Napadený modem - primární DNS server změněn na 192.99.14.108

Routery, AP, switche, huby, ethernet

Moderátor: Moderátoři Živě.cz

Odeslat příspěvekod kozuch82 15. 5. 2014 18:04

Zdravím,

tak mi kompromitovali modem přes nějaký exploit asi, zmenili DNS server na 192.99.14.108 přesně jak píšou na Lupě.cz. Jednalo se o Edimax AR-7084gB modem/router (nastavené slabé uživatelské heslo a vypnuta administrace z WANu) s původním firmwarem 2.9.5.0(RUE0.C2A)3.5.18.0 cca z roku 2007/2008. Zatím jsem modem vyměnil za záložní Siemens CL-040-I, ale ten je jen dočasný. U Edimaxu jsem updatoval firmware na 2.11.38.0 - otázka, zda to bude stačit.

Předpokládám, že se to stalo více lidem u různých jiných modemů. Jak to řešíte? Kupujete rovnou nový modem nebo zkušíte po update firmwaru vrátit původní zpátky. Ohledně nového zařízení - je to jedno, co koupím, hlavně, když to bude mít co nejnovější firmware, nebo má někdo tip na modem, který je hodně "neprůstřelný" na WANu? Nový modem by měl mít taky silný ethernetový porty, aby zvládal cca 60m kabel - což ten Edimax dával, ale Siemens to nedává, musel jsem před něj zapojit switch.
kozuch82
Junior
Uživatelský avatar

Odeslat příspěvekod Bari007 15. 5. 2014 18:18

Reset do továrních nastavení, aktualizace na nejnovější firmware a pro jistotu znovu reset do továrních nastavení. Tím je odstraněn problém, který v modemu byl, rozhodně není potřeba kvůli tomu kupovat nový modem/router.

Samozřejmostí je pak pravidelná aktualizace firmware a používat silná hesla pro WiFi i administraci (každé heslo jiné!) a nepovolovat administraci z WAN.

Pokud trváš na nákupu nového modemu, konzultuj to poskytovatelem internetu. Nejvhodnější jsou pak zařízení přímo od poskytovatele.
Bari007
VIP uživatel
Uživatelský avatar

Odeslat příspěvekod vladimir 15. 5. 2014 18:20

Koukám, nějak se nám to rozmáhá.

Pokud míníš něco kupovat, možná by nebyl špatný nápad koupit si Mikrotika a modem přepnout do režimu bridge.

Co jsem četl v poradně, stalo se to i s netriviálním heslem do webové administrace (speciálně jsem se ptal, jestli bylo netriviální i před útokem a prý ano), tedy je otázka, jestli ten malware nepoužívá nějaký skener klávesnice nebo skener síťového provozu nebo prohledávač uložených hesel v browserech, aby se k těm heslům dostal (pokud ve firmware neobjevili nějaká zadní vrátka, ale vzhledem k různorodosti napadených modelů se mi to nezdá).

Edit: jak TP-LINK TD-W8901G z poradny, tak Edimax z tohoto dotazu používají stejnou čipovou sadu Trenchip + Ralink, takže by to přece jenom teoreticky mohla být nějaká chyba referenčního firmwaru.

Pro zajímavost: máš na tom modemu veřejnou IP-adresu? (pokud ano, útok mohl být provedený přes díru ve firmwaru z internetu)
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod soban 16. 5. 2014 09:05

Nemůže jí o nějaký bordel v PC který pak přes lan se normálně na www modemu dostane?

Osobně bych nahrál nejnovější FW a DNS v modemu nenechal na auto od ISP ale zadal tam přímo DNS tvého ISP.

Protože ještě mohla být nějaká šance že tam přes ISP a jeho DHCP server se nastavil v modemu jiný DNS server a pak útočník podvrhoval stránky.
/----------------------------------------\
| Petr Šobáň |
| Olomouc |
\----------------------------------------/
soban
Pokročilý

Odeslat příspěvekod kozuch82 16. 5. 2014 09:18

Používám ADSL přípojení od T-Mobile (bývalé Radiokomunikace) - ano s veřejnou adresou, takže na WAN modemu se dá dostat z netu počítám (samozřejmě administrace z WAN je zakázaná, ale paušálně modem je dostupný i internetu - nevím, zda tam jsou otevřené nějaké porty).

Ohledně napadení v ČR, vypadá to, že útočníci získali ty správne IP range pro ADSL v ČR - zas tolik jich asi není. A ano, mám pochybnost, že útok byl přes díru ve firewallu, protože vlastně jak jinak by to mělo jít, když je vše zakázáno? Ano, ještě to může být z vnitřní sítě přes zavirované PC, ale v síti nevím o žádných virech...

Takže pokud ta díra ve FW nebyla tím upgradem Edimaxu co jsem udělal opravena (vzhledem k tomu, že ten update je z roku 2010 tak je to velká neznámá), asi bude modem dál zranitelný... právě proto jsem se ptal, zda to řešíte nákupem nového HW, který snad nemá (tolik?) děravý FW...

Modem do bridge na Mikrotik (případně jiný kvalitní router) - to zní dobře, přemýšlím jen, jestli to opravdu pomůže? Snad ano, když by pak vlastně z modemu se stal pouze "hloupý" konvertor z tel. linky do Ethernetu? Nikdy jsem to takhle nezapojoval... Edimax bridge asi podporuje. Takže pokud tomu dobře rozumím, na modemu nastavím Bridge a Mikrotik normálně zapojím do LANu na modemu a zapnu na něm PPPoE nebo tak něco?
kozuch82
Junior
Uživatelský avatar

Odeslat příspěvekod vladimir 16. 5. 2014 10:27

Ano, přesně, PPPoE by bylo na Mikrotiku, tím pádem by byla i ta veřejná IP na Mikrotiku, tedy případné útoky na veřejnou adresu by bušily do Mikrotika a to by měla být z hlediska zabezpečení vyšší třída.

Tys někde vyčetl, že jde o útoky výhradně na ADSL-modemy?

Možná obdobný útok z roku 2012 z Brazílie na modemy s nějakým čipem od Broadcom, chyba byla v ovladači čipu: http://www.securelist.com/en/blog/20819 ... DSL_modems
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod soban 16. 5. 2014 11:02

Jinak mám taky modem od O2 comtrend a žádné napadení jsem nezaznamenal a administraci mám z internetu povolenou (přes IPv6) modem nemá veřejnou IPv4.

PS. Tak jsem přístup z internetu zakázal - už ho nepotřebuji mám to už odladěné.

Takže z internetu je povolené pouze NTP a PING.
/----------------------------------------\
| Petr Šobáň |
| Olomouc |
\----------------------------------------/
soban
Pokročilý

Odeslat příspěvekod Bari007 17. 5. 2014 07:52

NTP z internetu? Tvůj modem poskytuje NTP do internetu? To bych rozhodně zakázal, NTP servery se dají velmi snadno zneužívat k DoS (DDoS) útokům.

A ping (obecně ICMP echo request) bych také zakázal.
Bari007
VIP uživatel
Uživatelský avatar

Odeslat příspěvekod Spejle 17. 5. 2014 08:05

Z ryze studijních a soukromých účelů bych chtěl ten soft napadajicí routry prozkoumat.
Nemate nekdo?
Dekuji
S.
Spejle
Junior

Odeslat příspěvekod Bari007 17. 5. 2014 09:19

Sleduj web http://csirt.cz/ a http://www.nic.cz/. Mají k dispozici napadený modem a budou dávat nějaký report, tak tam třeba něco zjistíš.

Jinak takový záškodnický software ze zřejmých důvodů jeho autoři nikde na internetu nezveřejňují, takže bys k principu fungování musel jít přes reverzní inženýrství stejně jako český CSIRT.
Bari007
VIP uživatel
Uživatelský avatar

Odeslat příspěvekod Spejle 17. 5. 2014 09:49

Díky.
Zdroják jsem ani nečekal. Zprávu jsem napsal tak, abych nebyl mylne hodnocen.
Mam zde starsi tp -link a zajima mne, kdyz si vir spustim v domaci siti - zda router odola nebo ne.
Hlavne mne zajima zda jde skutecne o chybu nekde v kodu nebo dojde k přehrání celého firmwaru.

Mozna, ze nastavena cesta automaticke aktualizace SW a FW po internetu bude přehodnocena.
A nebude vhodne, aby kazda lednice mela sve IP.
Omlouvam se za trochu filozofie.
S.
Spejle
Junior

Odeslat příspěvekod Bari007 17. 5. 2014 09:50

Sleduj výše uvedený stránky a tam by ses měl časem dozvědět, jak dané nákaza funguje a jak se proti ní bránit.
Bari007
VIP uživatel
Uživatelský avatar

Odeslat příspěvekod Spejle 17. 5. 2014 09:54

OK
Spejle
Junior

Odeslat příspěvekod kozuch82 17. 5. 2014 12:24

Z polských stránek Eximaxu (viz Specifikace) jsem zjistil, že v napadeném modemu je následující chipset:

CPU: Trendchip TC3162P2
Front End: Trendchip TC3085 (webové admin rozhraní)

Nicméně v mezičase jsem zjistil, že na modemu asi defaultně není zakázána administrace z WANu (v pondělí vyzkouším, zda to je pravda - defaultně není nastavený Access Control Listing a nevím, jak se přístup na WAN bez jeho nastavení chová) ani zapnutý Firewall - což oboje je na pováženou... Takže jsem možná administraci z WANu měl povolenou. Ještě upřesním.
Naposledy upravil kozuch82 dne 18. 5. 2014 10:01, celkově upraveno 1
kozuch82
Junior
Uživatelský avatar

Odeslat příspěvekod MgX 17. 5. 2014 14:29

kozuch82 jestli můžeš, tak to, prosím, pak doplň. Zda a co jsi měl v této oblasti povoleno/zakázáno.

Dík
S pozdravem MgX
MgX
Junior
Uživatelský avatar

Odeslat příspěvekod kozuch82 18. 5. 2014 09:54

Takže mám špatnou zprávu... ten Edimax nemá z výroby nastaven žádný Access Control (v admin veden jako Access Control Listing - ACL) a tím pádem je administrace defaultně povolená i z WANu... to výrobce moc nedořešil, je to trochu nepochopitelný... rád bych věděl, kolik lidí si to dovede samo zakázat nebo je to vůbec napadne, že to může defaultně bejt povolený... takže já to taky neřešil, vůbec mě to nenapadlo a tudíž jsem měl admin z WANu povolen... všechny moje předešlý modemy (nějaký Zyxely + std. modemy od Telecomu či Radiokomunikací) měly admin z WANu většinou defaultně zakázanej a musel se apriori povolovat.

Když koukám na nejprodávanější modemy na Alza.cz tak TP-Linky a Edimaxy (např. TP-LINK TD-W8961NB či Edimax AR-7286WNB) maj úplně stejnej designu admin rozhraní (= pravděpodobně chipset Trendchip) jako můj stařičký Edimax... takže to vypadá, že tyto všechny modemy mají z továrny taky povolenu adminstraci na WANu... :( takže lidi, zakažte si to sami! ;-)

Tím asi útok na můj modem dostává jinej, snad ne tolik závažnej rozměr... zatím nebudu kupovat novej, ale pořádně ten původní nastavím (ACL + zapnout Firewall, kterej je taky z výroby vypnutej). Plus silný heslo do adminu a tím to zatím končí.
kozuch82
Junior
Uživatelský avatar

Odeslat příspěvekod vladimir 18. 5. 2014 10:23

To není špatná zpráva, ale naopak dobrá, protože konečně vysvětluje možný mechanismus útoku: útočník si zjistí přes otevřený port 80 administrátorské heslo a pak se přihlásí přes webovou administraci, vše pohodlně z internetu.

Tedy stačí zakázat webovou administraci z internetu a pokud má zařízení firewall, tak blokovat příchozí port 80.

http://www.root.cz/zpravicky/utok-na-ro ... i-v-cesku/
EDIT: zajímavý není ten článek, ale diskuse pod ním.
Naposledy upravil vladimir dne 18. 5. 2014 16:56, celkově upraveno 1
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod kozuch82 18. 5. 2014 10:41

Ano, špatná i dobrá... dobrý v tom, že můj útok může být vysvětlen, ale španá v tom, že ostatní uživatelé, pokud ACL nenastavili, mají admin na WANu taky povolen...

Mám jednu otázku - jak může útočník přes port 80 zjistit admin heslo (pokud heslo je silné a neuhodne ho)? Není to ten exploit přes rom-0? Moc jsem o tom nikde nenašel. Moje heslo na WANu mělo 5 znaků, pouze písmena.

Myslím, že zakázání Web adminu na WAN v ACL asi blokuje celý port 80 z venku. Jinak v komentáři u tohohle blogpostu je reportováno napadení TP-Linku TD-W8961NB s FW V1.0.
kozuch82
Junior
Uživatelský avatar

Odeslat příspěvekod Spejle 18. 5. 2014 13:17

Dobrý blok - chlap ví o čem píše.

Osobně si myslím, ze nekdo vynesl data z fabriky a nekomu dal nebo prodal.
Pak si dotyčný proskenoval sit aby zjistil kde co bezi a spustil utok.

Reseni bych videl jedno a velmi lacine - konfiguacni rozhrani offline, ruku na srdce kolikrat od montaze si chodite popovidat se svym routrem. :-)

S.
Spejle
Junior

Odeslat příspěvekod vladimir 18. 5. 2014 14:50

kozuch82 píše:Mám jednu otázku - jak může útočník přes port 80 zjistit admin heslo (pokud heslo je silné a neuhodne ho)?
Viz můj odkaz na root.cz, diskuze pod článkem: útočník údajně může chybou v operačním systému ZynOS přes port 80 získat výpis flash paměti, kde je uložené i heslo. Obdobně probíhal i ten hromadný útok v Brazílii 2012.

A útok na zynOS je zmiňovaný i v diskuzi pod tebou odkazovaným blogem.
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod kozuch82 18. 5. 2014 17:52

Spejle píše:Reseni bych videl jedno a velmi lacine - konfiguacni rozhrani offline, ruku na srdce kolikrat od montaze si chodite popovidat se svym routrem. :-)

Tak bohužel zrovna v tom blogpostu Jakub Bouček píše, že byl napaden modem, který měl admin z WANu zakázaný... takže toto nebude asi postačující řešení.
kozuch82
Junior
Uživatelský avatar

Odeslat příspěvekod Spejle 18. 5. 2014 18:10

Tim jsem chtel rici , ze zarizeni bude obsahovat zastrcku pro konfiguraci treba pres usb a provede konfiguraci.
Po vytazeni se router pro upravy zamkne.
Spejle
Junior

Odeslat příspěvekod vladimir 18. 5. 2014 18:36

kozuch82 píše:Tak bohužel zrovna v tom blogpostu Jakub Bouček píše, že byl napaden modem, který měl admin z WANu zakázaný...
No, on tam jenom píše, že modem byl v době, kdy to instaloval, v defaultním nastavení a "pokud ví, u tohoto typu modemů je defaultně přístup zakázaný". To se podle mne může firmware od firmware lišit.
Kromě toho ten modem nainstaloval "rodině pana Tomáše" a ten nebo jeho rodina s tím rok dělali, nikdo neví, co. Móda instalace webových kamer, zpřístupňování všelijakých NAS serverů a budování VPN-tunelů svádí k experimentům s nastavením NATu a z toho důvodu mohl někdo (třeba -náctiletý synáček) tu vzdálenou administraci povolit a po ukončení experimentů ji už nezakázal (to je jenom DOHAD).
Kdyby pan Bouček napsal: "po útoku jsem to zkontroloval a administrace zvenku byla zakázaná", mělo by to nesrovnatelně vyšší vypovídací hodnotu.

Nechme se překvapit budoucím vývojem. Pokud se objeví napadené modemy na neveřejné IP-adrese, bude to důkaz útoku zevnitř sítě (resp. ze sítě operátora).
Zatím stejně nezbývá nic jiného, než zakázat webovou administraci z internetu, zakázat všechny nepotřebné příchozí porty ve firewallu na modemu, pokud tam firewall je a případně aktivovat DMZ na nějakou (nepoužitou) vnitřní adresu a čekat na další informace.
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod JakubBoucek 19. 5. 2014 10:28

vladimir píše:Kdyby pan Bouček napsal: "po útoku jsem to zkontroloval a administrace zvenku byla zakázaná", mělo by to nesrovnatelně vyšší vypovídací hodnotu.


To bohužel napsat nemohu, nebyla by to zcela pravda. Nastavení routeru jsem po útoku prošel a zkontroloval všechny volby, zda některá z nich vyloženě neotevírá zranitelnost a vše bylo nezměněné. Volby povoleného adminu na WANu bych si nejspíš všiml.
Doplním, že v tomto případě router zůstal nedotčen od mého nastavení. Nikdo z jejich rodiny nemá zájem nastavení routeru měnit a pokud vím, ani nikdy nechtěli heslo do administrace. Pokud vám přijde divné, že někdo cizí zahesluje router a ani heslo majiteli neřekne, tak proto, že jsem rodinný přítel, oni netuší, k čemu router je, mají ho, protože bez něj by internet nefungoval a jediný kód, který potřebují (a chtějí) znát, je moje telefonní číslo pro řešení potíží.

Doplním, že v CSIRTu finišuje testování routeru a brzo výsledky zveřejní. S předběžnými výsledky už jsem obeznámený a nemám z toho vůbec radost. Ne kvůli tomu jednomu routeru, ten pak rozdupu a Tomovi koupim jiný, ale kvůli míře nebezpečnosti všech exemplářů tohodle modelu, které jsou nejspíš rozesety napíč nic netušícima uživatelema :-/

Jinak díky za tohle vlákno a další zajímavé informace, jen tak dál.
JakubBoucek
Kolemjdoucí
Uživatelský avatar

Odeslat příspěvekod kozuch82 19. 5. 2014 10:47

Jakube, zkuste ještě opravdu prověřit, zda na tom routeru nebyl opravdu admin na WANu povolen z výroby (=reset do továrního nastavení, nejlépe s tím původním FW + test přístupu z venku). Nějak se mi nechce věřit, že by se to nastavení Front Endu od Trendchipu lišilo u různých výrobců modemů (TP-Link vs. Edimax atd.)... za prověření nic nedáme a bude to nezpochybnitelná informace.
kozuch82
Junior
Uživatelský avatar

Odeslat příspěvekod JakubBoucek 19. 5. 2014 11:21

Router má teď CSIRT v laboratoři, takže bohužel neproveřím. Víc informací vám dá jejich report, měl by vyjít dnes, nebo v nejbližších dnech. Víc info nemám v tuto chvíli.

EDIT: Smazal jsem na blogu tvrzení o zakázaném WANu. Pokud je ve výchozím stavu zapnutý, tak je to největší WTF. Ano, já jsem to tak předpokládal, což může být zavádějící. Prohledal jsem screenshoty, které jsem si v administraci udělal a nikde tohle nastavení nevidím.

Díky za popíchnutí.
Naposledy upravil JakubBoucek dne 19. 5. 2014 11:38, celkově upraveno 2
JakubBoucek
Kolemjdoucí
Uživatelský avatar

Odeslat příspěvekod Milanr1 19. 5. 2014 11:21

Mají tyhle laciné SoHo krabičky nějaký Security log, kde by byl zaznamenán každý přístup do admin rozhraní?
Milan
Milanr1
Pokročilý
Uživatelský avatar

Odeslat příspěvekod JakubBoucek 19. 5. 2014 11:34

Log mají, ale po restartu se maže. Log byl zapnutý, ale podíval jsem do něj až další den, což bohužel bylo po restartu.
JakubBoucek
Kolemjdoucí
Uživatelský avatar

Odeslat příspěvekod oooooooooo 19. 5. 2014 13:05

Ja tedy nevím ale byl jsem minulej tyden u lidí jednu drobnost řešit s routerem byl to jakejsi tp-link a není první kde nebyla vůbec volba activated - deactivated ale pouze typ rozhrani kde se muselo zadat 0.0.0.0..To je disable,nešlo tam nechat blank a mit zaškrtly deactivated,nebylo kde a co zaškrtnout.Nic jinyho enable ktery tam bylo DEFAULT nerušilo.Takže to tvrzeni že tato zakladní diry nebyla zavřená nemuselo byt spravný - toto si člověk prostě pamatuje pokud je to udělany stejnym způsobem.
http://seven7.blog.zive.cz/
Spuštění Windows předchází pád.
oooooooooo
Pokročilý
Uživatelský avatar

Odeslat příspěvekod kozuch82 19. 5. 2014 14:06

JakubBoucek píše:EDIT: Smazal jsem na blogu tvrzení o zakázaném WANu. Pokud je ve výchozím stavu zapnutý, tak je to největší WTF. Ano, já jsem to tak předpokládal, což může být zavádějící. Prohledal jsem screenshoty, které jsem si v administraci udělal a nikde tohle nastavení nevidím.

Bavíme se o tom ACL? Pokud jsi v tom adminu u ACL neměl žádný záznam vyplněný, osobně si myslím, že tam admin na WANu byl povolen, protože nebyl apriori zakázán. Sorry, že to obakuju jak v mateřské školce, ale jde mi o to, aby nedocházelo k nedorozumnění. Díky za pochopení. ;-)
kozuch82
Junior
Uživatelský avatar

Odeslat příspěvekod JakubBoucek 19. 5. 2014 14:56

kozuch82 píše:Bavíme se o tom ACL? Pokud jsi v tom adminu u ACL neměl žádný záznam vyplněný, osobně si myslím, že tam admin na WANu byl povolen, protože nebyl apriori zakázán.


Jo to je problém, o ACL řeč není. Jsem zvyklý ne něco takto očividného: http://i.stack.imgur.com/aqgdC.png

Alespoň OvisLink, Zyxel, Huawei, i Asus to tak IMHO mají. Proto jsem na webu dementoval to prohlášení, že jsem ošetřil managenent na WANu. Měl jsem za to, že je standard, že se admin binduje jen na vnitřní interface bez routování web. Jednalo se tedy o selhání na mé straně při konfiguraci a zabezpečení sítě.

Stav ACL při útoku: https://www.dropbox.com/s/qy0acuv54px9d ... .45.18.png
Vás by napadlo (bez toho, abyste si o tom explicitně někde přečetli), že nenastavenám ACL se otevře mgmt ven? Mě teda ne :-/

To nic nemění na tom, že fakt, že router tohle umožnuje ve výchozím nastavení, je spolu s /rom-0 megaprůser a uživatelé, kteří tenthle problém vnímají a včas ošetří, představují jen zlomeček uživatelů.
JakubBoucek
Kolemjdoucí
Uživatelský avatar

Odeslat příspěvekod oooooooooo 19. 5. 2014 14:56

Neplati pro všechny TP-LINKY viz vyše.Dokud nenapišeš 0.0.0.0 je enabled.Žadna volba ala deaktivate tam nebyla.Musiš prostě natukat 0.0.0.0 což ti piše napověda vpravo ,proč ti neumožni uložit config když tam vlezeš a daš blank - disabled = 0.0.0.0
Default je enabled,nepřepišeš na 0.0.0.0 - povoleno.
Ten screen na dropbox je taky legrace :-D
http://seven7.blog.zive.cz/
Spuštění Windows předchází pád.
oooooooooo
Pokročilý
Uživatelský avatar

Odeslat příspěvekod JakubBoucek 19. 5. 2014 15:36

oooooooooo píše:Ten screen na dropbox je taky legrace


OT, ale proč? :)
JakubBoucek
Kolemjdoucí
Uživatelský avatar

Odeslat příspěvekod oooooooooo 19. 5. 2014 15:41

No protože mně pochopitelně haže errror 403,takže se k němu dostanu jedině volbou go back,ono totiž se jinak při určitym nastaveni chova volba copy public link a share link.
http://seven7.blog.zive.cz/
Spuštění Windows předchází pád.
oooooooooo
Pokročilý
Uživatelský avatar

Odeslat příspěvekod JakubBoucek 19. 5. 2014 16:21

To mi nedělá ani v incognito mode, asi dočasný bug Dropboxu. Záměrně nedávám public link, protože tam mám asi 800 screenů a není takový problém dekrementací čísla najít další. Problémy někdy dělají typografické pomlčky, které čertvíproč dává Mac OS do názvu těch souborů.
JakubBoucek
Kolemjdoucí
Uživatelský avatar

Odeslat příspěvekod Milanr1 19. 5. 2014 16:32

[OT]
Jak publikovat grafiku do fóra - viz FAQ:
viewtopic.php?p=6430893&f=902#p6430893
[/OT]
Milan
Milanr1
Pokročilý
Uživatelský avatar

Odeslat příspěvekod vladimir 19. 5. 2014 16:37

JakubBoucek, oooooooo: Pozor, BAVÍTE SE O STEJNÉM ZAŘÍZENÍ? Je rozdíl mezi wifi-routery od TP-linku, některými starými modemy s wifi stejného výrobce a novými modely modemů.

U všech wifi-routerů TP-LINK novějšího data 0.0.0.0 znamená zakázat administraci odevšad.

U starých modemů (td-w8901g) 0.0.0.0 znamená povolit vše, nuly jsou výchozí nastavení, netuším, zda je ACL defaultně zapnuté nebo vypnuté.
- Nuly pro WAN nebo pro Both a zapnuté ACL je v každém případě průšvih.
- Co znamená u tohoto modemu vypnutá kontrola přístupu (ACL disabled), netuším - vypnutá kontrola logicky vyvozuje pocit, že je přístup odevšad zakázaný, ale může to teoreticky znamenat i pravý opak (to, co píše kozuch82): vypnutá kontrola může znamenat nekontrolovaný přístup odevšad. To nám snad řekne ten report od CSIRT.

U nových modemů TP-link (TD-W8980) je to zase ještě jinak, tam už je na povolení vzdálené administrace háček.
Naposledy upravil vladimir dne 19. 5. 2014 17:10, celkově upraveno 2
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod oooooooooo 19. 5. 2014 16:57

Kód: Vybrat vše
JakubBoucek, oooooooo: Pozor, BAVÍTE SE O STEJNÉM ZAŘÍZENÍ? Je rozdíl mezi wifi-routery od TP-linku, některými starými modemy s wifi stejného výrobce a novými modely modemů.

Nikde jsem netvrdil že se bavím o stejnem zařizení - byla to spiš reakce na to že jak jsem koukal tak se divil že pokud nedá explicitně disabled tak je automaticky enabled.A jenom jako zajimavost jsem uvaděl router kde prostě musí dát 0.0.0.0,s tim že je tam dokonce jako zakladní chybějicí volba na zaškrtnutí activate - deactivate.No a než jsem dopsal přispěvek objevil se další,takže to možna vypadalo jako reakce na jiný přispěvek.
Přimo to router piše co volba 0.0.0.0 znamená jako varujici hlašku ale to se objeví až když zkusite dát blank a save config,možnqa by bylo zajimavy to zkusit i u tohoto modelu.
http://seven7.blog.zive.cz/
Spuštění Windows předchází pád.
oooooooooo
Pokročilý
Uživatelský avatar

Odeslat příspěvekod kozuch82 19. 5. 2014 19:55

Ještě pro další upřesnění - u toho mého Edimaxu je po továrním resetu ACL vypnuto (= nastaveno na Deactivated), přesně jako na tom screenu na Dropboxu. Inženýry Trendchipu to mysleli asi takto - když je kontrola přístupu vypnuta, modem nic nehlídá a dá se tam dostat odevšud (WAN, LAN). Pokud ACL zapnete (Activated), ale nenastavíte si žádné pravidlo ve formuláři níže, ZABLOKUJETE si kompletně veškerý přístup do zařízení - takto se to píše i v manuálu k mému Edimaxu, cituji:

ACL: When you have activated the function, please do make sure that you have designated the available applications/services or you will be denied to access all the services.

Procházel jsem manuály těch dvou aktuálně prodávaných modemů z Alzy (modely viz výše) a oba tam měly napsané to samé, co zde cituju.

Takže ještě to shrnu:
- ACL deaktivováno - vše povoleno
- ACL aktivováno bez pravidel - vše zakázáno
- ACL aktivováno s pravidly - dle pravidel povoleno

EDIT: Koukám znovu na ty manuály pro TP-LINK TD-W8961NB a Edimax AR-7286WNB a ACL se sice technicky nastavuje úplně stejně, jak píšu, ale obou manuálech je doprovodný screen přesně ten, co má vladimir v dalším příspěvku - tzn. ACL zapnuté s jediným pravidlem pro LAN. Tzn. že tyto modely pravděpodobně (!!! pouze domněnka) mají z továrny povolenu administraci jen z LANu.
Naposledy upravil kozuch82 dne 19. 5. 2014 20:28, celkově upraveno 1
kozuch82
Junior
Uživatelský avatar

Odeslat příspěvekod vladimir 19. 5. 2014 20:10

Takže jinými slovy, na tomto obrázku je znázorněno to, co by měli udělat všichni majitelé veškerých modemů Edimax a starých modemů TP-link (nové modely od TP-link to už mají udělané lépe):
Edimax-AR-7286W.PNG

(aktivovat ACL, vytvořit pravidlo pro povolení přístupu z LAN ze všech adres, nepovolovat přístup z WAN nebo z Both).
Naposledy upravil vladimir dne 19. 5. 2014 20:31, celkově upraveno 1
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod kozuch82 19. 5. 2014 20:28

to vladimir:

Ano, přesně tak. Ještě jsem updatoval svůj předešlý příspěvek.
kozuch82
Junior
Uživatelský avatar

Odeslat příspěvekod MgX 19. 5. 2014 21:18

Ahoj, sleduji jako laik tuto diskuzi.

Koukal jsem také do nastavení TP-LINKu WDR4300 v1 (oficiální firmware) a v části Remote Management se v doprovodné nápovědě píše následující...

TP-Link WDR4300 píše:Remote Management Help

This feature allows you to manage your Router from a remote location via the Internet.

Web Management Port - Web browser access normally uses the standard HTTP service port 80. This Router's default remote management web port number is 80. For greater security, you can change the remote management web port to a custom port by entering that number in the box provided. Choose a number between 1 and 65535 but do not use the number of any common service port.
Remote Management IP Address - This is the current address you will use when accessing your Router from the Internet. This function is disabled when the IP address is set to the default value of 0.0.0.0. To enable this function change 0.0.0.0 to a valid IP address. If set to 255.255.255.255, then all the hosts can access the Router from internet.

To access the Router, you should enter your Router's WAN IP address into your browser's address (in IE) or location (in Netscape) box, followed by a colon and the custom port number you set in the Web Management Port box. For example, if your Router's WAN address is 202.96.12.8 and you use port number 8080, enter http://202.96.12.8:8080 in your browser. You will be asked for the Router's password. After successfully entering the password, you will be able to access the Router's web-based utility.

Note:

Be sure to change the Router's default password to a secure password.
If the web management port conflicts with the one used for a Virtual Server entry, the entry will be automatically disabled after the setting is saved.

Tudíž z nápovědy by mělo plynout, že 0.0.0.0 zde znamená vypnutí přístupu z WAN. To jen pro doplnění některých záležitostí okolo routerů stejné značky.

//no a následně v Access Control Rule Management je zaškrtávací okénko, kde je možno aktivovat Enable Internet Access Control.
S pozdravem MgX
MgX
Junior
Uživatelský avatar

Odeslat příspěvekod vladimir 21. 5. 2014 08:29

Tak už vydali zprávu: http://blog.nic.cz/2014/05/21/kriticka- ... h-routeru/

(V podstatě konstatují, že u testovaného TP-LINK TD-W8901GB v defaultním nastavení ani s posledním existujícím firmwarem není zapnuté ACL a doporučují ho zapnout.)
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod JakubBoucek 21. 5. 2014 09:22

CZ.NIC vydal zprávu:
Kritická zranitelnost mnoha domácích routerů (blog.nic.cz)

Plus na ROOTovi se autor článku rozepsal více do hloubky:
Analýza: zranitelnost „rom-0“ postihuje 1,5 milionu domácích routerů (root.cz)
JakubBoucek
Kolemjdoucí
Uživatelský avatar

Odeslat příspěvekod vladimir 21. 5. 2014 09:54

Pěkný článek. Hlavně se mi líbí věta:
Nejspolehlivější metoda, jak lze tedy zjistit, zda je konkrétní router zranitelný, je zkrátka zkusit stáhnout soubor rom-0 z URL http://<IP adresa routeru>/rom-0
což zmanemá, že v tomto okamžiku to začne zkoušet kde-kdo.

Výzva: napište sem, pokud chcete, jak jste dopadli se svým typem ADSL modemu při testu z veřejné IP-adresy, pokud ji máte. Routery a wifi-routery bez ADSL podle všeho nejsou postiženy (nepoužívají ZynOS).
Zatím potvrdili zranitelnost těchto modelů:
•TP-LINK TD-W8901G
•TP-LINK TD-8816
•TP-LINK TD-W8951ND
•TP-LINK TD-W8961ND
•D-Link DSL-2640R
a k tomu asi přibývá Edimax Edimax AR-7084gB, který reportuje Kozuch82 v tomto threadu.
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod Omal 21. 5. 2014 15:49

Zdravím, pročítal jsem toto vlákno a mám pár obecných připomínek. Popis položek ve webovém rozhraní je často zmatečný a neodpovídá běžně používané terminologii a běžně používaným standardům (například zmiňovaný zmatek okolo významu adresy 0.0.0.0 v ACL). Roztříštěnost a roztahanost nastavení také nepřispívá. Není ideální, když je nastavení bezpečnosti roztaháno všude možně po stránkách administračního rozhraní. Když se ke všemu přičte snaha udělat www rozhraní co nejlíbivěji, bez ohledu na logičnost, je zaděláno na průser.

Další problém je, že lidé nečtou návody a díky tomu přehlédnou věci, o kterých si myslí, že jsou naprosto jasné (například povolená administrace z WAN). Přiznám se, že také nečtu návody, ale po tomto asi začnu.

Mnozí byli překvapeni, jak funguje ACL na těchto levných routerech, ale podle mě jde o zcela standardní chování. Každé ACL má po aktivování na konci automaticky doplněné pravidlo "deny any". Toto pravidlo je tam vždy a nejde smazat. Pouze před něj lze doplnit pravidlo "permit any", a tím provedení poslední pravidlo vyřadit (při procházení ACL pravidel se postupuje podle "first match fits").

Podle mě je ideální používat OpenWRT nebo DD-WRT. Tam lze filtrovat pomocí iptables, což je nádherně logické a přehledné.
Omal
Junior

Odeslat příspěvekod Jiri.Sko 21. 5. 2014 16:03

Tak jsem se pustil také do testování svých dvou starších ZyXEL modemů (od O2) a moc potěšující výsledky teda nemám. :( Nicméně na začátek alespoň jedna společná pozitivní informace: U obou zařízení je ve výchozím stavu přístup z WAN zakázán.
V obou případech se jedná o model P660HW-T3, první a druhé verze.

Model P660HW-T3 (v1) obsahoval firmware V3.40(ALQ.1)E0_20061204 z 12.4.2006. V okamžiku, kdy je povolen (Web) Remote MGMT z WAN, tak nastává problém. Standardně při pokusu o stažení rom-0 vyskočí hláška Object Not Found, ovšem pokud je zrovna uživatel přihlášen do administrace, dojde ke stažení rom-0!! Je tedy relativně malá pravděpodobnost, že někdo využije zrovna tohoto okamžiku, nicméně nelze to vyloučit.

Druhé zařízení je model P660HW-T3 v2 s firmwarem V3.40(AXJ.0) z 17.12.2007. Pokud je povolen přístup z WAN do webové administrace, rom-0 jde stáhnout kdykoliv!!

Důrazně tedy doporučuji u těchto modelů nepovolovat přístup z WAN.
Jiri.Sko
Kolemjdoucí

Odeslat příspěvekod vladimir 21. 5. 2014 16:37

Omal píše:Podle mě je ideální používat OpenWRT nebo DD-WRT. Tam lze filtrovat pomocí iptables, což je nádherně logické a přehledné.
Až na to, že na běžné ADSL modemy DD-WRT ani Open-WRT nejde nahrát tak, aby fungovalo ADSL a tento útok se týká (zdá se) výhradně ADSL-modemů.
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod Omal 21. 5. 2014 16:55

Pravda, to jsem si nevšiml. Ale zdá se mi to dost divné. Ale stejně platí to, co jsem řekl, doporučuji cokoli, kam jde OpenWRT nebo DD-WRT. Je sice pravda, že s DSL a CATV modemy se moc nekamarádí, ale na běžný router jdou dát. Modem lze použít v režimu bridge, takže veřejná IP bude na routeru s OpwnWRT a bude to bezpečné.
Omal
Junior

Odeslat příspěvekod vladimir 21. 5. 2014 18:35

Divné? Proč? Napadnutelné tímto útokem jsou zařízení s operačním systémem ZynOS a to je specializovaný OS pro modemy.
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod Omal 21. 5. 2014 19:13

Aha, nevěděl jsem, že ZynOS je jen pro modemy.
Omal
Junior

Odeslat příspěvekod vladimir 21. 5. 2014 20:05

No, nemusel by být, ale proč platit licenční poplatky Zyxelu, když jinde mohou výrobci nasadit vlastní firmware založené na linuxu / BSD? V modemech má Zyxel monopol, protože neexistují ovladače pro ten ADSL čip pro linux (proto taky není možné nasadit open/dd wrt).

Teď mě napadá, že zynos by teoreticky mohl být v některých (wifi)routerech od Zyxelu, oni sami sobě poplatky platit nemusí.
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod Omal 21. 5. 2014 20:50

Jj, na rootu o tom něco málo psali. Že prý ZynOS vychází z nějakého real-time OS. Tak nějak jsem věděl, že tovární firmwary jsou děravé, ale tohle je poslední kapka. Chyby se nevyhnou nikomu, to neříkám, ale v tomto případě není naděje na vydání nového firmwaru.

Zlatý RouterOS, zlatý OpenWRT, zlatý DD-WRT, zlatý IOS, zlatý CatOS, zlatý NX-OS... Tam je všechno krásně logické, přehledné, jasné a bezpečné.
Omal
Junior


Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků