Hobevis af TDC-routere holder åbent på port 7547 - men er det et problem?

En del af TDC's udstyr svarer på port 7547 og 7548. Det er ikke et problem, mener virksomheden, andre er uenige.

En søgning på sårbarhedsscanneren shodan.io viser, at en del af TDC's udstyr af den slags, der står hjemme i stuen, og som danskerne bruger til at komme på internettet med, er åben for kommunikation med omverdenen på en potentielt sikkerhedsmæssig problematisk port.

Shodan.io er en tjeneste som scanner enheder, der er koblet på internettet.

Glenn Dufke er indehaver af GlennKonnekt og arbejder blandt andet med embeddede hard- og softwareløsninger.

Han har opdaget, at mere end 100.000 router-modemmer fra TDC af typen HomeBox produceret af Sagemcom er åben for udefrakommende opkoblinger på port 7547, der bruges af TR-069-protokollen.

Mens det er muligt at få en forbindelse til TDC-udstyret på den pågældende port, så er det ikke uden videre muligt at logge ind i udstyret via porten, da der kræves brugernavn og adgangskode.

»Det er jo fint nok, man skal autentificere, men hvis der er et uidentificeret hul i implementationen, så skal der jo ikke meget til, før man kan omgå det.«

TR-069-protokollen anvendes af internetudbydere til fjern-opsætning af slutbrugeres udstyr - for eksempel til opgradering af routerens firmware - og det er i sagens natur vigtigt, at uvedkommende ikke får sådan en adgang.

Glenn Dufke mener i den forbindelse, det er en generelt dårlig idé, overhovedet at tillade udefrakommende forbindelser til TR-069-interfacet på router-modemmerne.

»Sørg for, der kun er åben for det, der skal være åbent for,« siger han.

Kramshøj: Burde ikke være åben

It-sikkerhedsblogger på Version2 og tidligere direktør hos internetudbyderen Solido Networks Henrik Kramshøj mener heller ikke, det er et godt setup, at TDC-udstyret på den måde har åbne porte. Han fortæller, at TR-069-protokollen er skruet således sammen, at det ikke burde være nødvendigt at tillade udefrakommende kommunikation på udstyret.

»De burde faktisk ikke have den port åben udefra,« siger Kramshøj.

I forhold til det interface, der lige nu beder om brugernavn og adgangskode på udstyret, siger Kramshøj:

»Det betyder, der ligger noget software og køre. Og vi kender jo software, og ved der er fejl. Så det er sandsynligt, at der vil være nogle enheder, så vil være sårbare overfor diverse.«

Åbne porte kombineret med fejlbehæftet software er langt fra kun en teoretisk problemstilling. Wannacry-malwaren hærgede i maj måned i år computere verden over. Her bevirkede en fejl i implementeringen af SMB-protokollen på visse Windows-systemer, at malwaren kunne sprede sig til andre systemer, forudsat de tillod indgående trafik på den rette port.

Denial-of-Service

Faktisk er sårbarheder tidligere blevet udnyttet i forhold til TR-069 og port 7547. Johannes B. Ullrich, Ph.D er Dean of Research ved sikkerhedsorganisationen SANS Technology Institute. Han har beskriver i et blogindlæg, hvordan en TR-069-fejl og port 7547 er blevet brugt til at kompromittere udstyr i den virkelige verden.

I en mail til Version2 fortæller Johannes B. Ullrich, at der ikke burde være problemer i forhold til de sårbarheder, han har skrevet om, såfremt der kræves autentifikation. Som det altså er tilfældet med TDC-udstyret.

Der kan dog være en udfordring i forhold til DoS-angreb.

»Det eneste andet problem er, at TR-069-implementationerne nogle gange er modtagelige over for denial of service-angreb, selv når de anvender autentifikation. En flood af TR-069-requests kan forårsage et router crash. Dette kan undgås ved at begrænse adgangen til routerens TR-069-port,« skriver Johannes B. Ullrich.

TDC har ikke ønsket at stille op til interview om, hvorfor porten er åben. I stedet har virksomhedens presseafdeling sendt et skriftligt svar.

»Ja, det er korrekt, at nogle af vores TDC Homebox’e stadig svarer på port 7547/7548. De er dog beskyttet på anden vis mod uautoriseret adgang,« lyder det i svaret, som fortsætter:

»Vi har desværre ikke mulighed for at stille op til et interview, da vi af sikkerhedsmæssige årsager ikke ønsker at gå i detaljer med ovenstående.«

TDC mener altså ikke, der er fare på færde, hvad den åbne port angår. Kramshøj og Dufke mener, det i udgangspunktet er en dårlig idé. Men hvad mener Version2's læsere?

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (26)
Simon Toft

Sikker på at det ikke er tr-064? NewNTPServer er kun en del af tr-064, som det blogindlæg i linker til omhandler.

Der er kun en port der bruges til tr-069 (når vi snakker HTTP i hvert fald), nemlig til connection request, som blot får CPE'en til at ringe til ACS. Det er ikke muligt at give commands direkte til en tr-069 CPE, det er altid CPE'en der initiere en session med ACS.

Så det lyder mere som et tr-064 interface, som tdc har åbent, da de oftest er gemt bag HTTP digest auth. Hvorfor det ikke er firewalled i routeren er et godt spørgsmål, nok bare en fejl pga. legacy setup, som ikke kan fikses da firmware support for længst er ophørt hos vendoren.

Tvivler på at det er et issue, med mindre man kan bruteforce login eller det bliver leaked hvordan auth er konfigureret på dem.

Simon Toft

7547 blev benyttet til tr-064 før porten blev assigned til CWMP. Men det er som sådan også ligemeget, det jeg undrede mig over var referencen til:

Faktisk er sårbarheder tidligere blevet udnyttet i forhold til TR-069 og port 7547. Johannes B. Ullrich, Ph.D er Dean of Research ved sikkerhedsorganisationen SANS Technology Institute. Han har beskriver i et blogindlæg, hvordan en TR-069-fejl og port 7547 er blevet brugt til at kompromittere udstyr i den virkelige verden.

Det exploit der omtales i det blogindlæg er til en specifik zyxel implementering af tr-064 (NewNTPServer er ikke en del af tr-069, ved ikke hvorfor forfatteren til det indlæg skriver det), en specifikation der beskriver et SOAP interface til aktiv konfiguration af CPE'er.

Hvis det faktisk er en port til tr-069, er det som sagt blot connection request, og så er det rimelig ligemeget at porten er åben imo, om end der ikke er nogen god grund til det, den burde være firewalled til deres ACS.

TR-069-protokollen anvendes af internetudbydere til fjern-opsætning af slutbrugeres udstyr - for eksempel til opgradering af routerens firmware - og det er i sagens natur vigtigt, at uvedkommende ikke får sådan en adgang.

Det her giver fx. heller ikke mening mht. tr-069, da routeren er conf'et med en ACS url som routeren initiere en forbindelse til. Det er ikke muligt at åbne for "adgang" til en tr-069 kompatibel router, via. et interface, ifølge standarden i hvert fald.

Gert G. Larsen

Henrik Kramshøj: Hvorfor burde det ikke være nødvendigt at have porten åben? Er der noget talk-back-ish fra routerne til TDC, der bør kunne klare det i stedet, eller hvad mener du?

HVIS porten er åben, er den vel sat op, så det kun er TDC's management-segmenter, der kan tilgå den. Det er vel den simpleste firewall-regel man må kunne forvente sig af så stor en ISP ?

Jens Jönsson

HVIS porten er åben, er den vel sat op, så det kun er TDC's management-segmenter, der kan tilgå den. Det er vel den simpleste firewall-regel man må kunne forvente sig af så stor en ISP ?

Der er vel ingen der er i tvivl om at porten ER åben. Ikke HVIS.
Den er jo netop ikke sat, med en simpel firewall-regel, så det kun er TDC's management-segmenter, der kan tilgå den, for så kunne den ikke ses i Shodan.io, som jo kun kan scanne offentligt tilgængelige porte....

Henrik Kramshøj Blogger

Hvis det faktisk er en port til tr-069, er det som sagt blot connection request, og så er det rimelig ligemeget at porten er åben imo, om end der ikke er nogen god grund til det, den burde være firewalled til deres ACS.

Det er ikke ligemeget, hvis den (lille) serversoftware har en fejl, eksempelvis buffer overflow der gør at du kan eksekvere kode på enheden. Vi ser rigtig mange sårbarheder på CPE produkter, og ofte har de ikke basale forsvar imod buffer overflows, kører gamle versioner af embedded web serversoftware osv. Så det er en dårlig ide med en åben port, som har skodsoftware bagved.

Henrik Kramshøj Blogger

Henrik Kramshøj: Hvorfor burde det ikke være nødvendigt at have porten åben? Er der noget talk-back-ish fra routerne til TDC, der bør kunne klare det i stedet, eller hvad mener du?

HVIS porten er åben, er den vel sat op, så det kun er TDC's management-segmenter, der kan tilgå den. Det er vel den simpleste firewall-regel man må kunne forvente sig af så stor en ISP ?

Jens nåede lige at svare på dit underlige HVIS, og pas på med at antage noget som helst. Dine forventninger omkring hvad man kan forvente sig af ISP'er er ligeledes ude af trit med virkeligheden. TDC har et enormt netværk, med en høj kompleksitet - så en simpel firewall regel bliver det ikke.

Det KUNNE dog være en firewall regel eller blokering længere ude i nærheden af de miljøer som bruger det pågældende udstyr, specielt fordi den port jo nu er optaget, ikke tilgængelig for at kunderne selv kan NAT'e ind til andet udstyr. Udstyret kunne også fra starten af få en konfiguration som kun tillod tilgang til porten fra bestemte ranges.

Jeg synes det er en fin historie, og netop fordi der hackes så mange CPE (kunderoutere) er det relevant at presse ISP'erne til at forbedre sig, hvad de ikke gør af egen drift på allerede opsat udstyr i et hårdt marked osv osv.

Simon Toft

Det er ikke ligemeget, hvis den (lille) serversoftware har en fejl, eksempelvis buffer overflow der gør at du kan eksekvere kode på enheden. Vi ser rigtig mange sårbarheder på CPE produkter, og ofte har de ikke basale forsvar imod buffer overflows, kører gamle versioner af embedded web serversoftware osv. Så det er en dårlig ide med en åben port, som har skodsoftware bagved.

Jeg tænkte mere med henblik på tr-069 protokollen (som artiklen omtaler som et problem), hvor angrebsfladen er forsvindende lille mht. connection requests, selv hvis man kommer forbi HTTP digest. Men du har selvfølgelig ret mht. deres HTTP implementation.

Poul-Henning Kamp Blogger

Er det udtryk for sund fornuft, eller er det udtryk for en forældet indstilling til IT-sikkerhed?

Eller at man har outsourcet så meget at man er nødt til at vente på at de vågner i Kina før man kan finde ud af hvad spørgsmålet faktisk betyder ?

Eller at den slags medarbejdere som faktisk kan forstå spørgsmålet ikke må komme i nærheden af pressen for "informationsafdelingen" ?

Lars Bjerregaard

Hvor dårlig er sikkerheden hvis den ikke tåler at komme frem i lyset?


Anekdotisk/erfaringsmæssigt er der vist en temmeligt god korrelation, mellem:

"Vi svarer af sikkerhedshensyn ikke på spørgsmål om sikkerhed" (dårlig sikkerhed), og "Alle er velkomne til selv at undersøge og lave audit af vores sikkerhed" (god sikkerhed).

Der er sikkert nogen undtagelser, men der er ikke lige nogen der kommer op i erindringen.

Henrik Størner

er det udtryk for en forældet indstilling til IT-sikkerhed?

Når virksomheder kommer med den slags svar, kan jeg som IT-professionel kun se disse muligheder:

1) Vi aner ikke hvad du snakker om
2) Det er for pinligt at forklare hvordan vi har dummet os
3) Vi er fløjtende ligeglade med kundernes sikkerhed, så længe det ikke koster noget

Og så er det lige meget om det er TDC, Nets eller andre. Desværre er der nogle af dem som er svære at slippe uden om.

Michael Cederberg

I en mail til Version2 fortæller Johannes B. Ullrich, at der ikke burde være problemer i forhold til de sårbarheder, han har skrevet om, såfremt der kræves autentifikation. Som det altså er tilfældet med TDC-udstyret.

Authentikering kan også være et problem. Som jeg læser TR-069, så er det simpel username+password authentikering. Dvs. at passwordet forefindes på et tidspunkt i klartext inden i routeren. Såfremt samme password er brugt i alle TDC routere eller et password der blot er afledt af MAC adressen e.lign. så kan man med snilde komme ind den vej.

Hvordan sletter jeg min profil?

Hey, spændende tråd og vigtigt emne.

Som privatbruger tænker jeg at vi kan sætte vores egen firewall inde bagved ISPens router, og opfatte routeren som "det farlige internet" og ISPens ejendom. Er det et godt råd til slutbrugerne? Ens venner og naboer og bekendte?

MEN hvilken firewall??? Jeg har overtaget en gammel commercial cisco-firewall, der er OK, men går ud af support til næste år.
Hvad gør man så?
Apples? Synology Router? En anden commerciel appliance-boks? pfsense, kørende på hvad??
Findes der noget, der er rimelig "godt" rent teknisk, som man samtidig kan få familien danmark til at bruge? Som måske virker OK out-of-the-box?

René Nielsen

Hej, da jeg stod i din situation byggede jeg min egen - det kostede omkring DKK 1.800 inkl moms og forsendelse.

Det her bør kunne gøre det;

Harddisk - Crucial MX300 SSD 2.5" - 275GB
Hukommelse - Kingston ValueRAM SO DDR3L-1600 SC - 4GB
Blæserløs computer med to netkort - ZOTAC ZBOX nano CI323

Den gratis software kan hentes her; https://www.sophos.com/en-us/products/free-tools/sophos-utm-home-edition...

Firewall softwaren er gratis til privat brug (højest 50 klienter) og er inkl. antivirussoftware til klienter (Windows/Mac/Linux)

Peter Christiansen

Jeg bruger bare en wifi dongle, når jeg får den, der er efter
hånden god support for den slags i linux, både som basestation
og normal ap klient.

Har lige købt den, den kommer d. 20. :DD

Fede specs med:

SATA 3.0, Mini PCIe, USB 3.0, GPIO, og UART ports .
3x 1gb ethernet.

1.2Ghz- 64bit Dual Core ARM.

Jeg skal selv bruge den til en ny router

Jens Bengaard

Som Simon Toft gør opmærksom på nogle gange, er porten nødvendig i TR-069 protokollen. Så vidt jeg kan se, er det eneste reelle alternativ at udvikle management software, hvor al kommunikation udgår fra CPE'en. Det betyder polling, og ganske aggressiv polling endda. Det bliver hardwareproducenterne glade for.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017

Affecto has the solution and the tools you need

According to GDPR, you are required to be in control of all of your personally identifiable and sensitive data. There are only a few software tools on the market to support this requirement today.
13. sep 2017