Stavo controllando il mio modem-router isp-emesso e mi sono imbattuto in qualcosa di inquietante: sembra che stia ascoltando sulle porte 554, 7070 e amp; 1863 su (quasi) ogni ip di questo intervallo: 192.168.0-255.1
Ho pubblicato la scansione completa delle porte su pastebin: qui .
Mentre la maggior parte di questi ip ha la porta 554,7070 e amp; 1863 ci sono altre porte che vengono ascoltate solo su sottoreti specifiche:
192.168.27.1 | 81/tcp open hosts2-ns | 7070/tcp open realserver
192.168.28.1 | 554/tcp open rtsp | 7070/tcp open realserver | 8888/tcp open sun-answerbook
192.168.42.1 | 81/tcp open hosts2-ns | 554/tcp open rtsp | 7070/tcp open realserver
192.168.44.1 | 81/tcp open hosts2-ns | 554/tcp open rtsp | 7070/tcp open realserver
192.168.183.1 | 554/tcp open rtsp | 7070/tcp open realserver | 8000/tcp open http-alt
192.168.230.1 | 110/tcp filtered pop3 | 554/tcp filtered rtsp | 1863/tcp filtered msnp | 7070/tcp filtered realserver
192.168.234.1 | 554/tcp filtered rtsp | 1863/tcp filtered msnp | 3306/tcp filtered mysql | 7070/tcp filtered realserver
Ecco cosa so di questo modem:
- È un CPE di vodafone per l'uso in Europa (Italia, Germania) e NZ commercializzato come Vodafone Station Revolution o EasyBox 804 (anche se questo ha un fw diverso dal mio).
- Interfaccia web estremamente semplificata implementata come plugin per Jungo (ora Cisco) OpenRG 5.4 (Domanda a parte: i binari di Linux sembrano essere del 2005. C'è qualche exploit noto di cui dovrei essere a conoscenza per questa versione di OpenRG? ).
La comunità può aiutarmi a indagare lo scopo di queste porte aperte? Penso che potrebbe essere un possibile problema di sicurezza.