Mail dal cert delle poste, sono a rischio??
-
Ciao ragazzi, oggi mi hanno girato una mail che, in linea di massima, proviene dal cert, che a quanto ho capito trattasi di un organo delle poste piuttosto competente.
in fondo allego il testo della mail.
In allegato c'è un semplicissimo file txt con la lista di alcuni ip pubblici di un mio cliente.Gestisco la connettività tramite pfsense e facendo un port scan da remoto, mi risultano aperte pochissime porte, non certo la 123 di NTP, ma per esempio la 80 che è di una macchina linux che hosta un sito.
Attendo un vostro aiuto perchè non vorrei ritrovarmi con gli ip bannati in qualche maniera, vi ringrazio!!!_NTP Server utilizzati in attacchi reflected
DDoS
Salve,
nell'ambito delle nostre attivita' di Information Sharing, abbiamo ricevuto
notifica relativamente a sistemi con il servizio NTP vulnerabile,
potenzialmente utilizzabile in attacchi di tipo reflected distributed denial
of service.
La lista degli indirizzi IP di vostra pertinenza e' stata realizzata a
partire dalle informazioni reperite tramite il whois server del ripe. Si
consiglia di informare i referenti dei server relativi agli indirizzi IP
specificati per le relative misure di mitigazione e contrasto.
Nello specifico, gli NTP server di seguito elencati, accettano richieste di
tipo "get monlist", utilizzate per effettuare attacchi di tipo reflected
distributed denial of service.
Ulteriori informazioni relative all'attacco sono reperibili nel bollettino
di "Early Warning" e nella "Vulnerability Note" presso:- https://www.picert.it/wp-content/uploads/2014/01/VA-IT-140113-01.A.pdf
- https://www.picert.it/wp-content/uploads/2014/01/VN-IT-140113-01.A.pdf
Dettagli:
<ip>;<port>;<timestamp>;<aa>;<ab>;<ac>;<country gtld="">;<asnno>; <asnname>Legenda: - IP: indirizzo ip v4 che ha risposto alla richiesta NTP vulnerabile
- Port: la porta numero 123 e' la porta utilizzata, per il servizio NTP, sul
protocollo UDP - Timestamp: ora di invio della richiesta
- AA, AB, AC: alcune informazioni relative alla richiesta, non rilevanti per
la condivisione - Country/gTLD: aggiunta tramite il database geoip
- ASNno, ASNname: aggiunta tramite servizi di mapping ip<->as
Nel caso in cui siete impossibilitati ad intervenire, vi chiediamo di
informarci via email includendo in oggetto:
Oggetto: [IS-NTP-AWA]
in modo da consentirci di individuare ulteriori destinatari a cui
indirizzare la problematica.
–
CERT
PosteItaliane Spa
Tutela Aziendale - Sicurezza delle Informazioni Computer Emergency Response
Team Viale Europa, 175 - 00144 Rome - Italy
phone: +39-06.5958.5817
email: cert@posteitaliane.it</asnname></asnno></country></ac></ab></aa></timestamp></port></ip>_