Napadený modem - primární DNS server změněn na 192.99.14.108

Routery, AP, switche, huby, ethernet

Moderátor: Moderátoři Živě.cz

Odeslat příspěvekod Omal 21. 5. 2014 15:49

Zdravím, pročítal jsem toto vlákno a mám pár obecných připomínek. Popis položek ve webovém rozhraní je často zmatečný a neodpovídá běžně používané terminologii a běžně používaným standardům (například zmiňovaný zmatek okolo významu adresy 0.0.0.0 v ACL). Roztříštěnost a roztahanost nastavení také nepřispívá. Není ideální, když je nastavení bezpečnosti roztaháno všude možně po stránkách administračního rozhraní. Když se ke všemu přičte snaha udělat www rozhraní co nejlíbivěji, bez ohledu na logičnost, je zaděláno na průser.

Další problém je, že lidé nečtou návody a díky tomu přehlédnou věci, o kterých si myslí, že jsou naprosto jasné (například povolená administrace z WAN). Přiznám se, že také nečtu návody, ale po tomto asi začnu.

Mnozí byli překvapeni, jak funguje ACL na těchto levných routerech, ale podle mě jde o zcela standardní chování. Každé ACL má po aktivování na konci automaticky doplněné pravidlo "deny any". Toto pravidlo je tam vždy a nejde smazat. Pouze před něj lze doplnit pravidlo "permit any", a tím provedení poslední pravidlo vyřadit (při procházení ACL pravidel se postupuje podle "first match fits").

Podle mě je ideální používat OpenWRT nebo DD-WRT. Tam lze filtrovat pomocí iptables, což je nádherně logické a přehledné.
Omal
Junior

Odeslat příspěvekod Jiri.Sko 21. 5. 2014 16:03

Tak jsem se pustil také do testování svých dvou starších ZyXEL modemů (od O2) a moc potěšující výsledky teda nemám. :( Nicméně na začátek alespoň jedna společná pozitivní informace: U obou zařízení je ve výchozím stavu přístup z WAN zakázán.
V obou případech se jedná o model P660HW-T3, první a druhé verze.

Model P660HW-T3 (v1) obsahoval firmware V3.40(ALQ.1)E0_20061204 z 12.4.2006. V okamžiku, kdy je povolen (Web) Remote MGMT z WAN, tak nastává problém. Standardně při pokusu o stažení rom-0 vyskočí hláška Object Not Found, ovšem pokud je zrovna uživatel přihlášen do administrace, dojde ke stažení rom-0!! Je tedy relativně malá pravděpodobnost, že někdo využije zrovna tohoto okamžiku, nicméně nelze to vyloučit.

Druhé zařízení je model P660HW-T3 v2 s firmwarem V3.40(AXJ.0) z 17.12.2007. Pokud je povolen přístup z WAN do webové administrace, rom-0 jde stáhnout kdykoliv!!

Důrazně tedy doporučuji u těchto modelů nepovolovat přístup z WAN.
Jiri.Sko
Kolemjdoucí

Odeslat příspěvekod vladimir 21. 5. 2014 16:37

Omal píše:Podle mě je ideální používat OpenWRT nebo DD-WRT. Tam lze filtrovat pomocí iptables, což je nádherně logické a přehledné.
Až na to, že na běžné ADSL modemy DD-WRT ani Open-WRT nejde nahrát tak, aby fungovalo ADSL a tento útok se týká (zdá se) výhradně ADSL-modemů.
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod Omal 21. 5. 2014 16:55

Pravda, to jsem si nevšiml. Ale zdá se mi to dost divné. Ale stejně platí to, co jsem řekl, doporučuji cokoli, kam jde OpenWRT nebo DD-WRT. Je sice pravda, že s DSL a CATV modemy se moc nekamarádí, ale na běžný router jdou dát. Modem lze použít v režimu bridge, takže veřejná IP bude na routeru s OpwnWRT a bude to bezpečné.
Omal
Junior

Odeslat příspěvekod vladimir 21. 5. 2014 18:35

Divné? Proč? Napadnutelné tímto útokem jsou zařízení s operačním systémem ZynOS a to je specializovaný OS pro modemy.
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod Omal 21. 5. 2014 19:13

Aha, nevěděl jsem, že ZynOS je jen pro modemy.
Omal
Junior

Odeslat příspěvekod vladimir 21. 5. 2014 20:05

No, nemusel by být, ale proč platit licenční poplatky Zyxelu, když jinde mohou výrobci nasadit vlastní firmware založené na linuxu / BSD? V modemech má Zyxel monopol, protože neexistují ovladače pro ten ADSL čip pro linux (proto taky není možné nasadit open/dd wrt).

Teď mě napadá, že zynos by teoreticky mohl být v některých (wifi)routerech od Zyxelu, oni sami sobě poplatky platit nemusí.
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod Omal 21. 5. 2014 20:50

Jj, na rootu o tom něco málo psali. Že prý ZynOS vychází z nějakého real-time OS. Tak nějak jsem věděl, že tovární firmwary jsou děravé, ale tohle je poslední kapka. Chyby se nevyhnou nikomu, to neříkám, ale v tomto případě není naděje na vydání nového firmwaru.

Zlatý RouterOS, zlatý OpenWRT, zlatý DD-WRT, zlatý IOS, zlatý CatOS, zlatý NX-OS... Tam je všechno krásně logické, přehledné, jasné a bezpečné.
Omal
Junior

Předchozí stránka

Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků