Wie unsichere und anfällige offene Ports ernsthafte Sicherheitsrisiken darstellen

Wenn Eindringlinge versuchen, in ein Gebäude einzubrechen, suchen sie nach einer Öffnung. Ein offener Port ist eine der Öffnungen, nach denen ein Hacker oder Bedrohungsakteur sucht, um Zugang zu einem digitalen Netzwerk zu erhalten. Dieser offene Port kann sich an einer Firewall, einem Server oder einem anderen netzwerkverbundenen Computergerät befinden. So wie eine einzige unverschlossene Tür Ihre Privatsphäre gefährden und Zugang zu einem physischen Gebäude gewähren kann, kann ein einziger offener Port Hackern einen Angriffspunkt bieten, um Ihre Systeme zu durchbrechen und Sie deren bösartigen Absichten auszusetzen.

Im Folgenden teilen wir die anfälligsten Ports und entscheidende Sicherheitsstrategien zum Schutz vor ihnen.

Übersicht über offene Port-Schwachstellen

Ein offener Port in Ihrem Netzwerk ist eine Schwachstelle. Er bietet einen potenziellen Zugangspunkt für unbefugten Zugriff, um Ihre Firewalls oder andere Sicherheitsmaßnahmen zu umgehen und Zugang zu Ihrem Netzwerk zu erhalten. Einmal im Inneren, können sie die von ihnen gewünschten Angriffe starten oder Aufklärung betreiben, um mehr über Ihre Organisation zu erfahren und wie sie diese ausnutzen können. Offene Ports stellen ein erhebliches Sicherheitsrisiko dar und sollten eine hohe Priorität im Sicherheitsmanagement haben.

Bedeutung der Sicherung offener Ports

Um Ihre Anfälligkeit für Angriffe zu verringern, müssen Sie Ihre Angriffsfläche reduzieren. Dies können Sie tun, indem Sie die Anzahl der offenen Ports in Ihren Systemen verringern. Zum Beispiel kann das Zulassen externer Remote Desktop Protocol (RDP, Port 3389) Verbindungen legitimen Benutzern den Zugang zu Ihrem Unternehmensnetzwerk von außerhalb gewähren. Dennoch bietet es eine Gelegenheit für Bedrohungsakteure, aktiv nach offenen RDP-Ports zu suchen, um diese auszunutzen.

Was sind Ports?

Definition und Zweck

Ein Port kann als eine virtuelle Tür betrachtet werden, die Netzwerkverkehr für bestimmte Dienste und Anwendungen ermöglicht. Eine eindeutige Nummer identifiziert jeden Port, um sich zu unterscheiden. Diese Ports können von zugewiesenen Administratoren verwaltet werden, die sie öffnen oder schließen können, um bestimmte Arten von Verkehr zu erlauben oder zu blockieren. Zum Beispiel basiert Webverkehr auf den Ports 80 und 443. Wenn Sie einen Server haben, der eine Webanwendung für externe Benutzer hostet, müssen Sie diese Ports öffnen, um ihnen Zugang zu gewähren. Alle ungenutzten Ports sollten geschlossen werden.

Arten von Ports: TCP und UDP

Die gängigsten Transportprotokolle mit Portnummern sind das Transmission Control Protocol (TCP) und das User Datagram Protocol (UDP). Software und Dienste sind so konzipiert, dass sie TCP oder UDP verwenden und eine bestimmte Portnummer zugewiesen bekommen.

• TCP ist ein verbindungsorientiertes Protokoll mit integrierter Neuübertragung und Fehlerbehebung. TCP ist normalerweise ein zuverlässigeres Protokoll.
• UDP ist ein verbindungsloses Protokoll, das keine Fehler in Nachrichten korrigiert oder wiederherstellt. Es ist als Best-Effort-Protokoll bekannt.

Zustände der Ports

TCP- und UDP-Ports befinden sich je nach Bedarf in einem dieser drei Zustände:

• Offen — Der Port reagiert auf Verbindungsanfragen.
• Geschlossen — Der Port ist nicht erreichbar, was darauf hindeutet, dass kein entsprechender Dienst läuft.
• Gefiltert — Die Firewall überwacht den Datenverkehr und blockiert spezifische Port-Verbindungsanfragen.

Sicherheitsrisiken im Zusammenhang mit offenen Ports

Bedrohungsakteure nutzen offene Ports, um Angriffe durchzuführen und Schwachstellen auszunutzen. Im Folgenden teilen wir einige gängige Exploits und Angriffe, die bösartige Akteure ausnutzen, und gehen dann auf zwei berühmte Angriffe über offene Port-Schwachstellen im Detail ein.

Häufige Exploits und Angriffe

• Eine open RDP connection kann verwendet werden, um einen Credential-Stuffing-Angriff zu starten, um auf einen Server zuzugreifen oder eine Ransomware-Last zu übermitteln.
• Eine Denial of Service (DoS)-Attacke sendet viele Verbindungsanfragen von verschiedenen Maschinen, um einen bestimmten Dienst zu stören. Ein typisches Beispiel wäre das Ziel, die Web-Ports eines Web-Servers zu überlasten, um seine Bandbreite und Ressourcen zu verbrauchen und so legitimen Benutzern den Zugriff auf den Dienst zu verhindern.
• Webdienst-Ports werden häufig als Eintrittspunkte genutzt, um Angriffe wie SQL-Injection und Cross-Site-Request-Forgery durchzuführen, um Schwachstellen innerhalb der Anwendungen selbst auszunutzen.
• Man-in-the-middle-Angriffe können dazu verwendet werden, unverschlüsselten Datenverkehr bekannter Ports abzugreifen, um sensible Informationen zu sammeln. Ein Beispiel ist das Umleiten von Datenverkehr, um E-Mail-Verkehr abzufangen.

Fallstudien: WannaCry, RDP Pipe Plumbing

Einer der bekannteren Angriffe war der WannaCry Ransomware attack im Jahr 2017. Der Angriff wurde weltweit durchgeführt und betraf über 300.000 Computer in 150 Ländern. Der Angriff nutzte eine Schwachstelle im SMB-Protokoll auf Port 445 aus. Sobald die Angreifer in die Organisation eingedrungen waren, verschlüsselten sie deren Dateien und forderten ein Lösegeld.

RDP Pipe Plumbing ist eine Schwachstelle im Remote Desktop Protocol, die Windows-benannte Pipes ausnutzt. Angreifer zielen auf den RDP 3389 Port, um gefälschte Pipe-Serverinstanzen mit demselben Namen wie legitime zu erstellen. Anschließend nutzen sie diese gefälschten Pipes, um die Kommunikation zwischen RDP-Clients und -Servern abzufangen. Dieser Man-in-the-Middle-Angriff ermöglicht unbefugten Zugriff auf sensible Daten, einschließlich Zwischenablageinhalten und Dateiübertragungen.

Verwundbare Ports und ihre Risiken

Nachfolgend finden Sie eine Liste offener Port-Schwachstellen. Lesen Sie weiter, um zu erfahren, welche am anfälligsten für Ausnutzung sind.

Schwachstellen des Ports 21 (FTP)

Das File Transfer Protocol (FTP) verwendet den Port 21. FTP ermöglicht es Benutzern, Dateien in einer unverschlüsselten Übertragung zu senden und von Servern zu empfangen. FTP gilt als veraltet und unsicher und sollte nicht für Dateiübertragungen verwendet werden, insbesondere nicht für sensible Daten, da es leicht mit einer der folgenden Methoden ausgenutzt werden kann:

• Brute-Force-Angriffe auf Passwörter
• Anonyme Authentifizierung (es ist möglich, sich mit „anonymous“ als Benutzername und Passwort am FTP-Port anzumelden)
• Cross-Site Scripting
• Angriffe auf Verzeichnisdurchquerung
• Man-in-the-middle

Schwachstellen des Ports 22 (SSH)

Port 22 wird häufig für Secure Shell-Verbindungen verwendet. Er wird gegenüber Telnet bevorzugt, weil die Verbindung verschlüsselt ist. Oft für die Fernverwaltung verwendet, ist Port 22 ein TCP-Port, um sicheren Fernzugriff zu gewährleisten. Trotz seiner verbesserten Sicherheit weist er immer noch einige grundlegende Schwachstellen auf:

• Durchgesickerte SSH-Schlüssel. Wenn SSH-Schlüssel nicht korrekt gesichert sind, können sie von einem Angreifer genutzt werden, um ohne das erforderliche Passwort Zugang zu erlangen.
• Brute-Force-Angriffe auf Zugangsdaten. Offene SSH-Ports sind leicht auffindbar, was Angreifern ermöglicht, Benutzernamen- und Passwortkombinationen zu erraten.

Schwachstellen des Ports 23 (Telnet)

Telnet ist ein TCP-Protokoll, das Port 23 verwendet. Es stellt eine Verbindung zu entfernten Geräten her, die Befehlszeilenschnittstellen wie Switches, Router und Server nutzen. Wie FTP ist Telnet unverschlüsselt, veraltet und gilt als unsicher. Es wurde von SSH abgelöst. Zu den häufigen Schwachstellen gehören:

• Credential Brute-Forcing. Angreifer nutzen offene Port-Schwachstellen, um wiederholte Anmeldeversuche gegen exponierte Dienste zu starten und versuchen, durch Erraten von Anmeldeinformationen unbefugten Zugriff zu erlangen.
• Spoofing und Credential Sniffing. Offene Ports können Dienste für Angreifer freilegen, die sie ausnutzen, um während der Datenübertragung Credentials zu abzufangen und zu stehlen, oft indem sie sich als legitime Entitäten ausgeben.

Port 25-Schwachstellen (SMTP)

Port 25 wird vom Simple Mail Transfer Protocol (SMTP) zum Senden und Empfangen von E-Mails verwendet. SMTP wurde entwickelt, als Cybersicherheit noch keine große Rolle spielte, daher kann es ohne Drittanbieter-Sicherheitslösungen leicht ausgenutzt werden. Ohne eine ordnungsgemäße Konfiguration und Schutz ist dieser TCP-Port Bedrohungen wie folgt ausgesetzt:

• Spoofing. Angreifer können E-Mail-Header fälschen, um Nachrichten so aussehen zu lassen, als ob sie von einer vertrauenswürdigen Quelle stammen.
• Spamming. Unprotected SMTP-Server können ausgenutzt werden, um große Mengen unerwünschter E-Mails zu versenden, was oft Systeme überlastet und Malware verbreitet.
• Man-in-the-middle, insbesondere wenn die E-Mail selbst im Klartext gesendet wird.

Schwachstellen des Ports 53

Port 53 wird für das Domain Name System (DNS) verwendet, das menschenlesbare Domainnamen wie facebook.com oder linkedin.com in IP-Adressen übersetzt. DNS ist für den Internetverkehr unerlässlich und verwendet sowohl UDP als auch TCP für Abfragen und Übertragungen. Dieser Port ist besonders anfällig für Distributed Denial of Service (DDoS)-Angriffe, bei denen Angreifer den DNS-Server mit einer Flut von Anfragen überwältigen und so den Dienst stören können.

• DDoS-Angriffe. Dabei handelt es sich um gängige Angriffe, bei denen Angreifer versuchen, den Server mit einer großen Menge an Paketen zu überlasten, um einen Dienstausfall zu verursachen. Diese Angriffsart hat einige Varianten, DDoS (Distributed Denial of Service) und DNS-Verstärkungsangriffe.

Ports 137 und 139 (NetBIOS über TCP) und 445 (SMB) Schwachstellen

Ports 137 und 139 (NetBIOS über TCP) und 445 (SMB) werden häufig mit Dateifreigabe und Netzwerkkommunikation in Windows-Umgebungen in Verbindung gebracht. Sie sind jedoch auch bekannt dafür, anfällig für mehrere Sicherheitsbedrohungen zu sein:

• EternalBlue-Exploit. Dieser Angriff nutzt SMBv1-Schwachstellen in älteren Versionen von Microsoft-Computern aus. Er wurde bekannt, nachdem der WannaCry-Ransomware-Angriff 2017 weltweit gestartet wurde.
• Erfassen von NTLM-Hashes. Angreifer können NTLM-Hashes abfangen und erfassen und sie nutzen, um sich als legitime Benutzer zu authentifizieren.
• Brute-Force-Angriffe auf SMB-Anmeldeinformationen. Angreifer könnten versuchen, Zugang zu erlangen, indem sie systematisch verschiedene Benutzernamen- und Passwortkombinationen ausprobieren, bis sie die richtigen Anmeldeinformationen finden.

Ports 80, 443, 8080 und 8443 Schwachstellen (HTTP und HTTPS)

Jeder, der eine Webseite besucht hat, hat die HTTP- oder HTTPS-Protokolle in seinem Webbrowser verwendet. Wie erwähnt, werden Web-Ports häufig von Angreifern für viele Arten von Angriffen ins Visier genommen, einschließlich:

• Cross-Site Scripting. Angreifer injizieren bösartige Skripte in Webseiten und Anwendungen, um Cookies, Tokens oder Daten zu stehlen.
• SQL-Injections. Angreifer fügen bösartigen SQL-Code in Eingabefelder ein, um eine Datenbank zu manipulieren.
• Cross-Site-Request-Forgers.Ein Angreifer nutzt das Vertrauen zwischen dem Webbrowser eines Benutzers und einer Webanwendung aus, um den Benutzer dazu zu bringen, ohne dessen Wissen oder Einwilligung Aktionen auf einer Website durchzuführen.
• DDoS-Angriffe

Ports 1433, 1434 und 3306 Schwachstellen (Verwendet von Datenbanken)

Dies sind die Standardports für SQL Server und MySQL. Sie werden verwendet, um eine Vielzahl bösartiger Handlungen durchzuführen, einschließlich:

• Verbreitung von Malware. Angreifer nutzen offene Ports, um in ein Netzwerk einzudringen, verbreiten Schadsoftware, die Systeme kompromittieren, Daten stehlen oder Infrastruktur beschädigen kann.
• DDoS-Szenarien. Offene Port-Schwachstellen werden ausgenutzt, um Dienste mit massivem Datenverkehr in Distributed Denial of Service (DDoS)-Angriffen zu überwältigen, wodurch Systeme unbrauchbar gemacht werden.
• Finden Sie ungeschützte Datenbanken mit ausnutzbaren Standardkonfigurationen. Offene Ports können Datenbanken mit schwachen oder Standard-Einstellungen freilegen, was Angreifern ermöglicht, sie effizient auszunutzen, um unbefugten Zugriff zu erlangen und sensible Informationen zu manipulieren oder zu stehlen.

Schwachstellen des Ports 3389 (Remote Desktop)

• Sicherheitslücken im Remote Desktop Protocol setzen RDP Brute-Force-Angriffen und Man-in-the-Middle-Angriffen aus.

• Die BlueKeep-Schwachstelle (CVE-2019-0708) ist eine RDP-Schwachstelle, die in älteren Microsoft-Betriebssystemen wie Windows 7 und Windows Server 2008 gefunden wurde. BlueKeep kann ausgenutzt werden, um Malware ohne Benutzereingriff in einer Organisation zu verbreiten.

Schritte zur Absicherung offener Ports

Bevorzugen Sie verschlüsselte Ports gegenüber unverschlüsselten

Die meisten regulären Dienste, die in einer IP-basierten Umgebung verwendet werden, verfügen mittlerweile über eine verschlüsselte Version des älteren, ursprünglichen Protokolls im Klartext. Es ist eine gute Praxis, auf die verschlüsselte Version umzusteigen, um Datenlecks zu vermeiden, während Informationen über die Leitungen übertragen werden.

Regelmäßiges Patchen und Aktualisieren

Das Patchen hält Ihre Systeme und Firewalls auf dem neuesten Stand. Anbieter veröffentlichen regelmäßig Patches, die Schwachstellen und Fehler in ihren Produkten beheben, die Cyberkriminelle nutzen könnten, um vollen Zugriff auf Ihre Systeme und Daten zu erhalten.

Port-Scanning-Tools

Sie sollten auch regelmäßig Ihre Ports scannen und überprüfen. Es gibt drei Hauptmethoden, dies zu tun:

• Kommandozeilen-Tools. Wenn Sie Zeit haben, Ports manuell zu scannen und zu überprüfen, verwenden Sie Kommandozeilen-Tools, um offene Ports zu finden und zu scannen. Beispiele sind Netstat und Network Mapper, die Sie auf verschiedenen Betriebssystemen, einschließlich Windows und Linux, installieren können.
• Port-Scanner. Wenn Sie schnellere Ergebnisse wünschen, sollten Sie einen Port-Scanner verwenden. Ein Computerprogramm überprüft, ob Ports offen, geschlossen oder gefiltert sind. Der Prozess ist einfach: Der Scanner sendet eine Netzwerkanfrage, um eine Verbindung zu einem bestimmten Port herzustellen und erfasst die Antwort.
• Tools zum Scannen von Schwachstellen. Tools zum Scannen von Schwachstellen sind automatisierte Anwendungen, die IT-Assets wie Server, Desktops und Netzwerkgeräte identifizieren und inventarisieren, um Sicherheitsschwächen zu erkennen. Sie suchen nach bekannten Schwachstellen, die durch Fehlkonfigurationen oder fehlerhafte Programmierung entstehen. Die Ergebnisse dieser Scans liefern wertvolle Einblicke in das Risikoniveau einer Organisation und können verwendet werden, um effektive Minderungsstrategien zu empfehlen.

Überwachung von Konfigurationsänderungen des Dienstes

Es ist wichtig, über jegliche Konfigurationsänderungen an Ihren Servern, Firewalls, Switches, Routern und anderen Netzwerkgeräten auf dem Laufenden zu bleiben, da diese Änderungen Schwachstellen einführen können. Solche Modifikationen können versehentlich oder absichtlich erfolgen. Mit Netwrix Change Tracker können Sie Ihre Systeme absichern, indem Sie unbefugte Änderungen und andere verdächtige Aktivitäten verfolgen. Insbesondere bietet es folgende Funktionalitäten:

• Aktionierbare Alarmierung über Konfigurationsänderungen
• Automatische Aufzeichnung, Analyse, Validierung und Verifizierung jeder Änderung
• Echtzeit-Änderungsüberwachung
• Ständige Überwachung von Anwendungsschwachstellen

Einsatz von Intrusion-Detection- und Prevention-Systemen (IDP und IPS)

IDS überwacht den Netzwerkverkehr auf Anzeichen verdächtiger Aktivitäten oder bekannter Bedrohungen, während IPS noch einen Schritt weiter geht und erkannte Bedrohungen blockiert. Beide können gängige Exploits verhindern, die offene Ports zum Ziel haben, einschließlich SQL-Injections, DDoS-Angriffe und andere Cyber-Bedrohungen.

Implementierung von SSH-Schlüsseln

SSH-Schlüssel sind weniger anfällig für Brute-Force-Angriffe, Phishing und menschliche Fehler. Diese verschlüsselten Schlüssel machen es überflüssig, dass Benutzer sich Passwörter merken und eingeben müssen, wodurch die Wahrscheinlichkeit eines unbefugten Zugriffs über offene Ports verringert wird. Es gibt zwei Arten von SSH-Schlüsseln:

• Private oder Identitätsschlüssel, die Benutzer identifizieren und ihnen Zugang gewähren
• Öffentliche oder autorisierte Schlüssel, die bestimmen, wer auf Ihr System zugreifen kann

Durchführung von Penetrationstests und Schwachstellenbewertungen

Penetrationstests und Schwachstellenbewertungen sollten verwendet werden, um Schwachstellen in der IT-Infrastruktur zu erkennen, obwohl jeder einen anderen Ansatz verfolgt. Ein Penetrationstest (ein Pen-Test) wird von einem Sicherheitsexperten durchgeführt, der einen Cyberangriff auf ein Computersystem oder Netzwerk simuliert, um Schwachstellen zu identifizieren und auszunutzen. Es zeigt, wie ein Angriff aktiv in Ihr Netzwerk eindringen könnte. Eine Schwachstellenbewertung hingegen ist ein automatisierter Scan, der bekannte Schwachstellen identifiziert und priorisiert. Zusammen können sie eine umfassende Zusammenfassung Ihrer Portschwachstellen bieten.

Best Practices für Port-Sicherheit

• Bewertung externer Angriffsflächen. Sie sollten regelmäßig die Exposition Ihres Netzwerks gegenüber externen Bedrohungen bewerten, indem Sie offene Ports identifizieren und sichern, die ein Angreifer ausnutzen könnte. Stellen Sie sicher, dass jeder offene Port notwendig ist. Schließen Sie Ports, die mit veralteten Anwendungen oder Diensten verbunden sind, sofort.
• Kontinuierliches Monitoring für aufkommende Risiken. Führen Sie fortlaufendes und umfassendes Monitoring durch, um neue Schwachstellen und Bedrohungen im Zusammenhang mit offenen Ports zu erkennen. Reagieren und mindern Sie zeitnah, wenn nötig.
• Bewertung der Leistung offener Ports.Überprüfen und bewerten Sie regelmäßig die Sicherheit und Funktionalität aller offenen Ports. Stellen Sie sicher, dass offene Ports angemessen ihren zugewiesenen internen Zielen zugeordnet sind und dass das Prinzip der geringsten Berechtigung auf alle anwendbaren Ressourcen angewendet wird.
• Einhalten eines konsistenten Patch-Zeitplans.Regelmäßiges Patchen kann große Sicherheitsdividenden bringen. Stellen Sie sicher, dass alle sicherheitsrelevanten Patches unmittelbar nach ihrer Veröffentlichung eingesetzt werden.
• Fehlkonfigurierte, ungepatchte und anfällige Dienste. Ungepatchte oder fehlkonfigurierte Systeme können zu einem kompromittierten System führen. Stellen Sie sicher, dass alle Konfigurationen den besten Sicherheitspraktiken entsprechen. Implementieren Sie ein Überwachungssystem, um Ihr Netzwerk-Supportpersonal zu alarmieren, wenn eine Konfigurationsänderung auftritt.

Fazit

Offene Ports sind wie ein zweischneidiges Schwert. Einerseits sind sie unerlässlich für den Betrieb Ihres Unternehmens, um Webseiten, Anwendungen und Dienste zu ermöglichen. Andererseits bieten sie Bedrohungsakteuren die Möglichkeit, in Ihr Netzwerk einzudringen und es auszunutzen. Dies macht das Verwalten und Überwachen offener Ports zu einem kritischen Aspekt der Netzwerksicherheit und kann nicht genug betont werden. Ihre Organisation sollte eine Richtlinie haben, die die Verfahren zur Sicherung aller offenen Ports beschreibt und sicherstellt, dass alle Systeme und Software regelmäßig aktualisiert werden. Unsichere Ports wie Telnet und FTP sollten abgewertet und durch moderne Lösungen ersetzt werden, die moderne sichere Technologien nutzen. Führen Sie regelmäßige Bewertungen durch, um sicherzustellen, dass alle offenen Ports notwendig sind und bestätigen Sie, dass die Konfigurationen den besten Praktiken entsprechen. Denken Sie daran, dass sich Ihre Anforderungen an Ports mit der Technologieentwicklung ebenfalls ändern werden. Mit der richtigen Strategie und dem nötigen Fokus können Ihre offenen Ports weiterhin funktionierende Vermögenswerte statt Schwachstellen bleiben, die Ihr Unternehmen einem größeren Risiko aussetzen.