Læser graver MD5-kodeord ud af fiberboks: Så fik udbyder travlt med at lukke huller

Hos Eniig har man været i fuld gang med at lukke flere sikkerhedshuller, som har vist sig i dele af virksomhedens bredbånds-setup.

Eniig har den seneste tid været i fuld gang med at lukke it-sikkerhedshuller flere steder i virksomhedens bredbånds-setup.

Fokus har i første omgang været på setuppet hos fiberkunder fra det tidligere Bredbånd Nord, som Eniig for nylig har overtaget.

Det hele startede med, at vi på redaktionen fik en henvendelse fra en bekymret læser, der har identificeret flere sikkerhedshuller i et Bredbånd Nord-setup. Version2 har siden været i løbende kontakt med læseren og Bredbånd Nord/Eniig, så hullerne har kunnet lukkes.

Fordi der stadig kan være sikkerhedsmæssige udfordringer i dele af setuppet, som skal løses i samarbejde med hardware-leverandører, så nøjes vi her med at beskrive nogle af problemstillingerne lidt mere overordnet, end vi nok normalt ville have gjort.

Mit Bredbånd Nord

Et af sikkerhedsproblemerne, som læseren har identificeret, handler om selvbetjeningsløsningen ‘Mit Bredbånd Nord’. De konkrete huller i online-løsningen er nu lukket.

Læseren fortæller via mail, at et af problemerne på 'Mit Bredbånd Nord' har været, at det har været muligt at logge ind på andres profiler via kendte oplysninger.

»Hvis der ikke er tilknyttet en e-mailadresse til kundenummeret, kan man gøre det ved at udfylde kundenummer og adresse på Bredbånd Nords hjemmeside. Da kundenummeret også bliver brugt som SSID (wifi-navn, red.), er alle disse oplysninger offentlige. Herefter får man tilsendt kodeordet der både bruges til ‘Mit Bredbånd Nord’ og WiFi. Det er altså muligt at få login-oplysninger til naboens wifi, hvis de aldrig har brugt ‘Mit Bredbånd Nord’,« oplyser Version2's læser, der indtil videre ikke ønsker sit navn frem.

Et andet problem ved 'Mit Bredbånd Nord' har været, at det var muligt at logge på tjenesten for enhver, der har haft kendskab wifi-kodeordet i et setup, da wifi-kodeordet er blevet genbrugt på 'Mit Bredbånd Nord' til login.

På den måde har eksempelvis børn eller gæster med kendskab til kodeordet i princippet kunnet logge ind og eksempelvis ændre tv-pakke eller internethastighed.

Standardkodeord

Vores læser har også kunnet konstatere, at der forskellige steder i setuppet hos Bredbånd Nord bliver brugt standard-kodeord, hvilket giver nogle sikkerhedsmæssige problemer.

Modsat problemerne ved 'Mit Bredbånd Nord' så forudsætter denne del at en eventuel angriber har adgang til Bredbånd Nords netværk. Eksempelvis ved at være kunde hos Bredbånd Nord.

Blandt andet web-interfacet til kundernes fiberbokse har kunnet tilgås via standardkodeord. Også et kodeord, der ligger indlejret i boksene, har kunnet fiskes frem og bruges til at opnå adgang til en FTP-server.

Adgangen til serveren er mulig gennem fiberboksens VoIP-interface, der har været sat op til at tillade al trafik og ikke kun VoIP-trafik. Det er ændret nu.

På FTP-serveren har det været muligt at få adgang til opsætningsprofiler til flere kunder. I disse profiler ligger blandt andet kundernes wifi-kodeord.

I forhold til at få adgang til FTP-kodeordet i boksen så har læseren udnyttet, at det ene af boksens to telefonstik også fungerer som seriel-port.

Ad den vej har det været muligt blandt andet at hive FTP-kodeordet ud, som har ligget lagret som en MD5-værdi - altså ikke videre svært at dekode.

Det siger Eniig

Henning Winther startede som koncern it-sikkerhedschef i Eniig tilbage i maj. Han fortæller, at Eniig også inden henvendelsen fra Version2 var i gang med at forbedre sikkerheden på flere punkter. Blandt andet i forhold til 'Mit Bredbånd Nord'.

»Vi har gennem den seneste uge arbejdet målrettet hen imod at lukke en del af de huller, som jeres læser har beskrevet. Samtidig har vi i samarbejde med eksterne parter analyseret, hvorvidt der skulle være andre sårbarheder i systemet, som jeres læser ikke har opdaget,« skriver Henning Winther i en e-mail.

Eniig har også været i tæt dialog med leverandøren af boksene:

»Med hensyn til Icotera boksen, så har vi hele tiden anset, at konsolporten var det svageste punkt på boksen, der gav alt for let adgang til de oplysninger, der gemmes på boksen. Oplysninger der i øvrigt ikke opbevares sikkert nok på selve boksen,« står der i svaret fra Henning Winther, som fortsætter:

»Første tiltag har derfor været at disable den konsolport. Dermed kan vi fjerne en alt for let adgang til informationen. Næste step bliver at få Icotera til at se på opbevaring af data på selve boksen.«

Henning Winther fortæller i den forbindelse, at der hos Eniig arbejdes på en generelt forbedring af sikkerheden i bokse fra flere leverandører - og altså ikke kun det udstyr, som står hos Bredbånd Nord-kunderne.

Nok ikke udnyttet

Selvom der altså har været huller i setuppet hos bredbåndsudbyderen, så er der heldigvis ikke noget, der tyder på, de er blevet forsøgt udnyttede til egentlige angreb.

»Vi har naturligvis gennemgået alle de logs vi har kunnet samle og vi har kun fundet spor efter jeres læser. Ud fra hvad vi har af logs (på både ftp server, infrastruktur og fiber boksene) kan vi derfor med rimelig sikkerhed sige, at de ikke er forsøgt udnyttede,« oplyser Henning Winther i et mailsvar.

Version2's læser har været lidt beklemt ved at gøre opmærksom på sikkerhedsproblemerne hos bredbånds-selskabet. Det skal ses i lyset af, at der i tidens løb har været flere eksempler på, hvordan leverandører har reageret med en politianmeldelse i stedet for et takkekort, når de er blevet gjort opmærksom på, at deres setup ikke er så sikkert, som det burde være.

Men sådan skal det ikke hos Eniig, understreger Henning Winther, der dog havde foretrukket, at læseren havde rettet henvendelse til selskabet direkte og altså ikke via Version2.

»Han har opnået sin pointe, og den er velmodtaget, så det har vi ingen grund til at politianmelde,« siger Henning Winther i et opfølgende telefoninterview.

Læs pressemeddelelse fra Eniig her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (35)
Henrik Madsen

Mon ikke det er noget af det samme som her :

https://www.youtube.com/watch?v=C2N98HMrFKc

Men hvem bruger også Bredbånd nord's egen router.

Da jeg fik BBN, fik jeg det første år med 300/300 til en god pris....Og en router hvor wireless delen maksimalt kunne levere Wireless-N med 150Mbit.

Købte selvfølgelig en anden boks som kunne Wireless-AC så jeg kunne udnytte den hastighed jeg nu havde. Så er man heller ikke så sårbar overfor denne her slags masse-hacks af alle boksene hos en udbyder.

Morten Saxov

Men hvem bruger også Bredbånd nord's egen router.


Tja, Jeg er en af dem der gør.
Personligt har jeg ikke set en grund til at skulle ud og finde ud af hvilken router jeg ellers skulle købe, finde ud af hvordan jeg konfigurerede routeren op til BBNs net, samt hvordan jeg fik den konfigureret op så jeg kunne forbinde tv-boksene til den.

Det hele virkede out-of-the-boks, og har en gang haft fat i deres support grundet tv signal problemer, hvor de så kunne fortælle mig at det skyldes deres router og tv-boks kun blev patchet udstyr når det genstartede, og det nu med en oppetid på over et år var lidt langt bagud.
En genstart af moden, router, og tv boks fiksede problemet.

Henrik Madsen

Tja, Jeg er en af dem der gør.
Personligt har jeg ikke set en grund til at skulle ud og finde ud af hvilken router jeg ellers skulle købe, finde ud af hvordan jeg konfigurerede routeren op til BBNs net, samt hvordan jeg fik den konfigureret op så jeg kunne forbinde tv-boksene til den.

Det hele virkede out-of-the-boks, og har en gang haft fat i deres support grundet tv signal problemer, hvor de så kunne fortælle mig at det skyldes deres router og tv-boks kun blev patchet udstyr når det genstartede, og det nu med en oppetid på over et år var lidt langt bagud.
En genstart af moden, router, og tv boks fiksede problemet.

Der er nu ikke meget konfiguration i det, den fiberboks der sidder på væggen har en IP og den slutter du blot til WAN porten på din router.

Jeg brugte også BBN's boks til at starte med men blev hurtigt træt af den, både fordi den ikke gav mig den fulde båndbredde på wifi men også fordi jeg havde ændret det standard Wifi password der lå i boksen og hver gang de så smed en ny firmware i boksen så var wifi passwordet nulstillet så jeg kunne starte forfra med at konfigurere boksen.

Den slags bliver man hurtigt træt af.

Derudover var den Tilgin boks jeg fik med interne antenner og signalet fra den var mildest talt ringe i forhold til den AC router jeg købte som havde store eksterne antenner.

Per Mejdal Rasmussen

Jeg har lavet en video der fortæller om nogle af detaljerne og hvorfor jeg pillede i fiberboksen:

https://www.youtube.com/watch?v=gf3Unl8L_gc

Kort sagt: Når man lave NAT eller andet med connection-tracking skal. UDP-timeout være på minimum 180 sekunder, og TCP-timeout på minimum 7440 sekunder.

Mere info kommer når de værste sikkerhedsproglemmer er løst. Følg mig på twitter eller Youtube.

Twitter: https://twitter.com/PerMejdal
Youtube: https://www.youtube.com/watch?v=gf3Unl8L_gc

Morten Saxov

Der er nu ikke meget konfiguration i det, den fiberboks der sidder på væggen har en IP og den slutter du blot til WAN porten på din router.


Hvordan specificere du så settings til hvilket porte på routeren levere signal til tvboksene og hvilket porte levere alm. lan forbindelse?

Derudover var den Tilgin boks jeg fik med interne antenner og signalet fra den var mildest talt ringe i forhold til den AC router jeg købte som havde store eksterne antenner.

Jeg er selv lidt træt af wifi-dækningen ikke er bedre end den er. Men den D-link AC1200 jeg har lånt med fire store eksterne antenne havde faktisk samme dækning som den boks jeg fik med fra BBN (på trods af BBNs router ligger på ryggen i et tv-møbel, og AC1200 stod ovenpå møbelet med antennerne "korrekt" vinklet)

Henrik Madsen

Hvordan specificere du så settings til hvilket porte på routeren levere signal til tvboksene og hvilket porte levere alm. lan forbindelse?

Altså det jeg gjorde var:

  1. Tag Tilgin boksen fra

  2. Sæt Asus boksen til

  3. Vent i 10 minutter, den sprang ikke lige på med det samme, sikkert noget med at noget skal releases først.

  4. Brug boksen.

Skulle ikke taste noget ind og det virkede bare.

PS. Skal ikke kunne sige hvordan det fungerer med TV, har ikke TV hos Bredbånd nord.

Morten Saxov

PS. Skal ikke kunne sige hvordan det fungerer med TV, har ikke TV hos Bredbånd nord.


Okay,
TV boksene kan nemlig kun kobles til specifikke porte på routeren, som er konfigureret specielt. Så hvis løsningen med at skifte router dræber TV-signalet er der ikke meget sjov i det, med mindre man kun har internet.

Tror ikke det har en ret høj WAF at jeg siger bedre wifi-speed og ingen tv vs en for hende alm wifi-speed og tv.

Michael Cederberg

TV boksene kan nemlig kun kobles til specifikke porte på routeren, som er konfigureret specielt. Så hvis løsningen med at skifte router dræber TV-signalet er der ikke meget sjov i det, med mindre man kun har internet.

Køb en router med AC support. Sæt den i serie med den fra BBN og slå wifi fra i BBN routeren. Voila: bedre wifi og TV'et virker stadigvæk.

Såfremt dækningen ikke er god nok: Køb endnu en AC router (eller access point) og sæt den op i modsatte ende af huset. Den skal køre i access point mode.

Yderligere benefit: Dit eget netværk er isoleret mod fejlkonfiguration eller sikkerhedsfejl i BBN's router (á la Yousee's megafejl hvor de i forsøget med at lave hotspots fik åbnet til folks lokale netværk).

Minus: Du kører dobbelt NAT.

Henrik Høyer

Stor tak til Per for at hjælpe leverandørerne med at sikre at vi kunder/brugere ikke udsættes for usikre løsninger.

Nu hvor Henning Winther har meldt ud at de ikke vil politianmelde Per, så kunne man måske godt opdatere artiklen.

Om ikke andet synes jeg V2 skulle informere Eniig om hvortil de kan sende blomster/chokolade/betaling - eller hvordan de ellers finder det rimeligt at belønne en frivillig for at hjælpe dem.

Silas Hven

Men hvem bruger også Bredbånd nord's egen router.

De Icotera bokse der snakkes om i artiklen, er ikke som det 2-delte setup du refererer til. Icotera boksen fungerer som den kasse du stadig selv har monteret på væggen, blot med lidt udvidet funktionalitet.

Morten Saxov

Hvad er det for nogle kanaler, hun ikke kan få via apps på AppleTV?


Nu ved jeg ikke hvad AppleTV kan og ikke kan, da jeg ikke er på Apple bølgen.
Men vi bruger meget DR, TV2, TV3, inkl. spol tilbage funktionen, der gør at bare det har været vist indenfor 48 timer i tv, kan vi se det.

Men ud fra hvad jeg umiddelbart kan se, skal jeg altså betale 129 kr/måned for TV2 som app, og 99 kr/måned for TV3 - plus købe en AppleTV Boks til ca. 1500 kr, istedet for det nuværende setup med 150 kr/måned.

Martin Jensen

Fin video - tak for den; her kan suppleres lidt med hvad man kan bruge JTAG/UART porte til på udstyr, i en ... lidt mere tidseffektiv video end Per's :-)

https://www.youtube.com/watch?v=h5PRvBpLuJs

Per, som en af mine venner sagde, så er det dybt skuffende at du ikke et eneste tidspunkt fortæller, at alt det CGNAT pjat kunne gå hurtigere mod enden, hvis der lige var native IPv6 leveret fra Eniig/BBN. - men det er en sidebemærkning. :)

Per, var der tydelige TR-069 spor i routeren?

Per Mejdal Rasmussen

@Jens Jönsson De må gerne bruge Cisco til at lave deres carrier grade NAT. Men TCP og UDP timeouts skal være høje nok. Hvis deres udstyr ikke kan klare det. Kan man genbruge samme udstyr, og kun lave NAT uden PAT i Cisco, også bruge den Linux i fiberboksen til at lave NAT+PAT. I stedet for at lave PAT både i Cisco og fiberboks.

PAT = Port address translation
Når de fleste snakker om NAT, mener de NAT+PAT.

Per Mejdal Rasmussen

@Martin Jensen
Både den video du linke til, og den Henrik Madsen linker til, sender jeg til BBN ved min første henvendelse.

Ja, det er meget skuffende at de benytter CGNAT, og ikke levere IPv6. Jeg benytter selv en IPv6 tunnel i min OpenWRT router.

Jeg vælger ikke at svarer på TR-069 spørgsmålet på nuværende tidspunkt. Følg mig på Twitter eller YouTube, og du vil få svaret når problemerne er fikset.

Martin Jensen

Man kan inspireres til at lede efter hvad ISP'er typisk fejler på her; der er sikkert også en godbid ved en dansk ISP eller to endnu, der ikke lige har fanget budskabet/tilrettet deres PoC

Meget spændende og skræmmende:

(om TR-069 - til at manage consumer enheder)
https://www.youtube.com/watch?v=rz0SNEFZ8h0

Og en sjov, som de andre ISP'er sikkert kan finde inspiration i;

('how to 0wn an ISP in 10 minutes')
https://www.youtube.com/watch?v=NTWt46ymJrI

Per Mejdal Rasmussen

@Michael Cederberg

Hvis du bare sætter din egen router i LAN porteren på fiberboksen, så vil du kører tripple NAT. Du kan få BBN til at sætte din fiberboks i bridge mode, så kun din router laver NAT.

Hvis man står og skal købe en router, vil jeg anbefale TP-Link Archer C7 AC1750. Da den er rigtigt god at kører OpenWRT på, skulle man senere få lyst til det.

Kim Henriksen

Nu skal man jo ikke tro sig for sikker og en kreativ hacker, skal nok kunne bruge sådanne bokse til noget.
De sidder jo trods alt på nogle forbindelser med noget kapacitet, så tænk hvad et DDOS angreb fra samtlige bokse kan udrette...

Som slutkunde hos Bredbånd nord, ville jeg være langt mere bekymret for at nogle stjæler mine SIP credentials / udnytter huller i VoIP delen af fiber kassen end at nogle bruger min router til DDOS angreb.

At hacke telefoni systemer / VoIP udbydere, er en velkendt metode inden for økonomisk hacking, og regningen lander typisk hos slutkunden.

Man opretter simpelhen bare et overtakseret nummer i et korrupt uland og hacker en masse telefon systemer / SIP adaptere / IP telefoner og får dem til at ringe op til nummeret eller stjæler SIP credentials og sætter en bot til at gøre det.

Man kan også bruge metoden til "tømme" stjålne kreditkort for penge, ved at oprette VoIP kontoer, hos udbydere der ikke har god nok kontrol og tanke op fra disse kort, også ringe op til et overtakseret nummer.

Typisk har jeg set palæstinensiske eller zimbabweanske numre, men faktisk også set nordkoreanske.

Mathias Dannesbo

Jeg kontaktede Bredbånd Nord via mail i første gang i oktober 2015 (!) og igen i november 2015 om sikkerhedshullet på bredbaandnord.dk. Jeg fik aldrig svar på nogen af beskederne. Jeg mener også at jeg nævnte det også for en telefonsupporter, og "at det ville blive givet videre".

Det er desuden stadig kun muligt at tilgå siden over http og ikke https.

Jens Nykær

Har oplevet det samme som flere beskriver. BBN har altid været lidt PoC præget når det kom til deres ISP-opførelse. Jeg droppede til sidst CPE'en, og satte en firewall direkte på, men måtte en tur forbi supporten for at kunne få det til at virke -åbenbart fordi jeg har fast IP. Men foruden dette, så sådan noget som reverseDNS er ikke noget der er lavet til deres PA IP-adresser de udlevere til kunder. Det giver problemer med SSH, SMTP og SSL imod server andetsteds på nettet. Her var svaret at man skal have en erhvervskonto før de ville lave rDNS. IPv6 er heller ikke noget de vil tale om, så her hænger jeg stadig på IPv6oIP tunneler.

Per Mejdal Rasmussen

@Jens Nykær
Det irerteer også mig at man skal betale 40 kr per måned for én global IP, uden rDNS. Hvor man hos Fullrate får 2 inkluderet (1 officielt), og rDNS som kan sætteres via selvbetjening. Sidst jeg tjekkede for flere år siden, kunne man betale 25 kr ekstra om måned, hvis man ville have op til 5 IPer.

Michael Cederberg

Hvis du bare sætter din egen router i LAN porteren på fiberboksen, så vil du kører tripple NAT. Du kan få BBN til at sætte din fiberboks i bridge mode, så kun din router laver NAT.

He he. Tre sekunder efter at have postet indlægget, så indså jeg at han ville ende med trippel NAT. Men det er der ikke noget galt i, med mindre man har indgående forbindelser. Jeg kører selv i et dobbelt NAT setup og det fungerer fint. Når jeg ikke har sat mit kabel modem i bridge mode, så er det fordi det ingen problemer giver for mig at køre dobbelt NAT. Jeg har en indgående port som er mappet hele vejen til VPN.

I min verden beskytter kabel modemmet/routeren mig mod mig selv hvis jeg fucker konfigurationen på min egen router op. Min egen router beskytter mig mod at ISP'en fucker op. Dobbelt sikkerhed.

Hvis man står og skal købe en router, vil jeg anbefale TP-Link Archer C7 AC1750. Da den er rigtigt god at kører OpenWRT på, skulle man senere få lyst til det.

Hvis du putter OpenWRT på den router så ryger muligheden for at køre hardware routing. Jeg er ikke sikker på at den kan trække 300 mbit ... jeg er sikker på at den ikke kan trække 1Gbit uden HW routing. Personligt er jeg mere til ASUS routere - primært fordi der findes nogle halvejs open source distributioner der både giver features og HW routing.

Klaes Sørensen

For snart 5 år siden da jeg fik BBN, havde jeg problemer med den router de leverede med i sin tid, som var en Tilgin router.

Den sad jeg og brugte debug funktionen på fordi jeg ville prøve at se hvad problemet med forbindelse var. Efter jeg havde kigget de forskellige debug resultater igennem, fandt jeg så en fil, der indeholdte et protokol overført password til routeren samt brugernavnet. Skrev her efter en mail til BBN, som jeg blev kontaktet af en dag senere, og da de ikke troede på mine oplysninger, ringede jeg til og bad om at snakke med deres tekniske chef, og de tvivlede indtil jeg oplyste dem stavemåde på adgangskoden, samt at jeg kunne se hvilke ip'er deres managment servere m.m. havde og at man let kunne spoofe en IP til en af dem de tillod managment fra, kunne tilgå andre kunders udstyr.

Der gik omkring 14 dage fra jeg havde oplyst dem om fejlen, til de havde fjernet debug funktionen helt på den type Tilgin router.

Jeg har bevist udeladt nogle informationer i forhold til de ting jeg fandt for 5 år siden og oplyste BBN om.

Jens Jönsson

Det er efterhånden en hel del år siden at der var problemer med dobbelt NAT.
Ja, det er ikke en optimal løsning, men må bare konstatere at der er ekstremt få problemer forårsaget af CGNat.
Stort set alle routere osv. understøtter det.

Set i lyset af at > 95% af kunderne hos de danske ISP'ere ikke er nørder, men Hr. og Fru Jensen uden IT viden, så er CGNat faktisk en OK løsning, set i sikkerhedens lys.
Det er nemlig ikke særligt tit at Hr. og Fu Jensen får opdateret firmware på deres router, så hvis de havde en offentligt IP-adresse, så var der sikkert ganske mange routere, som blev hacket og brugt til alt muligt skrammel..

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017