Gurur Öndarö hat als Zweitautor an dem Paper LanDscAPe: Exploring LDAP Weaknesses and Data Leaks at Internet Scale mitgewirkt, welches auf dem international anerkannten Usenix Security Symposium 2024 veröffentlicht wurde. In ihrer Arbeit führten die Forscher eine umfangreiche Sicherheitsanalyse von öffentlich zugänglichen LDAP (Lightweight Directory Access Protocol)-Servern im Internet durch und fanden zahlreiche Schwachstellen.
Persönliche Daten und Passwörter
LDAP-Server werden zur Verwaltung von Identitäten und zur Authentifizierung innerhalb von Organisationen verwendet und speichern häufig sensible persönliche Daten wie Benutzernamen, E-Mail-Adressen und Passwörter. Mit ihrem eigens entwickelten Tool LanDscAPe scannten die Forscher den gesamten IPv4-Adressraum und identifizierten über 82.000 LDAP-Server. Unter diesen wurden mehr als 10.000 Server mit unsicheren Konfigurationen gefunden. Darüber hinaus gaben 4.900 dieser Server persönliche Daten preis und 1.800 sogar Passwörter, entweder in gehashter Form oder im Klartext. In Summe wurden 3,9 Millionen Passwörter gefunden.
Unsichere Kommunikation und mangelhafte Update-Policy
Ein signifikanter Teil der LDAP-Server verwendet veraltete und unsichere TLS-Konfigurationen, was sie anfällig für Man-in-the-Middle-Angriffe macht. Zum Beispiel nutzten nur 65,92 % der TLS-fähigen Server empfohlene Verschlüsselungsmethoden. Darüber hinaus deckte die Analyse 616 Server mit bekannten Schwachstellen (CVE) auf. Weiterhin wurden mehr als 9.700 Server ermittelt, die sensible interne Informationen preisgeben, die für Erkundung von Unternehmen oder gezielte Angriffe ausgenutzt werden könnten.
Unternehmensinterne Informationen
Die Untersuchung zeigte auch, wie leicht Angreifer wertvolle Informationen über Organisationen erlangen können. Die offengelegten LDAP-Server enthüllten oft Details über die interne Struktur und Konfiguration der Organisationen, die in Social-Engineering-Angriffen oder für die Erkundung in Cyberangriffen genutzt werden könnten. Sie identifizierten, dass bestimmte Server nicht nur Benutzeranmeldeinformationen, sondern auch potenziell kritische interne Details wie Passwortrichtlinien leaken, was das Knacken von Passwörtern erleichtern könnte.
Verantwortungsvoller Umgang mit Schwachstellen
Um diese Risiken zu minimieren, wurde eine koordinierte Disclosure-Kampagne gestartet, bei der mit einem nationalen CERT zusammengearbeitet wurde, um die betroffenen Organisationen zu benachrichtigen. Eine drei Monate später durchgeführte Nachuntersuchung ergab, dass etwa 26% der Server, die Zugangsdaten leaken, nicht mehr öffentlich zugänglich waren, was die Wirksamkeit der Benachrichtigungsbemühungen unterstreicht.
Zusammenfassung und Ausblick
Zusätzlich offenbarte ihre Studie bedenkliche Praktiken, wie die Verwendung von LDAPv2, einer veralteten Protokollversion, durch einige Server und die Tatsache, dass viele Server Daten ohne jegliche Authentifizierung herausgeben. Diese Erkenntnisse deuten darauf hin, dass LDAP, trotz seiner zentralen Bedeutung für viele Organisationen, nicht die notwendige Aufmerksamkeit von Administratoren erhalten hat, was zu schweren Sicherheitsrisiken führte.
Diese Forschung unterstreicht die Notwendigkeit für Organisationen, die Sicherheitskonfigurationen ihrer LDAP-Server neu zu bewerten und zu überarbeiten. Angesichts der weitverbreiteten Offenlegung sensibler Daten und der potenziellen Konsequenzen dieser Sicherheitslücken ist es unerlässlich, diese Probleme anzugehen, um sowohl die Daten der Organisationen als auch die Nutzer vor böswilligen Akteuren zu schützen.