Über Nacht meldete die Securepoint UTM eines Kunden vier möglicherweise gefährliche Verbindungen und unterband diese. Wir gingen der Sache ein wenig nach.
Sozusagen der Kopf der Alert-Mail sieht so aus:
General Firewall name: firewall.domain.local Status: ALERT Date: 15.07.2020 - 02:01:50 Source: spsysprocd Message: FORWARD - Potentially dangerous connection was blocked: incoming interface eth1, outbound interface wan0, source address 192.168.0.7, destination address 142.11.210.231, protocol UDP, source port 58305, destination port 123
Kurzum: Ein Gerät aus dem LAN hat versucht eine unerwünschte Verbindung aufzubauen und wurde daran gehindert.
Hinter der IP-Adresse „192.168.0.7“ steckt in diesem Fall ein Cisco SPA112 (Analog-VoIP-ATA). Das alleine erschien uns schon merkwürdig. Der Port 123/udp wiederum ist altbekannt, da es sich dabei um NTP, also den Zeitsync, handelt.
Verdächtig ist das Ganze dennoch, also wurde die Konfiguration des ATAs überprüft. Die Firmware ist aktuell und auch sonst viel nichts negatives auf.
Als NTP-Quelle ist „0.ciscosb.pool.ntp.org“ im ATA hinterlegt, prüft man die Namensauflösung ergibt das folgendes:
C:\Users\administrator>nslookup 0.ciscosb.pool.ntp.org Server: localhost Address: 127.0.0.1 Nicht autorisierende Antwort: Name: 0.ciscosb.pool.ntp.org Addresses: 217.79.179.106 159.69.150.81 129.69.1.170 136.243.202.118
Die genannte externe IP ist also nicht (mehr) vorhanden. Die IP-Adresse „142.11.210.231“ ist bereits 2019 als Malware-URL in Erscheinung getreten.
Was genau nun geschehen ist konnte so spontan nicht ermittelt werden. Vermutlich, das ist allerdings reine Spekulation, war die Namensauflösung oder schlimmstenfalls der NTP-Pool kompromitiert, es kann allerdings auch nur dieser eine Server gewesen sein.
Schon immer Technik-Enthusiast, seit 2001 in der IT tätig und seit über 10 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen. Die Schwerpunkte liegen auf der Netzwerkinfrastruktur, den Betrieb von Servern und Diensten.