Der von Topher Lyons für Sprocket Security verfasste Beitrag zeichnet den typischen Ablauf der ersten 24 Stunden nach: Sobald ein internetfähiger Endpunkt existiert, erfassen automatisierte Scan-Dienste seine offenen Ports, greifen Banner-Informationen wie die Webserver-Version, das TLS-Zertifikat und den SSH-Fingerabdruck ab und gleichen die Antwortsignaturen mit bekannten Schwachstellendatenbanken ab. Laut dem Beitrag deckt allein Censys Zehntausende Ports ab.

Anschließend taucht die Ressource in Shodan- und Censys-Abfragen auf, und automatisierte Angriffswerkzeuge beginnen ihre eigene Erkundung. Sie suchen nach Dienstversionen, offenen Verwaltungsports wie RDP auf 3389, SSH auf 22 oder Admin-Oberflächen auf 8080 und 8443 sowie nach TLS-Zertifikaten, über die sich verbundene Domains und Subdomains erschließen lassen. Verfügt das neue System über ein Zertifikat, lässt sich daraus laut Sprocket Security viel über die übrige Infrastruktur ableiten, ohne überwachte Systeme zu berühren.

Aus passiver Erkundung wird gezieltes Angreifen. Daten von GreyNoise zeigen demnach in diesem Zeitfenster einen Anstieg der Scanner-Aktivität. Es beginnen Credential-Stuffing-Angriffe gegen SSH und RDP, Webdienste werden per Directory-Brute-Forcing abgetastet, Datenbanken wie Elasticsearch und Redis auf unauthentifizierten Zugriff geprüft und Frameworks gegen bekannte CVEs getestet. All das läuft ohne menschliches Zutun über Botnetze rund um die Uhr.

Wie schnell das wirkt, illustriert eine angeführte Untersuchung: Forscher von Unit 42 setzten 320 Honeypots mit RDP, SSH, SMB und Postgres bei Cloud-Anbietern auf. 80 Prozent davon waren innerhalb von 24 Stunden kompromittiert.

Besonders gefährlich sind laut dem Beitrag Systeme, von deren öffentlicher Erreichbarkeit das eigene Team gar nichts weiß. Als Beispiel nennt Sprocket Security einen Fund seines Dienstes ASM Community Edition: Bei einer öffentlich erreichbaren Logistik-Web-Anwendung wurde im Rahmen der URL-Aufzählung das ausgelieferte, kompilierte JavaScript-Bundle analysiert. Darin fand sich ein Verweis auf eine Backend-API, die in keinem Bestandsverzeichnis auftauchte und doch live, öffentlich und vollständig offen war. Menschliche Tester stellten dieselbe Anfrage wie ein Angreifer – der Server antwortete ohne Token und ohne Zugangsdaten, und durch das Durchprobieren von Endpunkt-IDs ließen sich Daten abziehen.

Zur Größenordnung verweist der Beitrag erneut auf Untersuchungen von Unit 42: Die externe Angriffsfläche einer durchschnittlichen Organisation verändere sich um mehr als 300 neue Dienste pro Monat, und über 20 Prozent der von außen erreichbaren Cloud-Dienste würden monatlich ausgetauscht. Der wiederkehrende Befund in Untersuchungen nach Sicherheitsvorfällen laute sinngemäß: „Wir wussten nicht, dass das im Internet erreichbar war.“

Der Beitrag stammt von Sprocket Security und wirbt für dessen kostenloses Angebot ASM Community Edition, das die externe Angriffsfläche fortlaufend erfasst und auffällige Funde an menschliche Tester weitergibt.