Routery Wi-Fi podatne na atak

[remool]

Routery i Access-Pointy takich firm jak D-Link, Netgear, Linksys, TP-Link czy ZyXEL wspierające standard Wi-Fi Protected Setup mają dziurę, która umożliwia atakującemu na szybsze odganięcie PIN-u służącego do automatycznej konfiguracji sieci bezprzewodowej.
Dziura w WPS

WPS (Wi-Fi Protected Setup) to zaimplementowany w większości domowych routerków (i z reguły domyślnie włączony) sposób na szybką i bezpieczną konfigurację domowej sieci bezprzewodowej m.in. za pomocą metody PIN External Registrar. Aby dopiąć do sieci kolejne urządzenie, wystarczy w jego opcjach podać 8 cyfrowy PIN access-pointa (z reguły wypisany na obudowie urządzenia).

WPS działa w oparciu o wymianę kilku wiadomości protokołu EAP i jak sie okazuje, po wprowadzeniu błędnego PIN-u do klienta odsyłana jest wiadomość EAP-NACK, która zdradza informację, czy pierwsza połowa PIN-u jest poprawna (dodatkowo, atakujący zna ostatnią cyfrę PIN-u, ponieważ jest to suma kontrolna). To oczywiście znacznie ułatwia/przyśpiesza ataki typu brute-force — i tak, zamiast 10^8 możliwości mamy 10^4 + 10^3 co ogranicza liczbę prób do jedynie 11 000.
Podatność na ataki brute force

Dodatkowo, większość routerów w ogóle nie wykrywa ataków brute-force i pozwala atakującym na nielimitowaną w czasie liczbę prób (a część dodatkowo w ogóle nie wytrzymuje brute-force’a i pada pod jego naporem).

Jak podaje CERT, odgadnięcie PIN-u przez atakującego umożliwi mu podpięcie sie do sieci ofiary i może skutkować zmianą konfiguracji access pointa.
Producenci nie reagują, co zrobić?

Jak donosi Stefan Viehbock, odkrywca błedu, producenci sprzętu w ogóle nie odpisali na jego wiadomości. Nie wypuścili też żadnych patchy. Dlatego Stefan opublikował szczegóły ataku i przygotował skrypt w Pythonie ułatwiający jego przeprowadzenie.

Jeśli twój router lub access-point wspiera WPS, wyłącz go. Przy okazji upewnij się, że twoja sieć korzysta z WPA2 z silnym hasłem.

Źródło

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

Nie musieliśmy długo czekać i pojawiło się takie coś

W sieci pojawił się Reaver – narzędzie służące do przełamywania bezpieczeństwa sieci Wi-Fi wykorzystujące opisywaną przez nas niedawno lukę w sieciach korzystających z Wi-Fi Protected Setup (WPS)

Reaver pozyskuje klucze WPA/WPA2

Reaver wykonuje atak brute-force na routerach z włączonym WPS
. Po ogadnięciu PIN-u, Reaver uzyskuje dostęp do konfiguracji sieci — w tym do klucza WPA/WPA2.

Tactical Network Solutions, autorzy Reavera, zauważają, że access pointy które działają na wielu częstotliwościach (2.4 lub 5 GHz) mogą jednocześnie używać kilku różnych kluczy WPA/WPA2 — ale mają jeden PIN do WPS. Z tego powodu Reaver jest w stanie odzyskać wszystkie klucze.

Jeszcze raz apelujemy o wyłączenie WPS-a w swoich acces pointach i routerach Wi-Fi. Nawet jeśli z niego świadomie nie korzystacie, wasza sieć może być podatna na ataki — sporo routerów bezprzewodowych włącza WPS domyślnie.

Źródło

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

 

[SE7EN]

Paczka na linuxa do pobrania tu:

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

 

[remool]

@SE7EN

Paczka na linuxa do pobrania tu:

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

Trzeba będzie oblecieć po sąsiadach - żarcik .
Tak na serio to Polacy nie przykładają się zbytnio do zabezpieczenia wifi ( przynajmniej w mojej okolicy ) Kiedyś przespacerowałem się z lapkiem po okolicy to byłem w szoku - blisko 30% sieci niezabezpieczonych drugie tyle tylko z WEP które jak wiadomo szału nie robi . Świadomość wielu rodaków cieniutka

 

[buto]

Nasza kochana TP dawała bardzo długo do neostrady liveboxa z zabezpieczeniem WEP,nowsze od niedawna mają WPA,ale z tego co mi wiadomo starych nie zamierzają wymieniać.

 

[polak900]

właśnie znajomy to przeczytał i do mnie dzwoni:
z pytaniem jak wyłączyć w linksys wrt54 gl WPS

nie ma takiego routera i nie wiem jak mu pomóc, dlatego piszę do was
Ale czy tak stary router ma w ogóle WPS?

 

[SE7EN]

Niech wyłączy funkcje SecureEasySetup, po pobieżnym przewertowaniu instrukcji użytkownika mam przeczucie że to właśnie ta opcja, tylko w tym routerze chyba trzeba przycisnąć jakiś guzik żeby ją uaktywnić.

 

[polak900]

on nie ma nawet tego kodu pin czyli może w ogóle nie ma WPS

 

[remool]

polak900
.....linksys wrt54 gl WPS

Legendarny router do wgrania alternatywnego softu Wydając ok 2 stówki i wgrywając inny soft otrzymujemy router dorównujący sprzętowi wartemu parę tysięcy .
W tp linkach ta funkcja nazywa się QSS a w tym modelu to zgadzam się z SE7EN - będzie to "SES (Secure Easy Setup) - system zabezpieczenia danych w sieci bezprzewodowej "

 

[konarsky]

W nowych routerach WPS - Wi-Fi Protected Setup™ można znaleźć tutaj.

W WRT54G najprawdopodobniej nie ma tej opcji

 

[remool]

Znaczyłoby to ze SES jest ( w tym przypadku nieaktywny )

 

[remool]

Śmieszna tylna furtka w ruterach Linksysa (i prawdopodobnie Netgeara)

Nowy rok zaczynamy jednym z naszych ulubionych tematów, czyli kolejną tylną furtką w urządzeniu sieciowym, zostawioną tam przez producenta z nadzieją, ze nikt jej nie znajdzie. A nadzieja, jak powszechnie wiadomo, jest matką głupich.

Tym razem tylna furtka wygląda dość niepozornie. Ot, otwarty port, który odpowiada dziwnym ciągiem znaków. Okazuje się jednak, że to niestandardowy interfejs zarządzania całym urządzeniem, dostępny dla każdego użytkownika.

Wyzwanie przyjęte

Autor odkrycia, Eloi Vanderbeken, opisał swoje znalezisko w dość niestandardowy sposób – w postaci prezentacji PPT rysowanej w Paincie. Prosimy zatem o wybaczenie, jeśli coś w naszym artykule nie będzie się zgadzać, ale wiele elementów musieliśmy dedukować z obrazków. Wszystko jednak wskazuje na to, że pewnego świątecznego dnia Eloi próbował skorzystać z internetu, który działał bardzo wolno (z marnego łącza korzysta wiele osób). Wpadł zatem na klasyczny pomysł administratora, czyli ograniczenie przepustowości pozostałym użytkownikom. Gdy jednak próbował zalogować się do rutera Linksys WAG200G, problemem okazały się jednak decyzje podjęte wiele lat temu, czyli wyłączenie zdalnego dostępu do interfejsu administratora oraz ustawienie bardzo skomplikowanego i bardzo zapomnianego hasła. Tu następuje moment, w którym nie rozumiemy, czemu Eloi nie mógł po prostu fizycznie zresetować rutera do ustawień fabrycznych – być może urządzenie nie znajdowało się w jego domu lub nie chciał zmieniać hasła dostępu do sieci WiFi wszystkim użytkownikom. Eloi odpowiedzał na nasze pytanie i wyjaśnił, że nie chciał stracić ustawień rutera i modemu.Nasz bohater przyjął zatem postawę, która jest zapewne oczywistym wyborem dla większości naszych Czytelników – challenge accepted! Odpalił Nmapa i zobaczył, że na ruterze otwarty jest tajemniczy port TCP/32764, który odpowiada ciągiem ScMM\xFF\xFF\xFF\xFF\x00\x00\x00\x00 na każde połączenie. Niestety w internecie nie znalazł żadnych konkretnych informacji na temat tego portu. Trzeba było zatem znaleźć inne rozwiązanie.

Analiza oprogramowania

Pierwszym krokiem gdy próbujemy analizować oprogramowanie rutera jest oczywiście pobranie odpowiedniej paczki ze strony producenta. Tu jednak Linksys się nie popisał – na oficjalnej stronie wyszukiwarka niczego nie znalazła. Z pomocą przyszły oczywiście internetowe fora. Eloi za pomocą narzędzia binwalk zidentyfikował system plików Squashfs, jednak próba jego podmontowania przy użyciu standardowych narzędzi się nie powiodła – jego urządzenie używało wersji starszej, niż obsługiwana przez narzędzia. Po krótkim hakowaniu skryptów konfiguracyjnych udało mu się jednak podłączyć do systemu plików rutera. Tutaj z kolei z pomocą przyszedł grep, który pomógł zidentyfikować plik scfgmgr, odpowiedzialny za wysyłanie tajemniczego komunikatu na porcie 32764. Do akcji ruszyła IDA

Analiza protokołu

Eloi na swoje szczęście znał się na inżynierii wstecznej w wystarczającym stopniu, by zlokalizować procedury odpowiedzialne za obsługę komunikacji usługi obsługującej port 32764. Ku swojemu zaskoczeniu odkrył tam banalnie prosty protokół, przyjmujący po krótkim nagłówku 13 różnych, kolejno ponumerowanych poleceń. Jak przystało na prawdziwego eksperymentatora, Eloi po prostu wysłał do rutera kilka pakietów. Ku swojemu zaskoczeniu otrzymał pełną konfigurację urządzenia wraz ze wszystkimi hasłami oraz komunikat od żony o treści „czemu nie działa internet!”. Dalsza analiza pozwoliła zidentyfikować znaczenie kolejnych poleceń.

1: zrzut całej konfiguracji z pamięci nvram
2: wyświetlenie wybranej zmiennej
3: ustawienie wybranej zmiennej (a przy okazji błąd przepełnienia bufora)
4: wgranie nvram
5: ustawienie trybu mostka sieciowego
6: wyświetlenie prędkości łącza
7: wykonanie polecenia (czyli shell)
8: zapisanie pliku
9: wyświetlenie informacji o wersji
10: wyświetlenie adresu IP
11: przywrócenie domyślnych ustawień
12: odczytanie fragmentu dysku
13: zrzut nvram

Czy można chcieć czegoś więcej? Jest nawet shell! Dla ułatwienia obsługi tylnej furtki Eloi stworzył odpowiedni skrypt w Pythonie. Na deser znalazł także w ruterze prywatny klucz RSA. A Chińczycy prawdopodobnie wiedzieli o tej tylnej furtce od 2008…

Inne rutery?

Co prawda do tej pory nikt nie potwierdził na 100% faktu obecności tej samej tylnej furtki w innych urządzeniach, jednak w sieci można znaleźć wpisy mówiące o tym, że w wielu modelach ruterów otwarty jest port 32764, który odpowiada na połączenia tym samym ciągiem znaków… Przetestujecie? Przykładowe urządzenia, gdzie tylna furtka może być obecna, to Netgear DG934, WPNT834, WG602, WGR614, DGN2000 oraz Linksys WRVS4400N - choć inne też niewykluczone. Prawdopodobnie mogą to być wszystkie urządzenia, korzystające z komponentów firmy SerComm.

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

Do tej pory potwierdzono występowanie tej tylnej furtki w następujących ruterach:

Linksys WAG200G
Linksys WAG120N
Linksys WAG160N
Linksys WAG320N (Firmware V1.00.12)
Linksys WAG54G2
Netgear DM111P
Netgear DGN1000
Netgear DGN3500
Netgear DG834
Cisco WAP4410N

 

[Kamelka]

Znaczyłoby to ze SES jest ( w tym przypadku nieaktywny )

Secure Easy Setup jest włączone w tym ruterze w Wireless/Advanced Wireless Settings na dole.

 

[remool]

Dziura w TP-Linkach,Pentagramach i D-Linkach – ponad milion polskich routerów podatnych na ataki.

Można przejąć kontrolę nad routerami wykorzystującymi firmware ZyNOS od ZyXEL-a (korzysta z niego m.in. kilka modeli znanej w Polsce marki TP-Link). Atak polega na uzyskaniu dostępu do backupu konfiguracji, który jest trzymany przez router w dostępnym dla każdego katalogu.

Na czym polega błąd?

Abdelli Nassereddine przeprowadził analizę firmware’u routera i odkrył, że bez żadnego uwierzytelnienia można dostać się do podstrony pozwalającej wygenerować backup konfiguracji routera:

http://IP_ROUTERA/rpFWUpload.html

W trakcie backupu konfiguracji, plik który ją zawiera jest domyślnie umieszczany pod następującą ścieżką i również można się do niego odwołać bez uwierzytelnienia:
http://IP_ROUTERA/rom-0

A zatem każdy internauta znający adres IP podatnego na atak routera może najpierw wygenerować, a potem pobrać jego backup. Następnie należy go jeszcze rozkodować za pomocą tego dekodera

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

…i już można odczytać m.in. hasło administratora.

Ponad 1,2 miliona polskich routerów podatnych na ten błąd?

W polskich klasach adresowych znajduje się ponad milion urządzeń, które wykorzystują podatny na ww. atak firmware i pozwalają na dostęp od strony WAN-u — oto ich nazwy:

"TD-W8901G",
"TD-8816",
"TD-W8951ND"
"TD-W8961ND",
"D-Link DSL-2640R"
"ADSL Modem"
""AirLive WT-2000ARM","
"Pentagram Cerberus P 6331-42"
"ZTE ZXV10 W300" – sprzedawany jako router ADSL z Neostradą i w T-Mobile do Internetu stacjonarnego.

Routery korzystające z podatnego na atak firmware’u można odnaleźć poprzez wyszukiwarkę Shodan po zapytaniu RomPager countryl

Nie wszystkie z nich muszą być od razu podatne na ataki! Ale niestety, po krótkich testach, wszystko wskazuje na to, że o ile część z routerów rzeczywiście wymaga uwierzytelnienia w dostępie do strony pozwalającej zrzucić backup, to już niestety w większości z nich dostęp do pliku rom-0 jest swobodny (oczywiście o ile plik ten został co najmniej raz wygenerowany)…
Co może zrobić atakujący po przejęciu routera?

Jeśli atakujący zdobędzie hasło administratora routera i będzie w stanie się do niego zalogować od strony internetu, może nie tylko podsłuchać waszą komunikację, ale także przekierować np. połączenie z bankiem na podstawiony przez siebie serwer poprzez podmianę DNS-ów serwowanych z DHCP (tzw. ataki pharming/phishing).

Mam TP-Linka (lub inny router podatny na ten atak). Jak się przed nim zabezpieczyć?

1. Sprawdź czy dostęp do zarządzania (logowanie na administratora) jest dostępny z sieci WAN. Jeśli nie ma, to obawiać powinieneś się tylko użytkowników podpiętych do twojej sieci lokalnej (np. Wi-Fi) — z reguły chodzi o domowników.
2. Zweryfikuj, czy w ogóle w twoim przypadku plik rom-0 istnieje.
3. Abdelli sugeruje, aby przekierować port 80 routera na host (nieistniejący) w sieci lokalnej, co uniemożliwi dostęp z internetu do filesystemu routera. Ponieważ fix jest to paskudny, warto rozważyć instalację alternatywnego firmware’u, np. DD-WRT (o ile jest on wspierany przez dany model routera)

Na moim sprzęcie wszystko w porządku

 

[Anonymous]

16 k w plecy, przez dziurawy router. A mógł taśmą dziury pozaklejać

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

Tutaj można sobie sprawdzić czy nasz router dostępny jest “z internetu”:

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

 

[tofana]

16 k w plecy, przez dziurawy router. A mógł taśmą dziury pozaklejać

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

Tutaj można sobie sprawdzić czy nasz router dostępny jest “z internetu”:

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

Jeśli można wierzyć: