![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Unsch\u00f6ne Geschichte: Sicherheitsforschern ist \u00fcber die Suchmaschine Shodan aufgefallen, dass Tausende etcd-Server unsicher konfiguriert sind. Dritte k\u00f6nnen so Kennw\u00f6rter und Schl\u00fcssel abgreifen. Ein gefundenes Fressen f\u00fcr Cyber-Kriminelle. <\/p>\n
<\/p>\n
Ich denke, es wird nicht so viele Blog-Leser\/innen treffen \u2013 sondern h\u00f6chstens Leute im Administratorenumfeld von Firmen tangieren. Zur Sicherheit nehme ich aber die Info hier im Blog auf, bevor ihr m\u00f6glicherweise ins Osterwochenende entschwindet. Falls ihr etcd-Server betreibt, kontrolliert, ob die gegen\u00fcber dem Internet abgesichert sind. <\/p>\n
Betroffene k\u00f6nnen mit dem Stichwort etcd-Server etwas anfangen. F\u00fcr die restlichen Blog-Leser eine kurze Erl\u00e4uterung. Ein hei\u00dfes Thema sind Container-Anwendungen (Stichwort: Docker). Zur Bereitstellung, Skalierung und Verwaltung kommt das urspr\u00fcnglich von Google entwickelte Open-Source-System Kubernetes zum Einsatz. Laut Wikipedia<\/a> wird die Orchestrierung<\/a> mittels Kubernetes von f\u00fchrenden Cloud-Plattformen wie Microsofts Azure, IBMs Bluemix, Red Hats OpenShift und Amazons AWS unterst\u00fctzt.<\/p>\n Mit Kubernetes lassen sich auch Cluster verwalten. Der Master in Kubernetes steuert mit seinen Komponenten die Nodes (Minions), auf denen dann die Docker-Container ausgef\u00fchrt werden. Zur Speicherung der Konfiguration von Kubernetes Clustern kommt die von CoreOS entwickelte Key-Value-Datenbank etcd zum Einsatz. <\/p>\n Bereits am 16. M\u00e4rz 2018 hat der Software-Entwickler Giovanni Collazo aus Puerto Rico in seinem pers\u00f6nlichen Blog elweb den Artikel The security footgun in etcd<\/a> ver\u00f6ffentlicht. Das von ihm gew\u00e4hlte Eingangsbild zeigt drastisch die Situation. <\/p>\n Aus Sicht der Anwendungssicherheit sind Datenbanken die wertvollsten Bestandteile aller Systeme. Sie speichern die Daten, die f\u00fcr Anwendungen und Unternehmen wertvoll sind. Daher sollten diese Daten sicher vom Zugriff unbefugter Dritter gehalten werden. Grunds\u00e4tzlich sind sich Software-Entwickler und Datenbank-Administratoren dessen bewusst. F\u00fcr MySQL-, PostgreSQL- und MongoDB-Datenbanken werden erfahrene Administratoren darauf achten, dass diese gegen Fremdzugriff abgesichert sind. Und trotzdem werden immer wieder Pannen und Administrationsfehler bekannt. <\/p>\n Aber was passiert mit Datenbanken, die sich nicht wie \"normale Datenbanken\" anf\u00fchlen? Stichw\u00f6rter sind Memcached, Redis und nat\u00fcrlich etc. Diese Art von Datenbanken werden oft f\u00fcr einen einzigen Anwendungsfall verwendet und ohne gro\u00dfe Sorgfalt behandelt. Und damit nimmt das Unheil seinen Lauf. <\/p>\n Als Giovanni Collazo sich k\u00fcrzlich mit der CoreOS-Dokumentation befasste, stie\u00df er auf etcd. Die Datenbank etcd ist im Kontext von CoreOS integraler Bestandteil des oben erw\u00e4hnten Kubernetes Clustering-Systems. Kubernetes benutzt es f\u00fcr die Orchestrierung und vieles mehr.<\/p>\n Collazo schreibt, dass er etcd wirklich cool findet. Es benutzt den RAFT-Konsens-Algorithmus, um alle Knoten synchron zu halten. Es habe ein sehr einfach zu bedienendes CLI-Tool und eine HTTP-API. Er geht davon aus, dass er etcd in naher Zukunft f\u00fcr einige bei seinem Arbeitgeber verwendete Orchestrierungsl\u00f6sungen einsetzen wird. <\/p>\n Beim Lesen der etcd-Dokumentation erinnerte er sich aber an die Meldungen \u00fcber nicht abgesicherte MongoDB-Datenbanken. Deren Betreiber stellten diese ohne Authentifizierung (diese ist standardm\u00e4\u00dfig nicht aktiviert) online, so dass Dritte problemlos auf die Datenbanken zugreifen konnten. Bei etcd ist eine Authentifizierung erst ab Version 2.1 m\u00f6glich. Aus Kompatibilit\u00e4tsgr\u00fcnden zu fr\u00fcheren Versionen ist die Authentifizierung aber standardm\u00e4\u00dfig deaktiviert (siehe<\/a>). <\/p>\n etcd before 2.1 was a completely open system; anyone with access to the API could change keys. In order to preserve backward compatibility and upgradability, this feature is off by default.<\/p>\n<\/blockquote>\n Riecht nach Unheil, und ist es auch. Eine einfache Abfrage der Suchmaschine Shodan ergab, dass 2.284 offene und nicht abgesicherte etcd-Server \u00fcber das Internet erreichbar sind. Diese Abfrage<\/a> ergibt aktuell aber eine Fehlermeldung, da nur angemeldete Benutzer Ergebnisse angezeigt bekommen. Hier ist eine Twitter-Meldung zum Thema.<\/p>\n 2,000+ publicly accessible etcd installations yielded 8,781 passwords. @gcollazo<\/a> details what he found here: https:\/\/t.co\/tRxNlo8q5J<\/a><\/p>\n It really is as simple as http:\/\/<IP address of etcd instance>:2379\/v2\/keys\/?recursive=true<\/p>\n Here's an example MySQL password found: pic.twitter.com\/F3cyWj19P8<\/a><\/p>\n \u2014 Bad Packets Report (@bad_packets) 18. M\u00e4rz 2018<\/a><\/p><\/blockquote>\nAbsicherung in etcd<\/h2>\n
![\"security](\"https:\/\/i.imgur.com\/lrMFO8f.jpg\"\/ "\\"security")
(Screenshot der elweb-Seite zu etcd)<\/p>\n\n
\n