Studerende taler ud om kæmpehul: Pærelet at hacke 100.000 danske routere

Illustration: Virrage Images/Bigstock
Danske Anders Skovsgaard fandt i 2008 en sårbarhed i Cybercitys Zyxel-routere, som i princippet kunne give ham adgang til omkring 100.000 kunders routere.

For de fleste mennesker er en router en anonym dims, der med blinkende lysdioder står og passer sig selv i et hjørne.

Men for den danske ph.d.-studerende og stifter af Hackavoid.dk Anders Skovsgaard blev routeren i 2008 et potentielt våben, der kunne misbruges til alskens ugerninger.

Det fortalte han mandag på udviklerkonferencen GOTO Copenhagen 2012, der finder sted i dagene 21.-23. maj.

Bag overskriften War stories fortalte han om et sikkerhedshul i firmwaren i omkring 100.000 routere fra firmaet Zyxel, som internetfirmaet Cybercity (i dag Telenor) dengang forsynede bredbåndskunderne med.

»Fejlen havde stor betydning, fordi jeg i princippet kunne logge ind på omkring 100.000 brugeres routere,« sagde Anders Skovsgaard under præsentationen.

Byte-sekvens afslørede kodeord

Han opdagede hullet ved et tilfælde. En dag i 2008, da han ville logge ind på sin egen Zyxel-router for at ændre opsætningen, havde han glemt kodeordet til den.

Anders Skovsgaard havde ikke lyst til bare at gendanne fabriksindstillingerne på routeren, fordi han så ville miste sin personlige opsætning af routeren. Derfor besluttede han først at downloade konfigurationsfilen med indstillingerne fra routeren, så han senere kunne genindlæse den.

Han gav herefter routeren et reset. Derefter undersøgte han to forskellige udgaver af de ukrypterede konfigurations-filer, hvor eneste forskel var kodeordene – henholdsvis ’1234’ og ’4321’. Han kunne han se, at kun var en enkelt sekvens af bytes adskilte de to filer. Bortset fra den var de helt ens.

»Jeg tænkte ’Hvad vil der ske, hvis jeg erstatter byte-sekvenserne?’,« fortalte Anders Skovsgaard.

Han kopierede derefter byte-sekvensen fra den første af de to filer – den med kodeordet ’1234’ – over i kopien af hans egen, personlige konfigurationsfil og uploadede den til routeren, der både kunne nås fra en privat 10.0.0.1-adresse og fra en offentlig IP.

»Nu kunne jeg logge ind med min oprindelige konfigurationsfil, som jeg havde glemt kodeordet til, men med kodeordet ’1234’ i stedet,« fortalte Anders Skovsgaard.

Opdagelsen gav genklang hos både Zyxel og Cybercity. Ikke mindst fordi Anders Skovsgaard fandt ud af, at default-kodeordet til internetudbyderen kunne aflæses fra routerens administrationsinterface ved blot at kigge HTML-koden igennem.

»Nu kunne jeg logge ind på næsten alle Cybercity-routere i Danmark. Jeg kunne resette dem, ændre kodeord, ændre NAT-settings, uploade sårbar firmware og ændre brugerens forbindelseshastighed,« fortalte Anders Skovsgaard.

Zyxel lukkede hullet i 2008 ved at udsende en opdatering, der fjernede muligheden for at tilgå routeren via en offentlig IP.

»Problemet med den løsning er, at hvis du som superuser har brug for adgang til routeren udefra, så er du sårbar igen. Så i stedet burde man kryptere hele konfigurationsfilen, ikke bare kodeordet, og derudover kræve et login til konfigurationsfilen,« sagde Anders Skovsgaard.

Version2 er mediepartner på GOTO Copenhagen 2012, der finder sted i dagene 21.-23. maj.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (13)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Christian Andersen

En dag i 2008, da han ville logge ind på sin egen Zyxel-router for at ændre opsætningen, havde han glemt kodeordet til den. [...] Derfor besluttede han først at downloade konfigurationsfilen med indstillingerne fra routeren, så han senere kunne genindlæse den.

Jeg har haft den router, og jeg har aldrig kunnet downloade konfigurationsfilen uden at logge ind.

  • 4
  • 0
#4 Johnny Larsen

For mig ser det ud til at filerne er ret forskellige? Men det er måske ikke et rigtigt eksempel? Ellers enig i ovennævnte betragtninger, det virker mærkeligt at man kan down/uploade konfigurationen uden at være logget ind på routeren. Nærmere forklaring er ønskelig.

  • 6
  • 0
#6 Hans-Michael Varbæk

Jeg ved dog ikke om det kan kaldes hacking direkte, hvis enheden skal nulstilles først, da de fleste bare tænder for deres router, og hvis den virker, så gør de ikke mere. Så de ændrer ikke engang fabriks-kodeordet. (Men måden hvorpå fejlene blev fundet på, er helt sikkert hacking. Jeg havde dog regnet med et overflow i en af protokol stakkene eller noget andet.)

Det som nok er endnu værre, er at vi har et par leverandører af trådløse modems i Danmark, som har slået WPS til "by default", hvor nøglen er statisk (noget ala 12345670), så man bare kan logge sig på netværk som understøtter denne feature.

Så har vi selvfølgelig også service udbydere som lægger bagdøre ind i deres hardware enheder som de sælger eller lejer ud til deres kunder, og hvis en hacker kender til alle disse smutveje, ja så er der ikke langt vej fra "sikker" til "kompromiteret netværk", og det er på trods af at ens router har indbygget "firewall" og at man bruger WPA2 AES med en nøgle på 255 tegn.

  • 3
  • 0
#8 Ole Østergaard

Grunden til at Anders kunne lægge en ny konfiguration på andres routere, var at password til routeren og til ISP'en som udgangspunkt var ens. (Man kunne godt ændre password på routeren, men det gjorde de færreste, da ISP'en så ikke længere kunne foretage automatisk opdatering af router-opsætningen.)

Så Anders kunne hente konfigurationen fra andres routere (ja, uden password), lægge sit eget password ind i konfigurationen, læse konfigurationen ind i sin egen router og via DOM-inspektion finde ISP-passwordet som i praktisk taget alle tilfælde svarede til router-passwordet.

  • 4
  • 0
#13 John Reyes

Sjovt... det var lidt det samme vi gjorde i yousee's spæde start med deres motorola surfboard 2400 modem... der bootede man den op, hoppede på den med tftp, hentede sin konfigurationsfil samt md5 hash fil. genstartede modemmet uden coaxial forbindelse, og lod modemmet hente en ændret konfiguration fra din egen tftp server af, som kunne give ubegrænset ip adresser, eller båndbrede. det var nemt og hurtigt, og fejlen lå i at ethernet havde 2. prioritering ved konfigurations hentning på modemmet, ved opstart. det blev senere rettet i en nyere modem version... sjovt at rode mde dengang...

  • 0
  • 0
Log ind eller Opret konto for at kommentere