QNAP e VPN. FARE TANTA MA TANTA ATTENZIONE...

[bubbinho]

Cari Ragazzi,

scrivo questo thread per portarvi a conoscenza di un grosso bug che si riscontra per le connessioni VPN ai nas Qnap. Nei giorni passati è stata fatta una truffa ai danni di clienti di un notissimo provider fibra/adsl/wimax che opera esclusivamente in Emilia Romagna di cui ovviamente non posso fare il nome.

La truffa, consiste nello sfruttare un bug del firmware dei Qnap, mi spiego: attivando una connessione in vpn, magari tra il pc di casa e quello dell'ufficio aprendo la porta del router e/o del firewall 1723 quindi la porta per il servizio pptp, il s.o. di default "importa" o "ricrea" gli utenti presenti-creati sul nas ivi compreso tutti gli utenti admin, stiamo studiando cosa avviene, quindi se non hai provveduta a cambiare le credenziali di default user:admin pwd: admin, ti puoi trovare come "intermediario" ed offrire la tua connessione al web per generare del traffico voip diretto verso paesi extraeu, in particolar modo nord africa e medioriente...

Per ora il danno ammonta a € 180.000,00 per un totale di 3300 ore di telefonate in un w.e.

Stamattina nella sede di un'azienda della provincia di bologna abbiamo trovato un qnap che pubblicava la sua homepage sulla porta 8080 ed avevano lasciato le credenziali admin di default
https://plus.google.com/photos/10896036 ... vmOwqCGzwE

Purtroppo ne sul nas in questione ne sul firewall sono presenti file di log che possono esserci d'aiuto x capire le tecniche adottate...

Posso capire perfettamente lo scetticismo che si può generare in voi per questa mia affermazione ma se avete un qualsiasi dubbio non esitate a contattarmi in privato e fornirò ulteriori informazioni in merito.

[marcudes]

...e Obama se la fa con Beyoncè.

Cicciolina è vergine, etc.
Pubblica qui i dettagli, grazie.

[bubbinho]

non posso....

se mi contatti in privato ti spiego tutto,

....se vuoi continuare a giocare fai pure....

[wozxyz]

Perché in privato?
Se é così importante spiega qui che aiuti tutti...
Ma Cicciolina non é vergine?

[bubbinho]

perché qui, quello che potevo dire l'ho scritto.

per maggiori info, ti do il nr di telefono dell'ufficio mi chiami e ti spiego tutto quello che vuoi sapere

...se sei interessato.

Dico solo che la questione è seria e reale e non ho scritto cose finte x chissà quale scopo.

Ciao

[luciano]

bubbinho scusa ma.... se hai lasciato le credenziali di default di admin e hai esposto il NAS all'esterno (non commento neanche), non vedo il bisogno di sfruttare un eventuale bug visto che puoi fare già qualsiasi cosa....

[bubbinho]

si hai ragione!

ma il problema è relativo alla VPN che si prende gli utenti ordinari per farli accedere alla connessione della vpn stessa...

[ninio]

Questa è propio una bella bufala e comunque non è un BUG..
Fermo restando che non si può subire una truffa del genere, perché tecnicamente non fattibile è un fenomeno comunque perché ha lasciato le password di default sul Web
Comunque ci sono 2 o 3 cose che sono impossibili per casistica credo:
1) Password di default sul NAS.
2) Servzio installato di Asterisk
3) Password di default di Asterisk
4) Abbondamento VoIP flat non a ricaricabile o a credito.
5) Avere sia il router o eventuali Firewall in Upnp
6) E non accorgersi per mesi di questi problemi....
Insomma una combinazione di eventi difficilmente ripetibili, e comunque rimane la base che non è un BUG ma un pazzo chi possa aver fatto una configurazione simile e nel caso si merita la truffa almeno capisce che in certe cose non si può improvvisare.
Io rimando dell'idea che tu abbia scritto una fesseria gigante

[ninio]

Tra le altre cose c'è anche una inesattezza sul il fatto che la VPN usa gli utenti locali/AD/LDAP
Anzi è propio una delle tante richieste che ha avuto QNAP per integrare la gestione degli utenti...mentre QNAP usa degli utenti totalmente estranei che valgono solo esclusivamente per il servizio della VPN

[luciano]

.... a questo punto direi che servono ulteriori dettagli, se il problema esiste solo avendo le credenziali di admin non vedo il problema di divulgare pubblicamente i dettagli.

[bubbinho]

Questa è propio una bella bufala e comunque non è un BUG..
...Insomma una combinazione di eventi difficilmente ripetibili, e comunque rimane la base che non è un BUG ma un pazzo chi possa aver fatto una configurazione simile e nel caso si merita la truffa almeno capisce che in certe cose non si può improvvisare.
Io rimando dell'idea che tu abbia scritto una fesseria gigante

mi spiace che tu possa pensare questo....

ti chiedo di leggere la mia firma e cercare il significato sul web

poi se vuoi approfondire mi mandi un mp ti fornisco i miei riferimenti e vedi se è una bufala o meno... di più non posso dirti mi spiace, ma sono disponibilissimo a dare tutte le ulteriori info in provato

per quanto riguarda l'aspetto tecnico stiamo cercando di capire anche noi come sia stato possibile una truffa del genere.

Ciao

[bubbinho]

.... a questo punto direi che servono ulteriori dettagli, se il problema esiste solo avendo le credenziali di admin non vedo il problema di divulgare pubblicamente i dettagli.

per deontologia professionale non posso dire altri dettagli in merito... c'è un indagine in corso

[ninio]

Questa è propio una bella bufala e comunque non è un BUG..
...Insomma una combinazione di eventi difficilmente ripetibili, e comunque rimane la base che non è un BUG ma un pazzo chi possa aver fatto una configurazione simile e nel caso si merita la truffa almeno capisce che in certe cose non si può improvvisare.
Io rimando dell'idea che tu abbia scritto una fesseria gigante

mi spiace che tu possa pensare questo....

ti chiedo di leggere la mia firma e cercare il significato sul web

poi se vuoi approfondire mi mandi un mp ti fornisco i miei riferimenti e vedi se è una bufala o meno... di più non posso dirti mi spiace, ma sono disponibilissimo a dare tutte le ulteriori info in provato

per quanto riguarda l'aspetto tecnico stiamo cercando di capire anche noi come sia stato possibile una truffa del genere.

Ciao

Guardi se vuole una mano sull'aspetto tecnico mi contatti lei privatamente...che vedo che ne ha parecchi bisogno...ma quello che lei ha raccontato è impossibile per un semplice fatto che il NAS di suo non può fare da ponte VoIP ma si deve agganciare a un servizio VoIP offerto da provaider quindi ha messo panico per nulla nella comunità
Fermo restando che il BUG di cui parla non esiste e che la truffa se realmente avvenuta non hanno comunque sfruttato il BUG per realizzarla ma l'incompetenza di chi l'ha eseguito la configurazione.
Sempre che sia reale quello che scrive e vista la miriadi di ORRORI di configurazione le conviene seguire a ritroso il problema partendo dai tabulati del Provaider che hanno registrato tutti i destinatari della chiamata.
Se vuole le posso mettere la password di default sul NAS che ho a casa per i test con Asterisk installato e vedrà che lei non potrà fare quello che scrive

[bubbinho]

la truffa ci è stata segnalata con tanto di relazione tecnica proprio dal provider e stiamo analizzando il tutto, ma finora l'unico modo che abbiamo scoperto insieme ai tecnici del provider è proprio dovuto ai nas con connessione sia in vpn che in chiaro....

stiamo analizzando sia i destinatari che i mittenti...

[ninio]

la truffa ci è stata segnalata con tanto di relazione tecnica proprio dal provider e stiamo analizzando il tutto, ma finora l'unico modo che abbiamo scoperto insieme ai tecnici del provider è proprio dovuto ai nas con connessione sia in vpn che in chiaro....

stiamo analizzando sia i destinatari che i mittenti...

Da qui si denota che lei la sta sparando grossa e non ha nemmeno la cognizione di quello che scrive per il provaider il mittente è sempre il suo IP di provenienza quindi l'IP della società che ha ricevuto la fantomatica truffa.
Quello che riesce a fare e capire solo esclusivamente se le chiamate hanno dei punti comuni sul destinatari per poi risalire per assurdo agli ipotetici mittenti.
E la VPN non è in chiaro mi sembra che si stia arrampicando sugli specchi al massimo è in chiaro la connessione al NAS visto che sta usando la porta 8080 ma se ha la password di default lo sniffare i pacchetti non le serve nemmeno

[luciano]

Guarda se stavolta non arrestano Ninio.....

[bubbinho]

Luciano ti ho risposto al mp


Inviato dal mio iPad con Tapatalk HD

[ninio]

Guarda se stavolta non arrestano Ninio.....

Figurati Luciano è che mi sembra solo esagerato e poco sensato il titolo QNAP e VPN Bug non ha nessun bug di sicurezza il NAS e con l'hackeraggio che hanno subito al massimo lo hanno usato come cavallo di troia ma perché aveva le pwd di defualt non per bug
Comunque surreale è la concomitanza di errori e situazioni perché cancellare i log degli altri dispositivi vedi firewall o switch che c'erano di mezzo,solitamente si mettono in DMZ i servizi Web, è molto strano a meno che tutto era con password di default
Il problema non è entrare in un sistema il problema è non lasciare tracce

[luciano]

Continuo a pensare anch'io che il problema non sia tanto un bug nel tunnel VPN di qnap quanto nel fatto che le password erano quelle di default... ma non credo bubbinho menta circa la sua "identità". Attendo ulteriori dettagli via MP da lui.

[ninio]

Comunque dipende anche dal firmware io con il 4.0.5 e 4.1 in beta anche se lascio la password di default gli utenti VPN rimangono svincolati dalle utenze locali/AD/LDAP sono utenti assestanti ad uso esclusivo del servizio VPN e se provi con utenti locali non funziona.