Über Nacht meldete die Securepoint UTM eines Kunden vier möglicherweise gefährliche Verbindungen und unterband diese. Wir gingen der Sache ein wenig nach.

Sozusagen der Kopf der Alert-Mail sieht so aus:

General
 
Firewall name: firewall.domain.local
Status: ALERT
Date: 15.07.2020 - 02:01:50
Source: spsysprocd
Message:
FORWARD - Potentially dangerous connection was blocked:
incoming interface eth1, outbound interface wan0,
source address 192.168.0.7, destination address 142.11.210.231,
protocol UDP, source port 58305, destination port 123

Kurzum: Ein Gerät aus dem LAN hat versucht eine unerwünschte Verbindung aufzubauen und wurde daran gehindert.

Hinter der IP-Adresse “192.168.0.7” steckt in diesem Fall ein Cisco SPA112 (Analog-VoIP-ATA). Das alleine erschien uns schon merkwürdig. Der Port 123/udp wiederum ist altbekannt, da es sich dabei um NTP, also den Zeitsynchronisation, handelt.

Verdächtig ist das Ganze dennoch, also wurde die Konfiguration des ATAs überprüft. Die Firmware ist aktuell und auch sonst viel nichts negatives auf.

Als NTP-Quelle ist “0.ciscosb.pool.ntp.org” im ATA hinterlegt, prüft man die Namensauflösung ergibt das folgendes:

C:\Users\administrator>nslookup 0.ciscosb.pool.ntp.org
Server: localhost
Address: 127.0.0.1

Nicht autorisierende Antwort:
Name: 0.ciscosb.pool.ntp.org
Addresses: 217.79.179.106
159.69.150.81
129.69.1.170
136.243.202.118

Die genannte externe IP ist also nicht (mehr) vorhanden. Die IP-Adresse “142.11.210.231” ist bereits 2019 als Malware-URL in Erscheinung getreten.

Was genau nun geschehen ist konnte so spontan nicht ermittelt werden. Vermutlich, das ist allerdings reine Spekulation, war die Namensauflösung oder schlimmstenfalls der NTP-Pool kompromittiert, es kann allerdings auch nur dieser eine Server gewesen sein.

Update 27.01.2023

Dieses Mal traf es uns, genau genommen meinen PC. Kurz nach dessen Einschalten bzw. Anmelden meldete die Securepoint UTM verdächtige ausgehende Verbindungen:

Allgemein 
Firewallname <Firewallname>
Status ALARM 
Datum 27.01.2023 - 08:37:14 
Quelle spsysprocd 
Nachricht FORWARD - Potenziell gefährliche Verbindung blockiert:
Eingehendes Interface A1, ausgehendes Interface wan0,
Quelladresse <Quell-IP>, Zieladresse 92.205.64.102,
Protokoll TCP, Quellport 49812, Zielport 443,

Löst man die IP-Adresse auf, erhält man folgendes:

C:\Windows\system32>nslookup 92.205.64.102
Name: sh11813.ispgateway.de
Address: 92.205.64.102

Kurzum ein Server bei Host Europe, noch dazu eine deutsche TLD und der Server steht möglicherweise in Frankreich, also eher untypisch für irgendetwas negatives. Nach der IP im Internet gesucht stellt sich raus, das diese zu KeePass gehört:

Sourceforge – KeePass – Communication denied by rule from ESET

Die Gegenprüfung bestätigt dies:

C:\Windows\system32>nslookup KeePass.info
Name: KeePass.info
Addresses: 2a00:1158:5:866::
92.205.64.102

Die Verbindungsversuche gehören zur automatischen Update-Prüfung. Weiteres Licht ins Dunkel bringt dieser Post:

Sourceforge – KeePass – IP address hosting keypass.info website on abuseipdb.com blacklist !?!?

Das Problem dürfte sein, das der Server von mehreren Kunden, nicht nur von KeePass, genutzt wird. Und da könnte mitunter ein faules Ei mit dabei sein.

Schaut man beispielsweise bei AbuseIPDB finden sich recht aktuelle Beiträge, das von dieser IP/diesem Server aus mutmaßlich Angriffe gefahren wurden und wohl auch werden:

https://www.abuseipdb.com/check/92.205.64.102

Das es nun auch KeePass.info trifft, kann als Kollateralschaden betrachtet werden.

Ähnliche Artikel:

  1. Securepoint UTM: Schwierigkeiten beim Versand der Alerting Center-Nachrichten
  2. Securepoint UTM: Mit PuTTY oder KiTTY einen ssh-Tunnel zu einem anderen Subnetz aufbauen
  3. Securepoint OS v11 Beta – Portweiterleitung
  4. Keine Aktualisierung von G Data Endkunden-Produkten 2015 und Unternehmenslösungen 13.0 in Verbindung mit Securepoint UTM v11 möglich
  5. Securepoint OS v11 – Port für das Webinterface ändern