Datendiebstahl
Geheime US-Dokumente über ungesicherten rsync-Port freigesetzt
UpGuard entdeckt hohes Gefährdungspotential bei Service Provider
Bereits Anfang Juli 2017 entdeckte Chris Vickery, Direktor der UpGuard Cyber Risk Research Company , einen exponierten Port, der für den öffentlichen Zugriff und der Daten-Synchronisation mit rsync verwendet wurde. Mit der Eingabe der IP-Adresse in das command-line interface gab der Server ein vollständig herunterladbares Daten-Repository der gehosteten Kundendaten frei. Vickery gelang es ca. 205GB an Daten von dem Server des texanischen Service Anbieters Power Quality Engineering (PQE) herunterzuladen.
Pikant
Die Daten stammten u.a. von Dell, der Stadt Austin, Oracle und Texas Instruments.
Bild des Hauptordners "Clients" im Repository
Bei genauerer Betrachtung sollte es sich um geheime US-Dokumente, die neben potentiellen Schwachstellen kundenseitiger Systeme, auch öffentlich herunterladbare Schaltpläne von der US-Regierung betriebenen, streng geheimen SCIFs (Geheimdienstübertragungszonen) handeln.
Ein SCIF ist ein sorgfältig gestalteter, sicherer Raum, der nur von bestimmten Personen vom Secret Service, Militär oder Geheimdienst genutzt wird, um absolut abhörsicher, sensible Informationen auszutauschen. Solche Räume befinden sich u.a. im Weißen Haus – der „Situation Room“- im Capitol oder im Trump Tower.
Noch bemerkenswerter war allerdings der Inhalt des Dell-Ordners 6807, mit einem Dokumententitel „Director of Central Intelligence Directive No. 6/9“ das als überraschender Indikator dafür steht, wie unachtsam Daten an Drittanbieter anvertraut werden können. Diese Unterlagen, "Physical Security Standards für sensible Compartmented Information Facilities", beinhalteten die detaillierte Beschreibung der Installationen, Standorte und Konfigurationen der SCIFs.
Zudem sollen sich unter den heruntergeladenen Daten auch Informationen der Stadt Austin befinden, die Schematas von Solarfeldern, Schwachstellenanalysen, geplante Bauarbeiten und Inspektionsberichte von lokalen Flughäfen, Wartungsberichte für Treibstoffsysteme und detaillierte Risikobeschreibungen und Schaltpläne für das Austin Energy Sandhill Energy Center beinhalten.
Zusätzlich zu diesen ausgesetzten Kundendaten wurde auch eine Word-Datei "computer stuff.docx" gefunden, die mit internen Plaintext-PQE-Passwörtern im Repository gespeichert war und weitere Zugriffe auf andere Unternehmenssysteme zugelassen hat.
Der exponierte Port, der den öffentlichen Zugriff auf diese Systeme gewährte, war der Standard-Port 873 für den rsync (Remote-Synchronisation)-Prozess, der ein einfaches und schnelles Kopieren von Daten auf einem anderen Rechner ermöglicht. Anscheinend hatten die Admins von PQE "vergessen", den zusätzlichen Schritt der Zugriffsbeschränkung „Host zulassen/verweigern“, nach der Konfiguration des rsync-Dienstprogrammes, zu aktivieren.
UpGuard hat zudem das Angriffsrisiko dieses Service Providers zum Zeitpunkt der Entdeckung analysiert und kam zu erschreckenden CSTAR-Score Ergebnissen.
PQE CSTAR-Score im Juli 2017
Fazit
Dieser Fall veranschaulicht wieder einmal wie unbekümmert mit hochsensiblen Daten umgegangen wird und das Thema IT-Security bei einigen immer noch nicht angekommen ist, geschweige denn umgesetzt wird. Die massive Zunahme der Cyber-Angriffe, bzw. deren Veröffentlichung, ist doch auch auf solche fahrlässigen Serverkonfigurationen zurückzuführen. Hinzu kommen diese unglaubliche Sorglosigkeit und das blinde Vertrauen der Kunden, ihre sensiblen Daten an solche Drittanbieter zu übermitteln. Es bleibt zu befürchten, dass die fehlerhafte Konfiguration des rsync-Prozesses bei PQE und der sorglose Umgang mit sensiblen Kundendaten kein Einzelfall ist und bleibt. Unternehmen müssen einfach noch mehr dafür tun, sichere Prozesse aufzubauen, um die Integrität ihrer Daten zu gewährleisten.