Hola,

Tengo el Comtrend-VG-8050. Al intentar conectar a IRC (Internet Relay Chat - sí, todavía existe y se usa), esta gente hace un escaneo de puertos, detectan el SSH del router, dicen que es una versión obsoleta y vulnerable, y me prohíben el acceso a su servidor para no ponerlos en peligro.

[Thursday, August 16, 2018] [4:32:08 PM CEST] 465       **** You are banned from this server- Vulnerable SSH exposed to the public - email proxyscan@freenode.net for help (2018/8/16 13.36)
[Thursday, August 16, 2018] [4:32:08 PM CEST] Error     Connection to server chat.freenode.net (port 6697) lost: Unknown error.
[Thursday, August 16, 2018] [4:32:08 PM CEST] Info      Trying to reconnect to chat.freenode.net (port 6697) in 10 seconds.
[Thursday, August 16, 2018] [4:32:19 PM CEST] Info      Looking for server chat.freenode.net (port 6697)...
[Thursday, August 16, 2018] [4:32:19 PM CEST] Info      Server found, connecting...
[Thursday, August 16, 2018] [4:32:19 PM CEST] Info      Negotiating capabilities with server...
[Thursday, August 16, 2018] [4:32:19 PM CEST] Notice    -barjavel.freenode.net- *** Looking up your hostname...
[Thursday, August 16, 2018] [4:32:19 PM CEST] Notice    -barjavel.freenode.net- *** Checking Ident
[Thursday, August 16, 2018] [4:32:19 PM CEST] Notice    -barjavel.freenode.net- *** Found your hostname
[Thursday, August 16, 2018] [4:32:19 PM CEST] Notice    -barjavel.freenode.net- *** No Ident response
[Thursday, August 16, 2018] [4:32:20 PM CEST] Info      Requesting capabilities: account-notify extended-join multi-prefix sasl
[Thursday, August 16, 2018] [4:32:23 PM CEST] Info      SASL capability acknowledged by server, attempting SASL PLAIN authentication...
[Thursday, August 16, 2018] [4:32:26 PM CEST] Error     SASL authentication attempt failed.
[Thursday, August 16, 2018] [4:32:26 PM CEST] Info      Closing capabilities negotiation.
[Thursday, August 16, 2018] [4:32:26 PM CEST] 465       **** You are banned from this server- Vulnerable SSH exposed to the public - email proxyscan@freenode.net for help (2018/8/16 13.36)
[Thursday, August 16, 2018] [4:32:26 PM CEST] Error     Connection to server chat.freenode.net (port 6697) lost: Unknown error.
[Thursday, August 16, 2018] [4:32:26 PM CEST] Info      Trying to reconnect to chat.freenode.net (port 6697) in 10 seconds.

Este es el párrafo importante del correo que recibí de su sistema de tickets:

You have been banned from freenode by our automated open proxy scanner. This
means that our proxy scanner was able to exploit software running on your
machine. Please read over http://en.wikipedia.org/wiki/Open_proxy#Disadvantages
if you're unfamiliar with the term 'open proxy' or why we don't allow connections from
open proxy hosts on freenode.

Así que no puedo usar el servicio IRC por una posible vulnerabilidad en el router de Telefónica.

Es más, me avisan de mi posible responsabilidad legal si alguien llegara a usar ese proxy abierto maliciosamente, así que ni de coña van a ignorarlo:

[Wednesday, August 22, 2018] [10:51:55 PM CEST] <mniip> ****, do you realize this is putting you in legal danger?
[Wednesday, August 22, 2018] [10:52:12 PM CEST] <****>  No, it is not mine, so no danger at all
[Wednesday, August 22, 2018] [10:52:21 PM CEST] <mniip> ****, it is your IP address
[Wednesday, August 22, 2018] [10:52:37 PM CEST] <bigpresh>      ****: the danger is that *anyone* can use your router, as a proxy, to carry out illegal actions that will be traced back to your IP, and you will likely be held responsible

Bien, yo se lo digo a ustedes, Telefónica, y queda dicho por escrito, por si las moscas. La responsabilidad de proveer de actualizaciones que cierren los agujeros de seguridad es de ustedes, no mía. Y el router no es mi propiedad, es la suya.

No, ignoro que vulnerabilidad exacta han encontrado, no tengo acceso a esa información. Estará en los registros de ellos. Ustedes, que son mi ISP, podrán preguntarles y obtener esa información, yo no tengo autoridad.

Por otra parte, yo he tratado de cerrar ese puerto SSH sin éxito. De hecho, hay más puertos abiertos que no deberían estar, ya que son el target de script kiddies y de cualquier cracker que se precie:

Telcontar:~ # nmap ****

Starting Nmap 6.47 ( http://nmap.org ) at 2018-08-22 20:07 CEST
Nmap scan report for **** (****)
Host is up (0.00051s latency).
rDNS record for ****: ****.dynamicip.rima-tde.net
Not shown: 996 closed ports
PORT   STATE SERVICE
21/tcp open  ftp
22/tcp open  ssh
23/tcp open  telnet
80/tcp open  http

Nmap done: 1 IP address (1 host up) scanned in 3.85 seconds
Telcontar:~ # 

Hay ftp, ssh, telnet, y http abiertos (y no por mí). Que haya ssh (en versión moderna) es logíco, pero que haya Telnet, que es tremendamente vulnerable desde hace lustros, tiene delito.

No he encontrado configuración para cerrarlos, o al menos, cerrar el ssh que es el que protestan. He tratado de bloquear entrantes a ese puerto en el cortafuegos del router, sin éxito. Lo que me da a sospechar que ustedes usan ese puerto para algo.

Bien, ¿que me dicen?