Il mio modem-router domestico occupa la maggior parte delle sottoreti

4

Stavo controllando il mio modem-router isp-emesso e mi sono imbattuto in qualcosa di inquietante: sembra che stia ascoltando sulle porte 554, 7070 e amp; 1863 su (quasi) ogni ip di questo intervallo: 192.168.0-255.1

Ho pubblicato la scansione completa delle porte su pastebin: qui .

Mentre la maggior parte di questi ip ha la porta 554,7070 e amp; 1863 ci sono altre porte che vengono ascoltate solo su sottoreti specifiche:

192.168.27.1  | 81/tcp   open  hosts2-ns | 7070/tcp open  realserver
192.168.28.1  | 554/tcp  open  rtsp      | 7070/tcp open  realserver | 8888/tcp open  sun-answerbook
192.168.42.1  | 81/tcp   open  hosts2-ns | 554/tcp  open  rtsp       | 7070/tcp open  realserver
192.168.44.1  | 81/tcp   open  hosts2-ns | 554/tcp  open  rtsp       | 7070/tcp open  realserver
192.168.183.1 | 554/tcp  open  rtsp      | 7070/tcp open  realserver | 8000/tcp open  http-alt
192.168.230.1 | 110/tcp  filtered pop3   | 554/tcp  filtered rtsp    | 1863/tcp filtered msnp  | 7070/tcp filtered realserver
192.168.234.1 | 554/tcp  filtered rtsp   | 1863/tcp filtered msnp    | 3306/tcp filtered mysql | 7070/tcp filtered realserver

Ecco cosa so di questo modem:

  • È un CPE di vodafone per l'uso in Europa (Italia, Germania) e NZ commercializzato come Vodafone Station Revolution o EasyBox 804 (anche se questo ha un fw diverso dal mio).
  • Interfaccia web estremamente semplificata implementata come plugin per Jungo (ora Cisco) OpenRG 5.4 (Domanda a parte: i binari di Linux sembrano essere del 2005. C'è qualche exploit noto di cui dovrei essere a conoscenza per questa versione di OpenRG? ).

La comunità può aiutarmi a indagare lo scopo di queste porte aperte? Penso che potrebbe essere un possibile problema di sicurezza.

    
posta beppe9000 11.09.2016 - 20:12
fonte

1 risposta

1

Queste sono le porte utilizzate nei server "multimediali" - RTSP e realserver sono protocolli di streaming, 1863 è un protocollo di notifica Microsoft. Napster era per la condivisione di file, ecc.

Avere il router in ascolto su queste porte su tutte le reti interne non è necessariamente problematico, anche se la presenza di protocolli antichi come RealServer e Napster è certamente indicativa di età e quindi implicita di problemi di sicurezza.

Le due cose da approfondire sono:

  • quali porte sono aperte sull'interfaccia esterna?
  • i servizi di ascolto sulle porte interne ed esterne possono essere disabilitati nella configurazione?

Passare attraverso la configurazione e disabilitare tutto ciò che è possibile disabilitare dovrebbe comportare l'assenza di porte di ascolto sull'interfaccia esterna e nessuna porta di ascolto tranne http (o https) sull'interfaccia interna.

Potrebbero esserci ancora problemi di sicurezza con la porta http interna, di difficoltà maggiore o minore da trovare. Dovrebbe essere molto più veloce per determinare se è possibile raggiungere il livello minimo di garanzia che le porte non necessarie siano chiuse. Se questo livello di sicurezza non può essere raggiunto, è ovvio che ci saranno vulnerabilità su quelle porte inutilmente aperte.

    
risposta data 11.09.2016 - 23:36
fonte

Leggi altre domande sui tag