Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Deel Tele2-klanten een week lang kwetsbaar

  • Door
  • Redactie
  • geplaatst op
  • 7 maart 2014 10:00 uur

Soms lopen dingen raar. Zo ook deze week, toen de ISPam.nl-redactie een tip kreeg van een TELE2-klant die trots wist te melden dat IPv6 op zijn netwerk geactiveerd was. ‘Eindelijk een grote accessprovider die IPv6 uitrolt naar klanten’, was onze eerste reactie. Nader onderzoek wees echter uit dat er een groot beveiligingsgat in het TELE2-netwerk zat en dat tenminste 32.000 aansluitingen kwetsbaar waren voor aanvallen, waaronder die van enkele overheidsdiensten.

Update 15:15 uur: Tele2 stelt in een reactie dat het één klant betrof die een 6to4 server niet goed zou hebben geactiveerd, die op een Layer3 netwerk zit en daardoor andere klanten helemaal niet kon treffen. De bronnen van ISPam.nl stellen dat dit niet mogelijk is.

Een snelle blik op het gemelde IPv6-adres laat zien dat deze begint met 2002, een prefix die gebruikt wordt voor het 6to4-protocol. In het netwerk van de genoemde klant was echter niets geactiveerd. Wel waren alle computers in zijn interne netwerk opeens bereikbaar vanaf de buitenwereld, omdat de NAT ‘beveiliging’ die IPv4 biedt, opeens weg is. Wie de opbouw van 6to4-adressen kent, weet deze snel terug te rekenen naar IPv4-aansluitingen. En zo begon een speurtocht.

Als test werden andere IP-adressen binnen het subnet omgetoverd tot een bijbehorend 6to4-adres, waarna deze ranges gescand werden met nmap. Vervolgens kwamen er open poorten tevoorschijn op het IPv6-netwerk, terwijl deze gesloten waren op het IPv4-netwerk. Met standaardgegevens als ‘admin’ en ‘admin’ kon ingelogd worden op diverse websites en apparaten, waaronder door TELE2 beheerde routers bij zakelijke klanten, waaronder (toeleveranciers van) overheden. Na het testen op een aantal adressen en apparaten was het duidelijk. Het lek bleek zo groot dat de redacteur in kwestie het lek heeft gemeld bij het Nationaal Cyber Security Center in Den Haag zodat de provider maatregelen kan nemen.

Meerdere bronnen weten echter te melden dat binnen een deel van het TELE2 netwerk (een klant een) 6to4 server geactiveerd heeft en dit een sneeuwbal effect naar andere klanten tot gevolg had. Dit in combinatie met een Route Advertisement (RA) server. Mogelijk zou het gaan om een consumenten router die door een van de colocatie klanten gebruikt is, al blijkt dit voor onze redactie slechts gissen. Hoe dan ook staat vast dat er te weinig beveiliging en segmentatie plaatsvind in het TELE2-netwerk, dat na diverse overnames lijkt te bestaan uit een groot layer-2 netwerk van verschillende netwerken zoals het oude Vuurwerk, Versatel en InterNLnet netwerk.

Klanten in (een deel van) het netwerk hebben tenminste een week lang onopgemerkt IPv6 adressen gehad. Verkeer dat de (IPv4) NAT router volledig passeert via ‘Protocol 41‘ dat ook voor VPN-verbindingen gebruikt wordt. Een poort die veelal standaard open staat in veel routers. Daardoor was ieder achterliggend apparaat in het privé-netwerk van klanten open en bloot beschikbaar via het (IPv6) internet. In ieder geval apparaten die Route Advertisements accepteren, zoals vrijwel iedere op Linux werkend apparaat (inclusief smartphones) alsook Windows Server 2003 en Windows Vista en hogere versies.

Het verbaast onze redactie dan ook dat dit een week lang onopgemerkt gebleven is door de netwerkbeheerders van TELE2. Binnen een uur waren wij op de redactie in staat een succesvolle test te maken en apparatuur achter firewalls te bereiken. Om dit nogmaals te verifiëren hebben we een betrouwbare netwerkbeheerder met een achtergrond in IT-security gevraagd de test te reproduceren. Deze wist te melden dat het niet alleen om enkele particuliere aansluitingen ging, maar wist op deze manier ook ‘binnen te lopen’ bij het Ministerie van Economische Zaken.  Een kwaadwillende hacker zou binnen een dag geheel geautomatiseerd veel kwaad uitgehaald kunnen hebben. Om die reden hebben we voor publicatie via het NCSC provider TELE2 op de hoogte gebracht van onze bevindingen.

Mark, 7 maart 2014 12:19 pm

Niet zomaar klakkeloos dingen overnemen mensen!

Protocol 41 is IPv6 Encapsulation, Protocol 47 (GRE) is voor VPN traffic.

Iedereen met een internet verbinding kan een 6to4 verbinding opzetten, plaats een device op je router in DMZ en hij kan 6to4 opzetten.
Je zet wel je hele router open voor het grote boze internet, maar dat is je eigenlijk verantwoordelijkheid lijkt me dan.

Router Advertisement kan ook niet voor 2002::/16 adressen. Ik ben zelf ook Tele2 klant en heb er ook wel eens mee gespeeld, proto41 wordt niet door de routers van Tele2 consumenten ondersteund (mits je dus de DMZ feature gebruikt, maar dan neem je geheel zelf de verantwoordelijkheid)

Michiel, 7 maart 2014 1:16 pm

Het kan best zijn dat TELE2 dit ook snel opgemerkt heeft, maar dat die 6to4 server onvindbaar was. Vind maar eens een server op je netwerk die alleen op IP-adres bekend is.
Afgezien van je hele netwerk platgooien heb je niet veel opties.

Mark, 7 maart 2014 1:58 pm

Zodra je een IP hebt dat niet via een router gaat die echt aan het routen is kun je vaak (zo niet altijd) het MAC adres met een beetje moeite achterhalen. Vervolgens kun je op veel netwerkapparatuur zien op welke poort dat MAC adres bekend is. Op die manier zou je het probleem redelijk moeten kunnen lokaliseren (afhankelijk van de opbouw van je netwerk uiteraard).

Daarnaast zie ik hier weer een typisch voorbeeld waar mensen IPv6 niet geblokkeerd hebben en ook niet bedacht hebben er een firewall voor te regelen en NAT bij IPv4 mogelijk als beveiliging zien. Als je enkel een firewall voor IPv4 hebt dan begint het misschien tijd te worden er ook 1 te regelen voor IPv6.

Peter, 7 maart 2014 7:25 pm

Het artikel is erg warrig. Even destilleren:
1) 6to4 is gelekt in het netwerk, dat is nader onderzocht;
2) Als 'bijvangst' zijn modems gevonden die via het Internet bereikbaar waren via een (niet versleutelde) telnet-verbinding met de credentials admin:admin. Geen modems bij eindgebruikers maar bij het Ministerie van Financiën.

De woordvoerder zegt hierover op WebWereld: "(...)Dat ze bij het ministerie van Economische Zaken binnen zijn gekomen, is wellicht waar, maar heeft niets met dit geval te maken."

Daarmee bekend de woordvoerder dus het 2e deel van dit artikel. En dat is ernstig. Heel, heel ernstig!

D3F H4xz0r, 7 maart 2014 10:53 pm

Ik heb dit zelf ook gedaan, en is nog steeds voor een aantal verbindingen mogelijk zo te zien.

Heel raar dat ze dit niet meteen dicht gooien. Of iig wel geprobeerd hebben maar niet helemaal goed. Ter info: ook dit is via de Layer 2 en niet de layer 3

Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.