Was auf den ersten Blick wie ein isolierter technischer Zwischenfall wirkt, entpuppt sich bei näherer Betrachtung als ein eindringliches Beispiel für ein weit verbreitetes Risiko. Veraltete und unzureichend abgesicherte Basisdienste stellen nach wie vor ein attraktives Einfallstor für Angreifer dar. Der kürzlich beobachtete Vorfall verdeutlicht dabei weniger ein individuelles Versäumnis als vielmehr eine strukturelle Herausforderung, mit der viele Organisationen konfrontiert sind, insbesondere dort, wo gewachsene Infrastrukturen und laufender Betrieb regelmäßige Sicherheitsüberprüfungen erschweren.
In der vergangenen Woche hat unser Team einen realen, aktiven Angriff auf einen Kunden entdeckt, bei dem eine klassisch fehl konfigurierte FTP-Infrastruktur ausgenutzt wurde. Der Angreifer kombinierte einfache, aber effektive Techniken wie Banner-Grabbing, anonymen Login und Directory Traversal, um schrittweise tieferen Zugriff auf sensible Daten zu erlangen. Der Vorfall zeigt exemplarisch, wie niedrig die Einstiegshürden für Angreifer sind, wenn grundlegende Sicherheitsmechanismen fehlen oder nicht mehr dem aktuellen Stand entsprechen.
Der Vorfall
Der Angriff begann mit einer simplen Nmap-Scan Analyse, die einen offen erreichbaren FTP-Dienst auf Port 21 innerhalb des Kundennetzwerks identifizierte. Das Zielsystem lief mit ProFTPD 1.3.5, einer veralteten Version mit bekannten Sicherheitslücken. Darunter befand sich unter anderem die Schwachstelle CVE-2015-3306, die es Angreifern ermöglicht, unter bestimmten Umständen ohne Authentifizierung auf den Server zuzugreifen. Solche bekannten Schwachstellen sind öffentlich dokumentiert und werden aktiv automatisiert ausgenutzt, oft lange, nachdem entsprechende Updates verfügbar gewesen wären.
Der Angreifer entdeckte einen offen erreichbaren FTP-Server und meldete sich ohne Passwort an, weil anonymer Zugriff aktiviert war. Dadurch hatte er sofort Zugriff auf die gespeicherten Dateien und hätte große Teile des Servers herunterladen können, inklusive sensibler Daten. Anschließend bewegte er sich über technische Tricks außerhalb der eigentlich freigegebenen Ordner und verschaffte sich so Einblick in weitere Verzeichnisse, die nicht öffentlich sein sollten. Zum Schluss versuchte der Angreifer, den Server als „Sprungbrett“ zu nutzen, um das interne Netzwerk zu erkunden und weitere erreichbare Systeme zu finden, ein typischer nächster Schritt einen Angriff zu erweitern.
Dieser Vorfall sollte daher nicht als Einzellfall verstanden werden, sondern als klare Warnung: Exponierte Legacy-Dienste sind ein bevorzugtes Ziel und verdienen besondere Aufmerksamkeit, bevor sie von Angreifern entdeckt werden.
Die Reaktion unseres Teams
Nach der Entdeckung des Angriffs reagierte unser Team umgehend und leitete eine Active-Response Maßnahme ein. Der betroffene FTP-Server wurde innerhalb weniger Minuten vom Netzwerk isoliert, wodurch ein weiterer Zugriff sowie eine mögliche Datenexfiltration effektiv unterbunden wurden. Parallel dazu fand ein transparenter Austausch mit unserem Kunden zu den ergriffenen Sofortmaßnahmen statt. In enger Abstimmung folgten anschließend nachhaltige Härtungsmaßnahmen auf Kundenseite.
Unsere Handlungsempfehlungen:
Wenn Sie einen FTP-Server betreiben, egal ob für interne oder externe Nutzung, folgen Sie diesen Schritten, um Ihre Systeme sicherer zu machen:
- Deaktivieren Sie anonymen Zugriff: Nur autorisierte Benutzer sollten Zugang erhalten. Kein „anonymous:anonymous“!
- Verwenden Sie SFTP oder FTPS anstelle von reinem FTP: Verschlüsselte Verbindungen verhindern, dass Passwörter und Daten abgefangen werden.
- Aktualisieren Sie Ihre FTP-Software regelmäßig: Veraltete Versionen wie ProFTPD 1.3.5 oder VSFTPD 2.3.4 sind oft Angriffsziele. Halten Sie die Software auf dem neuesten Stand.
- Beschränken Sie den Zugriff über Firewall-Rules: Erlauben Sie nur bekannte, interne IPs. Blockieren Sie alle externen Verbindungen, die nicht erforderlich sind.
- Aktivieren Sie Logging und Monitoring: Jeder Login-Versuch muss protokolliert werden.
- Schützen Sie vor Directory Traversal und FTP-Bounce-Angriffen: Deaktivieren Sie gefährliche Befehle wie „PORT“ und „EPRT“, wenn sie nicht benötigt werden. Prüfen Sie, ob Ihre Software solche Angriffe blockiert.
- Führen Sie regelmäßig Sicherheitsaudits durch: Nutzten Sie Tools wie Nmap („–script=ftp-anon,ftp-brute,ftp-bounce“) oder Metasploit, um Schwachstellen selbst zu identifizieren, bevor ein Angreifer es tut.
Fazit
Abseits von Schlagzeilen über komplexe Angriffskampagnen entstehen viele Sicherheitsvorfälle dort wo technische Grundlagen über längere Zeit unverändert geblieben sind. Gewachsene Infrastrukturen, veraltete Dienste und fehlende Härtung bieten Angreifern häufig genau die Angriffsfläche, die sie suchen. FTP ist dabei grundsätzlich unsicher – doch zeitgemäße Absicherung und klare Zugriffsbeschränkungen kann selbst ein etablierter Standarddienst unbeabsichtigt zur offenen Tür werden.
Als die Certified Security Operation Center GmbH sehen wir unsere Rolle nicht nur in der Erkennung solcher Situationen, sondern im aktiven Handeln. Schnelle Entscheidungen und gezielte Maßnahmen machen den Unterschied – nicht erst, wenn ein Schaden entstanden ist, sondern genau in dem Moment, in dem er verhindert werden kann.