Myloc/Webtropia: Offene VNC-Ports ermöglichten Angriffe auf Server

Golem.de hat den Serverhoster Webtropia über eine kritische Schwachstelle informiert: Über eine Lücke in den Ports der Kontrollserver hätten Angreifer ohne Passwort die Kontrolle übernehmen können - zumindest bei einigen Systemen.

Artikel von Hanno Böck veröffentlicht am
Über VNC kann man aus der Ferne auf ein anderes System zugreifen - das sollte aber natürlich nicht ohne Authentifizierung über das Internet erlaubt werden.
Über VNC kann man aus der Ferne auf ein anderes System zugreifen - das sollte aber natürlich nicht ohne Authentifizierung über das Internet erlaubt werden. (Bild: Wikimedia Commons)

Eine große Panne ist dem Serverhoster Webtropia unterlaufen. Auf zahlreichen virtuellen Servern des Unternehmens konnte einfach über das Internet zugegriffen werden. Auf Kontrollservern war auf zufällig gewählten Ports teilweise ein Zugriff über das Remote-Administrationsprotokoll VNC ohne Passwort möglich. Auf Hinweis von Golem.de hat das Unternehmen das Problem mittlerweile behoben.

Stellenmarkt
  1. Senior Engineer / System Architekt (m/w/d) Elektro-Pneumatik
    Continental AG, Regensburg
  2. IT-Service- und Support-Manager (m/w/d)
    Support Center/Einkauf/Wiesbaden, Wiesbaden
Detailsuche

Betroffen waren davon verschiedene Windows- und Linux-Server des Produkts Root Server. Wenn ein Angreifer diese Ports über das Internet gefunden hätte, wäre es zumindest bei den Linux-Systemen leicht möglich gewesen, die Kontrolle über diese zu erlangen. Dafür hätte ein Angreifer nur die Tastenkombination zum Rebooten (Ctrl-Alt-Del) an das System schicken müssen und anschließend im Bootmanager den Init-Befehl durch eine Shell ersetzen können.

Wir hatten Webtropia, das zur Düsseldorfer Firma Myloc gehört, am Donnerstag über das Problem über dessen Web-Kontaktformular informiert. Darauf erfolgte zunächst für mehrere Stunden keine Reaktion.

Da das Problem unserer Einschätzung nach extrem kritisch war und umgehend gelöst werden musste, versuchten wir über weitere Kanäle, mit dem Unternehmen in Kontakt zu treten. Über Linkedin erreichten wir einen Techniker der Firma, anschließend wurde der Fehler innerhalb kurzer Zeit behoben.

Fehler bei der Firewall-Konfiguration

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  3. Linux-Systeme absichern und härten
    8.-10. November 2021, online
Weitere IT-Trainings

Die offenen VNC-Ports waren laut Webtropia auf Kundenwunsch konfiguriert worden, allerdings hätte eine Firewall verhindern sollen, dass diese aus dem Internet erreichbar sind.

"Leider war die Firewall-Konfiguration durch ein Upgrade des Hypervisors nicht mehr wirksam und hat dann die Zugänge wieder freigegeben", erklärte Webtropia auf unsere Anfrage hin. "Die Firewall-Konfiguration wurde gestern nach Ihrer Information umgehend korrigiert und die offenen Zugänge wurden damit wirksam geschlossen. Weiterhin haben wir über alle Instanzen hinweg die VNC Ports deaktiviert, sodass auch ein erneuter Firewall-Fehler nicht mehr die Ports öffnen würde."

Laut Webtropia war nur bei einem Teil der VNC-Ports kein Passwort gesetzt und es waren etwa zwei Prozent der Kundenserver des entsprechenden Produkts betroffen. Webtropia hat nach eigenen Angaben die betroffenen Kunden heute informiert.

Die Zugänge waren nicht auf den Standard-Ports von VNC erreichbar, sondern auf zufälligen Portnummern. Doch mittels eines Portscans wäre es einem Angreifer leicht möglich gewesen, die entsprechenden offenen Ports zu finden.

Nachtrag vom 22. Dezember 2017, 15:53 Uhr

Webtropia hat die betroffenen Kunden inzwischen informiert, der Text wurde entsprechend angepasst.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


GoBaer 14. Mai 2019

Gibt es in dieser Sache Neuigkeiten? Welche Zugriffe (außer VNC) sind denn via IPMI möglich?

FreiGeistler 27. Dez 2017

Danke für die Antwort. Ich ging bei "nicht mehr wirksam" eher von "als defekt erkannt...

xploded 23. Dez 2017

Genau so.

mave99 23. Dez 2017

Ja, da er an der VM hängt und auf dem Hypervisor läuft, kann man auch den Boot der VM...



Aktuell auf der Startseite von Golem.de
Elektromobilität
BMW gibt sich mit 600 Kilometern Reichweite zufrieden

Reichweite ist für BMW wichtig, aber nicht am wichtigsten. Eine Rekordjagd nach immer mehr Kilometern sehen die Entwickler nicht vor.

Elektromobilität: BMW gibt sich mit 600 Kilometern Reichweite zufrieden
Artikel
  1. Telekom: Vodafone will unseren Glasfaserausbau bremsen
    Telekom
    Vodafone will "unseren Glasfaserausbau bremsen"

    Vodafone habe den eigenen Glasfaserausbau kürzlich für beendet erklärt und nehme den Spaten nicht in die Hand, erklärte die Telekom.

  2. Chorus angespielt: Automatischer Arschtritt im All
    Chorus angespielt
    Automatischer Arschtritt im All

    Knopfdruck, Teleport hinter Feind, Abschuss: Das Weltraumspiel Chorus will mit Story, Grafik und Ideen punkten. Golem.de hat es angespielt.
    Von Peter Steinlechner

  3. Lightning ade: EU will USB-C als alleinige Handy-Ladebuchse vorschreiben
    Lightning ade  
    EU will USB-C als alleinige Handy-Ladebuchse vorschreiben

    Die EU-Kommission will eine einheitliche Ladebuchse einführen. USB-C soll zum Aufladen aller möglichen Kleingeräte verwendet werden.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Asus 27" WQHD 144Hz 260,91€ • Alternate-Deals (u. a. Acer Nitro 27" FHD 159,90€) • Neuer Kindle Paperwhite Signature Edition vorbestellbar 189,99€ • Black Week bei NBB: Bis 50% Rabatt (u. a. MSI 31,5" Curved WQHD 165Hz 350€) • PS5 Digital mit FIFA 22 bei o2 bestellbar [Werbung]
    •  /