Securepoint UTM: Alarm über verdächtige blockierte Verbindung

Über Nacht meldete die Securepoint UTM eines Kunden vier möglicherweise gefährliche Verbindungen und unterband diese. Wir gingen der Sache ein wenig nach.

Sozusagen der Kopf der Alert-Mail sieht so aus:

General
 
Firewall name: firewall.domain.local
Status: ALERT
Date: 15.07.2020 - 02:01:50
Source: spsysprocd
Message:
FORWARD - Potentially dangerous connection was blocked:
incoming interface eth1, outbound interface wan0,
source address 192.168.0.7, destination address 142.11.210.231,
protocol UDP, source port 58305, destination port 123

Kurzum: Ein Gerät aus dem LAN hat versucht eine unerwünschte Verbindung aufzubauen und wurde daran gehindert.

Hinter der IP-Adresse „192.168.0.7“ steckt in diesem Fall ein Cisco SPA112 (Analog-VoIP-ATA). Das alleine erschien uns schon merkwürdig. Der Port 123/udp wiederum ist altbekannt, da es sich dabei um NTP, also den Zeitsync, handelt.

Verdächtig ist das Ganze dennoch, also wurde die Konfiguration des ATAs überprüft. Die Firmware ist aktuell und auch sonst viel nichts negatives auf.

Als NTP-Quelle ist „0.ciscosb.pool.ntp.org“ im ATA hinterlegt, prüft man die Namensauflösung ergibt das folgendes:

C:\Users\administrator>nslookup 0.ciscosb.pool.ntp.org
Server: localhost
Address: 127.0.0.1

Nicht autorisierende Antwort:
Name: 0.ciscosb.pool.ntp.org
Addresses: 217.79.179.106
159.69.150.81
129.69.1.170
136.243.202.118

Die genannte externe IP ist also nicht (mehr) vorhanden. Die IP-Adresse „142.11.210.231“ ist bereits 2019 als Malware-URL in Erscheinung getreten.

Was genau nun geschehen ist konnte so spontan nicht ermittelt werden. Vermutlich, das ist allerdings reine Spekulation, war die Namensauflösung oder schlimmstenfalls der NTP-Pool kompromitiert, es kann allerdings auch nur dieser eine Server gewesen sein.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.