Si è veramente al sicuro?

Oggi giorno sentiamo parlare di Security in ogni dove, e quanto essa sia diventata ormai indispensabile nelle aziende piccole o grandi che siano.

Ad oggi ogni azienda è purtroppo soggetta a vari tipi di problematiche di sicurezza che vanno dal Data Breach al Denial of Service. Per questo motivo la prima cosa che si fa è mettere al sicuro la propria infrastruttura e i propri dati in maniera che diventino “inviolabili” o perlomeno di “difficile accesso” per quegli utenti non autorizzati.

Ma se fossimo a rischio senza saperlo?

Tutto iniziò quando misi ad analizzare una problematica inerente a delle disconnessioni continue della connettività internet aziendale..

La prima cosa che feci  fu  analizzare lo stato del Router (Huawei HG8245H ) che il nostro provider ci aveva fornito.

Loggandomi via Web conotrollai i vari parametri di linea e, che erano nella norma .

Successivamente per mera curiosità mi misi  ad analizzare i vari TAB con le relativefunzionalità e mi trovai difronte a questa schermata:

1

La prima cosa che notai, fù che anche avendo effettuato l’accesso con l’utenza root, sembrava come se non avessi tutte le grant necessarie per poter cambiare determinati parametri.

All’inizio mi parve strano, forse ,pensai “è il browser che sto utilizzando che non carica bene la pagina”, ma un’ulteriore conferma arrivò un attimo dopo, quando decisi di analizzare la problematica da un altro punto di vista, ossia da fuori la rete aziendale.

Iniziai facendo una semplice scansione Nmap  sull’indirizzo pubblico a noi assegnato, e notai che erao presenti delle porte aperte ed esposte al pubblico.

2.jpg

Tra le porte aperte trovai, con mio grande stupore misto a terrore , http (80) ,https (443), telnet (23 TCP) e dulcis in fundo ssh (22 TCP) .

Sperando in un “falso”, provai quindi a collegarmi al router tramite l’ip pubblicio , in http,ssh e telnet e purtroppo mi accorsi che erano realmente servizi esposti.

Arrivato a questo punto però cercai di capire come poter chiudere queste porte esposte al pubblico, ma ancora una volta controllando i vari TAB del router (sempre con utenza root) non trovai nulla che mi permettesse di chiudere/modificare lo stato delle porte.

E fù qui ,che mi posi la domanda,

“Possibile che esista un’utenza superadmin che permetta di accedere a delle funzioni più avanzate?”

Spinto da questo dubbio, usai uno degli strumenti più “potenti” che abbiamo ossia Google, dopo qualche ricerca mirata al modello del Router,trovai il manuale tecnico ufficiale Huawei inerente al router.

Estratto manuale Huawei

3.jpg

Arrivato a questo punto , tra me e me  pensai “essendo su di un manuale e per giunta di default sarà stata cambiata dal provider?!”, beh a mio malincuore NO.

Infatti una volta inserite le credenziali, ero nel router come SuperAdmin

4

La cosa peggiore che mi venne in mente fu che, avendo esposte al pubblico le porte citate prima chiunque conoscesse questa utenza avrebbe potuto benissimo entrare sul router senza che nessuno se ne accorgesse, ed effettuare modifiche o peggio utilizzare il router come un vettore di attacco.

La prima cosa che feci, fu cercare le opzioni che mi permettessero di non esporre più quelle porte al pubblico, e come pensai ora essendo “superadmin” avevo dei Tab aggiuntivi.

Questa è la schermata dove si possono controllare i servizi abilitati sulla WAN quindi al pubblico

5

Tolti i flag, cercai un modo per poter cambiare la password di default a questa utente, ma come indicato nella pagina iniziale del router lo può fare solamente il provider.

6.jpg

La cosa più preoccupante è che l’indirizzo pubblico facendo i dovuti controlli appartiene ad un classe ip /22 ossia 1.022 host probabilmente “esposti”.

Per questo motivo ho segnalato il tutto al provider.

Questo articolo ovviamente non vuole creare allarmismi, ma ha solamente lo scopo di informare altre persone / aziende che potrebbero ritrovarsi nella stessa situazione ma ignare(come lo ero io).

 

 

 

Rispondi

Effettua il login con uno di questi metodi per inviare il tuo commento:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google photo

Stai commentando usando il tuo account Google. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Connessione a %s...

Questo sito utilizza Akismet per ridurre lo spam. Scopri come vengono elaborati i dati derivati dai commenti.