Index.hu: "Sokkal durvább az orosz kártevő, mint gondolták, az ön routere is fertőzött lehet"

HUP cikkturkáló

https://index.hu/tech/2018/06/07/sokkal_durvabb_az_orosz_kartevo_mint_g…

  • 6395 megtekintés

A fórumon a 6.37 és tán a legacy 5.2x verziókról volt szó. Csak azért lepődem meg, mert éppen a 6.42.2 -> 6.42.3 frissitést csináltam pár napja.

Persze a billegő "!) www - fixed http server vulnerability" miatt talán érdemes ellenőrizgetni.

Ráadásuk az Index és forrásai, és annak a forrásai alapján először teljesen más OS és hw tűnt veszélyeztetettnek.

( wladek1 | 2018. 06. 07., cs – 19:02 )

TL-WR741ND konkretan tobbszazezres tetelben van szerintem aktiv hasznalatban Magyarorszagon.

ez valami egészen szürreálisan hangzik de igazából attól ijesztő hogy nem az...

"all submitted complaints will be forwarded to /dev/null for further investigation"
"ez ilyen hippi kommunás felfogás, ahogy Stallman sámán módjára dobol a nagy hasán, hogy GNU, free software, free as free beer."

Nem egészen értem h. mi van tp-linkék házatáján:

https://www.tp-link.com/hu/faq-2166.html

In a fast response, TP-Link has been optimizing and releasing updates to the affected firmware to eliminate this vulnerability. Firmware updates have already been provided for TL-WR940N and TL-WR740N (model no longer produced) and sent out to the complainant within a week. Users can download the updates directly from the product support pages on the official TP-Link website.

--> most akkor letölthetem, v. kérni kell egyesével mindenkinek a support-tól?

legutolsó V7
https://www.tp-link.com/en/download/TL-WR740N.html#Firmware
TL-WR740N(EU)_V7_160708
Published Date: 2016-07-08

vagy a régebbi V5
https://www.tp-link.com/en/download/TL-WR740N_V5.html#Firmware
itt a legutolsó:
TL-WR740N(UN)_V5_160715
Published Date: 2016-07-15

--

"..contains a "kill switch" designed to destroy the infected router on command..."
- oszt eszt íty hoty?! :O

--
Óje: -"...When executed, this module specifically removes traces of the VPNFilter malware from the device and then renders the device unusable. "

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

átlag júzernek meg se fordul a fejében hogy egy router szervizelhető lehet. látnád a hitetlenkedő arcokat amikor kijelentem hogy a wifi router is tulajdonképpen egy kicsi számítógép... és akkor most még nem is a kifejezetten buta vagy tájékozatlan ismerőseimmel mentem sörözni.

"all submitted complaints will be forwarded to /dev/null for further investigation"
"ez ilyen hippi kommunás felfogás, ahogy Stallman sámán módjára dobol a nagy hasán, hogy GNU, free software, free as free beer."

Lehet, hogy van ilyen is, a tapasztalatom viszont inkább az, hogy a userek minden szart meg akarnak javittatni, lehetőleg ezer éves mukodest várnak el minden olcsó szemettol, amit már a fel-felmenő is használt a donkanyarban.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

ez a másik véglet. igazából szerintem ez még a jobbik eset (insert hajbazer érvelésének józan része) bár ez is néha elmebajba tud átcsapni (insert hajbazer érvelésének nem józan része)

"all submitted complaints will be forwarded to /dev/null for further investigation"
"ez ilyen hippi kommunás felfogás, ahogy Stallman sámán módjára dobol a nagy hasán, hogy GNU, free software, free as free beer."

Húgom telefonját most távreszeteltük, miután a 3napos jószággal beszopta az "ön telefonja kvára vírusos ám, azonnal kattintson ide, ha jót akar" szöveget. Kis családi viszályt felvállalva előbb velem konzultált, de ha a német férjére hallgatott volna (aki egyébként nem info vonalon, de műszaki szaki), rögtön szervízbe megy vele.

Miért mondod ezt? Ez teljesen jogos emberi elvárás. Csak annyit várunk el egy munkaeszköztől, - legyen az akár hardver v. szoftver, hogy egy emberöltőn keresztül szolgáljon. (Egy ásó v. lapát sem kopik el pár emberi generáció alatt, attól számítva hogy "üzembe" helyezik és használják naponta 8 órát...)

(Meg lehet csinálni? Persze, a naprendszer határán 37 év után még működnek a Pioneer-ek, Voyager-ek szoftverei és hardverei is.)

Próbálnád csak meg elérni a tartósságot ásóbottal, faekével, mint ó-hajbazer kartács...

Egyébként a Voyager 2 hardverét cél- és lehetőségorientáltan átszervezték röptében (cserékről az amazon/aliexpress szállítási nehézségei miatt nem lehetett szó), és a szoftverkomponensei sem éppen a load-once-run-forever politikát követik
https://history.nasa.gov/computers/Ch6-2.html

...ami a nap 24 órájában lesi a tulajdonosa minden mozdulatát, tudja minden vágyát, ismeri nagyjából az emberi kapcsolati hálóját és azt is tudja, hogy azoknak mik a legtitkosabb vágyai, gondolatai...
Ha ez után nem parázik be egy életre a modern technikáról, akkor végleg elveszett... :)

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

nem akarok úgy csinálni mint ha értenék hozzá, de ha a flash memóriát kezdi el nullákkal teleírni (tudom, ez nem az eremerefszles hanem a dd if=/dev/zero kezdetű marhaság) akkor annyi a bootloadernek is (elég kevés eszközön van dedikált EEPROM a bootloadernek) onnantól meg marad a JTAG ha van vagy ha nincs akkor flash chip kiszed - újraír - visszatesz metodika.

"all submitted complaints will be forwarded to /dev/null for further investigation"
"ez ilyen hippi kommunás felfogás, ahogy Stallman sámán módjára dobol a nagy hasán, hogy GNU, free software, free as free beer."

persze, de ehhez már kell a hardver, ergo egyszeri júzer még akkor se fogja tudni magának megoldani ha van hozzá fancy grafikus frontend.

"all submitted complaints will be forwarded to /dev/null for further investigation"
"ez ilyen hippi kommunás felfogás, ahogy Stallman sámán módjára dobol a nagy hasán, hogy GNU, free software, free as free beer."

Az eredeti idea szerint egy átlagos szerviz simán ráállhat egy ilyen projektre a gyakoribb szappantartók esetében. Pl. az idehaza oly népszerű tl-wr741 (minden tyúkudvarban, disznóólban ezzel csinálják a wifit itthon).

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

mikor már ráálltak idehaza is a "mesteremberek" a "kiszállásért is elkérünk 7-8 ezret, oszt a munkát még el se kezdtünk" játékra, majd pont szakértelmet igénylő, 4ezer Ft-os rútert újraflesselő melót fog informatikus bót árulni 2ezerért... Lehetséges, de irreális.
--

Nem teljesen: "While the researchers still don’t know precisely how the devices are getting infected, almost all of those targeted have known public exploits or default credentials that make compromise straightforward."
https://arstechnica.com/information-technology/2018/05/hackers-infect-5…

( lx | 2018. 06. 07., cs – 19:42 )

Pánikra semmi ok! Ez csupán lerövidíti a soron következő konzultációs ívek válaszainak onlájn feltöltését a rendeltetési helyre.

Egyébként mindenképpen említést érdemel, hogy Amerikában verik a négereket.

( martonmiklos v | 2018. 06. 07., cs – 21:24 )

Na ez fasza.
Huawei HG8245H van itthon amit a tisztelt T provisionel. Nekünk végfelhasználónak csak valami gagyi accountunk van hozzá.
CVE-2017-15328 szerint érintett: ha a 018 a firmware verzióban az évet jelenti, akkor ezen 2015-ös FW van...
A 80-as port kint figyel publikusan, és ez a port forward nem látszik a listában.
És mivel ez egy GPON eszköz nagyon kicserélni sem tudom valami másra.

Hát az a helyzet, hogy ki tudja milyen felhasználók vannak még az eszközön amiről nem tudunk, illetve attól hogy default kint van a 80-as portja a neten engem a hideg kiráz...

Én ezt találtam a témában:
https://www.slideshare.net/DC7499/defcon-moscow-9-oleg-kupreev-telecomm…
(26. oldaltól)

Kéne szerezni egyet akár hibásan is amit szét lehet barmolni aztán szétnézni mi van a flashen...

3play van rajta meg provisioning előtt, egy R3G8SH7xds... szerű engedélyezett admin user (utána létrejön egy másik hasonló katyvasz nevű admin user de az tiltva van Enabled=0.

Szerintem ONT authentication nincs vagy jelszó nélkül van (a menüpontban csak egy serial number string van a jelszó része üres)

Nem tudom mennyire érzed magad biztonságban a jelszócserével, de az amit le tudsz cserélni az minden T-s routeren egyedi, a ráragaszott matricán van feltüntetve.
Nem 1 T-s router volt a kezemben és még nem találkoztam 2x ugyanazzal a jelszóval. Mivel a betütípus eltér a körülötte levötöl bízom benne hogy egyedileg és utólagosan van ráírva, de ebben csak reménykedni tudok, ahogy abban is hogy nem egy plaintext/excel fáljban van valahol a T-nél az összes kiadott GPON jelszava, lehetöleg valami publikusan jelszó nélkül védett helyen.
A Probléma ott kezdödik hogy azt a jelszót amit nem tudsz megváltoztatni azt a T kellö gondossággal választotta-e meg, vagy valami triviális név/jelszó páros mellett döntött.
Mivel FW-t nem tudsz cserélni, az admin jelszó számodra nem hozzáférhetö (én sem férek hozzá), azon kívül hogy (ha nem vagy ateista, imádkozol) a T-nél puhatolózol hogy most akkor mi van, szerintem nem sokat.
Egy mögé rakott másik router is biztonságérzetet ad, biztonságot nem.

Ha a szolgáltató szarját bridge módba rakatom, és saját rúterem van utána kötve, akkor "elvileg" a modemnek már nem kéne saját IP, így nem is figyelhet a 80-as porton?

Van annak úgy is IP-je, sőt web felültet is, max nem kötik az orradra.
sok ilyen bridge módban működő 'modem' elérhető a http://192.168.100.1 IP-n
Az, hogy ez elvileg nem routolható nem véd meg, mivel belülről is támadható. 'belül' pedig potenciálisan fertőzott/backdoorozott gépek (TV, XBOX, telefonok, PC-k, mediabox, anyámkinnya) vannak a legtöbb esetben.

Ha mögé teszed a saját (nem gyári firmware-es) cuccodat, és azt az eszközt már CSAK titkosított forgalom hagyja el, az sokat javíthat a helyzeten, ám ez nehezn kivitelezhető, és semmiképp sem default install szintű megoldás.

--
zrubi.hu

"Az, hogy ez elvileg nem routolható nem véd meg, mivel belülről is támadható. 'belül' pedig potenciálisan fertőzott/backdoorozott gépek (TV, XBOX, telefonok, PC-k, mediabox, anyámkinnya) vannak a legtöbb esetben."

Na, ez már azért kicsit durván eltúlzott paranoia. Még azt is nehezen tudom elképzelni, hogy egy eleve fertőzött, bridge módba kapcsolt router majd kiokoskodja, hogyan tud külső ip nélkül adatokat küldeni a gazda szerverekre (mert az addig oké, hogy tud sniffelni (bár ez is erősen kérdőjeles), de hogyan juttatja ki a cuccot?), az már végképp a konteo kategória, hogy a router védett, de majd a valahogyan (hogyan??) fertőzött media box, teló belülről megfertőzi a routert.

Maradjunk már a realitások talaján és találjuk ki, mi legyen a Telekomos eszközzel. Tervezik frissíteni amúgy?

> Na, ez már azért kicsit durván eltúlzott paranoia. Még azt is nehezen tudom elképzelni, hogy egy eleve fertőzött, bridge módba kapcsolt router majd kiokoskodja, hogyan tud külső ip nélkül adatokat küldeni a gazda szerverekre

Ez a legkisebb probléma: ha máshogy nem, akkor http adatfolyamba injektált javascripttel.

Részlet a hivatalos leírásból:
> The first action taken by the ssler module is to configure the device's iptables to redirect all traffic destined for port 80 to its local service listening on port 8888. It starts by using the insmod command to insert three iptables modules into the kernel.

Aki meg azt gondolja, hogy a 80-as port a legtöbb érzékeny szolgáltatást nem érinti: amikor beírja valaki, hogy otp.hu, akkor a böngésző először a http://otp.hu(:80) -ra csatlakozik (a hsts hiánya miatt), az átirányítja a https://otp.hu -ra, majd a https://www.otpbank.hu -ra. Így a https redirectet kihagyva teljes felügyeletet kap a malware az adatfolyamra.

Mivel a forgalom akkor is átmegy a GPON-on ha bridge-be van állítva, ha már benn vannak akkor tudják manipulálni a csomagot, ha még nincsenek benne akkor csak meg van nehezítve a bejutás mert nincs publikus címe, mivel nem ismerem a pontos felépítést, elég lehet ha csak 1 nincs bridge-be és bejutnak rá, lehet átjutnak a többire is.
Biztos van még egy tucat másik sebezhetöség is amiröl csak a gyártók nem tudnak.
Ha már megfertözték a routered, mennyi eröfeszítésbe kerülhet a vpn kapcsolatod is elterelni egy általuk felügyelt szerverre?

beállítás és kliens függő, de downgradelhetik a kapcsolatot egy olyan titkosításra, ami nem biztonságos: https://www.blackhat.com/presentations/bh-usa-03/bh-us-03-ornaghi-valle…
vagy kihasználhat különböző specifikus hibákat pl.: https://nvd.nist.gov/vuln/detail/CVE-2018-0227

De valoszinu a VPN hasznalat nincs annyira elterjedve, hogy ilyen modult irjanak.

Mivel a betütípus eltér a körülötte levötöl bízom benne hogy egyedileg és utólagosan van ráírva, de ebben csak

https://websec.ca/publication/advisories/Huawei-HG8245-y-HG8247-WPA-Gen…

Ezek fényében nem lennék meglepődve, hogy ha a label előre nyomtatott lenne és a hüvely gyártósor egyenként nyomja rá a WPA kulcsot meg passwordöt.

Nem lehet simán letiltani a webui (meg minden más routerről származó port) elérését a public internet felől? Egyáltalán mi értelme van a WAN interfacere bindelni?

Fun fact:
> Huawei HG8245 backdoor and remote access
> The backdoor is a web management account enabled by default and the password cannot be changed. In this version the default administrator password is:
> admin:*6P0N4dm1nP4SS*
via

Ez egy régebbi hiba (Date of publication: 12/09/2013), de azért valamennyire predesztinálja, hogy milyen odafigyeléssel készítik a router firmwareket.

Nem mintha a többi gyártó jobb lenne, Cisco IOS XE-re pl. pont ma jött adag CVE közte távoli, nem hitelesített felhasználó általi kódfuttatás

Khmm. Igazabol szinte az osszes magyar ISP teljes ugyfelhalozatat egy nap alatt lehetne 0-ra kuldeni. Az eszkozokben azonos root jelszo van, amit a firmwarebol ki lehet fejteni (de neten is megtalalhato sokszor hashnek megfelelo plain text). Ha mar bent vagy az eszkozben, akkor elered a menedzsment VLAN-t, ahonnan az ISP tobbi eszkozebe (tobbi GPON-os router) is at tudsz lepni ezekkel a jelszavakkal. Gyakorlatilag egy fereggel az osszes ilyen eszkozt meg tudnad fertozni, ami mondjuk torli a flash-t (jobb esetben, rosszabb esetben tonkreteszi). Utana meddig tartana mig helyreallitjak szerinted az itthon maradt (es nem tul kompetens) keves informatikussal a rendszert?

Szoval ez a kartevo csak egy legy a sz*rhalom tetejen. Szinte emlitesre sem melto..

Hát én valami SFP-s modulban meg valami normális OpenWRT-t/LEDE-t futtató vasban gondolkodom mert nem akarok még egy fűtő vackot berakni csak azért, hogy legyen internet. Meg a kihívás faktora is nagyobb, bár ez esetemben kb. azt jelenti, hogy emberi időn belül nem lesz belőle semmi.

Termeszetesen OOB nem mukodik, de biztos ki lehet jatszani. En most Diginel vagyok, igy nem tudom megnezni. T-tol mar reg eljottem..
Diginel pedig a DVB-C atvitel miatt fel sem merult a sajat optikai modul (bar elmeletben lehetseges lenne, de fizikailag kellene az ONT-be turni).

De szolok hogy ez nem csak technikai, hanem jogi kerdes. Magyarorszagon megutheted a bokadat, ha kiszurjak a sajat eszkozt a halozaton.

En most Diginel vagyok, igy nem tudom megnezni. T-tol mar reg eljottem..

Mmint ügyfél vagy végfelhasználó?

Nyilván sejtettem, hogy jogilag szürkezónás a dolog, de azért az sem járja, hogy arra kényszerítenek, hogy egy publikusan netre kitett vulnerable szaron keresztül kelljen interneteznem.

Ki lehet cserélni. Elrontod a user/passt a pppoe beallitasoknal, majd az 1-es lan portra raksz egy tetszoleges eszkozt amin "kitarcsazol". A tv es a telefon masik vlanban van, siman menni fog tovabbra is. Legalabbis nalam igy van, egy ipfire fut egy regebbi gepen. Dupla nat sincs, a red láb a kulso ip-t veszi fel.

( winben | 2018. 06. 08., p – 07:31 )

Háh, az én routerem papírom érintett.
Viszont nyugodt maradtam, mert egy ubuntu szerver a routerem, az érintett bigyó csak a mobilokra szórja a wifit. Aztán mivel tűzfal mögött van azért csakcsak megmenekültem. :)

Az index cikkböl idézve:

Craig Williams, a Talos egyik vezető elemzője szerint a támadók gyakorlatilag mindent képesek módosítani, ami a fertőzött eszközön áthalad, például el tudják hitetni a felhasználóval, hogy a bankszámlája egyenlege változatlan, miközben valójában megcsapolják a rajta tartott pénzt.

erre gondoltam.

( snq- | 2018. 06. 08., p – 10:31 )

>> erős annak a gyanúja, hogy a fertőzések mögött az orosz kormány állhat, ugyanis a VPNFilternek elnevezett kártevő programnak hasonló a kódolása, mint a korábbi, az amerikai kormány által Moszkvának tulajdonított, nagyszabású támadásokhoz használt kártevő programoknak

:D

ugyanezen a neves nem-fake-news ottlapon ma már ez szerepel:

"Múlt júniusban globális kibertámadás indult Oroszországból: érdekes módon a valószínűleg az amerikai NSA által kifejlesztett vírust használták fel az oroszok saját céljaikra."

az avatott szem ebben is meglátja, hogy putyin írta orbán laptopján

( SLD | 2018. 06. 08., p – 16:39 )

Amúgy a GDPR miatt nem kellett volna már tájékoztatást küldeniük az ISP-knek?