Sicherheitsinformation zu Ihrem Internetanschluss

**Naichbindas** · 18. Januar 2023

Moin

Ich wollte euch mal drann teilhaben lassen. Vlt hat schon jemand das gleiche Problem, bzw. dieselbige Situation gehabt.

Heute kam die Email von Vodafone Sicherheit mit folgendem Inhalt:

Zitat

Sicherheitsinformation zu Ihrem Internetanschluss

Sehr geehrte Damen und Herren

Wichtiger Sicherheitshinweis vom Vodafone-Sicherheitsteam zu Ihrem Produkt vom 17.01.2023.

Ihre Kundennummer: xxxxxxxxxx

Es liegen uns Hinweise vor, dass an Ihrem Internetanschluss ein sogenannter SSDP Service aktiv ist. Diese Funktion ist für Dritte aus dem Internet öffentlich erreichbar und stellt für Sie ein Sicherheitsrisiko dar.

Die detaillierten Hinweise die uns zu Ihrem Anschluss vorliegen, können Sie über https://kundensicherheit.vodafone.de/xxxxxx abrufen.

Was bedeutet SSDP?

Das Simple Service Discovery Protocol (kurz SSDP) ist ein Netzwerkprotokoll, das zur Erkennung von Universal-Plug-and-Play-Geräten in Ihrem Heim-Netzwerk verwendet wird (z.B. SmartHome Geräte wie Amazon Alexa, Google Home, PCs, etc.).

Welches Problem besteht für Sie?

Ihr Gerät ist über Ihre öffentliche IP-Adresse aus dem Internet heraus für Jeden erreichbar. Kriminelle können dadurch auf sensible Daten innerhalb Ihres Heim-Netzwerkes zugreifen.

Ihr System, das SSDP-Anfragen aus dem Internet beantwortet, kann zur Durchführung von DDoS-Angriffen gegen IT-Systeme Dritter missbraucht werden.

Möglicherweise steht Ihnen dadurch auch nicht die volle Internet-Bandbreite zur Verfügung.

Was kann die Ursache dafür sein?

Vermutlich wurde in den Einstellungen Ihres Routers (z.B. Fritz!Box) die Funktion Exposed Host aktiviert.

So deaktivieren Sie die Funktion Exposed Host

Klicken Sie in der Benutzeroberfläche der FRITZ!Box auf Internet.

Klicken Sie im Menü Internet auf Freigaben.

Klicken Sie auf die Registerkarte Portfreigaben.

Deaktivieren Sie die Option Dieses Gerät komplett für den Internetzugriff über IPv4 freigeben (Exposed Host).

Falls das Gerät das IPv6-Protokoll unterstützt und Sie den Exposed Host auch für IPv6-Internetzugriffe eingerichtet haben, deaktivieren Sie die Option Dieses Gerät komplett für den Internetzugriff über IPv6 freigeben (Exposed Host).

Klicken Sie zum Speichern der Einstellungen auf OK.

Sollten Portfreigaben für diverse Applikationen und Geräte unbedingt benötigt werden, so geben Sie diese besser einzeln in den Portfreigaben Ihres Routers frei.

Helfen Ihnen unsere Tipps und Hinweise weiter?

Falls nicht, empfehlen wir eine IT-Fachfirma oder jemanden mit entsprechenden Kenntnissen in Ihrem Verwandten- oder Bekanntenkreis um Hilfe zu bitten.

Weitere Unterstützung erhalten Sie auf:

Vodafone Kundensicherheitsportal - im Bereich häufige Fragen

Vodafone Secure Net

BSI für Verbraucherinnen und Verbraucher

CertBUND Reports zu offenen Serverdiensten

Freundliche Grüße

Vodafone Customer Security Team

Diese E-Mail wurde automatisch verschickt.

Alles anzeigen

Zur Information, alles was da in Frage kommen würde wurde darauf hin überprüft und nix derartiges wurde festgestellt.

Also alle Endgeräte und alles Netzwerke sowie Firewall auf der UDM wurden überprüft.

Das einzige was ich tatsächlich habe ist die Fritzbox im Briddgemode, nichts ist aber dort freigegeben als Exposed Host oder aktiviert.

Vlt. liegt ja da trotzdem der Hase begraben. Weil ich eine gekaufte Fritzbox nutze an dem Anschluss.

Denn die beschreiben ja als Ursache das es die Fritte als "Exposed Host" sein könnte.

Nichts zu trotz habe ich mir den Bericht angeschaut und selber auch getestet und folgendes kahm dabei heraus.

Code

ip address: 31.xxx.xxx.xxx
asn: 31334
port: 32414

32414
closed, incoming traffic denied

Dieser Port umden es hier geht ist ein Plex Port, der aber hier garnicht benutzt wird. Weder in meiner Synolgy noch im meinem System.

Komme ich also wieder zum in der Email erwähnten Problem. Wo die Fritzbox als Problem gelten soll.

Es gibt hier bestimmt einige wenige die das so eingerichtet haben mögen. Damit ihre UDM oder USG Internet haben, das sie dann einen Sicherheitsproblem erliegen könnten.

MFG

PS: Nachtrag. Ich habe auch kein UPnP aktiv.

**gierig** · 18. Januar 2023

Zitat von Naichbindas

Dieser Port umden es hier geht ist ein Plex Port, der aber hier garnicht benutzt wird.

Port 32414 da klingelt es...

Ist dem wirklich so ? Je nach Setup und dank UPNP könnte Plex auch selber Weiterleitungen in die NAT Tabelle

Router einbauen. Zu mindestens steht Plex mit seinem DLNA und Port 32414 schon öfters in Kritik

da er Kram vortrefflich dazu taugt relay Attacken auszuführen bei den kleine Daten Packete an den Port

größere Datenströme zurück erzeichen die sich dank spooffing auf eine andere IP lenken lassen.

**Naichbindas** · 18. Januar 2023

gierig Ja der gehört zu Plex und ist bei mir nicht aktiv. Habe vergessen im 1 Post zu schreiben das UPnP aus ist, also nicht im Gebrauch.

mfg

**FelixE-VF** · 23. Januar 2023

Hallo Zusammen,

ich kann bestätigen, dass im Zeitraum vom 12. bis 16.01.2023 unter dem Port 32414 ein SSDP-Dienst aktiv war, welcher einen Plex-Server annonciert hat.

Am 17.01. (um 04:17 Uhr) wurde dieser stattdessen auf Port 1024 erkannt, allerdings mit den gleichen Plex-Informationen (gleicher Plex-Instanzname) - ob der Port hier fehlerhaft gemeldet wurde, lässt sich nicht nachvollziehen.

Diese Informationen stammen aus Meldungen des CERT-Bund und der Shadowserver Foundation, welche Netzbetreiber über das Vorhandensein von SSDP-Diensten informieren, da diese (wie von gierig und dem zitierten Text oben beschrieben) einfach für Amplification-DDoS-Attacken ausgenutzt werden können. SSDP ist besonders beliebt, da hierbei hohe Verstärkungsgrade erreicht werden können (kleine Anfrage -> große Antwort) - im vorliegenden Fall mit einem Verstärkungsfaktor von >300.

Da seit dem 17.01. keine weiteren Meldungen eingegangen sind, ist der Fall wohl erledigt.

Danke, dass Du das Netz ein wenig sicherer gemacht hast!

Mit freundlichen Grüßen,

Felix

**gierig** · 24. Januar 2023

Zitat von FelixE-VF

ich kann bestätigen, dass im Zeitraum vom 12. bis 16.01.2023 unter dem Port 32414 ein SSDP-Dienst aktiv war, welcher einen Plex-Server annonciert hat.

Bei dir ? den Unbekannten TO ? oder bei Mir ?

Zitat von FelixE-VF

Diese Informationen stammen aus Meldungen des CERT-Bund und der Shadowserver Foundation, welche Netzbetreiber über das Vorhandensein von SSDP-Diensten informieren,

Nummern ? Grade das Cert des Bundes hat IMMER ein ID..

**FelixE-VF** · 24. Januar 2023

Zitat von gierig

Bei dir ? den Unbekannten TO ? oder bei Mir ?

Beim originalen Poster (Naichbindas) - wir haben den Vorgang per Direktnachricht geklärt.

Zitat von gierig

Nummern ? Grade das Cert des Bundes hat IMMER ein ID..

Ich bin mir nicht ganz sicher, was für Nummern du meinst - wenn du von der Ticket/Vorgangsnummer des CERT-Bund sprichst, sehe ich keinen Grund warum diese online geteilt werden sollte. Diese Vorgangsnummern sind auch üblicherweise nicht relevant für den betroffenen Kunden/die betroffene Kundin.

**gierig** · 24. Januar 2023

Da habe ich wohl was falsch verstanden, die Verknüpfung zu dem TO war nicht klar für mich.

Das dann aber ein Support Mitarbeitet sich hier anmeldet um was dazu zusagen ist aber dann aber

auch eher seltsam oder ?

**FelixE-VF** · 24. Januar 2023

Zitat von gierig

Das dann aber ein Support Mitarbeitet sich hier anmeldet um was dazu zusagen ist aber dann aber
auch eher seltsam oder ?

Das kann man wohl so sagen Natürlich ist dies kein offizieller Supportkanal, aber wenn ich dann mal privat über ein Thema stolpere, bei dem ich helfen kann... Außerdem arbeite ich in dem Team, was diese Benachrichtigungen versendet und habe natürlich ein großes Interesse daran, dass unsere Kunden ihr Problem lösen können.

**aqua** · 28. Januar 2023

Hallo zusammen,

ich habe seit einer Woche die gleiche Mittelung von Vodafone bekommen.

Meine Konfiguration ist die gleiche wie von Naichbindas Original Fritz!Box von Unitymedia im Bridgemode auf Port 2.

Kein Exposed Host aktiviert.

Sicherheitsinformation zu Ihrem Internetanschluss

Im Bericht steht folgendes:

Offener SSDP Service

Code

ip address: 176.xxx.xxx.xxx source_port: 1900 TransportProtocol: udp

Wenn ich den vom BSI vorgeschlagenen Test mit tcdump von extern durchführe wird kein offener Port angezeigt. Die Sicherheitsmeldung kommen trotzdem täglich. Macht mich etwas nervös. Hat jemand schon mal ein solches SSDP service Problem gehabt ?

Gruß aqua

**exit** · 28. Januar 2023

Jetzt laufen hier bald alle Vodafone Service Geschäfte auf und werden direkt hier geklärt/verarbeitet

**razor** · 29. Januar 2023

Zitat von gierig

Nummern ? Grade das Cert des Bundes hat IMMER ein ID..

Habe zwar auch keine Nummer gefunden, aber dafür das hier:

CERT-Bund-Reports

www.bsi.bund.de

Und unten noch weitere interessante Links, z.B.

Offene Ubiquiti-Device-Discovery-Dienste

www.bsi.bund.de

**Naichbindas** · 29. Januar 2023

Hast du Portweiterleitungen aktiv?

**aqua** · 29. Januar 2023

Ja ich habe einen wiregate vpn auf einer VM laufen mit entsprechender Portweiterleitung aber das ist ein Port mit einer 54XXX Nummer und nicht 1900 wie in dem Report genannt. Der VPN läuft auch schon 2-3 Jahre aber die Meldung kommt seit ca.3 Wochen.

razor , den CERT Bund Test habe ich gemacht ohne einen offenen Port zu finden. ich versuche morgen vom Büro aus (extern) mal den ubiquiti device discovery Dienst.

**Naichbindas** · 29. Januar 2023

und in der Fritzbox hast du nur den Bridgemode aktiv alles andere ist dort nicht mehr in Benutzung ?

**aqua** · 29. Januar 2023

LAN 2 ist im Bridge Mode. An Lan 4 hängt die Telefonanlage. Diese hat aber eine andere WAN Adresse. Die Meldung bezieht sich auf der gebridgten UDM Wan Adresse. Exposed host ist nicht aktiv.

**Naichbindas** · 29. Januar 2023

Ich verstehe das, aber trotzdem kann auch unabhängig auf der Fritzbox noch was aktiv sein eine Portfreigabe oder sonst was. Das hatt nix mit dem Portfreigaben in der der UDM und so zu tun. Deshalb frage ich, damit wir vlt. bei dir den Fehler finden können.

**aqua** · 29. Januar 2023

Ok habe noch mal auf der Fritz Box nachgesehen. Unter Freigaben sind keine Portfreigaben eingetragen und selbständige Portfreigaben sind deaktiviert. So wie ich das versteh läuft die Fritz!Box in einem anderen Netz. So komme ich ja auch vom meinem LAN auf die Box mit einem FRITZ VPN ist völlig isoliert vom IP Bereich der UDM.

Ich habe hier im UDM Lan aber ziemlich viel IoT und Zeugs am laufen. Ca. 50 Adressen habe schon mal teilweise Geräte vom Netz genommen um einzukreisen wer der Übertäter ist. Seit zwei Tagen kam jetzt auch keine Meldung mehr. Eventuell ist das auch immer nur temporär. Was es nicht wirklich erleichtert. Aber eventuell Kann FelixE rausfinden welcher Dienst die Meldung generiert.

**Naichbindas** · 29. Januar 2023

Ah Ok das ist schonmal gut das du solche Geräte in einem gesonderten Netz hast. Die Dinger telefonieren gern nach Hause und von Absicherrung dieser Geräte garnicht erst zu sprechen.

Sonst schau noch mal deine Firewalleinstellungen auf der UDM durch ob das alles so richtig ist wie du das brauchst, damit IOT Wirklich isoliert ist.

Willkommen! Melden Sie sich an oder registrieren Sie sich.

Sicherheitsinformation zu Ihrem Internetanschluss

Offener SSDP Service

6 Benutzer haben hier geschrieben

Wer ist war online

Benutzer online 91

Wer war online 149