Toegang tot een gedeelte van de KPN infrastructuur

Op zoek zijn naar een werkende internetverbinding en dan uitkomen in een deel van het KPN beheernetwerk. Dat overkwam CrossWire, een netwerkspecialist en ethisch hacker die voor de computervereniging Nurdspace de infrastructuur aan het aanleggen was in het nieuw verkregen pand in Wageningen. Met wat netwerkapparatuur kon hij waarnemen wat er zich op dit deel van het netwerk afspeelde.

In dit artikel een korte samenvatting van de door KPN en de hacker uitgegeven publicatie omtrent het lek. Hiermee is het niet de bedoeling om mensen of organisaties zwart te maken, maar een brede discussie opgang te brengen omtrent Responsible Disclosure en de Cybercrime-wetgeving onder de aandacht te brengen.

Korte achtergrond schets

Computervereniging NURDspace ging deze zomer op zoek naar een onderkomen voor hun activiteiten. In Wageningen vonden ze een oud schoolgebouw, waarin ze zich konden vestigen tot aan de sloop van het pand. Een klein nadeel: een slechte verbinding met het internet. Een  speurtocht naar een mogelijke glasvezelverbinding werd gestart.

En met succes, want er werd inderdaad een glasvezelverbinding gevonden die ook nog actief bleek te zijn. De kabel was niet gelabeld en daardoor niet duidelijk van een bepaalde provider. De enige manier om achter de provider te komen was de verbinding werkend te krijgen.

KPN-glasvezel

Een meting wees uit dat de glasvezel een lengte van 3 kilometer heeft en op 1310nm werkt. Met netwerkapparatuur gaf de vezel netjes een link. Op de vezel waren twee VLAN’s te zien: VLAN127 en VLAN128. Op basis van de benamingen was het duidelijk een KPN-glasvezel.

Hierna ontving de laptop interessante informatie: de vezel kwam uit in een KPN-centrale in Wageningen. Aan de gegevens die de CPE zou krijgen, was het te achterhalen dat er een WWE LightningEdge 310 CPE nodig was. Na het aansluiten ervan met een extra switch was er verkeer te zien op de verbinding.

IP-netwerken

Uit de CPE-configuratie waren, naast de onderzochte 10.37.7.0/24 range, nog twee managementnetwerken op te maken: 172.16.233.0/24 en 10.37.199.0/24. Twee radius servers verzorgden de authenticatie. Onbelangrijk op dat moment, waardoor het niet verder onderzocht is. Je kunt je voorstellen dat er in die netwerken mogelijk nog meer interessante informatie had kunnen worden verzameld.

Nameservers, IP-adressen en FTP

Met een tcp-dump werden nog meer details van de verbinding duidelijk. Nu was het niet het doel om ernaar te kijken, maar het was nu dusdanig interessant om eens een korte blik te werpen in het gevonden management IP-space. Een NMAP gaf verdere informatie, over onder andere nameservers, IP-adressen en een FTP-server. Deze laatste was gewoon te connecten met een ‘anonymous’-account!  Op de FTP-server stonden diverse configuratiebestanden van netwerkapparatuur.

Wachtwoorden reverse engineeren

Uit verder onderzoek naar deze bestanden bleek dat sommige apparaten een ‘password type 7 $crypto_pass’ hadden, of deze nog actief gebruikt werden was niet duidelijk. Deze wachtwoorden zijn simpelweg (in seconden!) te reverse engineeren. De meeste apparatuur heeft wel een ACL waardoor alleen vanuit een specifiek beheer IP-segment verbinding gemaakt zou kunnen worden.

In korte tijd werd het duidelijk dat er toegang mogelijk was tot een deel van het beheernetwerk van KPN, het Landelijk Beheer Netwerk Services kortweg LBNS.  Omdat men op zoek was naar een werkende internet verbinding is er niet verder gegaan met een onderzoek van de verdere mogelijkheden. Dat hier iets mee moest gebeuren was snel duidelijk. De impact van de gevonden mogelijkheden waren van een dusdanige aard, dat er is gestopt met het onderzoeken van de mogelijkheden op deze glasvezel.

Melding aan NCSC

Via het Nationaal Cyber Security Centre (NCSC) is er een melding gemaakt van deze kwetsbaarheid bij KPN. Er werd direct actie ondernomen. Na een bezoek van KPN aan de locatie en het geven van een demonstratie van het lek, was het iedereen duidelijk dat het een serieuze zaak betrof. De KPN’ers vonden na eigen onderzoek zelfs nog meer verbeterpunten.

Opgelost

Inmiddels heeft KPN de meeste zaken opgelost en is een dergelijk toegang ook niet meer mogelijk. Hierbij is helaas ook de glasvezelverbinding in het bedrijfspand afgesloten. Best jammer.

Responsible disclosure

Nu steeds meer bedrijven ook het nut zien om een responsible disclosure policy op te stellen en daarmee de drempel voor het melden van kwetsbaarheden flink verlagen, zal het deze bedrijven alleen maar baten. Het is voor een bedrijf natuurlijk nooit leuk om te horen dat er een kwetsbaarheid is maar als bedrijf krijg je liever een melding, zonder dat er misbruik is gemaakt door de melder. Dit kan kan ervoor zorgen dat je de veiligheid van je bedrijf verder kunt verbeteren! De (White Hat-) hackers die het interessant vinden om zulke zaken te vinden krijgen ook meer ruimte om deze zaken te melden.

NCSC

De rol van het NCSC is hier niet onbelangrijk in geweest. Het NCSC laat hackers toe om een melding te doen naar het gehackte bedrijf zonder dat de (persoons)gegevens bekend gemaakt hoeven te worden. Daarbij heeft het NCSC veel connnecties en kan daarmee zorgen dat een melding ook snel op de juiste plaats komt en serieus genomen kan worden.

Ervaringen KPN

KPN geeft aan zeer tevreden te zijn dat haar responsible disclosure procedure zijn vruchten afwerpt! “De procedure blijkt aantoonbaar te werken,” vertelt de woordvoerder. “Wij staan open voor de samenwerking met ethische hackers, zoals ook met CrossWire. Eerder in het voorjaar heeft KPN prettig samengewerkt met de modemhackers. We hebben deze bevindingen, samen met deze hackers, zelf gecommuniceerd naar de buitenwereld.”

KPN is blij met deze netwerk/security specialisten, die op eigen initiatief hardware en software testen op kwaliteit en deze kennis aan KPN doorgeeft.  “We zijn afhankelijk van hardware en software vendors om haar diensten aan klanten te kunnen leveren. Als daar onvolkomenheden in worden aangetroffen staat KPN open voor een melding van deze specialisten.”

Wetsaanpassing

Helaas is het ethisch hacken, ondanks het correct melden ervan, veelal nog steeds een strafbaar feit … je hebt je immers toegang verschaft op een manier dat niet toelaatbaar is. Na het melden van een lek zal het in 99,9% van de gevallen goed aflopen, maar als het bedrijf of Openbaar Ministerie er een zaak van gaan maken moet je toch maar hopen dat het goed komt. De wet loopt achter de feiten aan. Het zou de wet sieren om in dit digitale tijdperk een voorziening te treffen om ‘digitale klokkenluiders’ (mits geen misbruik) te beschermen tegen vervolging. Het kan op dit moment zelfs zo zijn dat het sommige personen – uit angst voor mogelijke aangifte – ervan weerhoudt om melding te maken van een gevonden kwetsbaarheid.


De uitgebreide technische bevindingen zijn in dit document (pdf) te lezen, alsmede de reactie van KPN.

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.