Das Telnet-IoT Desaster

Gerade schneite diese Meldung rein:

Name : telnet
URL : http://web.archive.org/web/20070819111735/www.hcs.harvard.edu/~dholland/computers/old-netkit.html
Summary : The client program for the Telnet remote login protocol
Description :
Telnet is a popular protocol for logging into remote systems over the
Internet.
The package provides a command line Telnet client

——————————————————————————–
Update Information:

Security fix for CVE-2020-10188
——————————————————————————–
ChangeLog:

* Fri Mar 27 2020 Michal Ruprich <michalruprich@gmail.com> – 1:0.17-79
– Resolves: #1814478 – Arbitrary remote code execution in utility.c via short writes or urgent data

Telnet ist sowas wie SSH nur ohne Verschlüsselung. Das ist schon in den 90ern durch SSH ersetzt worden. Telnet ist also ein sehr alter Dienst aus den 80ern. Ich habe auch seit Jahrzehnten keinen Server mehr mit einem Telnet-Dienst gesehen, schon weil da der Zugang unverschlüsselt passiert.

Kommentar

Weil das weit über 30 Jahre existiert, ist es mehr als ungewöhnlich, daß in einem so alten, eigentlich unbenutzten Dienst noch eine so gravierende Sicherheitslücke existiert! Das ist eigentlich unfassbar!

Jetzt der eigentliche Hammer: sehr, sehr viele IOT Geräte haben einen Telnet Dienst, statt SSH, und wie Ihr wisst, bekommen die praktisch nie Updates. Das bedeutet, Ihr könnt jetzt alle IOT Geräte mit Telnet wegwerfen, wenn diese die verwundbare Version haben und das steht zu befürchten.

Eine komplett wirre Spam

Es ist mal wieder Zeit eine Spam zu sezieren 😀 Gleich zur Klarstellung: Kein Aprilscherz. Eine so wirre Spam, bei der gar nichts paßt, ist schon selten geworden.

„(Email@dresse) – BITTE ANTWORTEN!“

Dem Aufruf werden wir natürlich nicht Folge leisten und schauen uns gleich mal alles ganz genau an. So sieht das aus, wenn diese komische Spam vorbeikommt:

Mans ieht den vermeindlichen Inhalt einer SpamEmailLinks unten in der Ecke sieht man den Link von dem „Click Here“:

https:/###/navigator.gmx.net@goto.pt/rQXtut#
(leicht verfälscht, damit keiner draufklickt)

Das „@“ in einer Internetadresse hat eine Sonderstellung, es gibt einen Benutzernamen für die BASIC-Auth per HT-Accessabfrage im Webserver an, hat aber sonst keine Wirkung. Das bedeutet, gibt man das an, ohne das eine Abfrage vom Server gemacht wird, hat es absolut keine Wirkung. In unserem Spamkontext aber, dient der Zusatz dazu, den Eindruck zuerwecken, daß man bei GMX.NET rauskäme, würde man dort klicken. Tatsächlich geht es aber zu „goto.pt“, was wohl ein URL-Verkürzer- oder Redirectservice ist. Ein typische Scammermasche eben.

Die aufwendige Täuschung, daß es sich um eine Facebookemail handelt, erkennt man an den Email-Headern:

X-Mailer: ZuckMail [version 1.00]
From: „Web.de“ <notification@facebookmail.com>
Reply-to: noreply <noreply@facebookmail.com>
Errors-To: notification@facebookmail.com
X-Facebook-Notify: page_invite:page_invite_reminder; mailid=5a1ecca8ff1632G5aXXXXXXXXXXXXXXXX
List-Unsubscribe: <https://www.facebook.com/o.php?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX;>

Bei „ZuckMail“ kommt ich mir ein Grinsen nicht verkneifen 🙂

Die Receivedheader der Email, also die Strecke an welchem Mailserver die Email wann vorbei gekommen ist, teilt uns dann auch mit, daß obige Facebookheader von einer echten Mail stammen werden, die gestern an GMX ging:

Received: from tool.jobnowx.com ([45.58.188.112]) by mx-ha.web.de (mxweb012
[212.227.15.17]) with ESMTP (Nemesis) id 1MmkT4-1itqCw1E62-00jrjK for
<XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX@web.de>; Sun, 29 Mar 2020 11:50:52 +0200
Received: from 66-220-155-145.mail-mail.facebook.com () by
mx-ha.gmx.net (mxgmx117 ) with ESMTPS (Nemesis) id
1N4gjH-1jP4ch2OyF-011ils for <XXXXXXX@gmx.de>; Sat, 28 Mar 2020 21:55:12 +0100

Wie man in rot sehen kann, „tool.jobnowx.com“  ist der echte Absender, der diese Email losgeschickt hat, und der Scammer hat einfach den Header vom GMX Mailserver drin gelassen, damit die Quelle verschleiert wird. Wenn man so etwas macht, sollte man GMX nicht mit Web.de verwechseln 😀

In der Email ist dann noch die eigentliche Payload, das Ziel der „Verführung“ untergebracht und das geht zu : clicks-bb.com und der Domainname ist ja wohl Programm genug. McAfee gibt auch schon seit Tagen eine Warnung für diese Domain aus und kommt mit Sicherheit nichts gutes bei raus, wenn man die aufruf, aber aller Vernunft zu Trotz …

$ curl http://clicks-bb.com
<html><body><h1>403 Forbidden</h1>
Request forbidden by administrative rules.

muharhar schon gesperrt worden vom Hoster 😀

Schauen wir uns mal den „Inhalt“ an …

Hallo Florian,

Erinnerung: Christian Zacher hat dich eingeladen, „Finanzcoach XXXXXXXX Zacher“ mit „Gefällt mir“ zu markieren.

Wenn dir Finanzcoach XXXXXXX Zacher gefällt, klicke auf den folgenden Link: https://www.facebook.com/n/?pages………

Wir wissen nicht, wer Florian ist, oder ob es den Zacher wirklich gibt, aber Emails, die in der Hallo Zeile nicht den eigenen Namen drin haben, sind i.d.R. SPAM und jetzt haut die weg 🙂

Die gleiche Masche gabs Anfang der Woche für Amazon, da stand dann im Betreff auch „BITTE ANTWORTEN“ drin, also wenn Großbuchstaben bei uns was bewirken würden, außer genauer hinzusehen 😉

Coronachroniken: Der Abschaum der Menschheit

Gestern morgen habe ich leider mal wieder mit dem Abschaum der Menschheit zu tun gehabt: Spammern.

Spam auf Kosten der Leute aus Bergamo

Ein ganz miese Masche scheint derzeit der Versand von Spams mit gefälschten Absendern aus Italien, und vermutlich demnächst New York, zu sein, die Aufgrund der Absenderdomain dem Empfänger bekannt sein könnten. Der Betreff wird dann aufmerksamkeitserhaschend sein.

So geschehen gestern, als der Absender „From: „Jillian“ <WilliamTuckers@lkts.it>“ war, welchen es so natürlich nicht gibt. Unser Mailserver hat dann versucht dem gefälschten Absender mit zuteilen, daß sein Vorhaben leider gescheitert ist und dabei kam dies raus:

2020-03-26 05:31:30 1jHKAz-0007xw-VU [62.149.128.151] SSL verify error: certificate name mismatch: DN=“/C=IT/ST=Bergamo/L=Ponte San Pietro/O=Aruba S.p.A./CN=*.aruba.it“ H=“mx.lkts.it
SMTP error from remote mail server after RCPT TO:<WilliamTuckers@lkts.it>: 550 5.1.1 <WilliamTuckers@lkts.it>: HKB0jm0a4plg4HKB0juHf1 511 sorry, no mailbox here by that name (#5.1.1 – chkuser)

Inhalt der Spam:  „Wenn du ficken willst, wir hätten Lust. Elisabeth“

Da stand natürlich noch mehr drin, aber welches Sexportal ( falls überhaupt echt ) das war, dürfte wohl kaum interessieren. Die Spammer haben als Fakeabsenderdomain extra eine bei einem Provider Aruba.it aufgesucht, damit es so aussieht, als wenn das Nachrichten aus der Bergamo Gegend wären. Der Inhalt war dann übrigens in Deutsch, weil die Empfängerdomain auf „.de“ endete.

Es könnte auch Zufall sein

Natürlich kann ich nicht beweisen, daß das mit Bergamo Absicht ist, abseits der Fakten die unser Mailserver da mitgeschnitten hat. Aber naheliegend wäre das Timing für eine Krise in Bergamo dann doch, oder was denkt?

Wenn das mit Bergamo tatsächlich Absicht war, dann gehören diese Spammer in die tiefste Kategorie der Menschheit, zusammen mit Drogendealern, Kriegsverbrechern und anderem Abschaum.

Anmerkung: Der Termin zur Veröffentlichung wurde mehrfach verschoben, daher die kleine Diskrepanz beim Datum.

Coronachroniken: Wolle WebCam kaufen?? nur 799 € + Steuern

Die Braunschweiger LinuxUserGroup versucht ja Mittwochs die  sozialen Kontakte weiter zu pflegen ohne sich anzustecken. Dazu können wir den Videokonferenzserver der Firma nutzen, wenn alle könnten.

Wolle WebCam? Ganz billig, nur 799 € kalt!

Für Homeoffice braucht man Laptops, Webcams, Mäuse, Headsets und ggf. größere Monitore und Dockingstations. Da unsere LUG Freunde nun auch das eine oder andere Ausrüstungsstück benötigen, habe ich mal in örtlichen Großhandel angefragt und bekam folgendes zu hören „Hahahaha! … mur hahaha! …. omg! Ist das komisch!“ . Alles ist weg! Alles was irgendwie beweglich war, ist verkauft worden, bis auf ein Webcamkit mit dem sagenhaften Preis von 799 € netto.

Für das billigste Webcam Model „Logitech C270“ mit < 1 MPixel  liegen über 600Bestellungen vor, nur für den Bereich Braunschweig und das Model ist einfach schlecht. Meine 5 MPixel Logitech Cam mit der gleichen Auflösung hat schon ein grausames Bild, aber die mit 1 MegaPixel ist vermutlich MineCraft für WebCams.. ist ok fürn Datenschutz, weil nichts zu erkennen ist, aber vielleicht hört man noch was 🙂

Im Endeffekt bedeutet daß für unsere Meetings, das Sie auf spukhafter Fernwirkung beruhen werden 🙂  Nein, natürlich nicht 😀  „MEET JITSI“ fürs Handy kann man benutzen, da gab es auch das passende Headset mit und eine Kamera ist auch eingebaut in jedes moderne Handy! Wie war das Motto im Krieg doch gleich „Das wird schon gehen!“.