Stránka 2 z 4

Re: Napadený modem - primární DNS server změněn na 192.99.14.108

Odeslat příspěvekNapsal: 18. 5. 2014 09:54
od kozuch82
Takže mám špatnou zprávu... ten Edimax nemá z výroby nastaven žádný Access Control (v admin veden jako Access Control Listing - ACL) a tím pádem je administrace defaultně povolená i z WANu... to výrobce moc nedořešil, je to trochu nepochopitelný... rád bych věděl, kolik lidí si to dovede samo zakázat nebo je to vůbec napadne, že to může defaultně bejt povolený... takže já to taky neřešil, vůbec mě to nenapadlo a tudíž jsem měl admin z WANu povolen... všechny moje předešlý modemy (nějaký Zyxely + std. modemy od Telecomu či Radiokomunikací) měly admin z WANu většinou defaultně zakázanej a musel se apriori povolovat.

Když koukám na nejprodávanější modemy na Alza.cz tak TP-Linky a Edimaxy (např. TP-LINK TD-W8961NB či Edimax AR-7286WNB) maj úplně stejnej designu admin rozhraní (= pravděpodobně chipset Trendchip) jako můj stařičký Edimax... takže to vypadá, že tyto všechny modemy mají z továrny taky povolenu adminstraci na WANu... :( takže lidi, zakažte si to sami! ;-)

Tím asi útok na můj modem dostává jinej, snad ne tolik závažnej rozměr... zatím nebudu kupovat novej, ale pořádně ten původní nastavím (ACL + zapnout Firewall, kterej je taky z výroby vypnutej). Plus silný heslo do adminu a tím to zatím končí.

Re: Napadený modem - primární DNS server změněn na 192.99.14.108

Odeslat příspěvekNapsal: 18. 5. 2014 10:23
od vladimir
To není špatná zpráva, ale naopak dobrá, protože konečně vysvětluje možný mechanismus útoku: útočník si zjistí přes otevřený port 80 administrátorské heslo a pak se přihlásí přes webovou administraci, vše pohodlně z internetu.

Tedy stačí zakázat webovou administraci z internetu a pokud má zařízení firewall, tak blokovat příchozí port 80.

http://www.root.cz/zpravicky/utok-na-ro ... i-v-cesku/
EDIT: zajímavý není ten článek, ale diskuse pod ním.

Re: Napadený modem - primární DNS server změněn na 192.99.14.108

Odeslat příspěvekNapsal: 18. 5. 2014 10:41
od kozuch82
Ano, špatná i dobrá... dobrý v tom, že můj útok může být vysvětlen, ale španá v tom, že ostatní uživatelé, pokud ACL nenastavili, mají admin na WANu taky povolen...

Mám jednu otázku - jak může útočník přes port 80 zjistit admin heslo (pokud heslo je silné a neuhodne ho)? Není to ten exploit přes rom-0? Moc jsem o tom nikde nenašel. Moje heslo na WANu mělo 5 znaků, pouze písmena.

Myslím, že zakázání Web adminu na WAN v ACL asi blokuje celý port 80 z venku. Jinak v komentáři u tohohle blogpostu je reportováno napadení TP-Linku TD-W8961NB s FW V1.0.

Re: Napadený modem - primární DNS server změněn na 192.99.14.108

Odeslat příspěvekNapsal: 18. 5. 2014 13:17
od Spejle
Dobrý blok - chlap ví o čem píše.

Osobně si myslím, ze nekdo vynesl data z fabriky a nekomu dal nebo prodal.
Pak si dotyčný proskenoval sit aby zjistil kde co bezi a spustil utok.

Reseni bych videl jedno a velmi lacine - konfiguacni rozhrani offline, ruku na srdce kolikrat od montaze si chodite popovidat se svym routrem. :-)

S.

Re: Napadený modem - primární DNS server změněn na 192.99.14.108

Odeslat příspěvekNapsal: 18. 5. 2014 14:50
od vladimir
kozuch82 píše:Mám jednu otázku - jak může útočník přes port 80 zjistit admin heslo (pokud heslo je silné a neuhodne ho)?
Viz můj odkaz na root.cz, diskuze pod článkem: útočník údajně může chybou v operačním systému ZynOS přes port 80 získat výpis flash paměti, kde je uložené i heslo. Obdobně probíhal i ten hromadný útok v Brazílii 2012.

A útok na zynOS je zmiňovaný i v diskuzi pod tebou odkazovaným blogem.

Re: Napadený modem - primární DNS server změněn na 192.99.14.108

Odeslat příspěvekNapsal: 18. 5. 2014 17:52
od kozuch82
Spejle píše:Reseni bych videl jedno a velmi lacine - konfiguacni rozhrani offline, ruku na srdce kolikrat od montaze si chodite popovidat se svym routrem. :-)

Tak bohužel zrovna v tom blogpostu Jakub Bouček píše, že byl napaden modem, který měl admin z WANu zakázaný... takže toto nebude asi postačující řešení.

Re: Napadený modem - primární DNS server změněn na 192.99.14.108

Odeslat příspěvekNapsal: 18. 5. 2014 18:10
od Spejle
Tim jsem chtel rici , ze zarizeni bude obsahovat zastrcku pro konfiguraci treba pres usb a provede konfiguraci.
Po vytazeni se router pro upravy zamkne.

Re: Napadený modem - primární DNS server změněn na 192.99.14.108

Odeslat příspěvekNapsal: 18. 5. 2014 18:36
od vladimir
kozuch82 píše:Tak bohužel zrovna v tom blogpostu Jakub Bouček píše, že byl napaden modem, který měl admin z WANu zakázaný...
No, on tam jenom píše, že modem byl v době, kdy to instaloval, v defaultním nastavení a "pokud ví, u tohoto typu modemů je defaultně přístup zakázaný". To se podle mne může firmware od firmware lišit.
Kromě toho ten modem nainstaloval "rodině pana Tomáše" a ten nebo jeho rodina s tím rok dělali, nikdo neví, co. Móda instalace webových kamer, zpřístupňování všelijakých NAS serverů a budování VPN-tunelů svádí k experimentům s nastavením NATu a z toho důvodu mohl někdo (třeba -náctiletý synáček) tu vzdálenou administraci povolit a po ukončení experimentů ji už nezakázal (to je jenom DOHAD).
Kdyby pan Bouček napsal: "po útoku jsem to zkontroloval a administrace zvenku byla zakázaná", mělo by to nesrovnatelně vyšší vypovídací hodnotu.

Nechme se překvapit budoucím vývojem. Pokud se objeví napadené modemy na neveřejné IP-adrese, bude to důkaz útoku zevnitř sítě (resp. ze sítě operátora).
Zatím stejně nezbývá nic jiného, než zakázat webovou administraci z internetu, zakázat všechny nepotřebné příchozí porty ve firewallu na modemu, pokud tam firewall je a případně aktivovat DMZ na nějakou (nepoužitou) vnitřní adresu a čekat na další informace.

Re: Napadený modem - primární DNS server změněn na 192.99.14.108

Odeslat příspěvekNapsal: 19. 5. 2014 10:28
od JakubBoucek
vladimir píše:Kdyby pan Bouček napsal: "po útoku jsem to zkontroloval a administrace zvenku byla zakázaná", mělo by to nesrovnatelně vyšší vypovídací hodnotu.


To bohužel napsat nemohu, nebyla by to zcela pravda. Nastavení routeru jsem po útoku prošel a zkontroloval všechny volby, zda některá z nich vyloženě neotevírá zranitelnost a vše bylo nezměněné. Volby povoleného adminu na WANu bych si nejspíš všiml.
Doplním, že v tomto případě router zůstal nedotčen od mého nastavení. Nikdo z jejich rodiny nemá zájem nastavení routeru měnit a pokud vím, ani nikdy nechtěli heslo do administrace. Pokud vám přijde divné, že někdo cizí zahesluje router a ani heslo majiteli neřekne, tak proto, že jsem rodinný přítel, oni netuší, k čemu router je, mají ho, protože bez něj by internet nefungoval a jediný kód, který potřebují (a chtějí) znát, je moje telefonní číslo pro řešení potíží.

Doplním, že v CSIRTu finišuje testování routeru a brzo výsledky zveřejní. S předběžnými výsledky už jsem obeznámený a nemám z toho vůbec radost. Ne kvůli tomu jednomu routeru, ten pak rozdupu a Tomovi koupim jiný, ale kvůli míře nebezpečnosti všech exemplářů tohodle modelu, které jsou nejspíš rozesety napíč nic netušícima uživatelema :-/

Jinak díky za tohle vlákno a další zajímavé informace, jen tak dál.

Re: Napadený modem - primární DNS server změněn na 192.99.14.108

Odeslat příspěvekNapsal: 19. 5. 2014 10:47
od kozuch82
Jakube, zkuste ještě opravdu prověřit, zda na tom routeru nebyl opravdu admin na WANu povolen z výroby (=reset do továrního nastavení, nejlépe s tím původním FW + test přístupu z venku). Nějak se mi nechce věřit, že by se to nastavení Front Endu od Trendchipu lišilo u různých výrobců modemů (TP-Link vs. Edimax atd.)... za prověření nic nedáme a bude to nezpochybnitelná informace.

Re: Napadený modem - primární DNS server změněn na 192.99.14.108

Odeslat příspěvekNapsal: 19. 5. 2014 11:21
od JakubBoucek
Router má teď CSIRT v laboratoři, takže bohužel neproveřím. Víc informací vám dá jejich report, měl by vyjít dnes, nebo v nejbližších dnech. Víc info nemám v tuto chvíli.

EDIT: Smazal jsem na blogu tvrzení o zakázaném WANu. Pokud je ve výchozím stavu zapnutý, tak je to největší WTF. Ano, já jsem to tak předpokládal, což může být zavádějící. Prohledal jsem screenshoty, které jsem si v administraci udělal a nikde tohle nastavení nevidím.

Díky za popíchnutí.

Re: Napadený modem - primární DNS server změněn na 192.99.14.108

Odeslat příspěvekNapsal: 19. 5. 2014 11:21
od Milanr1
Mají tyhle laciné SoHo krabičky nějaký Security log, kde by byl zaznamenán každý přístup do admin rozhraní?

Re: Napadený modem - primární DNS server změněn na 192.99.14.108

Odeslat příspěvekNapsal: 19. 5. 2014 11:34
od JakubBoucek
Log mají, ale po restartu se maže. Log byl zapnutý, ale podíval jsem do něj až další den, což bohužel bylo po restartu.

Re: Napadený modem - primární DNS server změněn na 192.99.14.108

Odeslat příspěvekNapsal: 19. 5. 2014 13:05
od oooooooooo
Ja tedy nevím ale byl jsem minulej tyden u lidí jednu drobnost řešit s routerem byl to jakejsi tp-link a není první kde nebyla vůbec volba activated - deactivated ale pouze typ rozhrani kde se muselo zadat 0.0.0.0..To je disable,nešlo tam nechat blank a mit zaškrtly deactivated,nebylo kde a co zaškrtnout.Nic jinyho enable ktery tam bylo DEFAULT nerušilo.Takže to tvrzeni že tato zakladní diry nebyla zavřená nemuselo byt spravný - toto si člověk prostě pamatuje pokud je to udělany stejnym způsobem.

Re: Napadený modem - primární DNS server změněn na 192.99.14.108

Odeslat příspěvekNapsal: 19. 5. 2014 14:06
od kozuch82
JakubBoucek píše:EDIT: Smazal jsem na blogu tvrzení o zakázaném WANu. Pokud je ve výchozím stavu zapnutý, tak je to největší WTF. Ano, já jsem to tak předpokládal, což může být zavádějící. Prohledal jsem screenshoty, které jsem si v administraci udělal a nikde tohle nastavení nevidím.

Bavíme se o tom ACL? Pokud jsi v tom adminu u ACL neměl žádný záznam vyplněný, osobně si myslím, že tam admin na WANu byl povolen, protože nebyl apriori zakázán. Sorry, že to obakuju jak v mateřské školce, ale jde mi o to, aby nedocházelo k nedorozumnění. Díky za pochopení. ;-)