'Sommerhat20' som standardkodeord: Hundredtusinder af TDC-routere kunne overtages

Findes der en tekniks gennemgang af sikkhedesbristen?

mod betaling

Med adgang til mindst et par håndfulde maskiner med port 22 åben kender jeg både til de op mod tusindvis af banale forsøg på at gætte et kodeord og til hvordan jeg sikrer mig. Jeg vil også meget nødig have yousee til at mene, de skal gøre noget ved det. Hjemme klarer min egen router bag yousee's bl.a. den slags. Ret skal være ret, og jeg synes faktisk yousee gør det fint ved at man kan lave en DMZ, så vi nørder kan gøre, hvad vi vil.

Det vil nok holde de fleste ude selvom det ikke er bulletproof. Men første skridt på vejen er at alle routere ikke indeholde det samme hardcodede password. Og så bør Hr. og Fru Danmarks routere leveres uden at nogen porte er åbne.

Og at maintanance kører i et separat vlan, som "man" ikke lige har adgang til.

Jeg har i tidernes løb administreret masser af maskiner rundt omkring, men det har altid været med PKI som adgang og/eller via vpn.

Det burde ISP'erne også kunne finde ud af.

/Henning

man jo ikke forpligtiget til at lægge sin SSH på 22 - ende

Jeg ville rent faktisk øjeblikkeligt fejlmelde en router som beslaglægger ingående forbindelser til port 22 - eller enhver anden standard port for den sag skyld.

Hvis ikke jeg som minimum kan sætte portforward til at sende videre til mit eget vil jeg ikke akseptere enheden.

Men ja. Jeg er heller ikke Maren ved Kæret ;-)

/Henning

Det er desværre ikke alle routere hvor man 'bare lige' kan det - re. telia.se's ellers - hmm - udmærkede Technicolour Router (sic).

Nu tænke jeg ikke så meget på "dig" som bruger, men TDC som ejer/administrator kunne let sætte det op "hvis de vil"

Men teleudbyderne kunne jo tilbyde en service der mod betaling kunne lave en rudimentær overvågning og patchning af de leverede routere og f.eks advarer / gribe ind, når der tæppebombes med password gæt på router eller en eksponeret port 22 eller andet. Det kunne sikkert hjæpe såvel 'Hr. og Fru Jensen' som hjemmefuskeren, der 'lige' skal have en service på nettet.

Næste gang er det noget andet. Når først routeren er kompromiteret, så kan man gøre som man vil. Man kunne forestille sig en form for challenge-response hvor routeren fra tid til anden skulle "bevise" at den kørte den rigtige firmware. Det vil nok holde de fleste ude selvom det ikke er bulletproof. Men første skridt på vejen er at alle routere ikke indeholde det samme hardcodede password. Og så bør Hr. og Fru Danmarks routere leveres uden at nogen porte er åbne.

at sætter op i iptables på routeren

Det er desværre ikke alle routere hvor man 'bare lige' kan det - re. telia.se's ellers - hmm - udmærkede Technicolour Router (sic).

Hvis man bruger PKI er det ikke så meget frygten for indbrud men mere trafikmængden der generer. Men iptables kan selvfølgelig afvise, så authlog ikke løber så hurtig fuld og så er man jo ikke forpligtiget til at lægge sin SSH på 22 - endelig kan man bruge whitelists, så der også skal spoofes en IP for at komme så langt, men så er vi vist lidt forbi 'Hr. og Fru Jensen' :)

dvarer / gribe ind, når der tæppebombes med password gæt på router eller en eksponeret port 22 eller ande

Lige den der tager det nu ikke mange sekunder at sætter op i iptables på routeren, så den ikke tillader mere end et par forsøg i minuttet fra en given IP.

Ok. Der er mange IP'er at tage af hvis der bruges et bot-bet, men der kan laves mange filtre som næsten løser det problem.

/Henning

Nu er Open Source jo ikke i sig selv en garanti for sikkerhedsbrister - og da slet ikke brister der opstår ved lemfældig omgang med den leverede standardkonfiguration og 'credentials'.

En af de populære hard/firmware platforme for Open Source router SW er iøvrigt ikke umulig at gøre ubrugelig har jeg konstateret - jævnfør Michaels bemærkning ovenfor.

Men teleudbyderne kunne jo tilbyde en service der mod betaling kunne lave en rudimentær overvågning og patchning af de leverede routere og f.eks advarer / gribe ind, når der tæppebombes med password gæt på router eller en eksponeret port 22 eller andet. Det kunne sikkert hjæpe såvel 'Hr. og Fru Jensen' som hjemmefuskeren, der 'lige' skal have en service på nettet.

Opklarende spørgsmål
Hvis sårbarheden primært stammer fra et "simpelt" password i config-filen, hvorfor kan dette så ikke bare ændres ?

Iflg. artiklen er det fikset og det var givetvis nemt. Det store spørgsmål er hvordan det fik lov at ske i første omgang. Hvordan kan det være at TDC kan finde på at sende udstyr ud til kunderne der har hardcodede passwords og hvor det er samme password i alle devices. Det ville være værd at spørge TDC om hvordan det kan finde sted. Det specifikke problem beskrevet i artiklen er ligegyldigt nu.

Re: Coax Router fabrikat
Mon ikke det er Sagem(com). Det plejer det at være :)

Men mon ikke det er Broadcom der i praksis definerer produktet ved at lave en reference platform.

Hvis sårbarheden primært stammer fra et "simpelt" password i config-filen, hvorfor kan dette så ikke bare ændres ?

Jeg tænker selv, at det var bedre at bruge SSH protokollens løsning med godkendte nøgler.

Og eventuelt også begrænse hvilke IP-ranges, der har lov til at opdatere routeren.

Blot for at nævne et par måder man kan undgå misbrug.

Hvis sårbarheden primært stammer fra et "simpelt" password i config-filen, hvorfor kan dette så ikke bare ændres ?

Hvis det ikke kan gøres remote via netværket, så må TDC betale for studentermedhjælpere til at rejse rundt og gøre det på stedet.

Stoler ikke på tdc routeren, har selv min egen router efter denne. Har flere gange oplevet at tdc via en opdatering har genaktiveret UPnP så enkelte af mine enheder automatisk fik åbnet en dør til internettet.

Mon ikke det er Sagem(com). Det plejer det at være :)

Det er jo åbenlyst, at der er behov for open source kildekode til diverse routere.

Indtil det sker, så må rådet være, at man undgår routere fra ISP’er eller stiller dem i bro tilstand og stiller sin egen router bagved, med os baseret på Open Source.

Det kan godt være at vi bringer bunker af IoT devices af mystisk origin ind i de danske hjem, men landskabet for IoT der meget varieret. Derfor bliver den umiddelbare trussel ikke så stor (fordi man skal angribe mange forskellige fabrikater for at få bredde i et angreb).

Landskabet for ADSL/Coax routere i Danmark er kendetegnet ved ganske få modeller. Hvis man kan finde vej gennem 3-4 modeller kan man inficere de fleste hjemme netværk (og de fleste modeller bygger på ganske få platforme). Hvis nogen fandt en vej til at ødelægge routerne permanent (jeg har et forslag til en vej, men jeg har ikke lyst til at diskutere det her), så kan man ramme Danmark hårdt.

Det vil tage en del tid at udskifte alle routere og hvis samme metodik bruges i resten af Europa så kan vil SOHO segmentet være hensat til 3/4/5G i lang tid. At producere millioner af routere tager tid.

Det nytter ikke noget at teleselskabene hver har et par deltids amatører til at håndtere dette område. Dette er ikke første gang TDC/YouSee viser at de ikke har styr på sikkerheden og jeg er ganske sikker på de andre leverandører er lige så elendige (de er mindre og har dermed færre resourcer). Jeg valgte for længe siden at placere min egen router bagved TDC's for at undgå denne type problemer.

Hvilket fabrikat er denne type coax router?

Vil andre fabrikater af coax routere kunne have samme sårbarhed med et password i en config fil?

Der findes jo en del andre coax net end TDS's, så det er jo relevant om samme sårbarhed kan ses andre steder.