Masz Pan Ruter z listy? To se Pan kup nowy...

spamtrash

Bardzo aktywny
Zasłużony
Dołączył
11 Styczeń 2014
Posty
4275
Reakcje/Polubienia
5690
Miasto
To tu to tam....
Nie zaczynamy zdania od wiec, a wiec tak:
W sumie to powinienem to wrzucic na sciane placzu, ale sprawa jest zdziebko za powzana a tam mialaby za duze szanse przeplynac niezauwazona.

Otoz istnieje sobie protokol UPnP.
UPnP wykorzystywane jest przez sprzet IoT, do streamowania plikow w sieci, drukowania po niej, udostepniania plikow itp. Generalnie: rzeczy podpiete do routera z tego korzystaja do ruchu wewnetrznego. Wroc: Router korzysta z tego do komunikacji sieci wewnetrznej, przede wszystkim IoT.
Teoretycznie, bo jak odkryli dzielni chlopcy z Akamai, niektore routery maja te usluge otwarta na swiat (ruch zewnetrzny).
Czym to grozi? Ano w skrocie pozwala zamienic kazdy router w serwer proxy dla swoich celow (np. do przeprowadzenia ataku DDoS na Gminny Urzad Pracy w Kozichdoopkach Mniejszych z routera Janusza Maliniaka bo na ostatniej mszy nie byl).
Czy do sciagania nielegalnych plikow. Czy do dokonywania zakupow przez internet nielegalnych rzeczy. Czy co sie tam komu zamarzy.
O tak trywialnych rzeczach jak dostep do panelu admina (nawet jesli teoretycznie rotuer go nie udostepnia), przekierowanie ruchu wewnetrznego.

Zauwazyliscie ze wyzej uzylem: "grozi" a nie "moze grozic"? Nie? To zauwazcie.
Ten raport Symanteca opisuje rzeczywiste wykorzystanie dziury:
Zaloguj lub Zarejestruj się aby zobaczyć!
(stad wlasnie wspominka ze powinno trafic do sciany placzu bo mleko sie wylalo).

Dlaczego to problem dla Janusza Maliniaka?
Otoz dziura zostala opisana w raporcie Akamai. Chlopcy twierdza ze znalezli 4.8 mln routerow wystawiajacych UPnP po WAN. To pikus ze cos tam. Gorzej, ze znaleziono 65000 (na datowanie raportu) routerow ktore sa skonfigurowane by robic za zombiaka (czyli: ktos juz przy nich dlubal).
Czyli wykorzystywane jest to juz aktywnie w realu, i to dosc intensywnie (a poczekjacie jak sie skrypto-kiddies dowiedza ze moga sobie to zaimplikowac).

Latka jest nienaprawialna z poziomu usera i wymaga wydania poprawki firmware przez producenta.
W przypadku braku poprawki: zalecany zakup innego modelu (SIC!).
Na chwile obecna wiadomo ze podatne jest 400 routerow od 73 producentow niezaleznie od wersji oprogramowania na pokladzie.

Ponizej lista na pewno podatnych routerow (to ze routera nie ma na liscie NIE znaczy ze jest bezpieczny. Znaczy ze albo jest bezpieczny, albo ze nie zostal sprawdzony).

Zaloguj lub Zarejestruj się aby zobaczyć!

A link do raportu tutaj:
Zaloguj lub Zarejestruj się aby zobaczyć!


PS: skleroza.
Sprawdzanie czy Wasz router jest podatny:

Zaloguj lub Zarejestruj się aby zobaczyć!

Wyswietlenie wyniku odobnego do:

Zaloguj lub Zarejestruj się aby zobaczyć!

wskazuje na to ze Wasz router jest juz aktywnie wykorzystywany...:jaranko
 
Ostatnia edycja:

Grandalf

Bardzo aktywny
Członek Załogi
Moderator
Dołączył
26 Maj 2015
Posty
19140
Reakcje/Polubienia
55664
Czytałem o tym niedawno na
Zaloguj lub Zarejestruj się aby zobaczyć!
Jednak lista podatnych routerów lepiej wygląda na zdjęciu :)

moQp0eZg.png

J099Ofzg.png

84awjwhg.png
 
Ostatnia edycja:

alchemia

Wygadany
Dołączył
30 Grudnia 2014
Posty
52
Reakcje/Polubienia
14
Poprawek firmware nie będzie. To przecież norma.
Zakup nowego? Przy braku białej listy najpewniej kupi się podatny, ale jeszcze nie sprawdzony.
 

Elvis

Bardzo aktywny
Ekspert
Dołączył
21 Czerwiec 2012
Posty
2304
Reakcje/Polubienia
850
UPnP można wyłączyć. Zawsze to robię podczas konfiguracji routera.
 

Zeno

Bardzo aktywny
Fąfel
Dołączył
25 Grudnia 2012
Posty
3447
Reakcje/Polubienia
1583
Ciekawe, że nie ma żadnego routera Cisco - niepodatne czy niesprawdzone? :scratch
 

al

Marszałek Forum
Członek Załogi
Administrator
Dołączył
22 Lipiec 2012
Posty
9844
Reakcje/Polubienia
10469
Miasto
Somewhere over the rainbow.
Przecież wszystkich nie sprawdzili bo nie ma też Tplinka, Netisa, Thomsona i innych.
 

Zeno

Bardzo aktywny
Fąfel
Dołączył
25 Grudnia 2012
Posty
3447
Reakcje/Polubienia
1583
Netisy są w liście od spamtrasha (pod spojlerem)... Właściwie mogłaby być lista, które w ogóle sprawdzili, ale się nie dopatrzyłem.
 

spamtrash

Bardzo aktywny
Zasłużony
Dołączył
11 Styczeń 2014
Posty
4275
Reakcje/Polubienia
5690
Miasto
To tu to tam....
Netisy są w liście od spamtrasha (pod spojlerem)... Właściwie mogłaby być lista, które w ogóle sprawdzili, ale się nie dopatrzyłem.
takiej wlasnie brakuje... ale jest skrypt ktory umozliwia... no wlasnie, tez nie umozliwia sprawdzenia czy podatny, tylko czy juz przechwycony...
 

Grandalf

Bardzo aktywny
Członek Załogi
Moderator
Dołączył
26 Maj 2015
Posty
19140
Reakcje/Polubienia
55664
Ostatnia edycja:

Zeno

Bardzo aktywny
Fąfel
Dołączył
25 Grudnia 2012
Posty
3447
Reakcje/Polubienia
1583
Trochę nie w temacie, więc w razie czego można wywalić...
Mobilny router Alcatel Link Zone (OneTouch MW40) i być może TP-Link TL-WR1043ND były podatne na atak, który umożliwiał zdalne zdjęcie blokady Premium SMS, a tym samym wysyłanie niechcianych SMS-ów i kodów USSD. Skutkowało to nabijaniem rachunków ich właścicielom. Dziurę odkrył i opisał Michał Korus. Więcej:
Zaloguj lub Zarejestruj się aby zobaczyć!
 

spamtrash

Bardzo aktywny
Zasłużony
Dołączył
11 Styczeń 2014
Posty
4275
Reakcje/Polubienia
5690
Miasto
To tu to tam....
nie moge byc ekspertem od wszystkiego, bo to niektorym przeszkadza...
 
Ostatnia edycja:

Grandalf

Bardzo aktywny
Członek Załogi
Moderator
Dołączył
26 Maj 2015
Posty
19140
Reakcje/Polubienia
55664
Jak masz czas i ochote to sie mozesz pobawic:
Zaloguj lub Zarejestruj się aby zobaczyć!
:jaranko
Tylko miej swiadomosc ze sie sam nie bawisz, i ruch sieciowy jaki spowodujesz moze wzbudzic niezdrowe zainteresowanie... m.in autorow tego jakze pozytecznego opracowanka:

Zaloguj lub Zarejestruj się aby zobaczyć!
Czasu raczej ciągle mi brakuje, ale opracowanko ciekawe :)

Zreszta routery to samo dobro i miodek dla pracy... niektorych.
Wystarczy popatrzec na:

Zaloguj lub Zarejestruj się aby zobaczyć!
uzywany przez Amerykanow

O tym było ostatnio na PZD: https://programyzadarmo.net.pl/threads/antywirus-kaspersky-popsuł-amerykańską-operację-przeciw-terrorystom.35232/

czy hostowanie LuckyMouse APT.. ktory zreszta jest na tyle stary ze juz wiadomo ze jest, ale na tyle mlody ze jeszcze sie nie pisze czym sie go je i jak smakuje ;)
O tym jest wzmianka tuta:
Zaloguj lub Zarejestruj się aby zobaczyć!


"Unfortunately, there isn't much information available about this. We don't know if it's a malicious attack or if it's perhaps the hardware part, but definitely, it's something which hints at the fact that router attacks are hot and probably there are a lot of other things happening in the background that we do not see.
 

Grandalf

Bardzo aktywny
Członek Załogi
Moderator
Dołączył
26 Maj 2015
Posty
19140
Reakcje/Polubienia
55664
Generalnie to router to takie okno na internet z komputera... i odwrotnie. To takie wdzieczne, proste i pozbawione oprogramowania antywirusowego urzadzonko ktore wiekszosc ludzi ma w domu.

I teraz zas wszyscy o tym trabia... niedlugo trzeba bedzie wymyslac narzedzia do pracy od nowa.

Oj tam, oj zaraz od nowa. Będzie można znów zarobić na zabezpieczeniach :)
 
Do góry