- Door
- Redactie
- geplaatst op
- 7 maart 2014 10:00 uur
Soms lopen dingen raar. Zo ook deze week, toen de ISPam.nl-redactie een tip kreeg van een TELE2-klant die trots wist te melden dat IPv6 op zijn netwerk geactiveerd was. ‘Eindelijk een grote accessprovider die IPv6 uitrolt naar klanten’, was onze eerste reactie. Nader onderzoek wees echter uit dat er een groot beveiligingsgat in het TELE2-netwerk zat en dat tenminste 32.000 aansluitingen kwetsbaar waren voor aanvallen, waaronder die van enkele overheidsdiensten.
Update 15:15 uur: Tele2 stelt in een reactie dat het één klant betrof die een 6to4 server niet goed zou hebben geactiveerd, die op een Layer3 netwerk zit en daardoor andere klanten helemaal niet kon treffen. De bronnen van ISPam.nl stellen dat dit niet mogelijk is.
Een snelle blik op het gemelde IPv6-adres laat zien dat deze begint met 2002, een prefix die gebruikt wordt voor het 6to4-protocol. In het netwerk van de genoemde klant was echter niets geactiveerd. Wel waren alle computers in zijn interne netwerk opeens bereikbaar vanaf de buitenwereld, omdat de NAT ‘beveiliging’ die IPv4 biedt, opeens weg is. Wie de opbouw van 6to4-adressen kent, weet deze snel terug te rekenen naar IPv4-aansluitingen. En zo begon een speurtocht.
Als test werden andere IP-adressen binnen het subnet omgetoverd tot een bijbehorend 6to4-adres, waarna deze ranges gescand werden met nmap. Vervolgens kwamen er open poorten tevoorschijn op het IPv6-netwerk, terwijl deze gesloten waren op het IPv4-netwerk. Met standaardgegevens als ‘admin’ en ‘admin’ kon ingelogd worden op diverse websites en apparaten, waaronder door TELE2 beheerde routers bij zakelijke klanten, waaronder (toeleveranciers van) overheden. Na het testen op een aantal adressen en apparaten was het duidelijk. Het lek bleek zo groot dat de redacteur in kwestie het lek heeft gemeld bij het Nationaal Cyber Security Center in Den Haag zodat de provider maatregelen kan nemen.
Meerdere bronnen weten echter te melden dat binnen een deel van het TELE2 netwerk (een klant een) 6to4 server geactiveerd heeft en dit een sneeuwbal effect naar andere klanten tot gevolg had. Dit in combinatie met een Route Advertisement (RA) server. Mogelijk zou het gaan om een consumenten router die door een van de colocatie klanten gebruikt is, al blijkt dit voor onze redactie slechts gissen. Hoe dan ook staat vast dat er te weinig beveiliging en segmentatie plaatsvind in het TELE2-netwerk, dat na diverse overnames lijkt te bestaan uit een groot layer-2 netwerk van verschillende netwerken zoals het oude Vuurwerk, Versatel en InterNLnet netwerk.
Klanten in (een deel van) het netwerk hebben tenminste een week lang onopgemerkt IPv6 adressen gehad. Verkeer dat de (IPv4) NAT router volledig passeert via ‘Protocol 41‘ dat ook voor VPN-verbindingen gebruikt wordt. Een poort die veelal standaard open staat in veel routers. Daardoor was ieder achterliggend apparaat in het privé-netwerk van klanten open en bloot beschikbaar via het (IPv6) internet. In ieder geval apparaten die Route Advertisements accepteren, zoals vrijwel iedere op Linux werkend apparaat (inclusief smartphones) alsook Windows Server 2003 en Windows Vista en hogere versies.
Het verbaast onze redactie dan ook dat dit een week lang onopgemerkt gebleven is door de netwerkbeheerders van TELE2. Binnen een uur waren wij op de redactie in staat een succesvolle test te maken en apparatuur achter firewalls te bereiken. Om dit nogmaals te verifiëren hebben we een betrouwbare netwerkbeheerder met een achtergrond in IT-security gevraagd de test te reproduceren. Deze wist te melden dat het niet alleen om enkele particuliere aansluitingen ging, maar wist op deze manier ook ‘binnen te lopen’ bij het Ministerie van Economische Zaken. Een kwaadwillende hacker zou binnen een dag geheel geautomatiseerd veel kwaad uitgehaald kunnen hebben. Om die reden hebben we voor publicatie via het NCSC provider TELE2 op de hoogte gebracht van onze bevindingen.