Die Jagd nach IoT enthüllt Angriffe auf die Infrastruktur des Bauwesens

Die Jagd nach IoT durch unsere eigenen Bedrohungsforscher von F5 Labs geht weiter. Sein jüngster Bericht enthüllt nicht nur eine aktive Suche nach anfälligen IoT-Geräten, sondern auch, dass gezielt die Infrastruktur des Gebäudes angegriffen wird.

Im Rahmen ihrer Verfolgung von Angriffen auf IoT-Geräte – hauptsächlich über Telnet- und SSH-Zugriff – haben die Bedrohungsforscher von F5 Labs möglicherweise versehentlich Versuche aufgedeckt, Build-Infrastruktursysteme wie Jenkins und Vagrant zu übernehmen. Darüber hinaus scheinen Datenbanksysteme – Oracle, MySQL, PostGres und Hadoop – sowie der Überwachungsanbieter Nagios häufige Ziele zu sein.

Die bei Brute-Force-Angriffen verwendeten Anmeldeinformationen sind in den „Top 50 der angegriffenen Admin-Anmeldeinformationen“ aufgeführt, in denen alle oben genannten Systeme prominent vertreten sind.

Es ist zu beachten, dass sich diese Angriffe auf SSH und Telnet – Fernzugriff – über die Betriebssystembenutzer konzentrieren, die bei der Installation dieser Systeme routinemäßig erstellt werden. Die Mehrheit wird auf einem Linux-basierten System eingesetzt und erstellt gemäß bewährten Methoden automatisch einen neutralisierten Benutzer auf Systemebene zur Ausführung. Standardmäßig haben diese Benutzer kein Passwort. Doch wie aus der Vagrant -Dokumentation zum Erstellen einer Basisbox hervorgeht, erhalten diese Benutzer häufig Passwörter und Anmelderechte.

Es ist bemerkenswert, dass im neuesten Bericht von F5 Labs genau diese Kombination von Angreifern verwendet wird, die versuchen, auf das System zuzugreifen, nämlich „vagrant:vagrant“. Interessant ist auch die Aufnahme der Anmeldeinformationen „deploy/deploy“ in die fünfzig am häufigsten angegriffenen Gruppen. Zusammen mit den identifizierbaren Build-Infrastruktur-Anmeldeinformationen für Jenkins und Vagrant deutet dies auf ein wachsendes Bewusstsein für die Zugänglichkeit solcher Systeme und die zielreiche Umgebung hin, die sie bieten. Der Zugriff auf ein Build- oder Deployment-System würde Angreifern angesichts der verteilten Natur dieser Systeme und ihres Zwecks zahlreiche Möglichkeiten bieten. Die Einbindung eines Jenkins-Benutzers könnte angeblich den Zugriff auf den Quellcode ermöglichen, was wiederum unzählige Möglichkeiten bietet, eine Vielzahl von Schadcodes in eine Application oder ein System einzuschleusen.

Der Aufbau einer Infrastruktur wird für Unternehmen immer wichtiger. Genauer gesagt halten 90 % der Jenkins-Benutzer es für unternehmenskritisch. Aber es geht nicht nur um Jenkins, sondern um Automatisierungs-Frameworks und den Aufbau von Infrastrukturen im Allgemeinen.

Laut unserer jüngsten Umfrage zum Stand der Application nutzt ein erheblicher Prozentsatz der Unternehmen im Allgemeinen die Automatisierung, um Änderungen in die Produktion zu bringen. Das bedeutet ausnahmslos, dass Systeme wie Vagrant in Produktionsumgebungen aktiv, aber nicht unbedingt isoliert sind.

Vorsicht ist geboten und eine sorgfältige Prüfung der von der Build-Infrastruktur und den zugehörigen Systemen verwendeten Anmeldeinformationen ist erforderlich. Angesichts des Zwecks dieser Systeme ist es doppelt wichtig, mit den Anmeldeinformationen vorsichtig umzugehen und den Fernzugriff bei Bedarf mit externen Sicherheitsdiensten einzuschränken (wenn nicht sogar vollständig zu verhindern).

Da die Automatisierung einen immer größeren Teil der Produktionsumgebung in Anspruch nimmt, müssen sich Unternehmensleiter und Sicherheitsexperten der Bedrohung bewusst sein, die durch die Kompromittierung solcher Systeme entsteht . Wie unsere Bedrohungsforscher herausgefunden haben, sind sich Angreifer bereits der lukrativen Angriffsfläche bewusst, die Build- und Automatisierungssysteme bieten, und versuchen aktiv, Zugriff darauf zu erhalten.

Passen Sie da draußen auf sich auf.