neprihlásený Nedeľa, 6. októbra 2024, dnes má meniny Natália
V SR stále 5 tisíc routerov ovládnuteľných z Internetu, návod na kontrolu a opravu

Značky: routeryDSLSlovenskobezpečnosťhackovanie

DSL.sk, 21.8.2014


Na Slovensku sa aktuálne nachádza stále takmer päť tisíc domácich najmä DSL routerov, ktoré cez zraniteľnosť označovanú ako rom-0 prezrádzajú pri prístupe z Internetu administrátorské heslo a zároveň sa je možné z Internetu prihlásiť do ich webového rozhrania.

Na základe skenu všetkých internetových IPv4 adries o tom tento týždeň informoval Tomáš Hlaváček z CZ.NIC, správcu českej národnej domény .cz venujúceho sa aj internetovej bezpečnosti.

Hlaváček začal analyzovať situáciu s počtom routerov zraniteľných chybou rom-0 na konci mája potom, ako CZ.NIC identifikoval túto chybu na domácom routeri jedného z českých užívateľov, ktorý mal útočníkmi zmenené adresy DNS serverov.

Pri prítomnosti tzv. chyby rom-0 firmvér ZyNOS prítomný vo viacerých modeloch a značkách domácich routerov cez webový server sprístupňuje bez akejkoľvek autentifikácie na URL "http://IP adresa routera/rom-0" binárny súbor s konfiguráciou. V súbore sa nachádza aj heslo administrátora.

Podľa informácií CZ.NIC pre server DSL.sk je na absolútnej väčšine routerov rom-0 prístupný z Internetu práve vtedy ak je prístupné štandardné webové administrátorské rozhranie a na 95% až 99% routerov sprístupňujúcich rom-0 sa môže útočník reálne z Internetu aj dostať.

V druhej polovici mája Hlaváček identifikoval na Slovensku 6.1 tisíc routerov, pri skene minulý týždeň stále 4.9 tisíc. V Českej republike ich je napriek dvojnásobnej veľkosti krajiny menej, v súčasnosti 3.7 tisíc, celosvetovo aktuálne 987 tisíc.

Hlaváček podľa informácií pre DSL.sk realizuje sken všetkých IPv4 adries dvojfázovo, v prvej fáze pomocou zmap za cca 4 až 6 hodín nájde všetky adresy odpovedajúce na TCP porte 80 a v druhej fáze overuje na týchto adresách prítomnosť a veľkosť súboru rom-0 pomocou HTTP HEAD požiadavku. Hlaváček predpokladá, že zraniteľných routerov je ešte o niečo viac, keď vzhľadom na metodiku môžu medzi prvou a druhou fázou zmeniť niektoré routery IP adresu na adresu predtým neodpovedajúcu na porte 80. Adries odpovedajúcich na 80 je totiž len malá časť, cca 2.5% zo všetkých IPv4 adries.


Potrebné nastavenie v ZyNOS na zabránenie prístupu z Internetu, na TP-LINK TD-W8901GB (screenshot: CZ.NIC)



Relatívne vysoký počet zraniteľných routerov na Slovensku je spôsobený skutočnosťou, že chyba sa nachádza na viacerých DSL routeroch poskytovaných operátormi. Zároveň niektoré majú štandardne povolený prístup k webového rozhraniu z Internetu. Pre viacero z týchto routerov predávaných v predchádzajúcich rokoch výrobcovia už neposkytujú aktualizácie firmvéru opravujúce chybu, zabrániť jej zneužitiu je ale možné zabránením prístupu k webovému rozhraniu z Internetu.

Zraniteľnosť sa podľa Hlaváčka týka okrem iného routerov TP-LINK TD-W8901GB, D-Link DSL-2640R, TP-LINK TD-8816, TP-LINK TD-W8951ND a TP-LINK TD-W8961ND.

Prítomnosť chyby je možné jednoducho otestovať vyžiadaním si URL "http://IP adresa routera/rom-0". Ak router vráti pre túto URL súbor, typicky o veľkosti 16 KB, je zraniteľný.

Zároveň CZ.NIC poskytuje webový nástroj na http://rom-0.cz testujúci zraniteľnosť routera, pričom okrem štandardného portu 80 testuje aj web server bežiaci prípadne na portoch 81, 8080 a 8000. Tento nástroj otestuje zraniteľnosť na konkrétnej verejnej IP adrese, pričom predvyplní adresu používateľa realizujúceho test. Ak tak tento realizuje test z pripojenia cez router, ktorý chce otestovať, je predvyplnená správna adresa a po návšteve http://rom-0.cz stačí spustiť test.

Zabrániť prístupu z Internetu na ZyNOS je možné zapnutím kontroly prístupu v sekcii Access Management - ACL, pričom ako bezpečné adresy s povoleným prístupom je možné nastaviť lokálne IP adresy. Po takomto nastavení bude možné útok stále realizovať z nastavených lokálnych adries, nie už ale cez WAN rozhranie z Internetu.


      Zdieľaj na Twitteri



Najnovšie články:

HDD by mali dosiahnuť 50 TB o dva až tri roky
OpenZFS konečne dostáva podporu pridania ďalších diskov do RAID-Z
4ka oslavuje výročie, zákazníkom dá 1 GB dát
Prvý WiFi router od OpenWrt v predaji
Alza v Česku spustila predaj liekov, na Slovensku ho zatiaľ nechystá
Seriál Fallout podľa počítačovej hry dosiahol 100 miliónov divákov
NASA laserom komunikovala takmer na pol miliardy kilometrov
Ďalšia generácia Intel CPU bude predstavená o týždeň, dostupná o ďalšie dva
Tesla zvýšila objem výroby elektromobilov, za svojimi rekordami stále zaostáva
Qualcomm chystá ešte nižší model Snapdragonu X, zrejme umožní lacnejšie PC


Diskusia:
                               
 

v tom CZ-NICu su ludia fakt skilled ktori vedia co robia, dokoknca uz skenuju aj nase routre,
v SK-NICu tiez vedia co robia, beru peniaze za NIČ.
Odpovedať Známka: 8.9 Hodnotiť:
 

v SK-NICu tiez vedia co robia, tam su odbornici na tunelling
Odpovedať Známka: 9.5 Hodnotiť:
 

Nie nadarmo sa prezývajú "SK-NIČ"

Odpovedať Známka: 10.0 Hodnotiť:
 

No... mam iny port, ako je uvedeny v clanku. To nemohli dat moznost doplnit manualne port?

Ale aj tak chvalim, pretoze na Slovensku sa koli ludom ani vietor nepohol, nie to este SK-Nieco.
Odpovedať Známka: 6.0 Hodnotiť:
 

http://ipRoutra:port/rom-0
Odpovedať Hodnotiť:
 

dik, pre istotu som skusal aj Operu aj IE, a na oboch timeout na stranku. Takze z vonku by mal byt nepristupny.

No este uvazujem, ze by som zmenil defaultny soft na routri za Open-wrt alebo dd-wrt. Len netusim, ci ma rovnake moznosti ako ten oficialny. Napriklad nastavenie hostovskej wifi na frekvencii 2.4 a druhej na 5.0, ktoru mam obmedzenu rychlostne na 1 Mbit/128 kbit, a volne pristupnu v okoli pre susedov. Bez moznosti pristupu na zdielane funkcie oficialnej Wifi.
Odpovedať Hodnotiť:
 

Zoberte si ze ja som za jeden tižden v Ziline bol asi o 8 ludi ktorym presne v Pondelok prestal ist net.
Nebolo to tym zeby mali jedneho ISP. Mali Nextru,Orange aj Telelekom a nebolo to len na KZ napísanych hore! Mali tam aj airlive 2000arm a nejaky EDIMAX ..... a kazdy jeden router mal spoločný znak , manualne nastavený DNS prim: 146.185.220.85 sekundarny netusim.. a podla RIPE je IP:
Address Russian Federation“ :D

Odpovedať Známka: 4.1 Hodnotiť:
 

Sekundarny server je nastaveny na Google Public Dns - 8.8.8.8.

Zrejme aby utocnici na svojom 146.185.220.85 mali len svoje vlastne redirecty a ostatny traffic si odrobi Google.

Napriklad youtube.com sa smeruje tiez na 146.185.220.85 a je tam stranka, ktora otvori falosne info o potrebe auktualizacie "Flash PRO" a da nejaky SETUP.EXE
Odpovedať Známka: 10.0 Hodnotiť:
 

Toto som mal par dni dozadu. DNS som mal urcite zistovane automaticky od Orange. Az ked som zadal manualne google DNS servery 8888 a 8844, tak mi prestalo na kazdej fasbug, google, yahoo stranke vyskakovat idiotsky update pre Flash PRO. Raz som si ho nechtiac skoro nainstaloval. Bol to velmi rychly a krcovity cancel.

Ani googlit som nemohol... vyriesil to az duckduckgo.com vyhladavac.

Odpovedať Známka: 5.0 Hodnotiť:
 

Vyskusal som, a naozaj; mam doma LevelOne WBR-3601, ktory vracia rom-0, ale meno a heslo som v nom nenasiel.
Nastastie nie je pristupny z internetu.
Odpovedať Známka: -3.3 Hodnotiť:
 

Meno a heslo tam je ale nie ako plain text.
Odpovedať Známka: 10.0 Hodnotiť:
 

Dobrý den!

V první řadě se omlouvám za češtinu na slovenském fóru... :-)

Pokud jde o extrakci hesla ze souboru rom-0, tak to není úplně přímočaré. Soubor je kolekce binárních blobů, které obsahují celé nastevení routeru, hesla a kdo-ví-co ještě. Většina z nich je zkomprimovaná pomocí LZMA, takže proto to není na první pohled vůbec čitelné. K rozebrání na jednotlivé části a jejich dekompresi se dá dohledat několik nástrojů, například tohle: http://piotrbania.com/all/utils/RomDecoder.c
Odpovedať Známka: 9.4 Hodnotiť:
 

Ja pouzivam tento Python script: http://dopice.sk/ajk


Odpovedať Známka: -5.0 Hodnotiť:
 

tento je lepší :D

http://198.61.167.113/zynos/
Odpovedať Známka: -5.0 Hodnotiť:
 

Ďakujem DSL.sk, prestavené. :)
Odpovedať Známka: 10.0 Hodnotiť:
 

a ako si to môžem skontrolavať ja ako laik? ;)
Odpovedať Známka: -5.4 Hodnotiť:
 

precitas clanok, na konci najdes link, kliknes link, stlacis test, cakas
Odpovedať Známka: 10.0 Hodnotiť:
 

Ako je popísané v dvoch odstavcoch na konci článku, najjednoduchšie je to návštevou na http://rom-0.cz. Doplnili sme bližší popis nástroja, aby bolo jasné ako funguje a čo očakávať.
Odpovedať Známka: 10.0 Hodnotiť:
 

Mozete doplnit aj dalsie routre:
- AirLive WT-2000ARM Turbo-G ADSL Router
- Edimax AR-7084A (a zrejme aj jeho varianty)
Odpovedať Známka: 10.0 Hodnotiť:
 

Takze len zapnut ACL? To je ako ochrana vsetko? skoda ze ste nedali screenshot, pre sprostejsich (ziadna ironia)
Odpovedať Známka: 6.0 Hodnotiť:
 

a v ta kolonka interface sa berie tak ze both zablokuje alebo both povoli pristup k routru
Odpovedať Hodnotiť:
 

teda ze by som nastavil pristup iba LAN.
Odpovedať Hodnotiť:
 

Je smutne, ze korene tejto chyby siahaju az do roku 2008 :`/
Odpovedať Známka: 10.0 Hodnotiť:
 

moj stary cinsky router nastastie tieto finty absolutne nepodporuje :)

Odpovedať Známka: 6.9 Hodnotiť:
 

jasne tan predsa ine ficurky ;)))
Odpovedať Známka: 8.3 Hodnotiť:
 

hihi, ten má nastavené čínske DNS napevno aj ked máš nastavené svoje...ach tí číňania!
Odpovedať Známka: 10.0 Hodnotiť:
 

mne to hodilo:

No such file or directory
Odpovedať Hodnotiť:
 

dakujem dsl, uz si mozete zmenit nadpis na

V SR stále 4999 tisíc routerov ovládnuteľných z Internetu, návod na kontrolu a opravu

Odpovedať Známka: 10.0 Hodnotiť:
 

tento D-Link s písmenom R je vyrábaný na zákazku T-Comu, v obchodoch sa kúpiť nedá !
Odpovedať Hodnotiť:
 

Telnet z vonku je tu s nami este dlhsie ...
admin, 1234, atd .... Hruza ...
Odpovedať Hodnotiť:
 

ked zadam ip adresu routera
http://xxx.xxx.x.x/rom-0
tak mi to vyhodi takuto hlasku, ale nijaky subor nestiahne...
Settings have been updated. Web page will now refresh.
Changes have been made to the IP address or port number. You will now be disconnected from RT-N10U.
To access the settings of RT-N10U, reconnect to the wireless network and use the updated IP address and port number.

a na testovacom webe http://rom-0.cz/index/ mi vracia hlasku > Address is probably not vulnerable <

toz co vcul?
Odpovedať Hodnotiť:

Pridať komentár