'Sommerhat20' som standardkodeord: Hundredtusinder af TDC-routere kunne overtages

Illustration: TDC
Det er ikke mere end et halvt år siden, TDC sidst blev gjort opmærksom på en stor sikkerhedsbrist fra eksterne sikkerhedsfolk.

En simpel, velment løsning til at whiteliste IP-adresser, der kan fjernstyre TDC-routere, kan bruges til at overtage ‘flere hundrede tusinde’ coax-routere rundt omkring i danske hjem.

Læs også: Sådan fandt tre unge danskere verdensomspændende sikkerhedshul i modemmer: »Hvis vi kan verificere det her, så skal der øl på bordet!«

Det har det unge, danske selskab Lyrebirds netop fundet ud af, og derfor har de unge fyre bag det kørt en responsible-disclosure frem mod i dag, der betyder, at hullet blev patchet på 99 procent af de sårbare routere

Der er altså en del danskere, der netop har fået en opdatering til deres routere.

»Vi sad og rodede med routerne og lagde så mærke til, at man kunne skrive IP-adresser på en whitelist. Det viste sig, at alle adresser på denne IP-adresse kan tilgå routernes styresystem. Det kræver dog et password at få lov at skrive adresser på listen,« siger Alexander Krog, der er en af de tre medejere af Lyrebirds.

»Standardkodeordet, Sommerhat20, lå til gengæld i routerens config-fil,« siger Alexander Krog med et smil.

Worst case kan den kontrol, man får til routeren bruge til at placere malware, der ligger og venter på, at en af vores stadig flere og flere IoT-dimser bliver sårbare, hvorefter man kan angribe netværket gennem routeren, forklarer Alexander Krog. Eller man kan bruge routeren til at lave et man in the middle-angreb.

Umuligt uden brug af dårlige standardkodeord

Lyrebirds fortæller, at sårbarheden i sig selv ikke er TDC’s fejl. Den er en del af det generelle framework, mange moderne routere er bygget på. Men uden standardkodeordet i config-filen ville det vare et helt andet stykke arbejde, der skulle til for, at hacket kan lade sig gøre.

Læs også: Endnu en alvorlig sårbarhed i Yousee-hardware: TDC vil ikke oplyse, hvor mange der er ramt

»Det er endnu en gang en reminder om, at standardpasswords altid er en dårlig idé. Kodeordet var nemt at spotte i config-filen, fordi det er sjældent, der står noget med sommerhat i den slags filer,« siger Jens Stærmose, der også er medstifter af Lyrebirds.

Nem og hurtig at udnytte

Sårbarheden er, så vidt Lyrebirds kan se, mere begrænset end deres første fund, Cable Haunt. Til gengæld er den nemmere at udnytte.

»Det eneste, det her kræver, er, at offeret klikker på et link. Derfra er det bare at indtaste Sommerhat20 to gange og så et standardpassword til Telnet. Så har man fuld kontrol, og processen kan nemt automatiseres, siger Alexander Krog.

»Det er næsten for nemt.«

Center for Cybersikkerhed sagde ellers at Lyrebirds ‘opererede på et højt niveau’, og at der var tale om avancerede angreb, der tager tid at udføre. Den påstand vil Lyrebirds udfordre på Infosecurity senere i dag.

Tredje store sårbarhed på et år

Ud over de to sårbarheder, Lyrebirds har bragt for dagen, er der en sårbarhed, Improsec fortalte Version2 om tilbage i februar.

Alt i alt er der altså tale om tre vidt udbredte, relativt nemt tilgængelige sårbarheder i TDC’s udstyr.

Læs også: Endnu en alvorlig sårbarhed i Yousee-hardware: TDC vil ikke oplyse, hvor mange der er ramt

Det har ikke været muligt at få en kommentar fra TDC inden redaktionens deadline. Version2 følger op, når vi hører fra dem.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (18)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Allan Slot

Hvilket fabrikat er denne type coax router?

Vil andre fabrikater af coax routere kunne have samme sårbarhed med et password i en config fil?

Der findes jo en del andre coax net end TDS's, så det er jo relevant om samme sårbarhed kan ses andre steder.

  • 5
  • 0
#2 Michael Cederberg

Det kan godt være at vi bringer bunker af IoT devices af mystisk origin ind i de danske hjem, men landskabet for IoT der meget varieret. Derfor bliver den umiddelbare trussel ikke så stor (fordi man skal angribe mange forskellige fabrikater for at få bredde i et angreb).

Landskabet for ADSL/Coax routere i Danmark er kendetegnet ved ganske få modeller. Hvis man kan finde vej gennem 3-4 modeller kan man inficere de fleste hjemme netværk (og de fleste modeller bygger på ganske få platforme). Hvis nogen fandt en vej til at ødelægge routerne permanent (jeg har et forslag til en vej, men jeg har ikke lyst til at diskutere det her), så kan man ramme Danmark hårdt.

Det vil tage en del tid at udskifte alle routere og hvis samme metodik bruges i resten af Europa så kan vil SOHO segmentet være hensat til 3/4/5G i lang tid. At producere millioner af routere tager tid.

Det nytter ikke noget at teleselskabene hver har et par deltids amatører til at håndtere dette område. Dette er ikke første gang TDC/YouSee viser at de ikke har styr på sikkerheden og jeg er ganske sikker på de andre leverandører er lige så elendige (de er mindre og har dermed færre resourcer). Jeg valgte for længe siden at placere min egen router bagved TDC's for at undgå denne type problemer.

  • 9
  • 0
#3 Claus Mattsson

Det er jo åbenlyst, at der er behov for open source kildekode til diverse routere.

Indtil det sker, så må rådet være, at man undgår routere fra ISP’er eller stiller dem i bro tilstand og stiller sin egen router bagved, med os baseret på Open Source.

  • 4
  • 3
#6 Jan Heisterberg

Hvis sårbarheden primært stammer fra et "simpelt" password i config-filen, hvorfor kan dette så ikke bare ændres ?

Hvis det ikke kan gøres remote via netværket, så må TDC betale for studentermedhjælpere til at rejse rundt og gøre det på stedet.

  • 0
  • 1
#8 Michael Cederberg

Opklarende spørgsmål Hvis sårbarheden primært stammer fra et "simpelt" password i config-filen, hvorfor kan dette så ikke bare ændres ?

Iflg. artiklen er det fikset og det var givetvis nemt. Det store spørgsmål er hvordan det fik lov at ske i første omgang. Hvordan kan det være at TDC kan finde på at sende udstyr ud til kunderne der har hardcodede passwords og hvor det er samme password i alle devices. Det ville være værd at spørge TDC om hvordan det kan finde sted. Det specifikke problem beskrevet i artiklen er ligegyldigt nu.

Re: Coax Router fabrikat Mon ikke det er Sagem(com). Det plejer det at være :)

Men mon ikke det er Broadcom der i praksis definerer produktet ved at lave en reference platform.

  • 5
  • 0
#9 Palle Simonsen

Nu er Open Source jo ikke i sig selv en garanti for sikkerhedsbrister - og da slet ikke brister der opstår ved lemfældig omgang med den leverede standardkonfiguration og 'credentials'.

En af de populære hard/firmware platforme for Open Source router SW er iøvrigt ikke umulig at gøre ubrugelig har jeg konstateret - jævnfør Michaels bemærkning ovenfor.

Men teleudbyderne kunne jo tilbyde en service der mod betaling kunne lave en rudimentær overvågning og patchning af de leverede routere og f.eks advarer / gribe ind, når der tæppebombes med password gæt på router eller en eksponeret port 22 eller andet. Det kunne sikkert hjæpe såvel 'Hr. og Fru Jensen' som hjemmefuskeren, der 'lige' skal have en service på nettet.

  • 3
  • 0
#10 Henning Wangerin

dvarer / gribe ind, når der tæppebombes med password gæt på router eller en eksponeret port 22 eller ande

Lige den der tager det nu ikke mange sekunder at sætter op i iptables på routeren, så den ikke tillader mere end et par forsøg i minuttet fra en given IP.

Ok. Der er mange IP'er at tage af hvis der bruges et bot-bet, men der kan laves mange filtre som næsten løser det problem.

/Henning

  • 2
  • 0
#11 Palle Simonsen

at sætter op i iptables på routeren

Det er desværre ikke alle routere hvor man 'bare lige' kan det - re. telia.se's ellers - hmm - udmærkede Technicolour Router (sic).

Hvis man bruger PKI er det ikke så meget frygten for indbrud men mere trafikmængden der generer. Men iptables kan selvfølgelig afvise, så authlog ikke løber så hurtig fuld og så er man jo ikke forpligtiget til at lægge sin SSH på 22 - endelig kan man bruge whitelists, så der også skal spoofes en IP for at komme så langt, men så er vi vist lidt forbi 'Hr. og Fru Jensen' :)

  • 0
  • 0
#12 Michael Cederberg

Men teleudbyderne kunne jo tilbyde en service der mod betaling kunne lave en rudimentær overvågning og patchning af de leverede routere og f.eks advarer / gribe ind, når der tæppebombes med password gæt på router eller en eksponeret port 22 eller andet. Det kunne sikkert hjæpe såvel 'Hr. og Fru Jensen' som hjemmefuskeren, der 'lige' skal have en service på nettet.

Næste gang er det noget andet. Når først routeren er kompromiteret, så kan man gøre som man vil. Man kunne forestille sig en form for challenge-response hvor routeren fra tid til anden skulle "bevise" at den kørte den rigtige firmware. Det vil nok holde de fleste ude selvom det ikke er bulletproof. Men første skridt på vejen er at alle routere ikke indeholde det samme hardcodede password. Og så bør Hr. og Fru Danmarks routere leveres uden at nogen porte er åbne.

  • 0
  • 0
#14 Henning Wangerin

man jo ikke forpligtiget til at lægge sin SSH på 22 - ende

Jeg ville rent faktisk øjeblikkeligt fejlmelde en router som beslaglægger ingående forbindelser til port 22 - eller enhver anden standard port for den sag skyld.

Hvis ikke jeg som minimum kan sætte portforward til at sende videre til mit eget vil jeg ikke akseptere enheden.

Men ja. Jeg er heller ikke Maren ved Kæret ;-)

/Henning

  • 2
  • 0
#15 Henning Wangerin

Det vil nok holde de fleste ude selvom det ikke er bulletproof. Men første skridt på vejen er at alle routere ikke indeholde det samme hardcodede password. Og så bør Hr. og Fru Danmarks routere leveres uden at nogen porte er åbne.

Og at maintanance kører i et separat vlan, som "man" ikke lige har adgang til.

Jeg har i tidernes løb administreret masser af maskiner rundt omkring, men det har altid været med PKI som adgang og/eller via vpn.

Det burde ISP'erne også kunne finde ud af.

/Henning

  • 1
  • 0
#16 Bjørn Engsig

Med adgang til mindst et par håndfulde maskiner med port 22 åben kender jeg både til de op mod tusindvis af banale forsøg på at gætte et kodeord og til hvordan jeg sikrer mig. Jeg vil også meget nødig have yousee til at mene, de skal gøre noget ved det. Hjemme klarer min egen router bag yousee's bl.a. den slags. Ret skal være ret, og jeg synes faktisk yousee gør det fint ved at man kan lave en DMZ, så vi nørder kan gøre, hvad vi vil.

  • 2
  • 0
Log ind eller Opret konto for at kommentere