Fattede loddekolbe og fandt frem til remote-exploit i TDC's Homebox

Illustration: Lasse Trolle Borup
Med hjælp fra en loddekolbe opdagede whitehat-hacker, hvordan Yousee-kunders internetudstyr kunne kompromitteres.

Opdateret kl. 09:56.

Et alvorligt sikkerhedshul i TDC-brandet Yousees internetudstyr har frem til for ganske nylig kunnet udnyttes af hackere til blandt andet at overvåge, hvad virksomhedens kunder foretager sig på nettet. Det drejer sig nærmere bestemt om Homebox til dsl- og fiberkunder.

It-sikkerhedsspecialist Lasse Trolle Borup fra Langkjaer Cyber Defence har kortlagt den alvorlige sårbarhed, der nu er blevet lukket med en softwareopdatering. Ifølge Version2's oplysninger rullede TDC den patchede firmware ud til Homebox i løbet af august og starten af september.

TDC oplyser til Version2, at der ingen indikationer er på, at sikkerhedshullet skulle være blevet udnyttet.

Og det er umiddelbart gode nyheder, taget i betragtning af, hvad sårbarheden har kunnet bruges til.

Lasse Trolle Borup fortæller, at sikkerhedshullet har gjort det muligt for udefrakommende at få kontrol over udstyret. Det kan eksempelvis ske ved, at offeret besøger en ondsindet hjemmeside.

Derefter har en angriber frit spil

»Der er en masse angrebsmuligheder, når du sidder i routeren (Homeboxen, red.),« siger han.

En angriber kan som følge af sårbarheden ændre i udstyret, så hullet ikke længere kan lukkes via fjernopdateringer fra Yousee, forklarer Lasse Trolle Borup.

Efterfølgende kan hackeren blandt andet udnytte adgangen til at se, hvilke hjemmesider Yousee-kunden tilgår. Og ifølge Lasse Trolle Borup vil boksen via sårbarheden også kunne indlemmes i et botnet. Det vil sige et større antal enheder, der kan fjernstyres af hackere til eksempelvis at nedlægge en hjemmeside, så siden ikke længere er tilgængelig.

VPNFilter

Og sådan et scenarie er slet ikke urealistisk. Tidligere i år kom det frem, at en hacker-operation via malwaren VPNFilter havde inficeret hundredtusindvis af routere på verdensplan.

Tilbage i maj-måned i år kunne mediet The Daily Beast fortælle, hvordan det var lykkedes amerikanske FBI at fravriste VPNFilter-bagmændene kontrollen med 500.000 routere.

Det var netop historien om VPNFilter, der fik folkene hos Langkjaer Cyber Defence til at spekulere over, hvordan det egentlig stod til med internetudstyr i danske hjem, herunder TDC's Homebox.

Stifter og direktør for Langkjaer Cyber Defence, Troels Langkjær, fortæller i en mail, hvordan interessen for Homboxen opstod:

»Vi vidste erfaringsmæssigt, at det generelt ikke står så godt til på sådan nogle enheder,« fortæller Langkjær og fortsætter:

»Derfor startede vi et researchprojekt, hvor vi blandt andet tog Homeboxen under behandling.«

Softwaren i Homeboxen viste sig at indeholde en gæstekonto, som efter nogle fiksfakserier kunne bruges til at overtage udstyret med. Se i bunden af artiklen for lidt flere detaljer, og samme sted er der er link til den tekniske rapport fra Langkjaer Cyber Defence, som har mange flere detaljer.

Lasse Trolle Borup måtte skille Homeboxen ad og lodde et stik og ledninger fast ved en serial port for at hive firmwaren ud. Illustration: Lasse Trolle Borup

Kontaktede TDC

Da Lasse Trolle Borup havde kortlagt, hvordan sårbarheden kunne udnyttes via internettet til at overtage boksen med, tog han i juni måned kontakt til TDC.

Efter lidt kommunikation frem og tilbage gik TDC i gang med at lukke hullet sammen med virksomhedens underleverandør.

»Det har været en god kommunikation,« fortæller Lasse Trolle Borup om samarbejdet med TDC.

Det er ikke altid den oplevelse, sikkerhedsfolk har, når de kontakter danske organisationer med informationer om sikkerhedsproblemer. Nogle organisationer bliver mere vrede end glade over, at nogen har fundet fejl i deres systemer.

Læs også: Politianmeldt af KMD for hacking: »Jeg er totalt uskyldig«

Frygten for at blive mødt med en politianmeldelse rumsterede i baghovedet, da Lasse Trolle Borup tog kontakt til TDC i første omgang, men folkene hos Langkjaer Cyber Defence regnede nu ikke med det.

»Vi havde en forventning om, at de ville reagere fornuftigt,« siger han.

TDC er rigtigt glade

Og det blev da heller ikke til nogen politianmeldelse - tværtimod.

»Vi har haft et eksemplarisk samarbejde med Langkjaer Cyber Defence, og derfor kunne vi også reagere med det samme, idet vi fik lavet en opdatering, der lukkede sikkerhedshullet, og som vi rullede ud til alle de berørte Homeboxe,« står der i et mailsvar fra chef for TDC Security Operations Center Lars Højberg.

Han oplyser desuden, at TDC overvejer at indføre et såkaldt responsible disclosure program. Altså et formelt samarbejde med private aktører om at få lukket sikkerhedshuller.

»Da vores kunders sikkerhed er højeste prioritet for os, tester vi løbende vores produkter, men samtidig vil vi også gerne kunne imødekomme sikkerhedstip fra eksterne sikkerhedsfolk. Derfor overvejer vi et formelt 'responsible disclosure-program' til håndtering af henvendelser udefra med tips om mulige sikkerhedshuller,« hedder det i svaret fra Lars Højberg.

TDC har ikke ønsket at oplyse, hvorvidt virksomheden vil gøre noget anderledes fremover for at mindske risikoen for sårbarheder, som den slags, Lasse Trolle Borup har opdaget. TDC har heller ikke ønsket at oplyse, hvor mange Homebox-kunder der været berørte af den alvorlige sårbarhed, eller hvornår hullet er blevet lukket.

Læs også: Hobevis af TDC-routere holder åbent på port 7547 - men er det et problem?

Hev kodeord ud med hjælp fra loddekolbe

Tilbage til fortællingen om, hvordan Lasse Trolle Borup fik kortlagt sårbarheden. Den involverer en loddekolbe.

Da softwaren i Homeboxen, den såkaldte firmware, ikke er umiddelbart tilgængelig online, kunne han ikke bare downloade den fra nettet. I stedet skaffede Lasse Trolle Borup en brugt Homebox, som han skilte ad.

Med måleudstyr fandt Lasse Trolle Borup herefter frem til en serial port på printet. Og med en loddekolbe lykkedes det whitehat-hackeren at sætte et stik og ledninger til porten, så data kunne trækkes ud. På grund af seriel-interfacets lave båndbredde tog det omkring 17 timer at hive et 128 megabyte stort firmware-billede ud fra hardwaren.

Efter en del analysearbejde fandt Lasse Trolle Borup frem til en gæstekonto i koden, der viste sig at have en tom kodeordsstreng. Gæstekontoen kunne i sidste ende bruges til omkonfigurering af udstyret.

I første omgang var det dog kun muligt, hvis en angriber har adgang til lokalnetværket, som udstyret befinder sig på - og altså ikke via internettet.

En sårbarhed bliver selvsagt mere alvorlig, hvis den kan udnyttes fra internettet.

Efter lidt mere fiflen frem og tilbage fandt Lasse Trolle Borup frem til, at det via en hjemmeside med javascript ville være muligt at tilgå Homeboxen, såfremt offeret besøger hjemmesiden. En kort forklaring er, at javascript bliver afviklet lokalt i browseren, og derfor er det muligt at kontakte ip-adressen, som Homeboxen befinder sig på i det lokale net.

Same-origin-policy

Af sikkerhedsmæssige årsager håndhæver browsere noget, der kaldes same-origin-policy. Det betyder blandt andet, at det nok kan være muligt for et javascript via en hjemmeside at sende forespørgsler til en lokal ip-adresse, men det er ikke muligt for javascriptet at læse eventuelle svar fra adressen.

Og det var et problem i forhold til Homeboxen, da den ved login med gæstekontoen svarer tilbage med et 'nonce' - en unik værdi. Dette 'nonce' er nødvendigt for at sende kommandoer til boksen.

Men i udgangspunktet var det dog ikke muligt for Lasse Trolle Borups ondsindede javascript at tilgå ‘nonce’’, som følge af same-origin-policy.

Her viste der sig imidlertid at være fejl i autentifikationsmekanismen, da det unikke 'nonce' viste sig at kunne forudsiges. Og nu kunne javascriptet bruges til at overtage boksen med.

Havde autentifikationsmekanismen fungeret i forhold til ‘nonce’, kunne en anden angrebsvinkel kaldet ‘DNS rebinding’ muligvis også være brugt til at omgå same-origin-policy, forklarer Lasse Trolle Borup.

Det står der mere om i den teknisk detaljerede gennemgang af, hvordan Lasse Trolle Borup fandt frem til sårbarheden. Rapporten kan læses her og her.

Det konkrete hul er lukket

TDC har sidenhen lukket hullet og sendt Lasse Trolle Borup en Homebox med patched firmware.

»Vi bad dem sende mig en ny, opdateret æske, så vi ved, det er blevet fikset ordentligt, før vi går ud og skriver om det. Det er trods alt vores allesammens infrastruktur, vi skal passe på. Vi har set, det er fikset, og vi har kigget på nogle af rettelserne, men det vil vi helst ikke udtale os om.«

Ser det godt eller skidt ud?

»Jeg vil sige, at de konkrete sårbarheder ikke længere er tilgængelige.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (30)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Kenn Nielsen

Interesseant artikel.
Men jeg kan ikke slippe følelsen af at jeg læser en reklame, - især da overskriften gav mig et flash-back til Georg Gearløs' univers, i hvilket han kunne fremstille top notch højteknologi, med hammer og skruetrækker.
Pæne ord fra Langkjaer Cyber Defence om TDC.
Pæne ord fra TDC om Langkjaer Cyber Defence.

Frygten for at blive mødt med en politianmeldelse rumsterede i baghovedet, da Lasse Trolle Borup tog kontakt til TDC i første omgang, men folkene hos Langkjaer Cyber Defence regnede nu ikke med det.

»Vi havde en forventning om, at de ville reagere fornuftigt,« siger han.

Mon ikke det har noget at gøre med at Søren Pind er bestyrelsesformand i Langkjaer Cyber Defence ?

K

  • 17
  • 3
Gert G. Larsen

TDC oplyser til Version2, at der ingen indikationer er på, at sikkerhedshullet skulle være blevet udnyttet.

Hvad betyder det?

At ingen røde lamper har bimlet og bamlet?

At ingen har kigget efter noget?

At der er opsat passende overvågning af dem, med forskellig IDS/IPS-lignende teknologi, netværksovervågning mm., og passende logdataopsamling, og at der efter en tilstrækkelig analyse af data, er sikret at det ikke har været udnyttet?

  • 7
  • 0
Thomas Bøge Nielsen

Ultimo april 2018 opdagede jeg, at Yousee i nogle tilfælde eksponerer porte på deres kunders lan i langt højere grad, end kunden har kunfigureret routeren til. "hullet" er af en art, der ikke kræver andet end en portscanning for at blive opdaget. I betragtning af, at Yousee tilsyneladende stadig ikke har haft vilje eller evne til at fixe problemet i løbet af 5 måneder, men jeg, at det i lyset af problemets karakter, at det mindste Yousee burde have gjort, var at scanne deres brugeres eksterne porte, og advare de pågældende kunder. Men Yousee har, så vidt jeg kan vurdere, bevidst ladet et ukendt interne porte været eksponeret direkte på internettet mod brugernes vilje, uden at advare dem i mindt 5 måneder.
https://forum.yousee.dk/coax-9/sikkerhedshul-sagemcom-102246/index1.html...

  • 7
  • 0
Gert G. Larsen

Der er vel heller ikke nogen kunder ( i det segment der selv har services på LAN, konfigurerer routere, firewalls mm.), som tager de der skraldebokse fra ISP'erne seriøst?

Det er ISP'ens ejendom, og dem der har administrative rettigheder derpå. Altså er det en fjentlig enhed på linje med resten af Internet.
Al wifi skal slås fra, og den skal kun kunne kommunikere til ens EGEN firewall, hvorfra ens private LAN starter.

EDIT: Hov, hvad med alle andre, der beror på ISP'ens boks? Er ISP'en så ansvarlige for sikkerheden på ens LAN? Eller kun netværkssikkerheden? Såfremt man altså ikke selv går ind og skruer på noget i boksen.

  • 2
  • 0
Per Jørgensen

Hvorfor er det f.eks ikke muligt fra indersiden at tilgå et Windowsshare på Internettet - Fordi TDC selv bruger SMB protokollen til administration - hvilket jeg havde en lang snak med deres direktør.
Det er jo problematisk at jo flere gange jeg henvendte mig til TDC jo flere gange fik jheg tilsendt en guide hvordan jeg åbner porten indafgående - hvor mit problem var udafgående .
Vi havde en medarbnejder på kontrakt med hjemmekontor - men blev spærret af TDC vie Networkshares --> i et område hvor man ikke må andre udbydere ind.
Men jeg har snart flere gange oplevety at TDC's routere nulstiller sig selv efter en opdatering - dvs alle ændringer man har lavet er slettet og man starter forfra med DHCP osv - ret irreterende hvis der er kameraer mm på deres setup. Men uanset hvad -. må jeg indrømme deres homebox løsning ikk er særlig optimal mm man ikke fatter en skid af internet

  • 10
  • 1
Per Mejdal Rasmussen

Det minde meget om min sag med Eniig Fiber:
https://wiki.iptables.dk/Sikkerhedsproblemer_hos_Eniig_Fiber

I fiberboksen fra dem er koden til webintefacet den samme på alle bokse, og der er også en hemmelig konto, som ikke kan ændres af kunden. Måske er det også muligt med noget finurligt JavaЅcript koden at tilgå offeret fiberboks. Derefter kan man ændre DNS serverne, og følge med i hvad forbidelsen bruges til, eller fiske WiFi koden ud, og tilgå hjemmenetværket.

Det er godt at høre at problemerne er blevet løst hos TDC.

  • 3
  • 0
Kurt Frederiksen

Frygten for at blive mødt med en politianmeldelse rumsterede i baghovedet, da Lasse Trolle Borup tog kontakt til TDC i første omgang, men folkene hos Langkjaer Cyber Defence regnede nu ikke med det."

Det er ganske absurd at folk der finder sikkerhedshuller i produkter skal overveje om de vil fortælle virksomheden bag produktet om det af frygt for politianmeldelse. Her er der endda tale om en virksomhed.

Det rejser jo spørgsmålet om hvor mange der kender til sikkerhedshuller men som ikke tør fortælle om dem. Hvor mange af disse sikkerhedshuller er i dette øjeblik tilgængelige?

  • 10
  • 0
Gert G. Larsen

Jeg er blevet politianmeldt mindst to gange gennem årene, pga. lignende. Det er helt normalt.
Man ved ikke helt om man blir politianmeldt, eller får tre flasker rødvin, eller får et års premiumabonnement, eller $25.000, når man fortæller om en sårbarhed. - Det er lige før det er mere spændende, end selve det at grave i sårbarhederne ;-)

EDIT: Begge gange jeg husker, blev det trukket tilbage igen, efter lidt dialog.

  • 14
  • 0
Leif Neland

Hvorfor bruger et professionelt sikkerhedsfirma at lodde ledningerne til PIC porten fast på printet? Brug pogo pins som med her:

Jeg kunne også forestille mig at det hørte ind under journalistisk frihed, det er sådan set sagen uvedkommende hvorledes den rent mekaniske forbindelse blev foretaget, det giver bare ekstra støj på linien, når man bringer disse kængurustylte-stik ind i billedet.
Det væsentlige er at den port blev benyttet.

  • 6
  • 0
Martin Schmidt

TDC har været en landsskadelig virksomhed....TDC har med sin monopolkamp sat Danmark ca. 10 år tilbage i forhold til nabolandene, det har vel kostet os i omegnen af 100 milliarder. Det kan vi så takke diverse landsforræderpolikere for...man skal være ufatteligt dum for ikke at se det. I Sverige havde de hvad der svarede til de nuværende danske internethastigheder 10 år før og det myldrer med IT iværksættere der...

  • 3
  • 4
Jakob Møllerhøj Editor

Jeg kunne også forestille mig at det hørte ind under journalistisk frihed, det er sådan set sagen uvedkommende hvorledes den rent mekaniske forbindelse blev foretaget, det giver bare ekstra støj på linien, når man bringer disse kængurustylte-stik ind i billedet.

For en god ordens skyld har jeg udspecificeret i artiklen, at der bliver loddet et stik til serial porten, hvor eksisterende lodninger i øvrigt først skulle fjernes. Detaljerne står beskrevet i den rapport, der linkes til. Jakob - V2

  • 0
  • 0
Henrik Madsen

Men jeg har snart flere gange oplevety at TDC's routere nulstiller sig selv efter en opdatering - dvs alle ændringer man har lavet er slettet og man starter forfra med DHCP osv - ret irreterende hvis der er kameraer mm på deres setup.

Præcist samme oplevelse havde jeg med en Tilgin boks fra Bredbånd nord - > Waoo -> Eniiiiig.

3 gange på en måned fik den ny firmware og hver gang nulstillede den hele skidtet.

Så blev den boks forvist til en kasse i et skab og en firewall boks som er min egen, blev installeret.

Rart at vide at ikke engang ens ISP kan tilgå ens interne netværk eller rette, slette i ens opsætning.

  • 2
  • 0
Svend Nielsen

Jeg kunne også forestille mig at det hørte ind under journalistisk frihed, det er sådan set sagen uvedkommende hvorledes den rent mekaniske forbindelse blev foretaget, det giver bare ekstra støj på linien, når man bringer disse kængurustylte-stik ind i billedet.
Det væsentlige er at den port blev benyttet.

Helt enig. Men den frihed bør nok begrænses til ikke ligefrem at putte det i overskriften på artiklen. Det afgørende er at man har brugt PIC porten, og det kunne man jo godt have gjort lidt mere ud af at beskrive. Masser af udstyr har sådan en. Jeg fandt en internt i en SSD disk, hvor man har adgang til rigtig interessante ting - og i øvrigt masser af power og plads til at sætte en lille ekstra WiFi chip ind.

  • 0
  • 0
Svend Nielsen

For en god ordens skyld har jeg udspecificeret i artiklen, at der bliver loddet et stik til serial porten, hvor eksisterende lodninger i øvrigt først skulle fjernes. Detaljerne står beskrevet i den rapport, der linkes til. Jakob - V2

Jo, men at putte lodde detaljen i overskriften er i mine øjne lidt for meget click bait, som ikke har noget med sagen at gøre. Det samme gælder den beskrivelse der i rapporten går i detaljer med hvordan man identificere PIC porten, og sætter korrekt baud rate - det er hamrende ligegyldigt og medvirker kun til sløre det reelle billede af hvad der foregår.
Skulle jeg have skrevet den overskrift ville det måske have heddet: "Serviceport i forbrugerelektronik var pivåben - sikkerhedsriciko blotlagt", men ok, loddekolbe lyder måske teknisk indviklet.

  • 3
  • 1
Gert G. Larsen

Imponerende at du gider og tør.

Mjah. Lidt pladderromantisk kan man måske sige jeg føler en forpligtelse til det.
IT-sikkerhed er et teknisk tungt eller til tider svært forståeligt emne, og de af os der reelt ved noget om sikkerhed, har et eller andet moralsk ansvar for at hjælpe andre, hvis systemer eller data måske står pivåbne.

EDIT: Det er bare en personlig holdning. Jeg forstår fint dit økonomiske incitament til at sælge til darkweb. Det er der garanteret flere penge i ;-)

  • 4
  • 0
Per Mejdal Rasmussen

EDIT: Det er bare en personlig holdning. Jeg forstår fint dit økonomiske incitament til at sælge til darkweb. Det er der garanteret flere penge i ;-)

Kryptovaluta-mining er vejen at går. Risikoen for at blive opdaget er meget lille, og hvis det blive opdaget, vil ISPen sandsynligvis holde det skjult, og hvis ikke, er der lille sandsynlighed for at finde frem til dig, og selv hvis du blive dømt, kan man ikke tage pengene fra dig.

Moralsk er det også fint. Da man kun bruger omkring 20 kr ekstra strøm om året per husstand. Ville du stjæle 20kr fra 150.000 mennesker, hvis du kunne slippe af sted med det med 99% sikkerhed?

Jeg beskrive det i mit fordrag her:
https://www.youtube.com/watch?v=fTj0ngF4OaU&feature=youtu.be&t=32m41s

Man kan tænke om det er smart at reklamere om disse muligheder. Jeg tænke de krimineller opdager det selv før eller siden. Spørgsmålet er om vi er forberet.

  • 1
  • 2
Ebbe Hansen

Næppe. Det var stort set (hvis ikke hele) YouSee der røg der og man skal trods alt have været forbi en ondsindet webside for at blive inficeret.


Som jeg husker det dengang, så passer det meget fint, først blev en enkelt enhed ramt (vistnok et sted på Fyn) . Derfra spredte det sig som ringe i vandet (fra enhed til enhed?) som visse virus har det med at sprede sig over et netværk.
Min tanke var dengang, at der måtte være en patch, de var sprunget over, til en hyppigt anvendt enhed i deres netværk.

  • 0
  • 1
Michael Cederberg

Det er meget bekymrende at sikkerheden i ISP udstyr er så ringe. I dag er Nasser Khader ude med et idiotisk forslag om at efterretningstjenesterne skal hacke russerne (som modangreb på russernes konstante hacking). Min forventning vil være at russerne laver et mod-modsvar og at det vil være et forsøg på at lægge landet ned. Russerne bruger ofte den store hammer.

I den forbindelse vil ISP udstyr være prime target. Hvis man remote kan overskrive firmwaren i 2 mio. bokse, så vil det tage nogen tid før folk kommer på nettet igen.

Nu forventer jeg ikke at Khaders forslag bliver til noget, men det er en sårbarhed som russere (og alle mulige andre) kan udnytte hvis de bliver utilfredse med vores handlinger. Derfor bør der ske noget.

(Jeg ved godt at den specifikke svaghed krævede mere end at boksen blot var på nettet, men lur mig om det er den eneste eller mest seriøse svaghed. Hvis man har adgang til sourcekoden finder man nok flere.)

  • 2
  • 0
Bjarne Nielsen

I dag er Nasser Khader ude med et idiotisk forslag om at efterretningstjenesterne skal hacke russerne (som modangreb på russernes konstante hacking).

Det blev diskuteret i P1 Morgen, hvis man skulle være interesseret.

Og lad mig lige planke en analogi fra udsendelsen og omskrive den til lejligheden: inden man ønsker sig lige så store sten som "de andre", så skulle man måske overveje, hvem der bor i det største glashus!

Den med det største glashus bør ikke samle på flere sten, men i stedet bedre glas.

Nu forventer jeg ikke at Khaders forslag bliver til noget, ...

Du skal ikke være så sikker. Han er langt fra alene.

Det er meget populært i de kredse, som bruger ordet "cyber", at drømme om offensive kapaciteter. Det er desværre ofte uden at overveje, at det på nettet er mange gange sværere at finde den rette at være offensiv overfor. Faktisk er det gode muligheder for at man bliver vildledt til at angribe en uskyldig. Er man den lille, er der ikke noget bedre end at få de store til at slås.

  • 2
  • 0
Log ind eller Opret konto for at kommentere