Novou zraniteľnosťou sa dajú hacknúť routery z Internetu, aj s vypnutým vzdialeným prístupom

Značky: routeryWi-FibezpečnosťInternet

DSL.sk, 19.12.2014

V množstve modelov najmä domácich sieťových routerov sa nachádza vážna bezpečnostná zraniteľnosť, ktorá umožňuje ovládnutie routera z Internetu a to často aj bez zapnutého prístupu k webovému administrátorskému rozhraniu zvonka.

Upozornila na to bezpečnostná spoločnosť Check Point, ktorá zraniteľnosť identifikovala.

Zraniteľnosť sa nachádza vo webovom serveri RomPager, ktorý je používaný v množstve routerov zrejme kvôli jeho dodávaniu v rámci SDK od výrobcov SoC procesorov pre routery.

Zraniteľnosť je možné zneužiť špeciálne skonštruovanou HTTP požiadavkou neautentifikovaného užívateľa so zaslaním cookie špecifického tvaru, ktorej spracovaním príde k poškodeniu pamäťových štruktúr a označeniu aktuálneho pripojenia za pripojenie s administrátorskými oprávneniami. Následne útočník získava plnú kontrolu nad routerom.

Vzhľadom na spôsob zneužitia pomenovala spoločnosť zraniteľnosť Misfortune Cookie.

Check Point upozorňuje, že zneužiť je ju často možné aj pri vypnutom prístupe k administrátorskému rozhraniu z Internetu. RomPager totiž často beží aj na porte 7547 a prijíma prvé spojenie protokolu CWMP určeného pre vzdialený manažment zariadenia.

Zraniteľnosť sa do kódu RomPagera dostala v roku 2002. Sám tvorca softvéru ju identifikoval už v roku 2005 a opravil v novej verzii svojho softvéru, keďže si ale nezískala dostatočnú pozornosť tvorcovia routerov ju bežne neopravovali a ešte aj nové zariadenia s novým firmvérom v súčasnosti dodávajú s touto zraniteľnosťou.

Check Point informuje o zraniteľnosti na mis.fortunecook.ie, bližšie technické informácie ani test zraniteľnosti zariadenia neponúka. Zraniteľné boli verzie RomPager nižšie ako 4.34, na druhej strane môže byť chyba ale opravená aj v skorších verziách.

K dispozícii je iba zoznam (PDF) viac ako dvesto modelov routerov, ktoré Check Point označuje ako modely podozrivé z prítomnosti zraniteľnosti, keď prítomnosť zraniteľnosti sa môže líšiť podľa verzie firmvéru. Medzi týmito modelmi je množstvo modelov D-Link, TP-Link, ZyXEL, Edimax, ZTE a Huawei.

Podľa novembrového skenu Check Point je na Internete prítomných v súčasnosti minimálne 12 miliónov zraniteľných zariadení.

Check Point neponúka jednoznačný spôsob ako zistiť prítomnosť zraniteľnosti a návod ako zabrániť jej zneužitiu. Prvým krokom by ale mala byť kontrola prítomnosti modelu routeru v zozname zverejnenom spoločnosťou, v prípade potenciálne zraniteľného modelu prípadné vypnutie webového rozhrania z Internetu a kontrola, či router odpovedá na HTTP požiadavky na porte 7547 prípadne iných portoch používaných pre HTTP alebo HTTPS, napríklad 8080 a 443. Jedným z riešení v prípade detekcie potenciálne zraniteľného routera je samozrejme aj inštalácia alternatívneho firmvéru.




Najnovšie články:



Diskusia:

zraniteľnosť sem, zraniteľnosť tam Od reg.: Bryan Fury | Pridané: 19.12.2014 13:16 Stále čítam kade tade o nových objavených zranitelnostiach, vírusoch a nebezpečenstvách, avšak u svojich klientov, ani u seba som nepostrehol jediný "útok" tohto typu, a to sa jedná aj o väčšie firmy. Sú tie zraniteľnosti naozaj tak "závažné"? Odpovedať Známka: -5.9 Hodnotiť:

Re: zraniteľnosť sem, zraniteľnosť tam Od: kuprezak | Pridané: 19.12.2014 13:34 mozno ta uz hackli a ani o tom nevies :) Odpovedať Známka: 9.2 Hodnotiť:

Re: zraniteľnosť sem, zraniteľnosť tam Od: cupacuup | Pridané: 19.12.2014 22:36 Sú len dva typy firemných sieti, firmy ktoré hackli a vedia o tom a firmy ktoré hackli a nevedia o tom. Odpovedať Známka: 6.3 Hodnotiť:

Re: zraniteľnosť sem, zraniteľnosť tam Od: Jerichoo | Pridané: 20.12.2014 10:47 A potom firmy ktoré nehackli a sú si svojich kvalít vedomí... Odpovedať Známka: -5.6 Hodnotiť:

Re: zraniteľnosť sem, zraniteľnosť tam Od: Boh1 | Pridané: 21.12.2014 11:19 Ale jednoosobové eseróčky nikoho nezaujímajú (; Odpovedať Známka: 5.6 Hodnotiť:

Re: zraniteľnosť sem, zraniteľnosť tam Od reg.: black3r | Pridané: 19.12.2014 13:48 vacsina zranitelnosti je sama o sebe na nic.. problem je ked sa skombinuju.. napr. tato dava moznost pristupit utocnikovi do administrativneho rozhrania routra zvonku, co mu efektivne dava 1. priamy pristup k pocitacom za tym routrom (vie si naforwardovat porty).., ak to skombinujes so ziadnym alebo zranitelnym firewall-om a zranitelnymi pocitacmi mas pristup zvonka k pocitacom, o ktorych si administratori myslia ze su v bezpeci lebo FW a NAT 2. na niektorych routroch moznost preposlat vsetok traffic cez svoj server (co mu efektivne umoznuje spehovat komunikaciu s vonkajsim svetom a/alebo robit man in the middle utoky na zranitelne protokoly/aplikacie) dalsia vec je, ze tie utoky tam mohli byt a ty si si ich nevsimol... v momente, ked utocnik prevezme kontrolu nad tvojim systemom, moze po sebe vymazat stopy.. na mojom malickom osobnom server-i som napr. uz zopar pokusov o shellshock nasiel :) Odpovedať Známka: 9.2 Hodnotiť:

Re: zraniteľnosť sem, zraniteľnosť tam Od: sysgdhdkd | Pridané: 19.12.2014 18:42 Ak ma firma postavenu siet na tpl a zyxeloch tak im treba... Odpovedať Známka: 8.9 Hodnotiť:

Re: zraniteľnosť sem, zraniteľnosť tam Od: vlado12 | Pridané: 19.12.2014 13:56 No je to vazne ale nie pre nas ale pre vyrobcov aby si to opravili. predsa nechces mat doma alebo vo firme router kde by si vedel ze naozaj sa tam moze niekto dostat bez povolenia a nevies tomu zabranit. a takych co to skusaju je vela ... ja kazdu chvilku vidim ako sa chcel niekto namna napojit a pozeram odkial raz nemecko raz cina raz usa alebo iba proxy... proste najde sa ich vela Odpovedať Známka: 2.5 Hodnotiť:

Re: zraniteľnosť sem, zraniteľnosť tam Od: Klinger | Pridané: 19.12.2014 15:51 Budes sa cudovat, ale mne niekto zmenil DNS na domacom routery. Router bol napadnuty vdaka chybe ROM-0. Zial stale je napadnutelny cez tuto chybu, nakolko som nenasiel "alternativny softver". Odpovedať Známka: 10.0 Hodnotiť:

Re: zraniteľnosť sem, zraniteľnosť tam Od: sensei-san | Pridané: 19.12.2014 19:55 Čo tak vlastný dhcp/dns server? Trebárs na RPi. Odpovedať Známka: -4.3 Hodnotiť:

Re: zraniteľnosť sem, zraniteľnosť tam Od: mif | Pridané: 20.12.2014 11:47 Ale sak to neriesi problem ze sa mu tam niekto logne na router a zmeni IP toho DNS. To musi vyriesit zabezpecenim na routeri, vlastne DNS nepomoze Odpovedať Známka: 10.0 Hodnotiť:

Re: zraniteľnosť sem, zraniteľnosť tam Od: sensei-san | Pridané: 20.12.2014 18:28 Ak jeho stroje v LAN nebudú používať DHCP, a zriadi si vlastný DNS server, tak je fuk, že ten router bol hacknutý (pokiaľ ten router nebude on-the-fly prepisovať pakety, ktoré cez neho tečú (čomu sčasti možno zabrániť pomocou DNSSEC)). Odpovedať Známka: 3.3 Hodnotiť:

Re: zraniteľnosť sem, zraniteľnosť tam Od: Klinger | Pridané: 19.12.2014 15:51 Budes sa cudovat, ale mne niekto zmenil DNS na domacom routery. Router bol napadnuty vdaka chybe ROM-0. Zial stale je napadnutelny cez tuto chybu, nakolko som nenasiel "alternativny softver". Odpovedať Známka: -7.1 Hodnotiť:

Re: zraniteľnosť sem, zraniteľnosť tam Od: bubulo | Pridané: 19.12.2014 17:09 6 rokov som maval doma pevnu IP a presmerovany port 22 cez FW na maly ssh server na baze FreeBSD v podstate bez dalsich sluzieb, ktory mi sluzil ako brana domov. Na nom bol funkcny denyhost daemon, ktory blokoval kazdu ip po 5 neuspesnom pokuse. A mozem povedat, ze asi nebol den, kedy by sa nejaky blazon alebo bot z vonku nepokusal o naburanie. Tyden co tyzden bol log plny hlasok. Pritom nebolo velmi o co stat - nic moc by u mna nenasiel... Odpovedať Známka: 7.3 Hodnotiť:

Re: zraniteľnosť sem, zraniteľnosť tam Od: Fako | Pridané: 20.12.2014 13:47 ... lenze to on nema ako vediet - proste skusa, kde sa to da a hotovo. Ked najde dieru, vlezie dnu, poobzera sa a potom sa rozhodne, ci nieco zneuzije alebo nema co... Odpovedať Známka: 7.1 Hodnotiť:

Re: zraniteľnosť sem, zraniteľnosť tam Od: ... | Pridané: 22.12.2014 9:52 ja tam mam drop (a tiez po 5 pokusoch), a dovod je hlavne ten ze nepotrebujem aby mi to prilis plnilo logy... Odpovedať Hodnotiť:

Re: zraniteľnosť sem, zraniteľnosť tam Od: Boh1 | Pridané: 21.12.2014 11:18 Ak mas instalovany flash alebo adobe reader tak si o heknutie koledujes. Nedavno som sa zacal o crackovanie zaujimat a zhrozil som sa ako su moje pc zranitelne. Preto kazdemu odpurucam na notebooku prelepit kameru aj mikrák. Nemusí ťa "bárskdo" vidieť, keď si ho mastíš. Odpovedať Známka: 5.0 Hodnotiť:

tp-link Od: jablkotyblko | Pridané: 19.12.2014 13:20 kurna zas aj ten tp-link. Odpovedať Známka: 8.8 Hodnotiť:

Re: tp-link Od: huanggg | Pridané: 19.12.2014 15:51 zaujimave ze D-linkov je tam vcelku malo, a Asus, Belkin ani jeden Odpovedať Známka: 8.0 Hodnotiť:

hmmm.. Od reg.: shapira | Pridané: 19.12.2014 13:41 Tiez mam pod spravou vacsie firmy,ale zas druha vec je ,ze nepouzivam ani jeden router,resp.znacku z vyssie uvedenych ako hlavny router.. Ako hlavny vacsinou mikrotiky,alebo cisco, potom v kancloch kde sa da tlacit cez wifi :-D tak tam tplinky,ale s alternativnym OS Detto to iste doma ci u znamych.. hlavne ak maju staticku verejku ;-) Odpovedať Známka: 6.8 Hodnotiť:

Re: hmmm.. Od: abcdefghijklmno | Pridané: 19.12.2014 14:11 V prípade alternatívnych OS pre routery napr. DD-WRT platí táto chyba stále alebo sa vyskytuje iba pri stock firmvéroch? Odpovedať Známka: 5.0 Hodnotiť:

Re: hmmm.. Od reg.: black3r | Pridané: 19.12.2014 15:03 Keďže sa chyba týka software ktorý je predinstalovany v stock firmware tak sa samozrejme dd-wrt netýka Odpovedať Známka: 8.3 Hodnotiť:

Re: hmmm.. Od: hipster | Pridané: 19.12.2014 15:55 VEREJKA? :D Odpovedať Známka: 8.8 Hodnotiť:

Re: hmmm.. Od: bubulo | Pridané: 19.12.2014 17:20 Vie niekto o nejakej kombinacii routera a alternativneho firmveru, ktory by zvladal VDSL? Lebo toto je podla mna najvacsi problem alternativnych firmverov, routerov s ADSL2+, ktore su podporovane ddwrt, tomato alebo niecim podobnym je ako safranu a VDSL fakticky ziaden (aspon ja som nic nenasiel)... Tak potom babo rad. Odpovedať Známka: 10.0 Hodnotiť:

Re: hmmm.. Od: Koumak | Pridané: 19.12.2014 19:41 Ak nutne nepotrebujes alternativny firmware, ale vystacia ti zakladne funkcie a velmi solidne zelezo (cize stabilita), tak si kup Fritz. Odpovedať Hodnotiť:

Re: hmmm.. Od: dziny1 | Pridané: 19.12.2014 19:57 Pouzivam tp-w8970 hacknuty na openwrt. http://wiki.openwrt.org/toh/tp-link/td-w8970 Jediny problem je ze prve naloadovanie openwrt musi byt cez serial port. Potom vsetko dalsie ze uz da robit cez web alebo ssh. Sranda je ze w8970 sa predava ako ADS2+ ale chip podporuje VDSL a po instalacii openwrt na tom VDSL bezi. Odpovedať Známka: 5.0 Hodnotiť:

Re: hmmm.. Od: sensei-san | Pridané: 19.12.2014 19:57 Použiť ten pôvodný router v bridge mode, a zvyšok si riešiť sám. Odpovedať Známka: 6.7 Hodnotiť:

IP kamery Od: MarekTMS | Pridané: 19.12.2014 13:54 ak ovladnes router, dostanes sa aj do IP kamier? Ajájaj :D Odpovedať Známka: 8.2 Hodnotiť:

Routery Od: Wil | Pridané: 19.12.2014 14:26 Starý dobrý ZCOMAX WA-2204 Odpovedať Známka: 5.0 Hodnotiť:

Aj tcom dlink :) Od: radis | Pridané: 19.12.2014 14:54 Aj dir2641. :D Odpovedať Známka: 6.0 Hodnotiť:

poridne gateway - e Od: cico333 | Pridané: 19.12.2014 14:58 To su skoro vsetko SOHO routeriky..do firmy by som ich urcite nenasadzoval...tam patria Fortigaty, Cisca a Mikrotiky...... s poriadnym supportom Odpovedať Známka: 2.0 Hodnotiť:

Re: poridne gateway - e Od: dnes má meniny Judita | Pridané: 19.12.2014 15:11 Cisca a Mikrotiky s poriadnym supportom ... LOL :-DDD Odpovedať Známka: 5.4 Hodnotiť:

Re: poridne gateway - e Od: cico333 | Pridané: 19.12.2014 17:37 proti dlinkom urcite...rb 411 7 rocny a stale s novymi firmvermi...to u linkoch d a tp mozu snivat.... a FG asi ani nepoznas odbornik...... Odpovedať Známka: 7.5 Hodnotiť:

Re: poridne gateway - e Od: Fbxbxf | Pridané: 20.12.2014 1:11 Podpora je u Cisca na to aby sa frustrovany uzivatel troska vyventiloval, pretoze pomoci sa aj tak nedockas Odpovedať Známka: 10.0 Hodnotiť:

Re: poridne gateway - e Od: cico333 | Pridané: 20.12.2014 8:01 ja som mal s ciscom problem len raz...ked IOS napadol nejaky malver..ale vtedy reagovali rychlo..ale asi aj preto ze skandal bol poriadny... Odpovedať Hodnotiť:

D-Link DSL-2641R Od: Kleofasz Kutya | Pridané: 19.12.2014 15:15 Ajej, telekomunisticky D-Link DSL-2641R na zozname! Odpovedať Známka: 10.0 Hodnotiť:

Re: D-Link DSL-2641R Od: Koumak | Pridané: 19.12.2014 19:44 ftipnejsie este je, ze ten router bol navyse vyrobeny na zakazku Tcomu :))) (je odvodeny z ineho modelu ale s pouzitim slabsieho CPU) Odpovedať Známka: 7.8 Hodnotiť:

oebtr Od: oydir | Pridané: 19.12.2014 16:52 Novou zraniteľnosťou sa dajú hacknúť internety z rounteru Odpovedať Známka: 8.5 Hodnotiť:

Vypnutie portu 7547 Od: Tm. | Pridané: 19.12.2014 17:04 Mam zial router zo zoznamu. Jediny port ktory bol na routeri otvoreny bol "7547". Ked som ho "preNAT-oval" na neexistujucu IP v sieti, port uz neodpoveda. Hadam sa to tymto vyriesilo... Odpovedať Známka: 8.0 Hodnotiť:

Re: Vypnutie portu 7547 Od: Koumak | Pridané: 19.12.2014 19:47 Ach joj takto verejne si vyzradil jedno z moznych rieseni a prekazil tazky biznis secure-net IT firiem.. ach joj. :) Veru taketo "patchovanie" na najhlupejsich routroch zabera na viacero veci... Odpovedať Známka: 10.0 Hodnotiť:

Re: Vypnutie portu 7547 Od: huraaa | Pridané: 20.12.2014 16:09 ja som zmenil port na iny "1-65000" a 7547 sa zavrel-naektivny mam tp adsl Odpovedať Hodnotiť:

We\\\'re totally screwed Od reg.: Darth Vader | Pridané: 19.12.2014 18:04 Prask. Dalsia diera. Bum. A dalsia. Tresk. Dalsia. Baac. A tu je dalsia: http://dopice.sk/bHK Odpovedať Známka: -4.3 Hodnotiť:

Re: We\\\\\\\'re totally screwed Od: nasiel som este dalsiu dieru | Pridané: 19.12.2014 18:41 http://dopice.sk/bHO Odpovedať Známka: -10.0 Hodnotiť:

..... Od reg.: Sheer Mirage | Pridané: 19.12.2014 20:00 Ako sa vypína webové rozhranie z internetu a ako sa zisťuje, či router odpovedá na HTTP požiadavky na konkrétnych portoch? Môžete niekto napísať postup pre total laikov? Vďaka. Odpovedať Známka: 5.0 Hodnotiť:

Re: ..... Od: mif | Pridané: 20.12.2014 11:48 Staci zistit ci mas verejnu Ip adresu, ak nie tak si v pohode. Odpovedať Známka: 10.0 Hodnotiť:

Port knocking Od: Najlacniejsia bezpecnost | Pridané: 20.12.2014 20:05 ... Tuk tuk, kto je tam? Lameri Odpovedať Hodnotiť:

kurva Od: Ferikuš | Pridané: 20.12.2014 21:02 ja to yebem...furt voľačo a furt voľajakásik píčovina... kua kedy už budú tí fasoši písať poriadny zabezpečený kód, ktorý nemá backdoora alebo vážnu zraniteľnosť... Odpovedať Známka: 10.0 Hodnotiť:

Re: kurva Od: jasomnielenovo | Pridané: 22.12.2014 0:32 Hneď ako HP a Lenovo budú k svojim NTB dodávať káble, ktoré sa pri bežnom používaní nevznietia a tiež keď výrobcovia áut prestanú robiť zvolávačky lebo autá už budú navždy z výroby bezchybné. :-) Odpovedať Známka: -3.3 Hodnotiť:

hahahaha Od reg.: Psychiater | Pridané: 20.12.2014 22:18 moj tam neni Odpovedať Známka: -5.0 Hodnotiť:

Detekt Od: Detekt | Pridané: 21.12.2014 15:26 Spravne zistovanie zranitelnosti je napr. cez http://web-sniffer.net kde treba pozerat verziu RomPager web servera v routeri, napadnutelne su verzie starsie (mensie) ako 4.34. Odpovedať Hodnotiť:

Re: Detekt Od: Lukas934 | Pridané: 22.12.2014 0:27 Mohol by si mi prosim ta poradit ako mam cez web-sniffer vyhladat verziu RomPager web servera v mojom routeri? Odpovedať Hodnotiť:

Kde nic tu nic Od: ivan fox | Pridané: 20.1.2015 14:02 Internet je plný různých verzí toho článku, avšak přesná syntaxe té misfortune cookie není nikde k nalezení. Taková informace je pak na dvě věci.. Odpovedať Hodnotiť:

Pridať komentár