlich nicht ohne Authentifizierung über das Internet erlaubt werden. (Bild: Wikimedia Commons)

Eine große Panne ist dem Serverhoster Webtropia unterlaufen. Auf zahlreichen virtuellen Servern des Unternehmens konnte einfach über das Internet zugegriffen werden. Auf Kontrollservern war auf zufällig gewählten Ports teilweise ein Zugriff über das Remote-Administrationsprotokoll VNC ohne Passwort möglich. Auf Hinweis von Golem.de hat das Unternehmen das Problem mittlerweile behoben.

Stellenmarkt
  1. Serviceexperte (m/w/d) IT Identity Management (IDM) & AD
    Dürr IT Service GmbH, Bietigheim-Bissingen
  2. Software Entwickler / Anwendungsentwickler JAVA JEE (m/w/d)
    Versicherungskammer Bayern Versicherungsanstalt des öffentlichen Rechts, München, Saarbrücken
Detailsuche

Betroffen waren davon verschiedene Windows- und Linux-Server des Produkts Root Server. Wenn ein Angreifer diese Ports über das Internet gefunden hätte, wäre es zumindest bei den Linux-Systemen leicht möglich gewesen, die Kontrolle über diese zu erlangen. Dafür hätte ein Angreifer nur die Tastenkombination zum Rebooten (Ctrl-Alt-Del) an das System schicken müssen und anschließend im Bootmanager den Init-Befehl durch eine Shell ersetzen können.

Wir hatten Webtropia, das zur Düsseldorfer Firma Myloc gehört, am Donnerstag über das Problem über dessen Web-Kontaktformular informiert. Darauf erfolgte zunächst für mehrere Stunden keine Reaktion.

Da das Problem unserer Einschätzung nach extrem kritisch war und umgehend gelöst werden musste, versuchten wir über weitere Kanäle, mit dem Unternehmen in Kontakt zu treten. Über Linkedin erreichten wir einen Techniker der Firma, anschließend wurde der Fehler innerhalb kurzer Zeit behoben.

Fehler bei der Firewall-Konfiguration

Golem Akademie
  1. CEH Certified Ethical Hacker v11
    8.-12. November 2021, online
  2. Penetration Testing Fundamentals
    17.-18. Januar 2022, online
  3. IT-Sicherheit für Webentwickler
    2.-3. November 2021, online
Weitere IT-Trainings

Die offenen VNC-Ports waren laut Webtropia auf Kundenwunsch konfiguriert worden, allerdings hätte eine Firewall verhindern sollen, dass diese aus dem Internet erreichbar sind.

"Leider war die Firewall-Konfiguration durch ein Upgrade des Hypervisors nicht mehr wirksam und hat dann die Zugänge wieder freigegeben", erklärte Webtropia auf unsere Anfrage hin. "Die Firewall-Konfiguration wurde gestern nach Ihrer Information umgehend korrigiert und die offenen Zugänge wurden damit wirksam geschlossen. Weiterhin haben wir über alle Instanzen hinweg die VNC Ports deaktiviert, sodass auch ein erneuter Firewall-Fehler nicht mehr die Ports öffnen würde."

Laut Webtropia war nur bei einem Teil der VNC-Ports kein Passwort gesetzt und es waren etwa zwei Prozent der Kundenserver des entsprechenden Produkts betroffen. Webtropia hat nach eigenen Angaben die betroffenen Kunden heute informiert.

Die Zugänge waren nicht auf den Standard-Ports von VNC erreichbar, sondern auf zufälligen Portnummern. Doch mittels eines Portscans wäre es einem Angreifer leicht möglich gewesen, die entsprechenden offenen Ports zu finden.

Nachtrag vom 22. Dezember 2017, 15:53 Uhr

Webtropia hat die betroffenen Kunden inzwischen informiert, der Text wurde entsprechend angepasst.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


GoBaer 14. Mai 2019

Gibt es in dieser Sache Neuigkeiten? Welche Zugriffe (außer VNC) sind denn via IPMI möglich?

FreiGeistler 27. Dez 2017

Danke für die Antwort. Ich ging bei "nicht mehr wirksam" eher von "als defekt erkannt...

xploded 23. Dez 2017

Genau so.

mave99 23. Dez 2017

Ja, da er an der VM hängt und auf dem Hypervisor läuft, kann man auch den Boot der VM...



Aktuell auf der Startseite von Golem.de
Macbook Pro
Apple bestätigt High Power Mode für M1 Max

Käufer des Macbook Pro mit M1 Max können wohl in MacOS Monterey per Klick noch mehr Leistung aus dem Gerät herausholen.

Macbook Pro: Apple bestätigt High Power Mode für M1 Max
Artikel
  1. Klage: Google soll E-Privacy und Werbemarkt manipuliert haben
    Klage
    Google soll E-Privacy und Werbemarkt manipuliert haben

    Mehrere US-Bundesstaaten haben Klage gegen Google eingereicht. Das Unternehmen rühmt sich derweil, Regulierungen verlangsamt zu haben.

  2. Bundesregierung: Autobahn App 2.0 im ersten Quartal 2022 geplant
    Bundesregierung
    Autobahn App 2.0 im ersten Quartal 2022 geplant

    Die Opposition kritisiert die massiven Kosten, Nutzer bewerten die App schlecht. Dennoch soll die Autobahn App nun erweitert werden.

  3. Silence S04: Günstiges Elektroauto mit herausnehmbaren Akku vorgestellt
    Silence S04
    Günstiges Elektroauto mit herausnehmbaren Akku vorgestellt

    Beim Elektroauto Silence S04 kann der Nutzer den Akku selbst wechseln, wenn dieser leergefahren ist.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Saturn-Gutscheinheft mit Direktabzügen und Zugaben • Nur noch heute: Mehrwertsteuer-Aktion bei MediaMarkt • Roccat Suora 43,99€ • Razer Goliathus Extended Chroma Mercury ab 26,99€ • Seagate SSDs & HDDs günstiger • Alternate (u. a. ASUS ROG Strix Z590-A Gaming WIFI 258€) [Werbung]
    •  /