Privénetwerk deel Tele2-klanten kwetsbaar door IPv6
Het privénetwerk van een deel van de Tele2-klanten, waaronder enkele overheidsdiensten, was een week lang kwetsbaar omdat ze zonder het te weten IPv6-adressen van de provider hadden gekregen, waardoor allerlei apparaten toegankelijk waren. Dat laat ISPam.nl aan de hand van eigen onderzoek weten.
De website werd getipt door een lezer dat Tele2 IPv6 had geactiveerd. De provider bleek het 6to4-protocol te gebruiken, een overgangsmechanisme voor de overstap van IPv4 naar IPv6. Dit protocol maakt het mogelijk om IPv6-pakketten via een IPv4-netwerk te versturen. Doordat Tele2 bij een deel van de klanten opeens IPv6 gebruikte, was de NAT "bescherming" die IPv4 biedt opeens verdwenen en was het mogelijk om via IPv6 apparaten op het interne netwerk van klanten te benaderen. Poorten die op het IPv4-netwerk gesloten waren stonden open op het IPv6-netwerk.
Bronnen laten de website weten dat het probleem waarschijnlijk is veroorzaakt door een klant die een 6to4-server activeerde, gecombineerd met de activatie van een Route Advertisement (RA) server, wat een sneeuwbal effect naar andere klanten tot gevolgd had. De fout bleef echter een week lang onopgemerkt.
ISPam ontdekte in totaal 32.000 kwetsbare verbindingen. "Een kwaadwillende hacker zou binnen een dag geheel geautomatiseerd veel kwaad uitgehaald kunnen hebben", aldus de website. Die besloot via het Nationaal Cyber Security Center (NCSC) Tele2 te waarschuwen.
Zit zelf ook bij Tele2, via een recent gepatchte Fritz!Box.
Zal vanavond eens de logs bekijken.
is niet echt een kwetsbaarheid omdat het niet haalbaar is om naar IPv6 systemen te "zoeken" door middel van de
van IPv4 bekende portscan technieken.
Controleer eerst de feiten ..
Tele2 Consumenten modems (Davolink) hebben geen IPv6 support. Bovenstaand is alleen mogelijk als je op de router een DMZ server instelt (protocol 41 forwarding), op de server een 6to4 tunnel configureert, een ipv6 blok aanvraagt en dit intern adverteert (RA werkt overigens alleen over lokale netwerken). al met al geheel je eigen fout dus. Ligt dus niet aan de provider, deze levert gewoon een transparant transmissie netwerk (wat iedereen zou moeten doen!), als jij daar je hele interne netwerk voor de buitenwereld beschikbaar wilt maken, moet je dat lekker doen, maar draag je zelf de verantwoordelijkheid. Ik ben benieuwd hoeveel routers een nullroute hebben op 192.88.99.1 :S
En dat al in 2014, had een jaar of 14 eerder gemogen, maar het begin is er :)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.