Re: [FRnOG] [MISC] DSAV Project: sérieux ou scam ?
Bon, suite à nos réponses, ils ont rapidement mis en place un outil pour faire un replay de « l’attaque » vers son AS. Ca m’a quand même permis de comprendre que j’avais 2 ACL pas dans le bon ordre et que mon DSAV avait une (petite) faille. Pas complètement inutile leur démarche donc, puisque ils ont su être réactifs. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] DSAV Project: sérieux ou scam ?
Bonjour, Effectivement reçu également sur un de mes AS en Belgique. Petite info intéressante, ils m'indiquent l'IP d'un BIND qui est éteint depuis le 1/10. Leur scan n'est donc pas tout frais. cordialement, Le mar. 13 oct. 2020 à 10:35, David Ponzone a écrit : > J’ai reçu un mail de DSAV Project (venant d'un labo d’une université US > dans l’Utah), qui me semble surprenant. > D’autres ont reçu un mail de leur part affirmant avoir détecté une faille > n’existant à priori pas ? > Je vais les contacter pour avoir la méthode et la trace. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] DSAV Project: sérieux ou scam ?
> Le 13 oct. 2020 à 12:11, Paul Rolland (ポール・ロラン) a écrit > : > > > Bon, je note dans un coin que le nombre actuel de cafes le matin n'est pas > suffisant, et je ferai plus attention la prochaine fois. > Fais comme Castex, passe à l’héroïne :) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] DSAV Project: sérieux ou scam ?
Bonjour, On Tue, 13 Oct 2020 11:55:41 +0200 David Ponzone wrote: > Paulo, ;) > T’as pas lu :) Effectivement, j'ai pas bien lu... je me suis arrete au milieu du paragraphe, j'etais en train de jouer avec Zayo en parallele. > Il envoie une requête DNS spoofé sur ton résolveur, demandant de résoudre > sur une zone gérée sur un DNS autoritaire à eux, et donc ton résolveur va > aller interroger leur autoritaire (si c’est dans aucun cache), et ils > voient la requête arriver sur leur autoritaire. Je suppose qu’ils ont > créé de entrées random dans une zone pour être sûr de pas être en cache. Effectivement, c'est bien ce qui est presente, et ca a du sens. Bon, je note dans un coin que le nombre actuel de cafes le matin n'est pas suffisant, et je ferai plus attention la prochaine fois. Paul(o) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] DSAV Project: sérieux ou scam ?
Paulo, T’as pas lu :) Il envoie une requête DNS spoofé sur ton résolveur, demandant de résoudre sur une zone gérée sur un DNS autoritaire à eux, et donc ton résolveur va aller interroger leur autoritaire (si c’est dans aucun cache), et ils voient la requête arriver sur leur autoritaire. Je suppose qu’ils ont créé de entrées random dans une zone pour être sûr de pas être en cache. > Le 13 oct. 2020 à 11:49, Paul Rolland (ポール・ロラン) a écrit > : > > C'est quelle partie de l'affirmation que tu cherches a verifier ? > Moi, je lis : "... indicating that our spoofed queries successfully > penetrated the network", et c'est cette partie-la qui m'intrigue... > > Sachant que la source a ete spoofee, peu de chance qu'ils puissent utiliser > les reponses pour verifier que la query a bien penetree... et donc, c'est > quoi la methode de detection ? L'absence d'ICMP "admin filtered" ? > > Paul > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] DSAV Project: sérieux ou scam ?
Le 13/10/2020 à 10:41, GUIOT Jean-Philippe a écrit : > Idem par ici. > > Si j'ai bien compris la faille, il ne "faut" pas autoriser les récursions > depuis ses propres IP externes/d'AS. Auquel cas, l'attaquant spoof tes IP > externes et utilise ton serveur en récursif ou en fonction de ta > configuration, accède à des noms de domaine potentiellement "internes". C'est > pas très clair en tout cas je trouve ^^ C'est un peu plus sournois que ça puisque chez nous, c'est clean : les résolveurs ne répondent qu'à nos subnets. En l’occurrence, ce n'est pas un soucis de resolveur ouvert mais un soucis de protection contre les sources spoofées. Ils ont pris du DNS parce que c'est un service UDP fréquemment disponible (le spoofing TCP est nettement plus compliqué). > Dommage qu'on ne puisse pas "tester" en live un éventuel fix ☹ +1. Par contre, ils me renvoient le même mail une seconde fois, ça commence à faire lourd. Julien > -- > Jean-Philippe GUIOT > -Message d'origine- > De : frnog-requ...@frnog.org De la part de David > Ponzone > Envoyé : mardi 13 octobre 2020 10:35 > À : Frnog misc > Objet : [FRnOG] [MISC] DSAV Project: sérieux ou scam ? > > J’ai reçu un mail de DSAV Project (venant d'un labo d’une université US dans > l’Utah), qui me semble surprenant. > D’autres ont reçu un mail de leur part affirmant avoir détecté une faille > n’existant à priori pas ? > Je vais les contacter pour avoir la méthode et la trace. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] DSAV Project: sérieux ou scam ?
Idem par ici. Si j'ai bien compris la faille, il ne "faut" pas autoriser les récursions depuis ses propres IP externes/d'AS. Auquel cas, l'attaquant spoof tes IP externes et utilise ton serveur en récursif ou en fonction de ta configuration, accède à des noms de domaine potentiellement "internes". C'est pas très clair en tout cas je trouve ^^ Dommage qu'on ne puisse pas "tester" en live un éventuel fix ☹ -- Jean-Philippe GUIOT -Message d'origine- De : frnog-requ...@frnog.org De la part de David Ponzone Envoyé : mardi 13 octobre 2020 10:35 À : Frnog misc Objet : [FRnOG] [MISC] DSAV Project: sérieux ou scam ? J’ai reçu un mail de DSAV Project (venant d'un labo d’une université US dans l’Utah), qui me semble surprenant. D’autres ont reçu un mail de leur part affirmant avoir détecté une faille n’existant à priori pas ? Je vais les contacter pour avoir la méthode et la trace. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] DSAV Project: sérieux ou scam ?
Salut, Même chose ici, ca ne semble pas un scam. Pour moi, ils ont testé de la résolution DNS sur tous les UDP/53 trouvés sur le réseau en spoofant l'adresse source, rien de plus. J'ai quelques résultats intéressants en ce qui me concerne. J'aimerais bien avoir leurs commandes pour valider des solutions correctives. Donc si tu as des retours et que tu peux, n'hésites pas à partager. Merci, Julien Le 13/10/2020 à 10:34, David Ponzone a écrit : > J’ai reçu un mail de DSAV Project (venant d'un labo d’une université US dans > l’Utah), qui me semble surprenant. > D’autres ont reçu un mail de leur part affirmant avoir détecté une faille > n’existant à priori pas ? > Je vais les contacter pour avoir la méthode et la trace. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] DSAV Project: sérieux ou scam ?
Reçu aussi. Origine, cette université https://fr.wikipedia.org/wiki/Universit%C3%A9_Brigham_Young Perso => [.] Rémy -Original Message- From: frnog-requ...@frnog.org On Behalf Of David Ponzone Sent: Tuesday, 13 October 2020 10:35 To: Frnog misc Subject: [FRnOG] [MISC] DSAV Project: sérieux ou scam ? J’ai reçu un mail de DSAV Project (venant d'un labo d’une université US dans l’Utah), qui me semble surprenant. D’autres ont reçu un mail de leur part affirmant avoir détecté une faille n’existant à priori pas ? Je vais les contacter pour avoir la méthode et la trace. --- Liste de diffusion du FRnOG http://www.frnog.org/ smime.p7s Description: S/MIME cryptographic signature
Re: [FRnOG] [MISC] DSAV Project: sérieux ou scam ?
Bonjour David, Idem. C'est possible que la faille existe chez nous sur les serveurs indiqués, car on ne filtre pas les paquets provenant d'Internet avec en IP source une de nos IP (je sais c'est mal mais c'est pas anodin comme filtrage) Le mar. 13 oct. 2020 à 10:35, David Ponzone a écrit : > J’ai reçu un mail de DSAV Project (venant d'un labo d’une université US > dans l’Utah), qui me semble surprenant. > D’autres ont reçu un mail de leur part affirmant avoir détecté une faille > n’existant à priori pas ? > Je vais les contacter pour avoir la méthode et la trace. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
