RPC Portmapper zur Verstärkung einer DDoS Reflection Attacke

Das BSI hat uns über unseren Hosting Partner hetzner darüber informiert, dass verschiedene unserer Server den Portmapper Dienst benutzen und angreifbar wären. Hierdurch ist es einem Angreifer zwar nicht möglich in den Server einzubrechen, allerdings kann er dazu benutzt werden eine DDoS Attacke zusätzlich zu verstärken.

Portmap bietet Angreifern die Möglichkeit, ohne Authentifizierung laufende Dienste und weitere Informationen über einen Server zu erhalten. Desweiteren ergibt eine Anfrage von ca. 70 Byte an den Portmapper Dienst, eine Antwort zwischen 500 und 2000 Byte. Das ist ein Vervielfachung um Faktor 7 bis 28.

Beheben kann man dies, indem man nicht benötigte Portmap Installationen entfernt. Dieser wird für NFS verwendet. Nutzt man kein NFS, weder als Client, noch als Server, dann kann der Dienst gefahrfrei abgeschaltet werden. Dazu kann man entweder das Paket komplett deinstallieren oder ihn einfach nur ausschalten. Eine schnelle Lösung ist den Port 111 in der Firewall für Protokoll TCP und UDP zu sperren.

Eine andere Möglichkeit ist, den RPC Dienst an die localhost Adresse zu binden, sodass der Dienst über die öffentlichen IP-Adresse nicht abgefragt werden kann.

Quellen:

Von |2017-01-27T10:34:40+00:004. Oktober 2016|Security|