'Sommerhat20' som standardkodeord: Hundredtusinder af TDC-routere kunne overtages

30. september 2020 kl. 03:4518
'Sommerhat20' som standardkodeord: Hundredtusinder af TDC-routere kunne overtages
Illustration: TDC.
Det er ikke mere end et halvt år siden, TDC sidst blev gjort opmærksom på en stor sikkerhedsbrist fra eksterne sikkerhedsfolk.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

En simpel, velment løsning til at whiteliste IP-adresser, der kan fjernstyre TDC-routere, kan bruges til at overtage ‘flere hundrede tusinde’ coax-routere rundt omkring i danske hjem.

Mød Lyrebirds på Version2 Infosecurity Data&Cloud

It-sikkerheds- og datamessen Infosecurity Denmark Data&Cloud 2020 byder på mere end 110 seminarer og cases, 25 udvalgte keynotes og 80 udstillere. To dage med masser af faglig viden og netværk d. 30. september og 1. oktober i Øksnehallen i København.
Lyrebirds vil fortælle om deres hands-on arbejde med it-sikkerheden i danske og internationale routere samt give os et bedre indblik i deres afsløring af Cable Haunt, der fik alle verdens teleselskaber op af stolene. De vil også demonstrere live, hvordan sårbarheder i routere kan give angribere ubegrænset adgang til d.
Konferenceprogrammet dækker generelt både compliance, cybercrime, IoT, nye teknologier som AI, supercomputere og blockchain samt data og cloud og giver et unikt indblik i de nyeste data- og it-sikkerhedsmæssige teknologier på et højt fagligt niveau.
Du bliver altså opdateret om både de nyeste tekniske landvindinger fra spydspidsforskere og får indblik i aktuelle trusselsbilleder fra nogle af verdens bedste rådgivere.
Læs mere og tilmeld dig ved at klikke her.

Det har det unge, danske selskab Lyrebirds netop fundet ud af, og derfor har de unge fyre bag det kørt en responsible-disclosure frem mod i dag, der betyder, at hullet blev patchet på 99 procent af de sårbare routere

Der er altså en del danskere, der netop har fået en opdatering til deres routere.

»Vi sad og rodede med routerne og lagde så mærke til, at man kunne skrive IP-adresser på en whitelist. Det viste sig, at alle adresser på denne IP-adresse kan tilgå routernes styresystem. Det kræver dog et password at få lov at skrive adresser på listen,« siger Alexander Krog, der er en af de tre medejere af Lyrebirds.

Artiklen fortsætter efter annoncen

»Standardkodeordet, Sommerhat20, lå til gengæld i routerens config-fil,« siger Alexander Krog med et smil.

Worst case kan den kontrol, man får til routeren bruge til at placere malware, der ligger og venter på, at en af vores stadig flere og flere IoT-dimser bliver sårbare, hvorefter man kan angribe netværket gennem routeren, forklarer Alexander Krog. Eller man kan bruge routeren til at lave et man in the middle-angreb.

Umuligt uden brug af dårlige standardkodeord

Lyrebirds fortæller, at sårbarheden i sig selv ikke er TDC’s fejl. Den er en del af det generelle framework, mange moderne routere er bygget på. Men uden standardkodeordet i config-filen ville det vare et helt andet stykke arbejde, der skulle til for, at hacket kan lade sig gøre.

»Det er endnu en gang en reminder om, at standardpasswords altid er en dårlig idé. Kodeordet var nemt at spotte i config-filen, fordi det er sjældent, der står noget med sommerhat i den slags filer,« siger Jens Stærmose, der også er medstifter af Lyrebirds.

Nem og hurtig at udnytte

Sårbarheden er, så vidt Lyrebirds kan se, mere begrænset end deres første fund, Cable Haunt. Til gengæld er den nemmere at udnytte.

Artiklen fortsætter efter annoncen

»Det eneste, det her kræver, er, at offeret klikker på et link. Derfra er det bare at indtaste Sommerhat20 to gange og så et standardpassword til Telnet. Så har man fuld kontrol, og processen kan nemt automatiseres, siger Alexander Krog.

»Det er næsten for nemt.«

Center for Cybersikkerhed sagde ellers at Lyrebirds ‘opererede på et højt niveau’, og at der var tale om avancerede angreb, der tager tid at udføre. Den påstand vil Lyrebirds udfordre på Infosecurity senere i dag.

Tredje store sårbarhed på et år

Ud over de to sårbarheder, Lyrebirds har bragt for dagen, er der en sårbarhed, Improsec fortalte Version2 om tilbage i februar.

Alt i alt er der altså tale om tre vidt udbredte, relativt nemt tilgængelige sårbarheder i TDC’s udstyr.

Det har ikke været muligt at få en kommentar fra TDC inden redaktionens deadline. Version2 følger op, når vi hører fra dem.

18 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
18
1. oktober 2020 kl. 23:17

Findes der en tekniks gennemgang af sikkhedesbristen?

16
30. september 2020 kl. 21:26

Med adgang til mindst et par håndfulde maskiner med port 22 åben kender jeg både til de op mod tusindvis af banale forsøg på at gætte et kodeord og til hvordan jeg sikrer mig. Jeg vil også meget nødig have yousee til at mene, de skal gøre noget ved det. Hjemme klarer min egen router bag yousee's bl.a. den slags. Ret skal være ret, og jeg synes faktisk yousee gør det fint ved at man kan lave en DMZ, så vi nørder kan gøre, hvad vi vil.

15
30. september 2020 kl. 17:59

Det vil nok holde de fleste ude selvom det ikke er bulletproof. Men første skridt på vejen er at alle routere ikke indeholde det samme hardcodede password. Og så bør Hr. og Fru Danmarks routere leveres uden at nogen porte er åbne.

Og at maintanance kører i et separat vlan, som "man" ikke lige har adgang til.

Jeg har i tidernes løb administreret masser af maskiner rundt omkring, men det har altid været med PKI som adgang og/eller via vpn.

Det burde ISP'erne også kunne finde ud af.

/Henning

14
30. september 2020 kl. 17:56

man jo ikke forpligtiget til at lægge sin SSH på 22 - ende

Jeg ville rent faktisk øjeblikkeligt fejlmelde en router som beslaglægger ingående forbindelser til port 22 - eller enhver anden standard port for den sag skyld.

Hvis ikke jeg som minimum kan sætte portforward til at sende videre til mit eget vil jeg ikke akseptere enheden.

Men ja. Jeg er heller ikke Maren ved Kæret ;-)

/Henning

12
30. september 2020 kl. 17:02

Men teleudbyderne kunne jo tilbyde en service der mod betaling kunne lave en rudimentær overvågning og patchning af de leverede routere og f.eks advarer / gribe ind, når der tæppebombes med password gæt på router eller en eksponeret port 22 eller andet. Det kunne sikkert hjæpe såvel 'Hr. og Fru Jensen' som hjemmefuskeren, der 'lige' skal have en service på nettet.

Næste gang er det noget andet. Når først routeren er kompromiteret, så kan man gøre som man vil. Man kunne forestille sig en form for challenge-response hvor routeren fra tid til anden skulle "bevise" at den kørte den rigtige firmware. Det vil nok holde de fleste ude selvom det ikke er bulletproof. Men første skridt på vejen er at alle routere ikke indeholde det samme hardcodede password. Og så bør Hr. og Fru Danmarks routere leveres uden at nogen porte er åbne.

11
30. september 2020 kl. 15:34

at sætter op i iptables på routeren

Det er desværre ikke alle routere hvor man 'bare lige' kan det - re. telia.se's ellers - hmm - udmærkede Technicolour Router (sic).

Hvis man bruger PKI er det ikke så meget frygten for indbrud men mere trafikmængden der generer. Men iptables kan selvfølgelig afvise, så authlog ikke løber så hurtig fuld og så er man jo ikke forpligtiget til at lægge sin SSH på 22 - endelig kan man bruge whitelists, så der også skal spoofes en IP for at komme så langt, men så er vi vist lidt forbi 'Hr. og Fru Jensen' :)

9
30. september 2020 kl. 14:38

Nu er Open Source jo ikke i sig selv en garanti for sikkerhedsbrister - og da slet ikke brister der opstår ved lemfældig omgang med den leverede standardkonfiguration og 'credentials'.

En af de populære hard/firmware platforme for Open Source router SW er iøvrigt ikke umulig at gøre ubrugelig har jeg konstateret - jævnfør Michaels bemærkning ovenfor.

Men teleudbyderne kunne jo tilbyde en service der mod betaling kunne lave en rudimentær overvågning og patchning af de leverede routere og f.eks advarer / gribe ind, når der tæppebombes med password gæt på router eller en eksponeret port 22 eller andet. Det kunne sikkert hjæpe såvel 'Hr. og Fru Jensen' som hjemmefuskeren, der 'lige' skal have en service på nettet.

8
30. september 2020 kl. 11:49

Opklarende spørgsmål
Hvis sårbarheden primært stammer fra et "simpelt" password i config-filen, hvorfor kan dette så ikke bare ændres ?

Iflg. artiklen er det fikset og det var givetvis nemt. Det store spørgsmål er hvordan det fik lov at ske i første omgang. Hvordan kan det være at TDC kan finde på at sende udstyr ud til kunderne der har hardcodede passwords og hvor det er samme password i alle devices. Det ville være værd at spørge TDC om hvordan det kan finde sted. Det specifikke problem beskrevet i artiklen er ligegyldigt nu.

Re: Coax Router fabrikat
Mon ikke det er Sagem(com). Det plejer det at være :)

Men mon ikke det er Broadcom der i praksis definerer produktet ved at lave en reference platform.

6
30. september 2020 kl. 11:07

Hvis sårbarheden primært stammer fra et "simpelt" password i config-filen, hvorfor kan dette så ikke bare ændres ?

Hvis det ikke kan gøres remote via netværket, så må TDC betale for studentermedhjælpere til at rejse rundt og gøre det på stedet.

5
30. september 2020 kl. 10:02

Stoler ikke på tdc routeren, har selv min egen router efter denne. Har flere gange oplevet at tdc via en opdatering har genaktiveret UPnP så enkelte af mine enheder automatisk fik åbnet en dør til internettet.

4
30. september 2020 kl. 09:52

Mon ikke det er Sagem(com). Det plejer det at være :)

3
30. september 2020 kl. 09:17

Det er jo åbenlyst, at der er behov for open source kildekode til diverse routere.

Indtil det sker, så må rådet være, at man undgår routere fra ISP’er eller stiller dem i bro tilstand og stiller sin egen router bagved, med os baseret på Open Source.

2
30. september 2020 kl. 09:09

Det kan godt være at vi bringer bunker af IoT devices af mystisk origin ind i de danske hjem, men landskabet for IoT der meget varieret. Derfor bliver den umiddelbare trussel ikke så stor (fordi man skal angribe mange forskellige fabrikater for at få bredde i et angreb).

Landskabet for ADSL/Coax routere i Danmark er kendetegnet ved ganske få modeller. Hvis man kan finde vej gennem 3-4 modeller kan man inficere de fleste hjemme netværk (og de fleste modeller bygger på ganske få platforme). Hvis nogen fandt en vej til at ødelægge routerne permanent (jeg har et forslag til en vej, men jeg har ikke lyst til at diskutere det her), så kan man ramme Danmark hårdt.

Det vil tage en del tid at udskifte alle routere og hvis samme metodik bruges i resten af Europa så kan vil SOHO segmentet være hensat til 3/4/5G i lang tid. At producere millioner af routere tager tid.

Det nytter ikke noget at teleselskabene hver har et par deltids amatører til at håndtere dette område. Dette er ikke første gang TDC/YouSee viser at de ikke har styr på sikkerheden og jeg er ganske sikker på de andre leverandører er lige så elendige (de er mindre og har dermed færre resourcer). Jeg valgte for længe siden at placere min egen router bagved TDC's for at undgå denne type problemer.

1
30. september 2020 kl. 08:30

Hvilket fabrikat er denne type coax router?

Vil andre fabrikater af coax routere kunne have samme sårbarhed med et password i en config fil?

Der findes jo en del andre coax net end TDS's, så det er jo relevant om samme sårbarhed kan ses andre steder.