Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Mail dal cert delle poste, sono a rischio??

    Italiano
    1
    1
    691
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • C
      cybermod
      last edited by

      Ciao ragazzi, oggi mi hanno girato una mail che, in linea di massima, proviene dal cert, che a quanto ho capito trattasi di un organo delle poste piuttosto competente.

      in fondo allego il testo della mail.
      In allegato c'è un semplicissimo file txt con la lista di alcuni ip pubblici di un mio cliente.

      Gestisco la connettività tramite pfsense e facendo un port scan da remoto, mi risultano aperte pochissime porte, non certo la 123 di NTP, ma per esempio la 80 che è di una macchina linux che hosta un sito.
      Attendo un vostro aiuto perchè non vorrei ritrovarmi con gli ip bannati in qualche maniera, vi ringrazio!!!

      _NTP Server utilizzati in attacchi reflected
      DDoS
      Salve,
      nell'ambito delle nostre attivita' di Information Sharing, abbiamo ricevuto
      notifica relativamente a sistemi con il servizio NTP vulnerabile,
      potenzialmente utilizzabile in attacchi di tipo reflected distributed denial
      of service.
      La lista degli indirizzi IP di vostra pertinenza e' stata realizzata a
      partire dalle informazioni reperite tramite il whois server del ripe. Si
      consiglia di informare i referenti dei server relativi agli indirizzi IP
      specificati per le relative misure di mitigazione e contrasto.
      Nello specifico, gli NTP server di seguito elencati, accettano richieste di
      tipo "get monlist", utilizzate per effettuare attacchi di tipo reflected
      distributed denial of service.
      Ulteriori informazioni relative all'attacco sono reperibili nel bollettino
      di "Early Warning" e nella "Vulnerability Note" presso:

      • https://www.picert.it/wp-content/uploads/2014/01/VA-IT-140113-01.A.pdf
      • https://www.picert.it/wp-content/uploads/2014/01/VN-IT-140113-01.A.pdf
        Dettagli:
        <ip>;<port>;<timestamp>;<aa>;<ab>;<ac>;<country gtld="">;<asnno>; <asnname>Legenda:
      • IP: indirizzo ip v4 che ha risposto alla richiesta NTP vulnerabile
      • Port: la porta numero 123 e' la porta utilizzata, per il servizio NTP, sul
        protocollo UDP
      • Timestamp: ora di invio della richiesta
      • AA, AB, AC: alcune informazioni relative alla richiesta, non rilevanti per
        la condivisione
      • Country/gTLD: aggiunta tramite il database geoip
      • ASNno, ASNname: aggiunta tramite servizi di mapping ip<->as
        Nel caso in cui siete impossibilitati ad intervenire, vi chiediamo di
        informarci via email includendo in oggetto:
          Oggetto: [IS-NTP-AWA]
        in modo da consentirci di individuare ulteriori destinatari a cui
        indirizzare la problematica.
        –
        CERT
        PosteItaliane Spa
        Tutela Aziendale - Sicurezza delle Informazioni Computer Emergency Response
        Team Viale Europa, 175 - 00144 Rome - Italy
        phone: +39-06.5958.5817
        email: cert@posteitaliane.it</asnname></asnno></country></ac></ab></aa></timestamp></port></ip>_
      1 Reply Last reply Reply Quote 0
      • First post
        Last post