Routery Wi-Fi podatne na atak

[remool]

Dziura w routerach sprzedawanych przez UPC (także w Polsce). Technicolor TC7200 i Thomson TWG870U

Odkryto podatność CSRF w rotuterach Technicolor C7200, które — jak pisze nasz czytelnik “Tomecek” — są “masowo montowane przez UPC w Polsce i na świecie”. Podatność pozwala atakującemu na rekonfigurację ustawień routera (np. zmianę reguł firewalla, udostępnienie panelu zarządzania od strony internetu, albo reset do ustawień fabrycznych), a także uzyskanie do niego nieautoryzowanego dostępu. O tym, co może zrobić atakujący dysponujący nieautoryzowanym dostępem do routera Wi-Fi pisaliśmy niedawno w tekście pt. “Stracił 16 000 PLN bo miał dziurawy router“.

całe info

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

 

[remool]

Kolejne dziury w routerach od UPC (Technicolor TC7200 i Thomson TWG870) — wyciek hasła administratora

Kilkanaście dni temu opisaliśmy na Niebezpieczniku podatność CSRF w popularnych w Polsce routerach, które dystrybuuje swoim klientom UPC. Atak pozwalał na rekonfigurację routera przez atakującego, pod warunkiem, że ofiara — właściciel routera wszedł na odpowiednio skonstruowaną stronę. Dziś upubliczniono kolejny atak na router Technicolor TC7200 oraz Thomson TWG870

Routery rozdawane przez UPC podatne na atak

Otóż okazuje się, że w popularnych w Polsce routerach Technicolor TC7200 oraz Thomson TWG870 można bez uwierzytelnienia pobrać backup konfiguracji, który zawiera login i hasło administratora. Plik z backupem ściągnąć może dowolna osoba podpięta do sieci LAN, a następnie przy pomocy polecenia hexedit lub strings odszukać w nim nieszyfrowane hasło administratora (i inne ustawienia) — chociaż jak informują czytelnicy, na niektórych Thomsonach w backupie brak hasła (może to wynikać z różnej wersji firmware’u lub konkretnej konfiguracji routera).Dzięki tej dziurze, obecnej nawet w najnowszym firmware STD6.01.27, każda osoba, którą wpuścimy do naszej sieci może poznać hasło do naszego routera i następnie zmienić jego konfigurację. To, czym grozi zmiana konfiguracji routera przedstawiliśmy w tekście pt. stracił 16000 PLN przez dziurawy router“)
Efekytwnie, powyższa dziura oznacza tyle, że de facto router Technicolor TC7200 lub Thomson TW870 należy uznać za taki, który w ogóle nie ma hasła do panelu administratora i każdy może go swobodnie przekonfigurować z sieci LAN.

Kolejna podatność: DoS

Dodatkowo, Technicolor 7200 jest podatny na atak Denial of Service na HTTP:

Mam ten router od UPC — co robić, jak żyć?

Ponieważ nie ma jeszcze żadnej łatki ani znanego obejścia tego problemu — po prostu uważacie na to, kogo wpuszczacie do swojej sieci… albo zmieńcie, o ile to możliwe, router na inny jeśli jesteście “skazani” na niezaufanych użytkowników. Można również rozważyć podpięcie do routera kolejnego routera (Yo DAWG! ) po “kablu” i Wi-Fi rozgłaszać przez ten drugi, dodatkowy router, konfigurując go tak, aby użytkownicy z sieci Wi-Fi nie mieli dostępu do routera z UPC.

PS. Sprawdźcie, czy możecie pobrać backup na swoich Technicolorach/Thomsonach i czy w pliku z backupem jest hasło administratora. Jeśli tak/nie — dajcie znać jaka to wersja firmware’u i jaki model routera w komentarzach.

Aktualizacja 22:40
Jeden z czytelników potwierdza, że błąd wystaępuje także w routerze Thompson TWG870UG:

info: Niebezpiecznik

 

[remool]

Tylna furtka w ruterach na porcie 32764 usunięta… i ponownie dodana

Pierwszego stycznia tego roku opisywaliśmy śmieszną tylną furtkę odkrytą w ruterach Linksysa, Netgeara i Cisco. Jej odkrywca ustalił, że chociaż została wyłączona w najnowszej aktualizacji, to dodano sposób na ponowną aktywację!

Po co twórcy oprogramowania domowych ruterów regularnie umieszczają w nich tylne furtki? My tego nadal nie rozumiemy, a producenci, nawet przyłapani na swoim niecnym procederze, usuwając jedną tylną furtkę aktywują kolejną naiwnie myśląc, że nikt ich na tym nie przyłapie.

Port 32764

Eloi Vanderbeken w czasie świąt Bożego Narodzenia odkrył tylną furtkę w swoim ruterze Linksys WAG200G. Dzięki odpowiednio spreparowanemu pakietowi wysłanemu na port 32764 urządzenia (również spoza sieci lokalnej) mógł całkowicie przejąć nad nim kontrolę. Śledztwo wykazało, że za tym mechanizmem stoi firma Sercomm, producent sprzętu dla takich marek jak Linksys czy Netgear. Wkrótce po jego publikacji pojawiły się aktualizacje oprogramowania dla podatnych ruterów. Eloi oczywiście zweryfikował czy faktycznie tylna furtka została usunięta.Na warsztat wziął ruter Netgear DGN1000. Pobrał najnowsze oprogramowanie w wersji 1.1.0.55 i rozpakował narzędziem binwalk. Następnie poszukał pliku scfgmgr, który zawierał funkcjonalność tylnej furtki. Ku swojemu zaskoczeniu znalazł go w oprogramowaniu. Kiedy jednak sprawdził, gdzie i jak plik ten jest uruchamiany, znalazł jego wywołanie z parametrem -l, oznaczającym, że jest on dostępny jedynie jako gniazdo lokalnej komunikacji międzyprocesowej (Unix domain socket), czyli łączyć się z nim mogą jedynie procesy działające na tym samym urządzeniu.Eloi pamiętał jednak, że wywołanie tylnej furtki z parametrem -f uruchamia nasłuch na porcie TCP, zatem sprawdził, czy w kodzie rutera znajduje się takie wywołanie. Jak możecie się już pewnie domyślać znalazł to, czego szukał w tajemniczym narzędziu o nazwie ft_tool.

Wstawmy nową lepszą tylną furtkę

Eloi poddał analizie odkryty plik. Okazało się, że otwiera on surowy port (raw socket) i nasłuchuje pakietów z parametrem ethertype równym 0×8888 przychodzących od karty ethernetowej. Jeśli taki pakiet zawiera skrót MD5 o wartości 45d1bb339b07a6618b2114dbc0d7783e (DGN1000) a rodzaj pakietu to 0×201, to tylna furtka z początku roku jest ponownie aktywowana w trybie TCP na porcie 32764. Jedyna różnica jest taka, że aktywacja może nastąpić jedynie z sieci wewnętrznej (lub z poziomu operatora sieci, mogącego bezpośrednio przesyłać ramki ethernetowe).

Funkcja aktywująca tylną furtkę została przez autora odkrycia odnaleziona w starym narzędziu firmy Sercomm – wygląda zatem na to, że autorom oprogramowania nie chciało im się pisać niczego nowego, tylko wykorzystali posiadany fragment kodu. Tylna furtka została odrobinę rozbudowana – obecnie oprócz m. in. wykonywania poleceń jako root można także selektywnie mrugać diodami modemu. Cudownie. Eloi opublikował kod

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

umożliwiający weryfikację podatności urządzeń.

Ile jeszcze?

Jak wiele wstydu muszą jeszcze najeść się producenci oprogramowania ruterów, by przestać wsadzać do nich tylne furtki? Niestety chyba szybko nic w tej kwestii się nie zmieni – dla przeciętnego konsumenta tego typu informacja nie ma większego znaczenia. Oczywiście tylko do momentu, gdy ktoś nie przestawi mu serwerów DNS…

Kłania się OpenWRT, DD-WRT.lub Tomato

 

[remool]

UPC rządzi

O problemach z routerami rozdawanymi przez UPC informowaliśmy Was już wiele razy — do tej pory opisaliśmy dziury umożliwiające pobranie konfiguracji routera z poziomu niezalogowanego użytkownika (i w konsekwencji przejęcie kontroli nad urządzeniem) oraz atak CSRF pozwalający przekonfigurować komuś router od UPC. Teraz przyszedł czas na trywialny w wykonaniu atak umożliwiający zdalny restart routera, który co gorsza skutkuje całkowitym wyczyszczeniem logów. I tym razem sprawa jest poważna, bo panel zarządzania routera nie musi być dostępny z internetu.

Na czym polega atak?

Dziurę opisuje serwis Kamila Frankowicza, vgeek. Atak polega na… przesłaniu do urządzenia żądania GET lub POST, którego długość przekracza 236 bajtów w przypadku Technicolor TC7200 oraz 544 bajty w przypadku Thomsona TWG870. Co gorsza, na atak podatny jest najnowszy firmware STD6.02.08.W skrócie, błąd jest podoby do hackowania Xboksa spacją, wystarczy wejście na ten link postaci:

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

Powyższe zadziała przypadku wykonywania ataku z sieci lokalnej. W przypadku chęci zrestartowania swojego routera przez internet, zdalnie, należy odpowiednio dostosować adres IP (router musi mieć włączone zarządzanie routerem od strony WAN-u) …albo wykonać atak CSRF, czyli stworzyć stronę internetową z tagiem <img src=”"> kierującym do linku jak wyżej — wejście ofiary z routerem spowoduje, że jej przeglądarka wykona żądanie do routera lokalnie i ofiara sama sobie, zupełnie nieświadomie, zrestartuje router (w tym przypadku nie jest wymagane, aby zarządzanie od strony WAN-u było włączone).

Oprócz restartu, router wyczyści swoje logi i dodatkowo włączy Wi-Fi (nawet jeśli wcześniej nie było włączone) a co gorsza, wyłączy funkcję wykrywania ataków typu IP flooding. Idealny błąd, dla atakujących, którzy chcą po sobie posprzątać (np. po wcześniejszym ataku z podmianą DNS), albo po prostu odciąć ofiarę od internetu.

Nadchodzą masowe braki w dostępie do internetu u klientów UPC?

Niestety atak jest banalnie prosty do automatyzacji, że obawiamy się iż niebawem po klasach adresowych UPC będą krążyły boty, które “na złość” zaczną restartować klientom UPC routery. Albo webmasterzy dla żartu zaczną umieszczać tego typu linki na swoich stronach, i wchodzący na te strony klienci UPC sami będą restartowali swoje routery nieświadomie.

Jestem klientem UPC — co robić, jak żyć?

Jak najszybciej wyłączcie możliwość administracji swoim routerem od strony WAN (Użytkownicy donoszą, że domyślnie administracja od strony internetu jest wyłączona). Miejcie jednak świadomość, że nie “załata” to luki w 100% a jedynie ograniczy jej wykorzystanie — dalej bowiem każdy z lokalnych użytkowników będzie mógł restartować wam router kiedy tylko przyjdzie mu na to ochota. Wyłączenie zarządzania od strony WAN nie rozwiązuje też problemu z atakiem CSRF — jeśli ktoś przewidzi lokalny adres IP waszego routera (a nie jest to trudne) osadzając na stronie link powyżej, spowoduje restart routera.

Proponujemy też podpytać w UPC, czy przypadkiem nie kwalifikujecie się do wymiany swojego Thomsona/Technicolora na router Cisco — niektórym z naszych czytelników, po ostatniej fali dziur w Thomsonach/Technicolorach taka wymiana się udała.

Na koniec pozostaje mieć nadzieję, że UPC szybko udostępni poprawiony firmware — pamiętajcie jednak, że aby go pobrać, trzeba niekiedy kilkukrotnie zrestartować swój router.

Aktualizacja 21 maja 2014
Otrzymaliśmy e-maila od jednego z naszych czytelników, w którym zawarł on odpowiedź pracownika UPC na złoszenie powyższego problemu z routerem — oto ona:

Temat: Odpowiedź na zgłoszenie dotyczącego luk w oprogramowaniu Technicolor TC7200.

Szanowny Panie,
wykryty błąd w oprogramowaniu routera nie wpływa na funkcjonowanie i bezpieczeństwo urządzenia, a klienci, którzy nie rekonfigurowali swoich routerów i w efekcie nie udostępniali publicznie interfejsu administracyjnego routera oraz nie udostępniali swojej sieci niezaufanym użytkownikom, nie są narażeni na ten błąd. Możliwość zdalnego administrowania routerem jest domyślnie wyłączona, a w przypadku routerów TC7200 nie jest możliwa. Jeżeli osoba wykorzystująca błąd w oprogramowaniu routera nie znajduje się w sieci lokalnej to wykorzystanie tego błędu jest mocno teoretyczne.

W przypadku kontynuowania niniejszej sprawy prosimy nie kasować treści poprzednich wiadomości. Zachowanie pełnej korespondencji przyspieszy analizę Państwa zgłoszenia. Dziękujemy!

Łączę wyrazy szacunku
Z poważaniem

Jak widać pracownik UPC mocno mija się z prawdą — wierzymy, że to jedynie brak zrozumienia tematu, a nie celowe wprowadzanie klientów w błąd. Niestety, te fałszywe informacje powiela także sam rzecznik UPC.

Jeszcze raz podkreślamy, że aby zrestartować komuś urządzenie, NIE JEST WYMAGANE aby osoba ta miała włączone zarządzanie routerem od strony internetu (interfejsu WAN). Wystarczy zaprosić taką osobę na stronę internetową, w której znajduje się HTML-owy tag obrazka, którego źródło ustawione jest na IP lokalne routera — przeglądarka ofiary sama wykona żądanie do routera (od strony lokalnej), które go zrestartuje, odcinając użytkownika od internetu.

Na tej stronie sprawdzisz, czy twój router jest dziurawy

Stworzyliśmy przykładową stronę, na której można sprawdzić, czy Wasz router od UPC jest dziurawy (uwaga, kliknięcie na poniższy link, jeśli macie router Technicolor TC7200 lub Thomson TWG870 zakończy się resetem tego urządzenia, wyczyszczeniem jego logów, wyłączeniem funkcji ipflooding oraz włączeniem Wi-Fi, nawet jeśli wcześniej było wyłączone)

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

 

[remool]

Rutery TP-Link, Netgear, D-Link i ZyXEL narażone na włamania

Jak wykryli to badacze ds bezpieczeństwa Sec Consult, wykorzystywana przez popularne rutery usługa NetUSB posiada lukę umożliwiającą hakerowi na przejęcie urządzenia, co otwiera mu drogę do dalszych działań.

NetUSB jest elementem stosowanym w systemach linuksowych, który wykorzystuje się m.in. przy sterowniku jądra. Włączony umożliwia serwerowi na korzystanie z portu TCP 20005, który łączy się z klientami. W przypadku rutera wykorzystywane jest to do komunikacji z innymi maszynami w sieci lokalnej lub zdalnie poprzez IP. Mogą to być nie tylko komputery, ale również kamerki, drukarki, zewnętrzne dyski twarde, itp. Eksperci z Sec Consult odkryli, że podczas łączenia się rutera z maszyną mającą w nazwie więcej niż 64 znaki, następuje przepełnienie bufora na stosie, co umożliwia zdalne wykonanie kodu lub atak DoS
Wśród firm, które mają zaimplementowane NetUSB w swoich urządzeniach, są najwięksi producenci - TP-Link, Netgear, D-Link czy ZyXEL. U niektórych usługa ta występuje pod inna nazwą, np. ReadySHARE. Przykładowe modele używające usługi to L-WDR4300 V1, TP-Link WR1043ND v2, Netgear WNDR4500 oraz ponad 90 innych. Ponadto odkryto, że jeszcze 26 producentów wykorzystuje sterownik w swoich produktach. A co robić, gdy ma się taki "trefny" ruter? Na niektórych urządzeniach jest możliwe wyłączenie lub zablokowanie NetUSB z poziomu interfejsu sieciowego urządzenia, można także zablokować port w systemowym firewallu. Jednak nie wszędzie to działa - w urządzeniach Netgear nie ma opcji zatrzymania usługi. Producenci ruterów zostali już powiadomieni o odkryciu, więc pozostaje czekać na aktualizacje firmware.

info pcworld.p

 

[FrantiQ]

Dlatego warto kupić od szkopa używanego Fritza i mieć luz na takie tematy

 

[remool]

Jeszcze bardziej warto jest kupić nowy router wspierany przez alternatywne oprogramowanie i mieć jeszcze większy luz na tego typu tematy