Okay, let me try to respond to what I’ve seen here so far.
Re the default settings: As a general policy with firewalls, mail filters, and settings on other interface tools, we tend to have things turned off on default. Customers need to opt-in so to say. Yes this takes some extra effort, but we feel it’s better than the other way around.
Re the BSI messages: BSI sends us these messages as warnings for possible security vulnerabilities. We are required to pass these messsages onto our customers. That is what we are required to do. However, in the very great scheme of things, these are not a priority for us. If I remember correctly, I think there have also been a few interesting threads in LET regarding this issue. --Katie, Marketing
for those interested, the message you’ll get, reads like this:
Sehr geehrte(r) Herr ,
wir haben einen Sicherheitshinweis vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erhalten.
Bitte beachten Sie die Originalmeldung ganz unten.
Die Weiterleitung dieser Beschwerde dient nur als Information für Sie.
Wir erwarten bezüglich dieser Beschwerde keine Rückmeldung Ihrerseits.
Wir bitten jedoch darum, der Meldung nachzugehen und evtl. Probleme zu beheben.
Weitere Informationen finden Sie in den unten referenzierten HOWTOs.
Bei weiteren Fragen wenden Sie sich bitte unter Beibehaltung der Ticketnummer der Originalmeldung [CB-Report#…]
in der Betreffzeile an [email protected].
Antworten Sie nicht an [email protected], da diese Adresse nur zum Versand
der Reports dient und Nachrichten an diese Adresse nicht gelesen werden.
Mit freundlichen Grüßen
Abuse-Team
On 27 Sep 10:31, [email protected] wrote:
[CB-Report#20170927-22673400]
Sehr geehrte Damen und Herren,
der Portmapper-Dienst (portmap, rpcbind) wird bentigt, um
RPC-Anfragen einem Dienst zuzuordnen. Der Portmapper-Dienst wird
u.a. fr Netzwerkfreigaben ber das Network File System (NFS)
bentigt. Der Portmapper-Dienst verwendet Port 111 tcp/udp.
Ein offen aus dem Internet erreichbarer offener Portmapper-Dienst kann
von einem Angreifer zur Durchfhrung von DDoS-Reflection-Angriffen
missbraucht werden. Weiterhin kann ein Angreifer darber Informationen
ber das Netzwerk erlangen, wie z.B. laufende RPC-Dienste oder
vorhandene Netzwerkfreigaben.
In den letzten Monaten wurden Systeme, welche Anfragen aus dem
Internet an den Portmapper-Dienst beantworten, zunehmend zur
Durchfhrung von DDoS-Reflection-Angriffen gegen IT-Systeme Dritter
missbraucht.
Nachfolgend senden wir Ihnen eine Liste betroffener Systeme in Ihrem
Netzbereich. Der Zeitstempel (Zeitzone UTC) gibt an, wann auf dem
System ein offener Portmapper-Dienst identifiziert wurde. Der Wert
von “RPC Response” zeigt die von der jeweiligen IP gesendete
RPC-Antwort.
Wir mchten Sie bitten, den Sachverhalt zu prfen und Manahmen zur
Absicherung der Portmapper-Dienste auf den betroffenen Systemen zu
ergreifen bzw. Ihre Kunden entsprechend zu informieren.
Falls Sie krzlich bereits Gegenmanahmen getroffen haben und diese
Benachrichtigung erneut erhalten, beachten Sie bitten den angegebenen
Zeitstempel. Wurde die Gegenmanahme erfolgreich umgesetzt, sollten
Sie keine Benachrichtigung mit einem Zeitstempel nach der Umsetzung
mehr erhalten.
Weitere Informationen zu dieser Benachrichtigung, Hinweise zur
Behebung gemeldeter Sicherheitsprobleme sowie Antworten auf hufig
gestellte Fragen finden Sie unter: https://reports.cert-bund.de
Diese E-Mail ist mittels PGP digital signiert. Informationen zu dem
verwendeten Schlssel finden Sie unter vorgenannter URL.
Bitte beachten Sie:
Dies ist eine automatisch generierte Nachricht. Antworten an die
Absenderadresse [email protected] werden NICHT gelesen
und automatisch verworfen. Bei Rckfragen wenden Sie sich bitte
unter Beibehaltung der Ticketnummer [CB-Report#…] in der
Betreffzeile an [email protected].
Bundesamt fr Sicherheit in der Informationstechnik (BSI)
Federal Office for Information Security
Referat CK22 - CERT-Bund
Godesberger Allee 185-189, D-53175 Bonn, Germany`
note that it clearly states, that it’s just for informational purposes and no reaction is expected
