Mail dal cert delle poste, sono a rischio??



  • Ciao ragazzi, oggi mi hanno girato una mail che, in linea di massima, proviene dal cert, che a quanto ho capito trattasi di un organo delle poste piuttosto competente.

    in fondo allego il testo della mail.
    In allegato c'è un semplicissimo file txt con la lista di alcuni ip pubblici di un mio cliente.

    Gestisco la connettività tramite pfsense e facendo un port scan da remoto, mi risultano aperte pochissime porte, non certo la 123 di NTP, ma per esempio la 80 che è di una macchina linux che hosta un sito.
    Attendo un vostro aiuto perchè non vorrei ritrovarmi con gli ip bannati in qualche maniera, vi ringrazio!!!

    _NTP Server utilizzati in attacchi reflected
    DDoS
    Salve,
    nell'ambito delle nostre attivita' di Information Sharing, abbiamo ricevuto
    notifica relativamente a sistemi con il servizio NTP vulnerabile,
    potenzialmente utilizzabile in attacchi di tipo reflected distributed denial
    of service.
    La lista degli indirizzi IP di vostra pertinenza e' stata realizzata a
    partire dalle informazioni reperite tramite il whois server del ripe. Si
    consiglia di informare i referenti dei server relativi agli indirizzi IP
    specificati per le relative misure di mitigazione e contrasto.
    Nello specifico, gli NTP server di seguito elencati, accettano richieste di
    tipo "get monlist", utilizzate per effettuare attacchi di tipo reflected
    distributed denial of service.
    Ulteriori informazioni relative all'attacco sono reperibili nel bollettino
    di "Early Warning" e nella "Vulnerability Note" presso:

    • https://www.picert.it/wp-content/uploads/2014/01/VA-IT-140113-01.A.pdf
    • https://www.picert.it/wp-content/uploads/2014/01/VN-IT-140113-01.A.pdf
      Dettagli:
      <ip>;<port>;<timestamp>;<aa>;<ab>;<ac>;<country gtld="">;<asnno>; <asnname>Legenda:
    • IP: indirizzo ip v4 che ha risposto alla richiesta NTP vulnerabile
    • Port: la porta numero 123 e' la porta utilizzata, per il servizio NTP, sul
      protocollo UDP
    • Timestamp: ora di invio della richiesta
    • AA, AB, AC: alcune informazioni relative alla richiesta, non rilevanti per
      la condivisione
    • Country/gTLD: aggiunta tramite il database geoip
    • ASNno, ASNname: aggiunta tramite servizi di mapping ip<->as
      Nel caso in cui siete impossibilitati ad intervenire, vi chiediamo di
      informarci via email includendo in oggetto:
        Oggetto: [IS-NTP-AWA]
      in modo da consentirci di individuare ulteriori destinatari a cui
      indirizzare la problematica.

      CERT
      PosteItaliane Spa
      Tutela Aziendale - Sicurezza delle Informazioni Computer Emergency Response
      Team Viale Europa, 175 - 00144 Rome - Italy
      phone: +39-06.5958.5817
      email: cert@posteitaliane.it</asnname></asnno></country></ac></ab></aa></timestamp></port></ip>_