TELNET aperto su RAN WindTre

BernRz

Allora, da linea mobile Windtre (Very Mobile per l'esattezza): ho fatto la seguente cosa:
1) Traceroute verso ip internet, ho usato Cloudflare come esempio.

2) Network scan delle /24 i cui ip (privati) venivano attraversati durante il route

3) TELNET su alcuni di questi IP:

Ora, chiaramente la password non la ho, ne ho provato ad indovinarla.
Tuttavia, mi chiedo se il solo fatto che queste interfacce siano esposte all'utente finale e che questo possa connettersi in telnet a questi apparati della rete, mi sembra quantomeno insolito.
Parrebbe che alcuni abbiano pure interfacce FTP esposte.
Secondo voi, mi converrebbe contattare WindTre?
@ag23900
@gandalf2016

poweruser

BernRz Secondo voi, mi converrebbe contattare WindTre?

Se vuoi essere ascoltato segnala direttamente ad ACN: https://segnalazioni.acn.gov.it/ (Ulteriori soggetti)

Fatto questo, chiederei agli admin di cancellare il thread

Lorenzo1635

poweruser Sarebbe carino fare uno scan non per accedervi ma per vedere che modelli di router usano 🙂

poweruser

Lorenzo1635 la parte di aggregazione del traffico fisso e mobile, quindi bng e pgw è tutta juniper (come visibile anche in quella schermata). I modelli sono mx960 e mx2020.

Lorenzo1635

poweruser E fin lì: io volevo cercare qualche outlier 😅
Vabbè fa bene OP a segnalare alle autorità competenti.
(Anche se comunque sono username/password protected)

DerAdler

Lorenzo1635 ma quale sarebbe la segnalazione? Che dal subscriber pool si possa arrivare direttamente alla core network (e quindi ai core router), oppure il fatto che apparentemente ci sono management services esposti (sull'interfaccia di routing)?
In ogni caso, sono molto perplesso sulla necessità di fare segnalazioni in entrambe gli scenari.
E perché poi all'ACN? L'OP non ha - a mio avviso - scoperto una falla o altra vulnerabilità critica che mette a rischio qualcosa/qualcuno; credo che al Carrier questo sia perfettamente noto, ma semmai la segnalazione andrebbe fatta a loro (Wind3). Se poi questi ti ignorano, allora ok...se uno proprio ritiene il caso, può segnalare all'ACN.

Comunque come hai detto i servizi sono password protected (e sicuramente monitorati) e verosimilmente quella che l'OP sta raggiungendo è un'interfaccia di routing interna, non quella di management.
Ergo non è nemmeno detto che ci si possa autenticare.

PS: comunque attenzione a fare scanning a muzzo o altre attività insolite sulle reti interne degli operatori, perché i sistemi anti-scan sono piuttosto sensibili e in alcuni casi si può finire con il triggerare gli IDS, causare la sospensione della sessione dati e farsi persino blacklistare l'IMSI della SIM.

Chicco90

Lorenzo1635

Telnet ha un "piccolo" baco, scoperto da poco, da una decina d'anni per cui è relativamente semplice fare privilege escalation (CVE-2026-24061) relativamente semplice da usare.... io segnalerei sia a wind3 che all'agenzia per la cybersicurezza. Spriamo almeno che quell'endpoint sia aggiornato

Lorenzo1635

DerAdler Comunque come hai detto i servizi sono password protected (e sicuramente monitorati) e verosimilmente quella che l'OP sta raggiungendo è un'interfaccia di routing interna, non quella di management.
Ergo non è nemmeno detto che ci si possa autenticare.

E hai assolutamente ragione. Nemmeno a me sembra la scoperta del secolo.

Però già che rispondano... Non è molto bello: mi aspetterei control e data plane completamente isolati.

L'unico ipotetico caso che mi viene in mente è un eventuale scoperta di CVE che bypassa l'autenticazione (altro caso remoto)

DerAdler

Lorenzo1635 a mia volta mi trovo d'accordo con te sul fatto che sia inusuale (in genere dovrebbe essere filtrato), per questo la questione potrebbe essere magari oggetto di semplice segnalazione a Wind3 (come per altro si domandava l'OP). Ma bona lì. Insomma, non tirerei di mezzo l'ACN.

BernRz

Ho scritto una pec al servizio clienti.

Lorenzo1635 mi aspetterei control e data plane completamente isolati

Nel sistema Unifi di casa mia ho una VLAN di management separata. Mi aspetterei che un operatore che fa quello di mestiere possa implementare qualcosa del genere

Davidechp

Lorenzo1635 L'unico ipotetico caso che mi viene in mente è un eventuale scoperta di CVE che bypassa l'autenticazione (altro caso remoto)

Insomma, giusto il mese scorso è venuta fuori una CVE su GNU telnetd che permette di bypassare l'autenticazione e di accedere come root

Brallo00

BernRz A be allora verrà cestinata, secondo me va scritto anche alla ACN poi saranno loro a valutare.

DerAdler Se tutti ragionassero cosi la sicurezza informatica sarebbe morta...

BernRz

Brallo00 Posso scrivere direttamente al NOC (si possono reperire i contatti da RIPE)

DerAdler

Brallo00 Se tutti ragionassero cosi la sicurezza informatica sarebbe morta...

A mio avviso quello che l'OP ha osservato, sebbene insolito, non implica automaticamente una vulnerabilità.
I servizi di management sono piuttosto blindati sulle interfacce di routing, quindi un'ACL di CP permissiva non è indice di vulnerabilità.
Vedere il login o il banner Telnet non costituisce prova di vulnerabilità sfruttabile, che sarebbe un motivo per una segnalazione diretta all'ACN.
Semmai, come ho già detto, l'OP potrebbe fare una segnalazione a Wind3 che potrebbe comunque rispondere che è una sua scelta/configurazione voluta.

Se vuoi è più "grave" che nel banner Telnet dal naming si possa ricavare nome del nodo/naming interno/vendor/modello 😆

BernRz

DerAdler Ho inviato il tutto anche alla mail riportata su RIPE.
(Per la verità, Gmail ha fatto un casino e l'ho inviata 2 volte, ma vabbè).
Ora considererei la faccenda chiusa.

Brallo00

DerAdler È qui che sbagli, e questa purtroppo è la mentalità di nascondere le cose, ad esempio in italia non esistono i post mortem dopo i dosservizi.
Cmq non concordo per nulla con quello che dici io avrei segnalato.

Quindi per te lasciare aperto una telnet su un server web è sicuro? Quando tutta la letteratura doce il cpntrario?

DerAdler

BernRz Ti direi (salvo tu riceva diverse indicazioni) di aggiornare tranquillamente il thread quando (mai) dovessi ricevere riscontro da Wind.

BernRz

DerAdler aggiornare tranquillamente il thread

Cosa che farò in modalità best effort

DerAdler

BernRz 😂 ovvio

r00t

Brallo00 non voglio intromettermi, ma quello che scrive @DerAdler è che non vi è evidenza di una vulnerabilità o rischio immediato, che giustificherebbe contattare l'ACN; per altro sullo stesso Portale delle segnalazioni viene indicato:

Ai sensi delI'art. 18 del D.Lgs. 65/2018, tutti i soggetti , indipendentemente dalla loro identificazione quali OSE o FSD, possono quindi inoltrare CSIRT notifiche volontarie degli incidenti che abbiano un impatto rilevante sulla continuità dei servizi da loro erogati, in modo da contribuire alla raccolta di dati relativi alle minacce che insistono sul cyberspazio nazionale. Allo stesso modo, al di fuori degli obblighi derivanti dalla normativa di riferimento, qualunque soggetto pubblico o privato può segnalare incidenti di sicurezza in forma volontaria.

Non si parla, quindi, di sospette vulnerabilità o altri scenari di servizi esposti/a potenziale rischio intrusione.
Non è un voler nascondere le magagne, ma utilizzare in modo corretto certi strumenti di segnalazione.

Per altro l'OP e lo stesso utente di cui sopra mi pare abbiano invece indicato opportuna la segnalazione al proprietario della Rete, mossa che ritengo anch'io più consona per evidenziare lo scenario a chi di competenza affinché verifichino.
Tra l'altro ricordo un'altra discussione tempo fa dove un utente EOLO segnalava sostanzialmente uno scenario abbastanza simile, e anche in quel thread fu spiegato che questo non vuol dire automaticamente che si possa aver accesso ad apparati dell'infrastruttura dell'ISP, anzi.

Con questo non voglio prendere le difese di nessuno, né dire che tu non possa essere in disaccordo e rimanere della tua idea; ci mancherebbe!

Davidechp giusto il mese scorso è venuta fuori una CVE su GNU telnetd che permette di bypassare l'autenticazione e di accedere come root

Nulla è impossibile, per carità, ma non è solo questione di saltare l'autenticazione per poter fattivamente accedere a questi servizi dall'esterno. Quello è "solo" il banner Telnet; non dovrebbe rispondere (anche se mi pare di aver letto succede anche sulle reti mobili di altri operatori europei) - siam tutti d'accordo - ma da li ad accedere ce ne passa. In mezzo ci sono più livelli di controllo.
Insomma, vedere un banner telnet non implica exploitabilità e nella maggior parte dei casi una CVE non sarebbe sfruttabile.

zdnko

r00t degli incidenti che abbiano un impatto rilevante sulla continuità dei servizi da loro erogati, in modo da contribuire alla raccolta di dati relativi alle minacce che insistono sul cyberspazio nazionale

Non è un controsenso voler raccogliere i dati relativi alle minacce solo dopo che gli incidenti sono avvenuti?

Davidechp

r00t non dovrebbe rispondere (anche se mi pare di aver letto succede anche sulle reti mobili di altri operatori europei) - siam tutti d'accordo - ma da li ad accedere ce ne passa. In mezzo ci sono più livelli di controllo.

Che sia un altro paio di maniche farci qualcosa con quel telnet esposto è chiaro.
Ritengo solo che col tenere esposto al traffico "cliente" quei telnet stiano inutilmente tenendo aperta un potenziale punto di attacco.
Ripeto, che poi effettivamente ci si possa fare qualcosa è difficile, ma non so come sono configurati e, spereri, che gli ingegneri dietro la rete siano di certo più capaci di me in cybersicurezza (che comunque so giusto le basi, tipo non esporre al pubblico un pc in rdp, cosa che ho visto fare da un conoscente)

r00t

zdnko non mi pare che l'ACN abbia un ruolo di monitoraggio e prevenzione delle potenziali vulnerabilità sugli apparati degli operatori privati; per tale scenario credo che la strada più consona sia NON esporre queste informazioni pubblicamente e contattare direttamente il soggetto interessato.
Non voglio essere polemico, ma se il fine è segnalare un potenziale scenario che potrebbe esporre l'infrastruttura di tizio a violazione, finché non vi è evidenza che ciò non costituisca un rischio, non si divulga nulla pubblicamente e in modo confidenziale si segnala solo alla parte interessata.

L'ACN se venisse notificata del fatto che, facendo uno scan hai visto apparati core e alcuni rispondono col banner Telnet, ammesso e non concesso che la segnalazione venga gestita, non avrebbe elementi per intervenire se non - a loro volta - magari segnalare che qualcuno li ha contattati al riguardo.

Secondo me stiamo girando intorno alla questione e dicendo le stesse cose con un approccio diverso; non mi pare che qualcuno abbia scritto "è normale così, facciamolo tutti.... italia 1". Si sta argomentando che gli strumenti di segnalazione all'ACN richiedono uno scenario diverso.

Poi signori, questa discussione è pubblica e quanto detto dall'OP è comodamente replicabile. Se uno vuole segnalare all'ACN fatelo. A me non cambia nulla 😄

Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile