Napadený modem - primární DNS server změněn na 192.99.14.108

Routery, AP, switche, huby, ethernet

Moderátor: Moderátoři Živě.cz

Odeslat příspěvekod JakubBoucek 19. 5. 2014 15:56

kozuch82 píše:Bavíme se o tom ACL? Pokud jsi v tom adminu u ACL neměl žádný záznam vyplněný, osobně si myslím, že tam admin na WANu byl povolen, protože nebyl apriori zakázán.


Jo to je problém, o ACL řeč není. Jsem zvyklý ne něco takto očividného: http://i.stack.imgur.com/aqgdC.png

Alespoň OvisLink, Zyxel, Huawei, i Asus to tak IMHO mají. Proto jsem na webu dementoval to prohlášení, že jsem ošetřil managenent na WANu. Měl jsem za to, že je standard, že se admin binduje jen na vnitřní interface bez routování web. Jednalo se tedy o selhání na mé straně při konfiguraci a zabezpečení sítě.

Stav ACL při útoku: https://www.dropbox.com/s/qy0acuv54px9d ... .45.18.png
Vás by napadlo (bez toho, abyste si o tom explicitně někde přečetli), že nenastavenám ACL se otevře mgmt ven? Mě teda ne :-/

To nic nemění na tom, že fakt, že router tohle umožnuje ve výchozím nastavení, je spolu s /rom-0 megaprůser a uživatelé, kteří tenthle problém vnímají a včas ošetří, představují jen zlomeček uživatelů.
JakubBoucek
Kolemjdoucí
Uživatelský avatar

Odeslat příspěvekod oooooooooo 19. 5. 2014 15:56

Neplati pro všechny TP-LINKY viz vyše.Dokud nenapišeš 0.0.0.0 je enabled.Žadna volba ala deaktivate tam nebyla.Musiš prostě natukat 0.0.0.0 což ti piše napověda vpravo ,proč ti neumožni uložit config když tam vlezeš a daš blank - disabled = 0.0.0.0
Default je enabled,nepřepišeš na 0.0.0.0 - povoleno.
Ten screen na dropbox je taky legrace :-D
http://seven7.blog.zive.cz/
Spuštění Windows předchází pád.
oooooooooo
Pokročilý
Uživatelský avatar

Odeslat příspěvekod JakubBoucek 19. 5. 2014 16:36

oooooooooo píše:Ten screen na dropbox je taky legrace


OT, ale proč? :)
JakubBoucek
Kolemjdoucí
Uživatelský avatar

Odeslat příspěvekod oooooooooo 19. 5. 2014 16:41

No protože mně pochopitelně haže errror 403,takže se k němu dostanu jedině volbou go back,ono totiž se jinak při určitym nastaveni chova volba copy public link a share link.
http://seven7.blog.zive.cz/
Spuštění Windows předchází pád.
oooooooooo
Pokročilý
Uživatelský avatar

Odeslat příspěvekod JakubBoucek 19. 5. 2014 17:21

To mi nedělá ani v incognito mode, asi dočasný bug Dropboxu. Záměrně nedávám public link, protože tam mám asi 800 screenů a není takový problém dekrementací čísla najít další. Problémy někdy dělají typografické pomlčky, které čertvíproč dává Mac OS do názvu těch souborů.
JakubBoucek
Kolemjdoucí
Uživatelský avatar

Odeslat příspěvekod Milanr1 19. 5. 2014 17:32

[OT]
Jak publikovat grafiku do fóra - viz FAQ:
viewtopic.php?p=6430893&f=902#p6430893
[/OT]
Milan
Milanr1
Pokročilý
Uživatelský avatar

Odeslat příspěvekod vladimir 19. 5. 2014 17:37

JakubBoucek, oooooooo: Pozor, BAVÍTE SE O STEJNÉM ZAŘÍZENÍ? Je rozdíl mezi wifi-routery od TP-linku, některými starými modemy s wifi stejného výrobce a novými modely modemů.

U všech wifi-routerů TP-LINK novějšího data 0.0.0.0 znamená zakázat administraci odevšad.

U starých modemů (td-w8901g) 0.0.0.0 znamená povolit vše, nuly jsou výchozí nastavení, netuším, zda je ACL defaultně zapnuté nebo vypnuté.
- Nuly pro WAN nebo pro Both a zapnuté ACL je v každém případě průšvih.
- Co znamená u tohoto modemu vypnutá kontrola přístupu (ACL disabled), netuším - vypnutá kontrola logicky vyvozuje pocit, že je přístup odevšad zakázaný, ale může to teoreticky znamenat i pravý opak (to, co píše kozuch82): vypnutá kontrola může znamenat nekontrolovaný přístup odevšad. To nám snad řekne ten report od CSIRT.

U nových modemů TP-link (TD-W8980) je to zase ještě jinak, tam už je na povolení vzdálené administrace háček.
Naposledy upravil vladimir dne 19. 5. 2014 18:10, celkově upraveno 2
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod oooooooooo 19. 5. 2014 17:57

Kód: Vybrat vše
JakubBoucek, oooooooo: Pozor, BAVÍTE SE O STEJNÉM ZAŘÍZENÍ? Je rozdíl mezi wifi-routery od TP-linku, některými starými modemy s wifi stejného výrobce a novými modely modemů.

Nikde jsem netvrdil že se bavím o stejnem zařizení - byla to spiš reakce na to že jak jsem koukal tak se divil že pokud nedá explicitně disabled tak je automaticky enabled.A jenom jako zajimavost jsem uvaděl router kde prostě musí dát 0.0.0.0,s tim že je tam dokonce jako zakladní chybějicí volba na zaškrtnutí activate - deactivate.No a než jsem dopsal přispěvek objevil se další,takže to možna vypadalo jako reakce na jiný přispěvek.
Přimo to router piše co volba 0.0.0.0 znamená jako varujici hlašku ale to se objeví až když zkusite dát blank a save config,možnqa by bylo zajimavy to zkusit i u tohoto modelu.
http://seven7.blog.zive.cz/
Spuštění Windows předchází pád.
oooooooooo
Pokročilý
Uživatelský avatar

Odeslat příspěvekod kozuch82 19. 5. 2014 20:55

Ještě pro další upřesnění - u toho mého Edimaxu je po továrním resetu ACL vypnuto (= nastaveno na Deactivated), přesně jako na tom screenu na Dropboxu. Inženýry Trendchipu to mysleli asi takto - když je kontrola přístupu vypnuta, modem nic nehlídá a dá se tam dostat odevšud (WAN, LAN). Pokud ACL zapnete (Activated), ale nenastavíte si žádné pravidlo ve formuláři níže, ZABLOKUJETE si kompletně veškerý přístup do zařízení - takto se to píše i v manuálu k mému Edimaxu, cituji:

ACL: When you have activated the function, please do make sure that you have designated the available applications/services or you will be denied to access all the services.

Procházel jsem manuály těch dvou aktuálně prodávaných modemů z Alzy (modely viz výše) a oba tam měly napsané to samé, co zde cituju.

Takže ještě to shrnu:
- ACL deaktivováno - vše povoleno
- ACL aktivováno bez pravidel - vše zakázáno
- ACL aktivováno s pravidly - dle pravidel povoleno

EDIT: Koukám znovu na ty manuály pro TP-LINK TD-W8961NB a Edimax AR-7286WNB a ACL se sice technicky nastavuje úplně stejně, jak píšu, ale obou manuálech je doprovodný screen přesně ten, co má vladimir v dalším příspěvku - tzn. ACL zapnuté s jediným pravidlem pro LAN. Tzn. že tyto modely pravděpodobně (!!! pouze domněnka) mají z továrny povolenu administraci jen z LANu.
Naposledy upravil kozuch82 dne 19. 5. 2014 21:28, celkově upraveno 1
kozuch82
Junior
Uživatelský avatar

Odeslat příspěvekod vladimir 19. 5. 2014 21:10

Takže jinými slovy, na tomto obrázku je znázorněno to, co by měli udělat všichni majitelé veškerých modemů Edimax a starých modemů TP-link (nové modely od TP-link to už mají udělané lépe):
Edimax-AR-7286W.PNG

(aktivovat ACL, vytvořit pravidlo pro povolení přístupu z LAN ze všech adres, nepovolovat přístup z WAN nebo z Both).
Naposledy upravil vladimir dne 19. 5. 2014 21:31, celkově upraveno 1
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod kozuch82 19. 5. 2014 21:28

to vladimir:

Ano, přesně tak. Ještě jsem updatoval svůj předešlý příspěvek.
kozuch82
Junior
Uživatelský avatar

Odeslat příspěvekod MgX 19. 5. 2014 22:18

Ahoj, sleduji jako laik tuto diskuzi.

Koukal jsem také do nastavení TP-LINKu WDR4300 v1 (oficiální firmware) a v části Remote Management se v doprovodné nápovědě píše následující...

TP-Link WDR4300 píše:Remote Management Help

This feature allows you to manage your Router from a remote location via the Internet.

Web Management Port - Web browser access normally uses the standard HTTP service port 80. This Router's default remote management web port number is 80. For greater security, you can change the remote management web port to a custom port by entering that number in the box provided. Choose a number between 1 and 65535 but do not use the number of any common service port.
Remote Management IP Address - This is the current address you will use when accessing your Router from the Internet. This function is disabled when the IP address is set to the default value of 0.0.0.0. To enable this function change 0.0.0.0 to a valid IP address. If set to 255.255.255.255, then all the hosts can access the Router from internet.

To access the Router, you should enter your Router's WAN IP address into your browser's address (in IE) or location (in Netscape) box, followed by a colon and the custom port number you set in the Web Management Port box. For example, if your Router's WAN address is 202.96.12.8 and you use port number 8080, enter http://202.96.12.8:8080 in your browser. You will be asked for the Router's password. After successfully entering the password, you will be able to access the Router's web-based utility.

Note:

Be sure to change the Router's default password to a secure password.
If the web management port conflicts with the one used for a Virtual Server entry, the entry will be automatically disabled after the setting is saved.

Tudíž z nápovědy by mělo plynout, že 0.0.0.0 zde znamená vypnutí přístupu z WAN. To jen pro doplnění některých záležitostí okolo routerů stejné značky.

//no a následně v Access Control Rule Management je zaškrtávací okénko, kde je možno aktivovat Enable Internet Access Control.
S pozdravem MgX
MgX
Junior
Uživatelský avatar

Odeslat příspěvekod vladimir 21. 5. 2014 09:29

Tak už vydali zprávu: http://blog.nic.cz/2014/05/21/kriticka- ... h-routeru/

(V podstatě konstatují, že u testovaného TP-LINK TD-W8901GB v defaultním nastavení ani s posledním existujícím firmwarem není zapnuté ACL a doporučují ho zapnout.)
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod JakubBoucek 21. 5. 2014 10:22

CZ.NIC vydal zprávu:
Kritická zranitelnost mnoha domácích routerů (blog.nic.cz)

Plus na ROOTovi se autor článku rozepsal více do hloubky:
Analýza: zranitelnost „rom-0“ postihuje 1,5 milionu domácích routerů (root.cz)
JakubBoucek
Kolemjdoucí
Uživatelský avatar

Odeslat příspěvekod vladimir 21. 5. 2014 10:54

Pěkný článek. Hlavně se mi líbí věta:
Nejspolehlivější metoda, jak lze tedy zjistit, zda je konkrétní router zranitelný, je zkrátka zkusit stáhnout soubor rom-0 z URL http://<IP adresa routeru>/rom-0
což zmanemá, že v tomto okamžiku to začne zkoušet kde-kdo.

Výzva: napište sem, pokud chcete, jak jste dopadli se svým typem ADSL modemu při testu z veřejné IP-adresy, pokud ji máte. Routery a wifi-routery bez ADSL podle všeho nejsou postiženy (nepoužívají ZynOS).
Zatím potvrdili zranitelnost těchto modelů:
•TP-LINK TD-W8901G
•TP-LINK TD-8816
•TP-LINK TD-W8951ND
•TP-LINK TD-W8961ND
•D-Link DSL-2640R
a k tomu asi přibývá Edimax Edimax AR-7084gB, který reportuje Kozuch82 v tomto threadu.
vladimir
Expert
Uživatelský avatar

Předchozí stránkaDalší stránka

Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků