V SR stále 5 tisíc routerov ovládnuteľných z Internetu, návod na kontrolu a opravu

Značky: routeryDSLSlovenskobezpečnosťhackovanie

DSL.sk, 21.8.2014

Na Slovensku sa aktuálne nachádza stále takmer päť tisíc domácich najmä DSL routerov, ktoré cez zraniteľnosť označovanú ako rom-0 prezrádzajú pri prístupe z Internetu administrátorské heslo a zároveň sa je možné z Internetu prihlásiť do ich webového rozhrania.

Na základe skenu všetkých internetových IPv4 adries o tom tento týždeň informoval Tomáš Hlaváček z CZ.NIC, správcu českej národnej domény .cz venujúceho sa aj internetovej bezpečnosti.

Hlaváček začal analyzovať situáciu s počtom routerov zraniteľných chybou rom-0 na konci mája potom, ako CZ.NIC identifikoval túto chybu na domácom routeri jedného z českých užívateľov, ktorý mal útočníkmi zmenené adresy DNS serverov.

Pri prítomnosti tzv. chyby rom-0 firmvér ZyNOS prítomný vo viacerých modeloch a značkách domácich routerov cez webový server sprístupňuje bez akejkoľvek autentifikácie na URL "http://IP adresa routera/rom-0" binárny súbor s konfiguráciou. V súbore sa nachádza aj heslo administrátora.

Podľa informácií CZ.NIC pre server DSL.sk je na absolútnej väčšine routerov rom-0 prístupný z Internetu práve vtedy ak je prístupné štandardné webové administrátorské rozhranie a na 95% až 99% routerov sprístupňujúcich rom-0 sa môže útočník reálne z Internetu aj dostať.

V druhej polovici mája Hlaváček identifikoval na Slovensku 6.1 tisíc routerov, pri skene minulý týždeň stále 4.9 tisíc. V Českej republike ich je napriek dvojnásobnej veľkosti krajiny menej, v súčasnosti 3.7 tisíc, celosvetovo aktuálne 987 tisíc.

Hlaváček podľa informácií pre DSL.sk realizuje sken všetkých IPv4 adries dvojfázovo, v prvej fáze pomocou zmap za cca 4 až 6 hodín nájde všetky adresy odpovedajúce na TCP porte 80 a v druhej fáze overuje na týchto adresách prítomnosť a veľkosť súboru rom-0 pomocou HTTP HEAD požiadavku. Hlaváček predpokladá, že zraniteľných routerov je ešte o niečo viac, keď vzhľadom na metodiku môžu medzi prvou a druhou fázou zmeniť niektoré routery IP adresu na adresu predtým neodpovedajúcu na porte 80. Adries odpovedajúcich na 80 je totiž len malá časť, cca 2.5% zo všetkých IPv4 adries.

Potrebné nastavenie v ZyNOS na zabránenie prístupu z Internetu, na TP-LINK TD-W8901GB (screenshot: CZ.NIC)

Relatívne vysoký počet zraniteľných routerov na Slovensku je spôsobený skutočnosťou, že chyba sa nachádza na viacerých DSL routeroch poskytovaných operátormi. Zároveň niektoré majú štandardne povolený prístup k webového rozhraniu z Internetu. Pre viacero z týchto routerov predávaných v predchádzajúcich rokoch výrobcovia už neposkytujú aktualizácie firmvéru opravujúce chybu, zabrániť jej zneužitiu je ale možné zabránením prístupu k webovému rozhraniu z Internetu.

Zraniteľnosť sa podľa Hlaváčka týka okrem iného routerov TP-LINK TD-W8901GB, D-Link DSL-2640R, TP-LINK TD-8816, TP-LINK TD-W8951ND a TP-LINK TD-W8961ND.

Prítomnosť chyby je možné jednoducho otestovať vyžiadaním si URL "http://IP adresa routera/rom-0". Ak router vráti pre túto URL súbor, typicky o veľkosti 16 KB, je zraniteľný.

Zároveň CZ.NIC poskytuje webový nástroj na http://rom-0.cz testujúci zraniteľnosť routera, pričom okrem štandardného portu 80 testuje aj web server bežiaci prípadne na portoch 81, 8080 a 8000. Tento nástroj otestuje zraniteľnosť na konkrétnej verejnej IP adrese, pričom predvyplní adresu používateľa realizujúceho test. Ak tak tento realizuje test z pripojenia cez router, ktorý chce otestovať, je predvyplnená správna adresa a po návšteve http://rom-0.cz stačí spustiť test.

Zabrániť prístupu z Internetu na ZyNOS je možné zapnutím kontroly prístupu v sekcii Access Management - ACL, pričom ako bezpečné adresy s povoleným prístupom je možné nastaviť lokálne IP adresy. Po takomto nastavení bude možné útok stále realizovať z nastavených lokálnych adries, nie už ale cez WAN rozhranie z Internetu.




Najnovšie články:



Diskusia:

hilfe Od: kekket | Pridané: 21.8.2014 9:21 v tom CZ-NICu su ludia fakt skilled ktori vedia co robia, dokoknca uz skenuju aj nase routre, v SK-NICu tiez vedia co robia, beru peniaze za NIČ. Odpovedať Známka: 8.9 Hodnotiť:

Re: hilfe Od: trololoman | Pridané: 21.8.2014 9:30 v SK-NICu tiez vedia co robia, tam su odbornici na tunelling Odpovedať Známka: 9.5 Hodnotiť:

Re: hilfe Od reg.: M.Miiicho | Pridané: 21.8.2014 9:55 Nie nadarmo sa prezývajú "SK-NIČ" Odpovedať Známka: 10.0 Hodnotiť:

Re: hilfe Od reg.: jupiii | Pridané: 21.8.2014 15:02 No... mam iny port, ako je uvedeny v clanku. To nemohli dat moznost doplnit manualne port? Ale aj tak chvalim, pretoze na Slovensku sa koli ludom ani vietor nepohol, nie to este SK-Nieco. Odpovedať Známka: 6.0 Hodnotiť:

Re: hilfe Od: kraken0000000000 | Pridané: 22.8.2014 7:38 http://ipRoutra:port/rom-0 Odpovedať Hodnotiť:

Re: hilfe Od reg.: jupiii | Pridané: 22.8.2014 17:28 dik, pre istotu som skusal aj Operu aj IE, a na oboch timeout na stranku. Takze z vonku by mal byt nepristupny. No este uvazujem, ze by som zmenil defaultny soft na routri za Open-wrt alebo dd-wrt. Len netusim, ci ma rovnake moznosti ako ten oficialny. Napriklad nastavenie hostovskej wifi na frekvencii 2.4 a druhej na 5.0, ktoru mam obmedzenu rychlostne na 1 Mbit/128 kbit, a volne pristupnu v okoli pre susedov. Bez moznosti pristupu na zdielane funkcie oficialnej Wifi. Odpovedať Hodnotiť:

shit-kz Od: svišt | Pridané: 21.8.2014 9:56 Zoberte si ze ja som za jeden tižden v Ziline bol asi o 8 ludi ktorym presne v Pondelok prestal ist net. Nebolo to tym zeby mali jedneho ISP. Mali Nextru,Orange aj Telelekom a nebolo to len na KZ napísanych hore! Mali tam aj airlive 2000arm a nejaky EDIMAX ..... a kazdy jeden router mal spoločný znak , manualne nastavený DNS prim: 146.185.220.85 sekundarny netusim.. a podla RIPE je IP: Address Russian Federation“ :D Odpovedať Známka: 4.1 Hodnotiť:

Re: shit-kz Od: Houston | Pridané: 21.8.2014 14:55 Sekundarny server je nastaveny na Google Public Dns - 8.8.8.8. Zrejme aby utocnici na svojom 146.185.220.85 mali len svoje vlastne redirecty a ostatny traffic si odrobi Google. Napriklad youtube.com sa smeruje tiez na 146.185.220.85 a je tam stranka, ktora otvori falosne info o potrebe auktualizacie "Flash PRO" a da nejaky SETUP.EXE Odpovedať Známka: 10.0 Hodnotiť:

Re: shit-kz Od reg.: jupiii | Pridané: 21.8.2014 15:08 Toto som mal par dni dozadu. DNS som mal urcite zistovane automaticky od Orange. Az ked som zadal manualne google DNS servery 8888 a 8844, tak mi prestalo na kazdej fasbug, google, yahoo stranke vyskakovat idiotsky update pre Flash PRO. Raz som si ho nechtiac skoro nainstaloval. Bol to velmi rychly a krcovity cancel. Ani googlit som nemohol... vyriesil to az duckduckgo.com vyhladavac. Odpovedať Známka: 5.0 Hodnotiť:

LevelOne-0 Od: LGA | Pridané: 21.8.2014 10:02 Vyskusal som, a naozaj; mam doma LevelOne WBR-3601, ktory vracia rom-0, ale meno a heslo som v nom nenasiel. Nastastie nie je pristupny z internetu. Odpovedať Známka: -3.3 Hodnotiť:

Re: LevelOne-0 Od: Houston | Pridané: 21.8.2014 14:51 Meno a heslo tam je ale nie ako plain text. Odpovedať Známka: 10.0 Hodnotiť:

extrakce hesla z rom-0 Od: Tomáš Hlaváček | Pridané: 21.8.2014 10:25 Dobrý den! V první řadě se omlouvám za češtinu na slovenském fóru... :-) Pokud jde o extrakci hesla ze souboru rom-0, tak to není úplně přímočaré. Soubor je kolekce binárních blobů, které obsahují celé nastevení routeru, hesla a kdo-ví-co ještě. Většina z nich je zkomprimovaná pomocí LZMA, takže proto to není na první pohled vůbec čitelné. K rozebrání na jednotlivé části a jejich dekompresi se dá dohledat několik nástrojů, například tohle: http://piotrbania.com/all/utils/RomDecoder.c Odpovedať Známka: 9.4 Hodnotiť:

Re: extrakce hesla z rom-0 Od reg.: Darth Vader | Pridané: 21.8.2014 12:06 Ja pouzivam tento Python script: http://dopice.sk/ajk Odpovedať Známka: -5.0 Hodnotiť:

Re: extrakce hesla z rom-0 Od reg.: RB_    | Pridané: 21.8.2014 14:16 tento je lepší :D http://198.61.167.113/zynos/ Odpovedať Známka: -5.0 Hodnotiť:

Danke šén Od reg.: Sheer Mirage | Pridané: 21.8.2014 10:26 Ďakujem DSL.sk, prestavené. :) Odpovedať Známka: 10.0 Hodnotiť:

dnes má meniny Jana Od: truhlík111 | Pridané: 21.8.2014 11:01 a ako si to môžem skontrolavať ja ako laik? ;) Odpovedať Známka: -5.4 Hodnotiť:

Re: dnes má meniny Jana Od: ... | Pridané: 21.8.2014 11:13 precitas clanok, na konci najdes link, kliknes link, stlacis test, cakas Odpovedať Známka: 10.0 Hodnotiť:

Re: dnes má meniny Jana Od reg.: Redakcia DSL.sk | Pridané: 21.8.2014 11:20 Ako je popísané v dvoch odstavcoch na konci článku, najjednoduchšie je to návštevou na http://rom-0.cz. Doplnili sme bližší popis nástroja, aby bolo jasné ako funguje a čo očakávať. Odpovedať Známka: 10.0 Hodnotiť:

Re: dnes má meniny Jana Od: Houston | Pridané: 21.8.2014 15:33 Mozete doplnit aj dalsie routre: - AirLive WT-2000ARM Turbo-G ADSL Router - Edimax AR-7084A (a zrejme aj jeho varianty) Odpovedať Známka: 10.0 Hodnotiť:

navod Od: jon | Pridané: 21.8.2014 11:55 Takze len zapnut ACL? To je ako ochrana vsetko? skoda ze ste nedali screenshot, pre sprostejsich (ziadna ironia) Odpovedať Známka: 6.0 Hodnotiť:

Re: navod Od: 5 tisíc routerov | Pridané: 21.8.2014 14:17 a v ta kolonka interface sa berie tak ze both zablokuje alebo both povoli pristup k routru Odpovedať Hodnotiť:

Re: navod Od: 5 tisíc routerov | Pridané: 21.8.2014 14:18 teda ze by som nastavil pristup iba LAN. Odpovedať Hodnotiť:

Smutok Od: m0m0 | Pridané: 21.8.2014 11:58 Je smutne, ze korene tejto chyby siahaju az do roku 2008 :`/ Odpovedať Známka: 10.0 Hodnotiť:

not supported Od: brano2 | Pridané: 21.8.2014 12:10 moj stary cinsky router nastastie tieto finty absolutne nepodporuje :) Odpovedať Známka: 6.9 Hodnotiť:

Re: not supported Od: aaaano | Pridané: 21.8.2014 13:11 jasne tan predsa ine ficurky ;))) Odpovedať Známka: 8.3 Hodnotiť:

Re: not supported Od reg.: Fresco | Pridané: 21.8.2014 14:22 hihi, ten má nastavené čínske DNS napevno aj ked máš nastavené svoje...ach tí číňania! Odpovedať Známka: 10.0 Hodnotiť:

........... Od: testerovac | Pridané: 21.8.2014 14:47 mne to hodilo: No such file or directory Odpovedať Hodnotiť:

dakujem DSL Od: nemam a nebudem mat | Pridané: 21.8.2014 14:47 dakujem dsl, uz si mozete zmenit nadpis na V SR stále 4999 tisíc routerov ovládnuteľných z Internetu, návod na kontrolu a opravu Odpovedať Známka: 10.0 Hodnotiť:

poznámka Od: miki1234 | Pridané: 21.8.2014 21:15 tento D-Link s písmenom R je vyrábaný na zákazku T-Comu, v obchodoch sa kúpiť nedá ! Odpovedať Hodnotiť:

Keby len rom-0 .. Od: Okoloiduci | Pridané: 22.8.2014 8:42 Telnet z vonku je tu s nami este dlhsie ... admin, 1234, atd .... Hruza ... Odpovedať Hodnotiť:

router Asus RT-N10U Od: trokel | Pridané: 22.8.2014 10:24 ked zadam ip adresu routera http://xxx.xxx.x.x/rom-0 tak mi to vyhodi takuto hlasku, ale nijaky subor nestiahne... Settings have been updated. Web page will now refresh. Changes have been made to the IP address or port number. You will now be disconnected from RT-N10U. To access the settings of RT-N10U, reconnect to the wireless network and use the updated IP address and port number. a na testovacom webe http://rom-0.cz/index/ mi vracia hlasku > Address is probably not vulnerable < toz co vcul? Odpovedať Hodnotiť:

Pridať komentár