» »

Odkrita ranljivost v usmerjevalnikih Linksys, Netgear in nekaj drugih

Odkrita ranljivost v usmerjevalnikih Linksys, Netgear in nekaj drugih

Del kode skripte, ki jo je uporabil Vanderbeken

Vanderbekenovo "poročilo" je videti takole

Slo-Tech - V nekaterih usmerjevalnikih znamke Linksys in Netgear so odkrili ranljivost, ki napadalcu omogoča ponastavitev nastavitev usmerjevalnika in prevzem nadzora z administratorskim računom. Ranljivost je odkril Eloi Vanderbeken na usmerjevalniku Linksys WAG200G, kmalu pa so jo prek interneta potrdili še uporabniki številnih drugih modelov.

Podrobnosti o luknji je Vanderbeken objavil v skopi predstavitvi na Githubu, ki je tako polna internetnih memov, da ji je včasih kar težko slediti. Vanderbeken je namreč poizkušal dobiti dostop do svojega usmerjevalnika, do katerega ni imel fizičnega dostopa niti administratorskega gesla. Ugotovil je, da usmerjevalnik na vratih 32764 posluša promet in se odziva nanj, a v dokumentaciji ni našel nobenega opisa, za kateri servis bi lahko šlo.

Na koncu je z interneta snel firmware usmerjevalnika in se lotil vzvratnega inženiringa. Ugotovil je, da gre za neznan servis scfgmr, ki teče na usmerjevalniku. Kmalu je bilo jasno, da lahko s komuniciranjem z usmerjevalnikom prek teh vrat povzroči ponastavitev (reset) konfiguracije, vključi brezžični dostop do nadzorne plošče in spremeni geslo.

Ranljivost so do danes potrdili v številnih modelih Linksys, Netgear in tudi Diamond, Cisco in LevelOne. Gre za programsko luknjo, ki jo na primer prepis firmwara s Tomatom na tistih napravah, ki ga podpirajo, odpravi. Nadaljnje kopanje po spletu je pokazalo, da je z ranljivostjo (na za zdaj še neznani način) najverjetneje povezano podjetje SerComm, saj imajo ranljivi usmerjevalniki vgrajen ADSL modem omenjenega proizvajalca. Seznam ranljivih usmerjevalnikov se namreč s SerCommovim asortimanom precej dobro pokriva. Napad od zunaj odvrne tudi blokada omenjenih vrat v vgrajenem požarnem zidu.

37 komentarjev

Brane22 ::

Za takšne stvari bi morali biti predvideni zakonski penali in odškodnine prizadetim.

Apple ::

telnet: connect to address x.y.z.w: Connection refused
telnet: Unable to connect to remote host: Connection refused

Cool, potem je tud DD-WRT varnejši :D
LP, Apple

wungad ::


Prefix Vendor
000E8F Sercomm Corp.


Iskratel INNBOX ... naprava, ki jo uporabljajo T2, SiOL in verjetno tudi AMIS.
.

kronik ::

backdoors, backdoors everywhere...

Yacked2 ::

Verjetno, da so bila backdoor vprogramirana namenoma ?
Korak naprej ni vedno ustrezen...sploh če si na robu prepada!

flbroker ::

nič več ne verjamem v slučajnost ko se gre za mrežne naprave

MrStein ::

Never attribute to malice that which is adequately explained by stupidity.
;)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

filip007 ::

A če potem vpišeš 192.168.1.1:32764 se bodo zvezdna vrata odprla.:))
Toshiba L650 + SSD + Ubuntu LTS.

Zgodovina sprememb…

  • spremenil: filip007 ()

Hayabusa ::

Skeniral sem z nmap svoj tomato router, port 53 je odprt.

Zgodovina sprememb…

  • spremenilo: Hayabusa ()

stb ::

Port 53 je DNS strežnik, za katerega je ponavadi zaželjeno, da posluša na notranjo stran omrežja.

Bolj zanimivo je skeniranje od zunaj, npr z
http://nmap.online-domain-tools.com

Hayabusa ::

Mislim da gre za dnsmasq zadevo:
http://ubuntuforums.org/showthread.php?...

oz v tomatu za opcijo
advanced -> DHCP / DNS Server (LAN)
"Use internal DNS"

http://www.linksysinfo.org/index.php?th...
-> Use Internal Caching DNS Forwarder: This option enables the dnsmasq DNS lookup caching.

Zgodovina sprememb…

  • spremenilo: Hayabusa ()

bosmla ::

Evo Linksys E4200 (orig. Firmware Version: 1.0.05)
"All 5000 scanned ports on BSN-142-xxx-xxx.dial-up.siol.net (89.xxx.xxx.xxx) are filtered"
pa tudi zelo stabilno deluje (4 zicne in do 4 brez)

Zgodovina sprememb…

  • spremenil: bosmla ()

MrStein ::

bosmla je izjavil:


"All 5000 scanned ports

5000? Problem je na portu 32764
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

DexterBoy ::

Khm... ali mi lahko nekdo prosim razloži, kaj to pomeni za uporabnike Telemacha, ki uporabljamo CISCO kabelski modem? Glede na to, da je to njihova stvaritev, pomeni, da je možen dostop do notranjega omrežja vsakega uporabnika?
"Rahlo" neprijetno, glede na to, da ne morem imeti drug modem ali pa naložiti drugi software...

Off Topic;
To pomeni, da bodo cene rabljenim routerjem omenjenih proizvajalcev močno padle? :))
Ko ne gre več, ko se ustavi, RESET Vas spet v ritem spravi.
http://www.avtofil.si/

wungad ::

Dvomim, da ljudje ki zelijo prodat rabljen router postavijo izhodiscno ceno glede na stevilo obstojecih vulnov za napravo:D
.

smash ::

dobro vprašanje..ali lahko ISP preko svojih routerjev dostopa do notranjega omrežja posameznega uporabnika?

wungad ::

To pa ze brez tega lahko. Sej ti morajo nekako upgradat/upravljat napravo. Vsaj tisti internetni/voip/iptv del. Po tvojem lanu pa ne smejo.
.

smash ::

wungad je izjavil:

To pa ze brez tega lahko. Sej ti morajo nekako upgradat/upravljat napravo. Vsaj tisti internetni/voip/iptv del. Po tvojem lanu pa ne smejo.


ja ne..to ni res...če maš svoj router, ne morejo v domače omrežje...vprašanje je, če nimaš svojega routerja

wungad ::

Ja sej vprasal si ce lahko isp preko svojih.
.

smash ::

wungad je izjavil:

Ja sej vprasal si ce lahko isp preko svojih.


ja ti si pa napisal da ne smejo....torej al ne smejo al ne morejo, to je pa velika razlika

Matthai ::

Pač si daš vmes še eno napravo, ki ti blokira dostope. Mikrotik stane 50 EUR.
Kind of an asshole at first sight, but actually a nice guy
when you get to know me personally. :)

wungad ::

Ja, sej zato sem napisal "NE SMEJO" :D. Na tebi je potem koliko temu verjameš. Jst ne verjamem nobenmu niecz.
.

Matthai ::

Seveda ni niti najmanjšega razloga zakaj bi zaupal svojemu ISPju. Temu primerno se je treba tudi obnašati.
Kind of an asshole at first sight, but actually a nice guy
when you get to know me personally. :)

trizob ::

Brane22 je izjavil:

Za takšne stvari bi morali biti predvideni zakonski penali in odškodnine prizadetim.

Drzen sodnik bi tudi pri nas to lahko prepoznal kot kaznivo. Če so Škorjanca zaradi Maripose, ne vidim nobenega razloga, da ne bi tudi ... Je pa vprašanje, če bo kdo sploh podal ovadbo in če se pri nas najdejondrzni v hramu pravice.

bosmla ::

MrStein je izjavil:

bosmla je izjavil:


"All 5000 scanned ports

5000? Problem je na portu 32764

ja skeniranje od 32001 do 35000... je pa res, da imam "Remote Management" izklopljen

MrStein ::

To pa je 3000 ports... ??? ;)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

bosmla ::

MrStein je izjavil:

To pa je 3000 ports... ??? ;)

eh zatipkal... vglavnem tega porta sigurno nima odprtega - sem pa probal se starega WRT54 - sem dal nazaj orig, firmware in je port 32764 odprt - na Tomato pa ne.

trizob ::

bosmla je izjavil:

MrStein je izjavil:

To pa je 3000 ports... ??? ;)

eh zatipkal... vglavnem tega porta sigurno nima odprtega - sem pa probal se starega WRT54 - sem dal nazaj orig, firmware in je port 32764 odprt - na Tomato pa ne.


Kako je pa z WRT54GL, a je kdo poizkusil (mislim na tovarniški strojni programski)?

Jaz sem poizkusil na WRT54GL, a ne s pripadajočo strojno programsko, temveč z DD-WRT: omenjena vrata niso odprta.

Hayabusa ::

Verjetno je tako kot pri WRT54 - glej post nad tvojim.

trizob ::

Hayabusa je izjavil:

Verjetno je tako kot pri WRT54 - glej post nad tvojim.


Povsem dopuščam to možnost, a ni nujno, da je tako. Strojni programski se na teh dveh različicah bistveno razlikujeta, prva je zaprtokodna in lastniška, druga (pri napravi z oznako GL) pa odprtokodna. V tem primeru bi utegnili videti, kako se je obnesla transparentnost odprte kode v praksi.

Se pa ob vsem tem nisem pretirano poglabljal, samo prečesal sem odprta vrata na svoji napravi v želenem območju in ugotovil, da ta niso odprta. Tako ne vem, ali jih tišči zaprta požarni zid ali je z drugo strojno programsko izginila tudi storitev, ki posluša na teh vratih.

wungad ::


Not shown: 64991 closed ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
23/tcp open telnet
80/tcp open http
139/tcp open netbios-ssn
445/tcp open microsoft-ds
5431/tcp open park-agent
5916/tcp open unknown
30005/tcp open unknown
44401/tcp open unknown
MAC Address: xx:xx:xx:xx:xx:xx (Sercomm)


Sicer ne gre za omenjene port, ampak tole me tud zanima kaj je na 30005 in 44401
.

jest10 ::

Če ti laufa kakšen torrent, ti lahko odpre porte.

wungad ::

30005 je tr069 na modemu kokr sm najdu. posluša pa web server tam. 30005 je tema :D
.

Matthai ::

Kaj ti odgovori telnet, če se povežeš na ta port?
Kind of an asshole at first sight, but actually a nice guy
when you get to know me personally. :)

wungad ::

Socket se vzpostavi, to je pa vse. Nada nazaj in nada karkol writnem notr.

Aja, to govorim za 44401, 30005 je web server.
.

Zgodovina sprememb…

  • spremenil: wungad ()

trizob ::

A web server ti poganjaš na teh vratih ali je kaj drugega?

wungad ::

:D
Ne, na 30005 posluša web server na innbox modemu.
.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Na pol milijona ukrajinskih usmerjevalnikov nastaja botnet nejasnega namena

Oddelek: Novice / Varnost
257664 (3322) Ales
»

Ranljivost v usmerjevalnikih Linksys, Netgear se vrača

Oddelek: Novice / Varnost
227273 (5086) Spock83
»

Nenavaden črv napada Linksysove usmerjevalnike

Oddelek: Novice / Varnost
226476 (3157) Daniel
»

Inovativen napad: Geolokacija, tudi brez vaše privolitve

Oddelek: Novice / Varnost
3412385 (10491) MrStein

Več podobnih tem