100.000 private routere hacket af ny botnet-orm

så er alle routere, der bruger Linux mipsel, har en web-interface, sshd eller telnet i en DMZ, og som har et svagt password, i farezonen.

Det endelige bevis på, at linux og ikke windows er roden til al dårligdom på nettet.

http://msdn.microsoft.com/en-us/library/ms995349.aspx

:)

men lidt sjovt de fleste routere plejer da at have lukket for remote adgang pr default , har denne ikke også det ?

Vedr. spørgsmålet om remote adgang er det faktisk sådan, at routerne oftest angribes 'indefra', og hvordan kan det så lade sig gøre ?

Svaret herpå er agt der benyttes til formålet indrettede, ondsindede java-scripts, der smugles ind på de html-sider, som routerens 'ejermand' kigger på.

@Lars Olesen: Det vil sige at det ondsindede java-script forsøger at knække admin pwd? Men dette er vel en generel betragtning, og ikke specifikt rettet mod denne botnet-orm, som jeg forstå opdager en router med services på enten port 22, 23 eller 80 og forsøger at skaffe sig shell adgang?

@Flemming Riis: Jo, så vidt jeg ved er DMZ services som default lukket af. Er man i tvivl kan man evt. teste på wwww.grc.com (shields-up)

Ja, min kommentar var helt generel, og jeg kender heller ikke noget til den konkrete sag. Jeg forstod umiddelbart artiklen, således at ormen skaffer sig adgang via web interfacet, og efterfølgende udnyttede routerens tjenester (sshd, telnet,...) til sine ondsindede formål.

Nej Linux er IKKE skurken.
Det er folk som beholder standardkodeordet, eller bruger et svagt kodeord.

Når man først er kommet ind, bliver der lagt ny firmware på. Det er totalt ligegyldig om der ligger Linux, Ciscos eller helt andre systemer på.
Luk for adgangen med et stærkt kodeord. Slå tjenester fra, som ikke bruges. Der er ingen grund til, at man skal kunne logge ind i sin router fra alle computere verden over.

men lidt sjovt de fleste routere plejer da at have lukket for remote adgang pr default , har denne ikke også det ?

Da jeg var Cybercity-kunde opdagede jeg ved et tilfælde at web-interfacet er enabled remote. Den dag i dag kan jeg stadig logge på min families forskellige Cybercity routere, åbne for de porte jeg skal bruge for at rette problemer på deres maskiner - lukke portene igen og logge af. Om Cybercitys zyxel routere så iøvrigt er sårbare ved jeg dog ikke - kun at det er rasende nemt at logge på og pille i andres opsætning. At jeg så kun har brugt det til at hjælpe de personer forhindrer jo ikke andre i at benytte det til andre formål.
Efterhånden er jeg dog gået over til at benytte TeamViewer til "support" da det ikke kræver jeg skal åbne/lukke porte i deres udstyr.

Alle 3 ADSL routere jeg har fået leveret fra Cybercity igennem en årrække har været pivåbne udadtil, hvilket jeg altid har undret mig over. Remote-admin interfacet er smart hvis de f.eks. ville opdatere firmware automatisk udefra, men det gør de ikke. Så det er en helt unødvendig sikkerhedsrisiko. Så vidt jeg har hørt er dette normal praksis fra de fleste danske bredbåndsleverandører. At levere pivåbne routere til hr. og fru Danmark, som selvfølgelig aldrig selv kunne finde på at ændre default konfigurationen. En skandale der venter på at ske. Det overrasker mig kun at det ikke er sket før...

http://www.version2.dk/artikel/10438-av-kan-jeg-faa-ny-firmware-til-min-...

Når først ormen tager over, låser den alle andre brugere ude ved at blokere telnet, sshd, og web-interface

og

Da der ikke er nogen nem måde at afgøre, om man er angrebet eller ej...

Er dette ikke selvmodsigende?

Hvis cybercity virkelig har et behov for at kunne få remote-adgang til kundernes routere, hvorfor i alverden begrænser de så ikke denne remote-adgang til bestemte source-adresser med en firewall regel, så kun brugere fra Cybercity's support IP adresser kan komme ind?

Peter

P.S: Hvor er det dog irriterende at ens artikel bare bliver slettet hvis man glemmer at skrive en overskrift! Jeg har flere gange måttet skrive indlæg forfra igen fordi jeg har glemt at skrive en overskift. Men opdagede jeg idag at i FireFox kan man bruge "Back" knappen og så er artiklen der stadig når man trykker på "Skriv ny kommentar".

Alle 3 ADSL routere jeg har fået leveret fra Cybercity igennem en årrække har været pivåbne udadtil

Men en rigtig god oplysning at få. Jeg tror jeg vil tilbyde et "router service check" til min "hr og fru Danmark omgangskreds.

Adgang er beskyttet med et password, som ikke lige er til at gætte.

Brute force, anyone?

10^26.

Hov! Det er 'nix så der er forskel på store og små bogstaver. Make that 10^52.

Nej Linux er IKKE skurken.

I gamle dage, når det f.eks drejede sig om en Ultrix (Digitals UNIX) Shell account, kunne administrator ændre en brugers password - der selvfølgelig var krypteret - til noget han kender og give det nye password til en bruger der havde glemt sit eget - eller som skulle ha' et password til en ny konto. Det gjorde han ved at overskrive brugerens password password filen med den tekststreng der lå under et andet password som han kendte.

Password filen var selvfølgelig skrivebeskyttet, men alle kunne læse i den osse folk udefra. Og de ku' hente - downloade, som det hedder - filen.

Jeg mener der var et dansk program der hed CrackerJack til brute angreb på sådan en fil.

Der var et andet svaghed ved password filen. Alle passwords, der lå i filen var krypteret med samme algorithme. Så hvis de ikke alle sammen var "gode" var det en smal sag at knække den dårlige og det gav så adgang til oplysning om alle de andre passwords.

Så hvis der er flere logon konti - admin og user f.eks - på sådan en router med Linux og bare een af dem har svag password, kan der være et sikkerhedshul.

Jaeh, brute-force er jo notorisk svær at arbejde med - med hvad var det lige artiklen nævnte at Naxxatoe anvendte til at komme ind i sin kammesjuks router med?

Brute force.
Og det gik da vist meget godt.

Jeg ved ikke om CC's routere er så meget mere avancerede end kammesjukkens, men der er jo da en mulighed for at de er i samme klasse.
Og så har vi empirisk bevis for at det udmærket kan lade sig gøre. 7- eller 8-bit charset underordnet.

Det gjorde han ved at overskrive brugerens password password filen med den tekststreng der lå under et andet password som han kendte.

Der skulle ha' stået:

Det gjorde han ved at overskrive brugerens password i password filen med den tekststreng der lå under et andet password som han kendte.

@Lars Olesen: Det vil sige at det ondsindede java-script forsøger at knække admin pwd?

Udover, at mange anvender standard passworded, så er naturligvis muligt, at lave software der overvåger password til router. Måske, kan brugeren lokkes til at logge på routeren, ved at programmet får mikrosoft opdatering, til at kræve genkonfiguration af router.

Jeg mener, at mange kabelmodems, giver mulighed for opgradering uden administrationspassword. Hvis du kan aflytte kommunikationen f.eks. med et kabelmodem på samme net, så vil du måske kunne bryde koden. Kabelmodem opgraderes automatisk fra udbyderne, og kan kommunikationen overvåges - f.eks. i forbindelse med en standard opdatering - så kan systemet måske brydes. Der findes software på nettet, der kan kodes ind i standard kabelmodems, og som gør dem i stand til at se koden der er på hele nettet, herunder andres post osv. hvis det sendes ukrypteret. De fleste kabelmodem, krypterer dog data, men deres kryptering kan måske brydes.

Det er ikke direkte Linux's sikkerhed som er brudt. At fejlen, er Linux's er derfor overdrivelse. Men, det er ikke helt forkert, fordi at netop brugen af Linux, gør programmering af firmware lettere tilgængeligt for hackeren. Ofte, er koden open source, og de har dermed relativ nem adgang til, at kunne modificere kode, og se hvordan koden virker, og måske modificere med egen kode.

Det undrer mig, hvorfor man har "lagt" webinterfacet ned. Logikken er, at man vil gøre det så usynligt som muligt, og kun lægge opgraderingsfaciliteten for firmware ned - f.eks. ved at detektere firmware versionen, og at kun opdatere versionsnummeret, eller ved at give samme standard besked, som hvis opgraderes med firmware, til en forkert router eller model, eller fortælle, at nedgradering ikke er muligt.

@ Stig Johansen:

Nej, det var ikke brute force, og det er heller ikke sandsynligt.

Sakset fra artikelteksten:

"Før jul hjalp Naxxatoe en ven, der havde glemt passwordet til sin router, med at genåbne adgangen til indstillingerne. Da han havde brute-forcet sig igennem webinterfacet, gik det op for ham, hvor nemt det var, og hvor mange ting, han pludselig havde adgang til".

Hmmm... Vrøvler journalisten?

Brute force er AFAIK en ganske anvendelig metode - gerne suppleret med dictionary-opslag mv. Men de fleste routere er ikke så voldsomt sikrede - f.eks. at brugernavnet er 'admin' og ikke kan ændres, eller at man slet ikke skal angive brugernavn, kun pw - det er da lidt tamt.

Men dén slags er jo intet i forhold til forlydendet (ref. Lars Bjerregaard) om at f.eks. CC lader alting stå pivåbent. Uha...

Hvad er lige definitionen på piv-åben? Jeg har en helt alm. CC router stående derhjemme (ok det er på en erhvervsforbindelse) og jeg kan da hvert fald ikke tilgå web-interfacet fra WAN siden, men jeg kan godt fra LAN siden. Desuden er Password sat til et noget kryptisk 10 karakters password med forskel på store og små bogstaver. Passwordet er sat af Cybercity og er sendt til mig via velkomstbrevet da jeg fik forbindelsen.

Jeg har lige lavet en portscan af forbindelsen og den fandt ikke lige noget åbent.

Jeg har en helt alm. CC router stående derhjemme (ok det er på en erhvervsforbindelse) og jeg kan da hvert fald ikke tilgå web-interfacet fra WAN siden, men jeg kan godt fra LAN siden.

Du skal slå "loop back" til i CCs router først.

Men en CC router er som sagt ikke "piv-åben". Den er beskyttet af et godt password. Jeg har - som en anden osse skrev - altid opfattet det sådan, at det er CCs router og de må gøre hvad de vil. Jeg har så min egen router bag CCs router og der bestemmer jeg. Og den opsætning virker ganske glimrende.

Hmmm... Vrøvler journalisten?

Han er bare upræcis. Når du kan snakke med den der har glemt sit password, kan du osse spørge om hvad hans kone, hund, ... hedder. Det er sådan de fleste passwords huskes.

Hvis man først selv skal ind og enable noget på CC routeren før den er 'åben' så er det jo også forkert at skrive at den er åben, det er jo kun hvis man som bruger har været inde og lave ændringer, og hvis man gør det så må man jo tage konsekvenserne for det hvis man har lavet lort i den.

Så en CC router en modsat ikke pivåben, men egentlig ganske fornuftigt beskyttet, CC kan ikke (og bør heller ikke) beskytte routeren mod dumme brugere der ikke ved hvad de laver... jeg kan godt lide at jeg har muligheden for at åbne op i routeren hvis jeg har behov for ex. SSH adgang ind på nettet bagved routeren. Jeg har så også min egen router stående bag CC's da jeg gerne vil have trådløs og en switch på, der er nemlig kun en LAN port på CCs og ingen trådløs :-/

Det kan da ikke tage lang tid at lave et lille javascript (eller andet der eksekveres på den lokale computer) der kan køre "internt" på netværket (via en webside der ikke er helt fin i kanten) og bruge det til at udnytte denne exploid.
Her er det ikke engang nødvendigt at installere noget på den pc der viser websiden, den skal kun fungere som "proxy". Så er det ikke kun routere med remote adgang der er i farezonen men alle routere med dårlige passwords.
Det eneste hackeren skal bruge er en browser der kan køre lidt kode og et password der ikke er ændret.

For at præcisere: Alle CC routere jeg har modtaget kendetegnes ved følgende:

• Fast admin brugernavn
• Password beskyttet adgang til admin-interface med et OK password, men jeg ville ikke kalde det stærkt.
• Åben fra WAN for "remote administration", til f.eks. remote opgradering af firmware, hvilket de dog ikke gør brug af.
• Åben fra WAN og LAN for ALLE porte. Dvs. ingen filtrering per default.

Hvis man først selv skal ind og enable noget på CC routeren før den er 'åben' så...

Det man skal enable, er loop back, er så man selv så at sige "indfra" kan tilgå routeren "udefra". Alle andre kan logge på hvis de kender password. Og som Stig Johansen skriver, så vil det ta' flere gange universets alder med brute force når passwordet er på 10 - 12 tegn.

Mit tidliger tal, 10^52 er forkert. Det skulle være 52^10.

Skal der laves en brute force attack må angriberen gøre nogle forudsætninger om hvilke tegn der må indgå og antal tegn.

Hvis man antager kun 7-bit ascii og fravælger de lave 32 bliver det 128-32=96. Man starter så med at gætte et password på 1 tegn og fortsætter opad. Det ser sådan her ud:

99 + 96^2 + 96^3 + ... 96^n.

Det ta'r ikke så lang tid at gennemløbe de første, men bliver hurtigt uoverskueligt, f.eks når man skal nå hen til bare 10 tegn.

Hvis Naxxatoes ven har oplyst, at han normalt kun bruger f.eks max 5 tegn og kun små bogstaver, skal der kun laves 26^5 eller ca 12 millioner ved det sidste gennemløb. Og det bliver ikke så mange. Så der kan brute force godt være anvendelig.

Den her artikel fra Washington Post drejer sig om OS X, men den viser hvor der kan være andre kendte såbarheder i en routers upatchet 'nix OS som kan være nemmere at udnytte.

http://voices.washingtonpost.com/securityfix/2009/03/mac_os_x_top_target...

Kort link:

http://tinyurl.com/dhyw8f

http://data.nicenamecrew.com/papers/malwareforrouters/paper.txt

Han sidder sgu' ikke og taster :-)

Han henter password filen og arbejder med det lokalt på hans computer. På (muligis kun gamle?) Unix systemer skulle det være muligt for een der ikke er logget på at få adgang til password filen. Det er jo derfor de enkelte passwords ligger i krypteret form.

Jeg mener det var sådan CrackerJack virkede.

Når det er sagt, så tror jeg ikke efter at ha' læst naxxatoe's beskrivelse, at det er sådan et "brute force" angreb han tænker på. Næ, det han nok laver med hans udgave af "brute force" er, at han scanner for routers og så afprøver en række default login navne og passwords, f.eks "admin" og "1234", osv osv.

Hvis du vil vide mer' om CrackerJack, så Google med: crackerjack brute force. Vælg danske sider.

Hvis en hacker får computeren til at begå en fejl, så brugeren logger sig på routeren - er det så andet, end at opsnappe det indtastede password?

A: Hvorfor i alverden skulle han gøre det i hånden?
B: Hvad forhindrer hans program i at bruge parallelle forbindelser?
C: Hvilke faste forbindelser har ret meget over 20-30ms responstid i dag?