Große Server-Sammlungen bieten Passwörter & Keys frei für alle an
Bei etcd handelt es sich um einen Server-Dienst, der in Clustern und Cloud-Netzen eine übergeordnete Datenbank für Passwörter und Krypto-Keys anbietet. Das soll beispielsweise dafür sorgen, dass die Skripte von Webseiten, die auf verschiedenen Webservern liegen um Lasten gut zu verteilen, auch stets mit dem jeweils aktuellen Login für die zugehörigen Datenbanken ausgestattet sind. Entsprechend gut muss dieser Service natürlich geschützt werden.
Der Sicherheitsforscher Giovanni Collazo hat allerdings zahlreiche Hinweise darauf gefunden, dass sich die Konfiguration von etcd meist darauf beschränkt, dass die Datenübermittlung funktioniert. Darüber hinaus machen sich zu viele Administratoren offenbar keine Gedanken darüber, wie die Kommunikation der einzelnen Instanzen geschützt wird, damit unberechtige Außenstehende nicht darauf zugreifen können.
Mit den Informationen, die der Security-Experte abgreifen konnte, bekommt man Zugang zu diversen Datenbanken, Content-Management-Systemen und anderen Diensten hinter teils auch größeren Webseiten oder Intranets von Firmen. Darüber ließen sich - wenn man mit weniger guten Absichten unterwegs ist - umfangreiche Daten abgreifen.
Download Icecream Password Manager - Kostenlose Passwortverwaltung
Der Sicherheitsforscher Giovanni Collazo hat allerdings zahlreiche Hinweise darauf gefunden, dass sich die Konfiguration von etcd meist darauf beschränkt, dass die Datenübermittlung funktioniert. Darüber hinaus machen sich zu viele Administratoren offenbar keine Gedanken darüber, wie die Kommunikation der einzelnen Instanzen geschützt wird, damit unberechtige Außenstehende nicht darauf zugreifen können.
Freier Weg in große Infrastrukturen
Über die Suchmaschine Shodan machte er rund 2.300 etcd-Instanzen ausfindig, aus denen sich Daten abrufen ließen. Collazo konnte so beispielsweise 8781 Passwörter, 650 Zugangs-Keys für Amazons AWS-Cloud und auch einige Verschlüsselungs-Codes von diversen Infrastrukturen auslesen. Böswillige Angreifer finden hier also quasi umzäunte Firmengelände vor, an denen frei zugänglich nicht abgeschlossene Kästen mit den wichtigsten Schlüsseln hängen.Mit den Informationen, die der Security-Experte abgreifen konnte, bekommt man Zugang zu diversen Datenbanken, Content-Management-Systemen und anderen Diensten hinter teils auch größeren Webseiten oder Intranets von Firmen. Darüber ließen sich - wenn man mit weniger guten Absichten unterwegs ist - umfangreiche Daten abgreifen.
Download Icecream Password Manager - Kostenlose Passwortverwaltung
Kommentar abgeben
Netiquette beachten!
Jetzt als Amazon Blitzangebot
Ab 10:25 Uhr 
UNI-T Multimeter
UNI-T Multimeter Original Amazon-Preis
36,99 €
Blitzangebot-Preis
29,75 €
Ersparnis zu Amazon 20% oder 7,24 €
Neueste Downloads
Video-Empfehlungen
Beliebt im Preisvergleich
- Sicherheit & Backup:
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon