Linuxový malware Mirai, který stojí za nedávnými DDoS útoky, nyní útočí na zranitelné domácí routery v Německu (Deutsche Telekom), Irsku a Rakousku. Používá k tomu protokol SOAP TR-069 a TR-064 na portu 7547, které ISP slouží například k nahrávání nového firmware do routeru.
Jen v Německu je téměř milión zranitelných routerů a útok způsobil výpadek Deutsche Telekom tento víkend. Mirai umí napadnout jak routery s procesorem MIPS tak s procesorem ARM.
(zdroj: arstechnica)
Dobrá práce, jen houšť a větší kapky. Situace, kdy ISP dodává svým zákazníkům odpadní exkrementy, ke kterým se výrobce odmítá hlásit, poskytovat jakoukoliv podporu, natož pak nedejbože aktualizace zabugovaného, zabackdoorovaného a děravého firmwaru, je opravdu nadále neúnosná.
Vyrobit FW je zcela mimo síly ISP. Co si objednají, to jim výrobce dodá. Včetně TR-069 bez SSL, bez ověřování certifikátů a jakéhokoliv jiného zabezpečení. Na všech zařízeních kde lze to vypínám, ještě jsem neviděl, že by ISP jako např. O2 přes to ráčil poslat opravu firmwaru, zato je to výstavní díra do systému a do a celé sítě za tím.
Zábavné video: DEF CON 22 - Shahar Tal - I Hunt TR-069 Admins: Pwning ISPs Like a Boss + prezentace.
:-(((
No nevim. Dostalo se mi do ruky tohle: http://www.internetproviders.be/wp-content/uploads/2015/01/bbox2-300x225.jpg . BBOX-2, coz je Sagem F@st 3464 zamontovany do seredne krabice (ta puvodni krabice od Sagemu je take seredna, ale aspon neni tak velka) a pouzivana nekterymi belgickymi ISP, prinejmesim Scarlet a Belgacom - ten je asi podle vseho autorem te sracky. HW je udajne dost dobry a vykonny, firmware bohuzel je nejaky doma bastleny. Firmware *je* updatovany na dalku, podarilo se mi najit sajt se vsemi verzemi firmware. Bohuzel, vsechny jsou dost veprove, v poslednich akorat pribyly nektere security ficury, jako lepe zasifrovane heslo ADSL uzivatele a heslo pro prihlaseni do web konfigurace, ktera puvodne byla zcela otevrena - s updatem vyzaduje heslo, kterym je tusim seriove cislo.
Ten firmware je asi odvozeny od puvodniho sagemackeho, ale dostalo se mu nekolika vylepseni. Napriklad voip brana je natvrdo zadratovana a 2 porty byly vycleneny na televizi. Firmware je v takovem stavu, ze uz bych z nej neobvinoval Sagem. A originalni firmware Sagem na to bohuzel nejak narvat nejde, maji to nejak zamknute.
Doma mam na VDSL router dodany T-Com. Kedze je v polovicou vlastneny nemeckym T-Com tak odhadujem ze maju odobne postupy tu aj v nemecku. A musim povedat ze sa firmware kedze verzia v administracii sa zvysuje a dokonca pred tyzdnom sa dost zmenil aj graficky dizajn.
Takze ak si mam vybrat medzi routerom ktory obcas aktualizuje ISP vs kvantum krabiciek ktore lezia od zapnutia s tou istou verziou FW tak je asi lepsia ta prva moznost.
Vetsine lidi to asi nebude vadit, ale jak jsem videl, tyhle routery maji firmware, ktery je oproti puvodnimu firmware nejak zkrypleny. Neco chybi, mozna proto, ze by se to neveslo do ROM, kdyz tam ISP prida sve vifikundace, jako treba televizi. Neco zase muze byt zamcene, aby user nemohl zmenit napriklad voip na jineho providera. A je otazka, jestli se upgrady tykaji i chyb, ktere byly nalezeny v puvodnim firmware nebo jen dodatecnych vifikundaci ISP. Bohuzel k tomu asi nikdo nedodava zadny change list. J dost mozne, ze z hlediska bezpecnosti je to prast jako uhod.
2Jarda: Cim vetsi firma, tim vetsi bordel ... hlavne u malyho ISPka dostanes prevazne jeste celkem solidni HW, kdezto molosi si nechaj delat krabice u conga a setrej kazdej cent.
A cong samo udela pulku toho, co po nem chteli, a 1/4 toho, co by udelat mel. Managorum posle letaky s vysmatejma rodinkama, oni si sami sobe schvalej odmeny, protoze usetrili ... a tim je to sfouknuty.
Ne, u některých zařízení bohužel rozhodně ne. Tam, kde to jde, to samozřejmě blokuju. I kdyby ISP aktualizace dodával, tak o takovouto "funkci" s ohledem na její nulové zabezpečení (viz odkazované video) v podání drtivé většiny ISP vážně nemám zájem, protože stejně tak mi tam (jak vidno ze zprávičkou popisovaného případu) může "aktualizaci" dodat kdokoliv.
Zrovna v Německu si za to uživatel svým způsobem může sám, protože zákonodárce zarazil omezení na modem dodaný ISP. ISP musí otevřít specifikaci a předat všechna data k tomu, aby si uživatel mohl pořídit a provozovat vlastní modem. Samozřejmě by bylo lepší, kdyby ISP rovnou nabízel něco rozumného, ale alespoň je cesty ven. :)
