NFS-Sicherheit: Fehlkonfigurationen erkennen und beheben
Einblick in Sicherheitsfunktionen, Fehlkonfigurationen und technische Angriffe auf NFS-Shares.
Cyber Security
Philipp Tekeser-Glasz and Michael Eder
·
29.12.2024
Der Beitrag beschreibt einige technische Angriffe, die manchmal gegen NFS-Shares durchgeführt werden können. Wir werden über die Sicherheitsfunktionen des NFS-Protokolls, häufige Konfigurationsfehler und deren mögliche Ausnutzung sprechen.
Wir haben einige Tools entwickelt, die uns helfen, die Konfiguration von im Netzwerk entdeckten NFS-Endpunkten besser zu verstehen sowie bestimmte Fehlkonfigurationen zu identifizieren und auszunutzen. Obwohl wir keinen Sicherheitsaudit des NFS-Codes durchgeführt haben und alle identifizierten Probleme darauf zurückzuführen sind, wie NFS beabsichtigt funktioniert, haben wir die jeweiligen Projekte informiert, wenn bemerkenswerte Fehlkonfigurationen in deren Standard-Einstellungen entdeckt wurden.
Der vollständige Beitrag ist derzeit nur auf Englisch verfügbar.
Philipp Tekeser-Glasz
Philipp absolviert derzeit seinen Bachelor in Informatik an der Technischen Universität München (TUM) und arbeitet Teilzeit als studentische Hilfskraft bei HvS. Als wir mögliche Themen besprachen, um unser Offensive-Security-Team zu unterstützen, erschien NFS als ein interessantes Ziel, und er stieg sofort ein. Innerhalb von etwa 9 Monaten erforschte er NFS, erstellte PoCs, entwickelte Tools und verfasste ausführliche Dokumentation zu seinen Erkenntnissen. Er hat die gesamte Arbeit – sowohl in Bezug auf Informationen als auch auf Tools – geleistet, die in diesen Beitrag eingeflossen ist.
Michael Eder
Michael arbeitet seit mehreren Jahren als Penetration Tester und war der Meinung, dass NFS eine genauere Untersuchung verdient. Aufgrund seiner umfangreichen Praxiserfahrung half er bei der Iteration interner PoCs und Skripte, behob Bugs, die bei echten Engagements auftraten, und kondensierte die Ergebnisse in praktische Tools. Als Mentor gab er regelmäßig Feedback und half dabei, das Projekt in Richtung Veröffentlichung zu lenken.
- LinkedIn: https://www.linkedin.com/in/edermi
- X/Twitter: https://x.com/michael_eder_
- Github: https://github.com/edermi
- Personal Blog: https://edermi.github.io/
