Sådan fandt tre unge danskere verdensomspændende sikkerhedshul i modemmer: »Hvis vi kan verificere det her, så skal der øl på bordet!«

Illustration: Kasper Terndrup
200 millioner modemmer er påvirket i EU alene, heraf er op mod 800.000 danske. Version2 har talt med de danske sikkerhedsfolk, der fandt sårbarheden.

Hundredvis af millioner af modemmer verden over er sårbare og kan overtages og misbruges på afstand, indtil de bliver patchet. Ingen vidste det, før danske Lyrebirds pippede om det.

»Hele efterforskningen ender med et øjeblik, hvor vi kigger hinanden i øjnene og siger: Ok, vi skal lige have verificeret det her, men så skal der også øl på bordet bagefter,« siger Kasper Terndrup, der er en af de tre medstiftere af it-sikkerhedsselskabet Lyrebirds, til Version2.

Sammen med de to andre medstiftere, Alexander Krog og Jens Stærmose, har han fundet en sårbarhed i en lang række kabel-modemmer, der kobler virksomheder og private op til internettet i hele verden gennem det såkaldte coax-kabelnet.

Læs også: Fynske robotter kan afpresses med ransomware

Det betyder, at 800.000 danske, coax-baserede internetforbindelser rundtomkring i landet har været sårbare i årevis.

Sårbarheden lader angribere bruge modemmet til at trænge ind i de enheder, der er koblet op til den med diverse exploits, overvåge trafikken eller lave såkaldte Man In The Middle-angreb (MITM).

Med MITM kan angriberen tiltvinge sig offerets kodeord, NemID-logins og så fremdeles.

En 'ondsindet' server sættes op og ringer til modemmet, der troligt svarer, fordi den ikke lytter til advarende tjek fra browseren Illustration: Kasper Terndrup

Pludselig gik internettet

De tre unge mænd opdagede fejlen, idet internettet pludselig gik ned hos Alexander Krog.

Almindelig teknisk nysgerrighed får ham til at tjekke modemmet for, hvad der er gået galt, og han åbner interfacet på det Stofa-modem, han har fået udleveret.

Der kommer nu et nyt interface op – udover det, man normalt vil se som almindelig internetbruger – fordi modemmet er gået i fejlfinder-mode. Lyrebirds antager, at dette interface er forbeholdt en tekniker, der er kommet ud for at undersøge problemet.

Læs også: IBM finder skimmer-software rettet mod routere

Gennem dette andet interface finder de ud af, at modemmet har to systemer: et system, der styrer internet-routingen, og et, der styrer alt andet.

Hvis der er én vej ind i denne anden del gennem det alternative interface, så er der nok flere, tænker de tre unge ingeniører

To af tre grundlæggere, Jens Stærmose og Kasper Terndrup, af Lyrebirds med de skrællede modemmer efter kyndig loddekolbe-behandling. Illustration: Mads Lorenzen

Graver løs i weekenderne

Derfor begynder de tre kammerater, der kender hinanden fra it-studierne på Aalborg Universitet, at grave rundt i modemmet i weekenderne.

Pludselig finder de første sårbarhed.

»Det viser sig, at det pågældende modems software er sårbar over for DNS re-bind. Det betyder konkret, at den ikke lytter til advarsler fra browseren om, at der er mistænkelige Java-scripts, der forsøger at køre,« siger Jens Stærmose til Version2.

Herefter begynder de at skille flere modemmer ad, og ved at koble komponenterne direkte til deres computere får de hevet store blokke grund-kode ud. Disse kodeblokke får de stille og roligt dechifreret, og det bliver mere og mere tydeligt, at modemmerne er fyldt med små og store huller.

Der findes passwords i kodeblokkene med diverse open source-værktøjer. Illustration: Kasper Terndrup

»Det starter som et kæmpe puslespil, hvor alle brikkerne er blanke, men hvor man lige så stille får tegnet et billede,« siger Kasper Terndrup.

I koden finder de tre whitehats blandt andet admin-passwords i klartekst. Men vigtigst af alt: Modemmerne er, over en bred kam, sårbare over for buffer overflows. Og med den fysiske reverse engineering kan de gennemskue præcis, hvordan overflowet kan udnyttes.

»Overflow udnytter, groft sagt, at systemet er en række kasser med data. Ved at fylde en kasse op med ‘skraldedata’, flyder den over til næste kasse, som man kan fylde op på samme måde,« forklarer Jens Stærmose og fortsætter:

»Indtil man når den kasse, man vil køre kode i, som man hælder sin egen kode ned i. Nu kører denne kasse koden uden at tjekke, hvad den kører. Og er dermed sårbar overfor såkaldt buffer overflow.«

Kæmpe sikkerhedsbrist

Nu har Lyrebirds altså fundet den største del af sårbarheden, som de har døbt Cable Haunt. Den sårbare del af softwaren er en funktion, mange moderne coax-bokse har indbygget, kaldet Spectrum Analyzer.

Funktionen er udviklet af den amerikanske softwaregigant Broadcom og har til opgave at sikre en optimal brug af det spektrum i coax-kablerne, internettet kører over, og som skal deles med blandt andet de digitale tv-kanaler.

Og så kan funktionen som sagt tvinges til at køre arbitrær kode med et klassisk buffer overflow-angreb.

Det betyder i praksis, at modemmet kan tvinges til at køre hvad som helst; også software, man kan overtage kontrollen over modemmet med. Den kontrol kan man som sagt enten bruge til at trænge ind i de enheder, der er koblet op til modemmet med diverse exploits, ligesom man kan overvåge trafikken eller lave Man In The Middle-angreb.

Ros fra TDC og CFCS

Hele processen har taget et år, fra den første mistanke vækkes, til sikkerhedsbristen bliver offentliggjort den 9. januar. I løbet af al den tid har Lyrebirds både været i kontakt med den danske it-sikkerhedsmyndighed Center for Cybersikkerhed (CFCS) samt TDC og Stofa, der har sendt sårbare modemmer ud til kunderne som en del af deres internet-produkter.

»Lyrebirds har givet god tid til, at producenterne og teleudbyderne har kunnet lukke sårbarhederne, og vi mener derfor, at der er tale om et rigtigt godt eksempel på responsible disclosure,« siger chef for CFCS Thomas Sørensen, der fortæller, at det er første gang, myndigheden er involveret i en sårbarhed, idet det er relativt sjældent, at danske sikkerhedsselskaber finder brister i den skala.

»Sårbarheden er ikke supernem at udnytte eller at finde, men den er ret universel, og derfor har vi også gjort, hvad vi kunne for at hjælpe med at udbrede kendskabet til den, blandt andet hos vores amerikanske samarbejdspartnere,« siger Thomas Sørensen.

Også TDC er begejstrede for Lyrebirds arbejde:

»TDC har været i tæt dialog med Lyrebirds undervejs i processen. Rent teknisk er det arbejde, som Lyrebirds har lavet, af særdeles høj kvalitet, og de har ageret professionelt og ansvarsfuldt igennem hele forløbet,« skriver TDC i en mail til Version2.

Hos Lyrebirds er man stolt over de pæne ord fra CFCS og TDC, men de danske sikkerhedsfolk er ikke helt enige i, at sårbarheden er svær at udnytte.

»På sin vis er det, CFCS siger, en validering af, at det, vi har lavet, ikke er noget, nogle hobbyister har lavet. Men omvendt kan man godt argumentere imod, at det er komplekst,« siger Kasper Terndrup.

»For eksempel kan de her sårbarheder crashe en internetforbindelse uden problemer, og man kan lave semi-automatiserede angrebs-kits mod de forskellige modem-modeller,« siger Kasper Terndrup.

TDC: Vi prioriterer vores kunder

TDC ønsker ikke at stille op til interview, men virksomhedens presseafdeling skriver i en mail til Version2:

»TDC prioriterer, at vores produkter til både privat- og erhvervskunder er så sikre som muligt. Konkret har vi en afdeling, som sikkerhedstester produkter, inden de frigives til brug hos kunder. Derudover arbejdes der med 3.-parts leverandører om at sikkerhedsteste produkterne.«

»Når det en sjælden gang imellem lykkes eksterne analytikere at finde en sårbarhed, før vi selv gør det, arbejder vi altid målrettet sammen med dem om hurtigt at rette fejlen og levere en løsning til kunden – inden sårbarheden bliver udnyttet.«

En fjerde medstuderende, Simon Sillesen, bidrog til den indledende undersøgelse af det første modem, inden det blev klart, hvor omfattende sårbarheden var. Han er ikke en del af virksomheden Lyrebirds.

Se Lyrebirds demonstrationsvideo af Cable Haunt her:

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Bjarne Duelund

For en del år siden opdagede jeg, at jeg kunne logge på min kabelrouter, ved at bruge standard passwordet, hvis jeg tilgik den på en specifik IP adresse. Også selvom routeren var sat op til en anden IP adresse og havde skiftet password. Jeg tror nok det hul blev lukket.

  • 5
  • 1
Michael Cederberg

... nogen brugte et sikkerhedshul til at skrive rigtigt mange gange i flash-hukommelsen og de blev ved indtil flash-hukommelsen holdt op med at virke permanent. Så ville modemet være blevet til en grim og ikke særlig tung brevvægt.

Hvis "nogen" gjorde det ved kabelmodemmer i et helt land eller i flere lande som del af en krigsindsats. Hvor lang tid ville det så tage at komme op og køre igen? Hvordan udskifter man 100 mio. kabel modemer hurtigt? De ligger ikke på lager ... hvor hurtigt kan de produceres? Hvad med ISP'ernes processer ... kan de scalere til sådan en udskiftning?

Hmm ... det er nok bedst at lade være med at tænke over ... ingen kunne finde på den slags ... selvom det ville være effektivt.

  • 7
  • 1
Henrik Størner

... nogen brugte et sikkerhedshul til at skrive rigtigt mange gange i flash-hukommelsen og de blev ved indtil flash-hukommelsen holdt op med at virke permanent. Så ville modemet være blevet til en grim og ikke særlig tung brevvægt.

Hvis "nogen" gjorde det ved kabelmodemmer i et helt land eller i flere lande som del af en krigsindsats. Hvor lang tid ville det så tage at komme op og køre igen?

Muligt, men ikke særlig sandsynligt.

Sårbarheden kan kun udnyttes fra LAN-siden af routeren. Så et exploit er afhængigt af at der er en bruger på indersiden af routeren, som begynder at angribe routeren. Det kan gøres, men deres exploit er afhængigt af at brugeren besøger et website som indeholder noget Javascript til at angribe routeren. Et "waterhole" angreb (f.eks. på et reklamebanner site) kunne selvfølgelig bruges, men det er nok ikke sandsynligt at rigtig mange vil blive ramt samtidigt.

  • 3
  • 0
Michael Cederberg

Muligt, men ikke særlig sandsynligt.

Jeg er ikke sikker på at vi kender hele omfanget af problemet. Når jeg læser:

I koden finder de tre whitehats blanedt andet admin-passwords i klartekst. Men vigtigst af alt: modemerne er, over en bred kam, sårbare over for buffer overflows. Og med den fysiske reverse engineering kan de gennemskue præcis, hvordan overflowet kan udnyttes.

Så giver det mig ikke en varm følelse af at disse modemer kun er sårbare indefra.

Men mit budskab gik sådan set ikke på de specifikke findings. Hvis jeg var militær i et land, så ville jeg undersøge fjendens infrastruktur og lede efter steder hvor jeg kunne ramme den. Vi hører om historier omkring kraftværker/vandværker/hospitaler/etc. der forsøges hacket.

For nogle år siden røg Kabel TV under dronnings nytårstale. TDC folk var nødt til at køre i bil ud til 33 centraler. Tænk hvis udstyret var blevet ødelagt. Eller hvis det havde været havde været de tusinder af gadeskabe til DSL nettet som var blevet ødelagt. Hvor lang tid var der så gået før skidtet var igang igen?

Pointen var at hvis man kan sætte millioner af kabelmodems (eller ADSL modems eller andet "volumen" teleudstyr) permanent ud af drift fordi man har ødelagt hardwaren, så kan det tage meget lang tid at komme ovenpå. Fordi der ikke finde større lagre af dette udstyr. Og fordi leverancer af udstyret i en koldkrigslignende situation ikke er garanteret. Og fordi den danske ejer af infrastrukturen ikke nødvendigvis er gearet til en større udskiftning.

  • 6
  • 1
Egon Sørensen

Der er nogle der har/tager kontrol over DNS og kan redirecte specifik trafik til det 'forgiftede vandhul' (https://en.wikipedia.org/wiki/DNS_hijacking og https://www.cnet.com/news/web-traffic-redirected-to-china-in-mystery-mix... )

Der er tracking pixels for Sociale Medie tracking på de fleste hjemmesider. Dette kan resultere i at næsten alle computere meget hurtigt er exponeret, kan derefter køre malware eller lignende. (https://developers.facebook.com/docs/facebook-pixel/implementation/?_fb_... )

En anden angrebsvektor kan være et botnet af IoT dimser, der 'pludselig' går til angreb og ikke behøver PC med mennesker bag - Modem-Router-IoT/PC- Wanna_Cable_Haunt 👻😱

  • 2
  • 0
Mogens Lysemose

For nogle år siden røg Kabel TV under dronnings nytårstale. TDC folk var nødt til at køre i bil ud til 33 centraler.

Præcis den incident tænkte jeg også på - TDC var hurtige til at udpege en enkelt ansat som skyldig - men anklagerne blev frafaldet - hvilket svækkede TDCs troværdighed efter min mening.
Og der kom derefter flere antydninger af at angrebet kom fra en Advanced Persistent Threat (APT).

Er der nogen der kan dele fakta om den sag?

Hvis det virkelig var en APT så ville de da være lige så interesseret at lukke for de store dele af internettet ligesom at lukke for store dele af kabel-tv.

Eller skyldtes det hele bare uheld og/eller inkompetence?

Uanset hvad - ros til de seje gutter der har arbejdet grundigt for at finde årsagen til nedbruddet og derefter fundet sikkerhedsrisici.

  • 2
  • 0
Peter Krüpl

Betyder det så at alle andre der driver kabelmodemer i danmark skal erfare det gennem TV2 ? Stofa og TDC er naturligvis de største, men der er mange selvstændige antenneforeninger med docsis.

Jeg skal love for vi fik travlt med at rulle ACL'er ud i modemerne igår.

  • 4
  • 0
Michael Cederberg

Taler vi modems eller taler vi routere?

For i min begrebsverden så beskæftiger et modem sig slet ikke med DNS, og derfor kan jeg heller ikke se en sårbarhed over for DNS rebind.

Jeg tror vi taler om næsten alt netværksudstyr der har en Broadcom baseret linux kerne hvor man har valgt at putte Broadcoms spectrum analyser ind i råt. Nok i praksis det meste Broadcom Wifi udstyr (bortset fra netkort).

Dvs. kabelmodems (med indbygget accesspoint og router), DSL modems (med indbygget ditto), wireless routers ...

  • 2
  • 0
Log ind eller Opret konto for at kommentere