Certified Security Operations Center GmbH

4. Dezember 2018

CSOC-Event der Woche KW47 – OpenVAS-Scans

KW47: CSOC-Event der Woche – OpenVAS-Scans

Durchschnittliche CSOC-Gesamtevents pro Tag:  36.007
Detektionshäufigkeit:      3678

Eventbeschreibung: OpenVAS-Scans / Kritikalität = mittel (5 / 10)

In dieser Woche berichten wir über eine Reihe von Events, die auftreten, sobald eine IP-Adresse zum Ziel eines sogenannten OpenVAS-Scans wird.

OpenVAS, das Open Vulnerability Assessment System, ist ein Framework, welches Dienste und Werkzeuge zum Scanning eigener Netze oder einzelner IP-Adressen zur Verfügung stellt.

Dieses umfangreiche Framework wird leider – wie viele andere Hacking-Tools auch – missbraucht, um Schwachstellenscans gegen öffentlich erreichbare IT-Systeme durchzuführen. Die in unserem Fall auftretenden Events sind charakteristisch für einen OpenVAS-Scan. Beim Ausführen des Scans wird die Ziel-IP zunächst mit verschiedenen Methoden auf SQL-Injection gescannt. Sollten entsprechende SQL-Dienste detektiert werden, prüft OpenVAS die Verwundbarkeit der Dienste. Ist der Prozess abgeschlossen, werden weitere Schwachstellen wie etwa Cross Site Scripting und Local File Inclusion überprüft. Auch wird im Zuge des Scans auf Pfade von bekannten Wegdiensten geprüft; ebenso darauf, ob diese eventuell empfindliche Daten wie beispielsweise Backups enthalten. Weiterhin erstreckt sich der Scan auf die Überprüfung von Standard-Zugangsdaten auf Routern, Webdiensten und weiteren öffentlich zugänglichen Diensten.

Der OpenVAS-Scan ist in der Regel nicht vermeidbar. Jedoch ist der Angriff mithilfe dieses Werkzeugs nicht zu vernachlässigen, da Standard-Zugangsdaten und Konfigurationen sehr leicht entdeckt und ausgenutzt werden könnten. Die einzige Methode, weiteren OpenVAS-Scans zu entgehen, ist die aktive Sperrung der Quell-IPs. Wir empfehlen IT-Administratoren aufgrund des Scan-Umfangs stets die eigenen Konfigurationen zu prüfen. Standardeinstellungen sollten überdacht werden. Bei extern veröffentlichten Diensten und Geräten gilt es, Hardware ohne bekannte Sicherheitslücken zu verwenden. Zudem ist immer auf sichere Zugangsdaten zu achten.

Technische Beschreibung:

Das Open Vulnerability Assessment System (OpenVAS) ist ein Framework aus mehreren Diensten und Werkzeugen. Der Kern dieses service-orientierten, SSL-gesicherten Systems bildet der OpenVAS Scanner. Der Scanner führt in sehr effizienter Weise die Network Vulnerability Tests (NVTs), also den Inhalt des OpenVAS NVT Feeds aus. Dieser Kern der Scan-Engine wird durch den OpenVAS Manager kontrolliert und gesteuert.

error: