Yousees routere har gigantisk sikkerhedshul - fire måneder efter advarsel

En sikkerhedsbrøler i firmwaren på Yousees routere fra Netgear kan give hackere fuld adgang. Yousee blev advaret i januar, men fortæller først de ramte kunder om det nu.

Har du internet via Yousees kabel-tv, har du sandsynligvis en router stående fra producenten Netgear med et alvorligt sikkerhedshul indbygget.

Det fortæller Stefan Milo, der opdagede problemet ved en tilfældighed, da han sikkerhedstestede et netværk hos en kunde. Han skrev til Yousee om sårbarheden med det samme, men fire måneder efter er hullet stadig ikke lukket. Derfor går han nu til Version2 for at advare mere bredt om problemet.

»Det er et alvorligt sikkerhedshul, som kan give en hacker fuld adgang til din router, hvis du har åbnet for remote management, eller hvis en hacker har adgang til det kablede eller trådløse netværk i routeren. Nu går jeg til pressen med det for at beskytte Yousees kunder,« siger Stefan Milo, der arbejder med netværk og sikkerhed hos Zendata.

Han har demonstreret sårbarheden for Version2, og kender man konceptet bag, er det en nem fejl at udnytte hos dem, der har åbnet for fjernadgang til routeren.

»En hacker kan få fuld adgang til routeren, og kan se mit admin-password. Han kan overvåge min trafik, oprette nye SSID’er, redirecte min trafik, så jeg bliver sendt over til en falsk netbank og så videre. Det åbner for identitetstyveri og meget andet,« siger Stefan Milo til Version2.

Men hos Yousee hæfter man sig ved, at hullet primært kan udnyttes blandt dem, der har åbnet routeren for remote management. Det er ’en forsvindende lille del’, siger Yousee - mere præcist er det knap 1.500 danskere ud af 450.000 Yousee-kunder, der har været ramt.

»Det er kun relevant for dem, som bruger remote management, og det er de mest aktive kunder med en vis teknisk indsigt. Langt de fleste af vores kunder bruger default-opsætning, som vi administrerer,« siger Yousees pressechef Ib Konrad Jensen til Version2.

Læs også: Yousee: Vi ville ikke skræmme kunderne

At det skulle tage fire måneder, før man blev klar til at skifte den hullede firmware, forklarer firmaet med, at det har taget noget tid at nå frem til den rette løsning sammen med Netgear. Flere versioner er blevet sendt frem og tilbage, for at få rettet nogle bugs. Desuden vil Yousee også gerne have et par andre ting ordnet i samme ombæring, når der nu alligevel skal ny firmware ud.

»Det har været en langvarig proces. Hvis det nu havde været Nationalbanken, som var truet, var det nok gået hurtigere,« siger Ib Konrad Jensen.

Ville holde lav profil

Version2 kontaktede Yousee fredag den 17. maj, som meddelte, at man snart er klar til at rulle en opdatering ud - fire måneder efter, at fejlen blev meldt ind af Stefan Milo. Tirsdag morgen efter pinseferien sendte Yousee en sms-besked ud til de 1.500 kunder med åbne routere om problemet og lukkede samtidigt pr. fjernbetjening for fjernadgangen til routeren.

Det skete specifikt på grund af Version2’s varslede historie om sikkerhedshullet, for planen var ellers at holde lav profil, i hvert fald indtil firmwaren var sendt ud.

I løbet af denne uge og næste uge vil ny firmware blive rullet ud til de kunder, som Yousee kan se har haft aktiveret remote management. Derefter følger så resten af Yousees 450.000 kunder, men det tager flere måneder at udskifte firmware på så mange routere, forklarer Ib Konrad Jensen.

Stefan Milo er efter en positiv oplevelse med Yousee i begyndelsen af forløbet ikke længere særlig begejstret for firmaets håndtering af sagen.

»Problemet er, at der ikke sker noget. Det er bare ikke i orden. Jeg er enig i, at det er meget få brugere, som er ramt, men jeg havde fejlen, fordi jeg har brugt remote management. Det skal bare gå ud over én kunde, før det er kritisk,« siger han.

Det password, han brugte på sin router, blev også brugt andre steder - så hvis hackere har kendt til sikkerhedshullet, kan de have brugt hans password, uden han ved noget om det. Det samme gælder alle de andre, som har åbne routere.

»Jeg mener, det er forkert af dem, at de ikke med det samme fortæller brugerne, at der har været en sikkerhedsbrist. Hvis et af dine passwords har været kompromitteret, og fejlen så bliver rettet i stilhed, så er dit password stadig kompromitteret. Det er forkert at prøve at tie det ihjel,« mener sikkerhedskonsulenten.

Yousee kunne være helt, men blev skurk

Hos Yousee har man vurderet, at det var bedst ikke at fortælle noget - altså indtil Version2 henvendte sig.

»Vi har hele tiden løbende vurderet, hvor stor risikoen er. Vi har ønsket at rulle den ny firmware ud uden at skabe stor usikkerhed hos kunderne. Det er ikke vores fornemmelse eller viden, at fejlen har været udbredt viden,« siger Ib Konrad Jensen.

Den taktik forstår Stefan Milo ikke.

»Fejlen er jo ikke Yousees skyld, men producentens skyld. Jeg kan godt se, at de ikke ønsker at tage sig dårligt ud i medierne. Men Yousee kunne have været helten her. Nu er de blevet til skurken ved at tie det ihjel og ikke gøre noget,« siger han.

Sikkerhedshullet har ramt tre forskellige routere fra Netgear hos Yousee. Den første, der bliver opdateret, er den mest udbredte, nemlig Netgear CG3000.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (41)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Andri Oskarsson

Det er måske bare mig som er paranoid. Men, jeg starter altid med (uanset hvem udbyderen er) at slå remote-management fra, upnp fra og lukke alle porte som er åben fra routerens side.

Hvor i remote-mangement opstår problemet? Det må være http, telnet eller snmp, vel?

Erik Bruus

Skal / skal ikke. Det er vel også et problem med offentliggørelse. Det rigtige er vel ikke at sige noget, og så løse problemet så hurtigt som muligt. Når først det er offenliggjort, så ved hackerne også der er denne mulighed. Dette har jeg fra en IT gut jeg kender. De havde en alvorlig software bug i et af deres programmer. Hvis dette var blevet kendt, så ville man kunne pille ved grundindstillingerne som ellers krævede administrator rettigheder. Derfor blev det holdt hemmeligt. Det var det sikreste. mvh, Erik.

Stefan Milo

I min verden ville den korrekte fremgangsmåde være denne:

  1. fix problemet med en midlertidig patch så snart fejlen blev opdaget
  2. oplys kunder om at deres password kan være kompromitteret og de derfor bør skifte det
  3. ret fejlen med firmware update

i yousees tilfælde valgte de at lade hullet stå åbent i flere måneder uden at gøre noget, og først når version2 ringer til dem vælger de at lukke for hullet.

hvis man vælger ikke at sige noget til kunderne, så fortsætter jeg med at bruge mit password på trods af at det har været frit tilgængeligt på internettet i månedsvis.

Klavs Klavsen

I det mindste har yousee ikke remote management slået til som standard så :)

Det har fullrate såvidt jeg kan se - min router havde det ihvertfald slået til (og det var det første jeg slog fra) - gad vide om deres netgear routere har lign. problemer. Hvem stoler på website kode i sådan en boks?

Jeg har plejer at have min egen server indenfor, jeg kan ssh'e til - og så manage derfra.

Og hvem bruger det samme kodeord til sin router, som man bruger til andre ting?

Men YouSee skulle helt klart have emailet de påvirkede kunder, da de lærte om hullet (nu de kan se hvilke kunder der har slået remote management til).

Søren Jensen

> Det er et alvorligt sikkerhedshul, som kan give en hacker fuld adgang til > din router, hvis du har åbnet for remote management, hvis en hacker har
> adgang til det kablede eller trådløse netværk i routeren.

Hvis en hacker har adgang til det trådløse net eller til det kablet net, har man så ikke større problemer end at han/hun kan se et password?

Jesper Kildebogaard

@Bjarke

Yousee begyndte arbejdet på en ny firmware, da de blev kontaktet af Stefan Milo i januar - men først nu har de ramte kunder fået besked, og firmwaren er ved at være klar. Hullet har altså været der, helt klar til udnyttelse, fra januar og til nu.

En pointe, jeg ikke fik med i artiklen, var i øvrigt, at Stefan Milo selv hurtigt lavede et script, der kunne dæmme op for problemet midlertidigt, hvilket Yousee altså også kunne valgt at have gjort.

vh.

Jesper, Version2

Thue Kristensen

At dømme ud fra YouSee's svar og Version2's beskrivelse synes jeg ikke at jeg ville kalde sikkerhedshullet "gigantisk". Det bør selvfølgelig lukkes, men så længe du skal have adgang til det interne network først, så er det ikke så alvorligt alligevel.

Hvis du har adgang til det lokale network, så kan du jo allerede lave et MitM angreb på al trafik via ARP spoofing. Så det eneste ekstra som sikkerhedshullet giver er persistence og en chance for at hugge admin-passwordet, som måske bliver brugt andre steder.

Stefan Milo

min router kunne frit tilgåes fra internettet. man kunne lave portforwards, se passwords osv. hvis det i din verden ikke er noget alvorligt, så mistænker jeg dig for at arbejde for yousee. :)

Søren Jensen

Det er da alvorligt, men hvis man læser artiklen så står der at der kræves adgang til det kablede eller trådløse net og det læser jeg som der kræves adgang til det lokale net før man kan udnytte hullet. Hvis det ikke er korrekt så skal artiklen da opdateres/korrigeres.

Jesper Kildebogaard

Beklager - min fejl under redigeringen. Der manglede et 'eller' i sætningen.

Man skal enten have åbnet for remote management - eller give en hacker adgang til netværket på routere, via et ukrypteret wifi eller via kabel.

vh.

Jesper, Version2

Bo Petersen

Remote-management, ukrypteret wifi eller på det lokale LAN.

Aller først - hvem f..... køre ukrypteret på sin wifi ???, det gør man da ikke. Og få adgang til det lokale LAN, på kobberet ??, har du også døren stående ulåst og på vid gab og et skilt "kom ind jeg er ikke hjemme - min hjerne er ihvertfald ikke" ?????.

Og så er vi tilbage til det det drejer sig om, det er altså ligegyldigt hvilken måde man kan få access til routeren på - WAN, LAN eller wifi.
Dette er så ikke et isoleret remote-management problem men et generelt problem at man kan omgå login.
Hvor er det "heldigt" at man, totalt, kan blokere administrativ adgang til routerens WAN side.

Har jeg misforstået noget eller burde alle YouSees kunder med en Netgear GC3000 havde haft besked om et sådan problem ?.

@Stefan Milo:
Kan du bekræfte at det er omgåelse af login der er problemet ?

Hvis nogen skulle mene at jeg nu har blæst det hele åbent så vil jeg lige minde om at forskellen på en sikkerheds konsulent og en kriminel hacker er at den første prøver at finde hullerne før den anden gør det. Kompetencerne er der kun ubetydelig forskel på og så det man bruger sin viden om hullerne til.

Og så en lille eftertanke - "hvem f..... køre ukrypteret på sin wifi ???", ja det gør nok alt for mange af dem man kan kalde "Dansk standard internet bruger" fordi mange ISPer i DK levere wifi produkter vis default opsætning er ukrypteret.

Men jeg må gi' Stefan ret - 4+ måneder er ikke acceptabelt.

Som YouSee kunde er jeg meget skuffet - det var jeg også sidst de updaterede firmware og endte med at sætte default settings på min GC3000 - remote-management=disabled, wifi unencrypted and open, default net addr.

Godt jeg køre med fast ip på min egen WS og på printeren og dhcp på resten af familiens maskiner - og ikke default C-net for en GC3000. Så jeg opdagede det ved at kun jeg kunne printe og kun jeg kunne ikke komme ud af huset.

Nej jeg er ikke imponeret over YouSees tekniske afd.

Ejnar Hultesøm

Hvis det omtalte sikkerhedshul er "mso"-brugeren, hvis loginoplysninger YouSees kundeservice gladeligt deler ud af, så har det eksisteret i langt mere end fire måneder. Jeg fik det første gang oplyst i 2011.
Når man kører i bridge mode, kan routeren stadig nås på 192.168.100.1 - så det er ikke en fuld sikkerhed.

Sebastian Løck

lukket providerfirmware - så har man vist også købt sig til afhængighed.
Er det egentlig en grov misligeholdelse fra YouSees side?

bridge mode er fint, men kræver en dims til en dims - til glæde for elselskabets omsætning.

En Netgear CG3000 har ifølge spec sheet en power consumption på primærsiden på 30W - det giver en elregning på ca. 560 kroner p.a. - uden at man har betalt til YouSee endnu og egentlig havde man jo betalt for internetadgang og ikke for en højere elregning.

De 560 kr til el bør ses i forhold til 600 kr. som man betaler for et fibernetabonnement med MINDSTEhastighed på 50/50 Mbit/s til hver bolig i sin ejendom.

og ja man kan slukke for en router i privaten, men kender du nogen der gør det?
og ja - jeg er ikke sikkert om de 30W fra CG3000 spec sheet er peak eller mean power consumption.

Jesper Lund

bridge mode er fint, men kræver en dims til en dims - til glæde for elselskabets omsætning.

Der er andet i livet end strømforbrug. Min Fullrate router, der ellers har det hele inklusive N wifi, er sat i bridge mode. Som NAT router bruger jeg en lille Alix box med Ubuntu 12.04. Den sluger omkring 5W i gennemsnit. Det trådløse internet i lejligheden leveres af et separat access point (Unifi med PoE, rigtigt lækkert hvis AP'et skal placeret højt). Det var vist omkring 4W da jeg målte med Spar'o'meter. Så må jeg spare en lille smule på at wifi er slukket i Fullrate routeren, men realistisk set koster mit behov for fleksibilitet og modularitet mellem 8 og 9 Watt. Det kan jeg godt leve med.

Einar Petersen

Er de da blevet skingrende sindsyge inde hos Yousee - Eller er dette udtryk for samme inkompetense jeg ved folk har oplevet da jeres tekniker begynder at ændre på WIFI frekvenser når der klages over at deres båndbredde hastigheder ikke holder en eneste meter...

Man ved efterhånden ikke hvad de har gang i derinde... men det her - Seriously???

Security by obscurity af værste skuffe - BVADR!!!

I har leget Digital Russisk Rulette med jeres kunder - I bør holdes fuldt ansvarlige for alle brud på sikkerhed ude hos jeres kunder, både for det der evt. er sket, samt fremadrettet, idet i har tilladt at de er blevet kompromitterede på deres hjemmenetværk trods bedre vidende, I kan have kostet Danmark milliarder i indtægter i forbindelse med opfindelser og handel ellers, faktiskt skulle I fratages jeres tilladelse til at agere ISP, måske på tide at fratage Yousee / TDC krampetaget på den danske internet infrastruktur således at mere kompetente virksomheder med reel forstand på sikkerhed samt kundeservice kan komme til og være med til at bære Danmark videre indi informationstidsalderen fremfor at være en bremse, en fisako og en skændsel for det Danske informationssamfund.

Og så kunne det i første omgang være at I skulle lade folk selv sætte en router af eget valg på jeres netværk og opsætte tingene selv og kun lade jer komme til såfremt de ikke selv ønsker at håndtere hardwaren samt vedligeholdelsen deraf.

Man kan ikke andet end at ryste på hovedet over denne fuldstændige tilsidesættelse af sine kunders behov for sikkerhed.

Thomas Toft

Kom nu ind i kampen Version2 og undersøg sagen før i skriver.

Fejlen er ikke kun fire måneder gammel og YouSee vidste det før for fire måneder siden. Jeg har blandt andre selv gjort dem opmærksom på det, senest åbent i YouSee's eget forum i februar:
http://forum.yousee.dk/showthread.php?3319-Default-login-kan-ikke-sl%E5e...)

Som i kan læse der fik det YouSee til at kontakte Netgear og de afventer nu en opdateret firmware fra dem som skulle "være lige på trapperne" (26. March 2013).

Den security advisory der er ude er fra 2010 og blev først lagt ud efter Netgear ikke valgt at svare på gentagende henvendelser. Altså er sikkerheds problemet fra 2010 eller før. Fejlen blev fundet af Alejandro Alvarez, ikke af Stefan Milo, som sikkert har læst den i et af de utallige steder den står på nettet - YouSee's forum måske?

"[Full-disclosure] Netgear CG3000/CG3100 bugs
From: Alejandro Alvarez (alex.a.bravogmail.com)

Date: Thu Oct 14 2010 - 06:12:34 CDT"

http://archives.neohapsis.com/archives/fulldisclosure/2010-10/0198.html

Mikkel Gottlieb

Thomas:
I artiklen står der: "Det fortæller Stefan Milo, der opdagede problemet ved en tilfældighed, da han sikkerhedstestede et netværk hos en kunde."

Så han har altså selv fundet problemet og ikke søgt på nettet efter det. Det lyder lidt som om du ville have haft "credit" for noget?
Ydermere så står der at Stefan gjorde yousee opmærksom på det for 4 måneder siden - ikke at sikkerhedshullet var 4 måneder gammelt. At det så er endnu ældre gør ikke sagen bedre for yousee. Jeg kan ikke forstå hvorfor du går sådan i defence mode? Du har selv gjort dem opmærksom på problemet, så det må det netop være i din interesse at de får fingeren ud og gør noget ved det - det havde selvfølgelig bare været bedre hvis de ikke havde skulle en tur i version2's webavis.

Anyway - det er min mening.

Thomas Toft

Hvorfor skulle jeg have credit for andres arbejde og hvorfor skulle han? Som jeg skrev så havde andre gjort opmærksom på det før. Men det da sjovt at det er fire måneder siden det var oppe i deres forum og fire måneder siden han "fandt" fejlen. Sjovt tilfælde.

Det ændre stadig ikke på at version2 ikke ved hvad de skrev om. En simpel søgning havde været nok.

Hans-Michael Varbæk

Der er flere "default" / fabriksindstillinger som sikkerhedsmæssigt er uforsvalige i deres udstyr. Et af dem som jeg lagde op på nettet Jan 2012 var følgende.

Produkt: NetGear Wireless Cable Voice Gateway CG3000
Problem: Default router PIN: 12345670
Hvorfor: Ikke muligt at ændre PIN eller slå WPS fra.

Dvs. en hacker, ja selv en script kiddie kan hurtigt få gratis Internet i Danmark og evt. andre lande bare ved at gå lidt rundt og prøve WPS med PIN 12345670 på forskellige netværk.

Er det blevet rettet? Med det her "sikkerhedshul" kan du jo få adgang til deres trådløse netværk (hvis det er slået til), og derfra kan du så prøve at hacke (password bruteforce med lette kodeord) dig ind i administrationspanelet. (management console)

Mikkel Gottlieb

Jeg synes ikke at jeg ser nogen steder hvor der kræves credit for fund af en sikkerhedsfejl, så jeg må stadigvæk bibeholde min mening om at det er lidt underligt at det er her, dit fokus ligger, og ikke så meget på at de rent faktisk gør noget nu. Jeg ved ikke om jeg finder det specielt morsomt at han har gjort dem opmærksom på det for 4 måneder siden, men jeg synes så heller ikke at det er væsentligt. Jeg har ingen grund til at mistænke Stefan for at have "stjålet" noget fra nogen. Prøv at vend det om: Eftersom at både du og andre har "opdaget" dette hul, er det så ikke plausibelt at andre også har?

Jeg ved ikke om de skulle have boret dybere i det fra version2's side. Så skulle det da lige være fordi man så kunne dokumentere at hullet er langt ældre end antaget. Men ud over det - er du så sikker på at det er de samme huller der er tale om? Jeg mener ikke at have set dette hul beskrevet i detaljer nogen steder.

Preben Pind

Som Hans-Michael Varbæk skriver er der problemer med WPS, desuden er der en superbruger konto på routeren, som kun yousee BURDE kunne tilgå.

WPS hullet virker ikke længere på min router. Jeg opdagede det også i januar, og fik min wpa2 key direkte serveret efter at have afprøvet default WPS pinnen. Nu er der sat en tilfældig pin i routeren (har sikkert været en opdatering).

Hans-Michael Varbæk

Som Hans-Michael Varbæk skriver er der problemer med WPS, desuden er der en superbruger konto på routeren, som kun yousee BURDE kunne tilgå.

Du har ret, det er en administrativ konto som ikke kan fjernes/ændres. Jeg har brugernavn og kodeord liggende et eller andet sted. :-) (Da jeg aldrig har skulle bruge det til noget har jeg ingen idé om hvor det er henne.)

WPS hullet virker ikke længere på min router. Jeg opdagede det også i januar, og fik min wpa2 key direkte serveret efter at have afprøvet default WPS pinnen. Nu er der sat en tilfældig pin i routeren (har sikkert været en opdatering).

Det er da altid noget at det sikkerhedshul er fikset.

Palle Hansen

Hvad synes Version2's læsere om denne her: Yousee tilbyder at man kan få nulstillet sit kodeord, hvis man kender sit brugernavn (og ikke andet). Man kan få tilsendt det nye kodeord pr. email, telefon eller brev.

Jeg har ikke tilknyttet et telefonnr. Min email er yousees postkasse.

Kan I se et problem? Jeg har flere gange oplevet, at mit kodeord ikke længere har været gyldigt... Så er der jo ikke andet at gøre, end at bestille et nyt - pr. brev - som så kommer xx antal dage efter.

Skriver man til deres support om det, så får man bare et ligegyldigt svar retur.

Daniel Rasmussen

Jeg må sige dette overrasker mig overhovedet ikke.
Jeg fandt selv et hul som gav alle med trådløs fuldt adgang til dit netværk
Hvis yousee laver en eller anden fejl og vælger og update eller lukke for dit net så sender de altid en docsDevResetNow som resetter ens modem og deres default setting er modemnavn uden kryptering på og har brugt sammenlagt 3 timer på at snakke med dem hvor alt de ville sige det var at hvis man ikke hade mulighed for at komme på modem via kabel så var det trådløse altid åben så man selv kunne komme ind

hade man tidliger valgt og deaktiver det trådløse så ville det være åbnet igen

denne docsDevResetNow command bliver normalt sendt mellem 00 og 05 hvor folk normalt sover og betyder at ens netværk kan være åbnet i flere timer for alle

Poul Marker Jakobsen

Det lyder ikke godt ,men som bruger af yousee bør man ikke blive overrasket over noget , så som åben netværk bagdøre osv , men bliv overrasket den dag you see køre uden nedbrud i 30 dage ,
og så er jeg jo af den årgang det er opvokset med el skrivemaskine hehe og ved at alt elektronik kan omgås .... blot et spørgsmål om tid man har til at knække nøden . Men klart det største problem er at vi mennesker stoler for meget på de ting vi får leveret af Div, udbyder og regner med at det kun er naboen der bliver ramt , måske vi i fællesskab (sorry) vi skal prøve at danne et fællesskab der kan nedlægge yousee/TDC en gang for alle . Men prøv og se hvor svært det bare når vi skal stemme til et valg
Vi er alle utilfredse men agter ikke at gøre noget ved det . blot skrive om det .Derfor har yousee/TDC frit spil , prøv en dongel , Den koster mere men bruger kun strøm når du er på og slukker sammen med din pc samt hindre folk i at bruge din konto -------- Dette indlæg indeholder humor uvidenhed og nogle få sandheder ,sorry folk men mange har ret ,hvorfor bruger vi så stadig yousee/t d c

Log ind eller Opret konto for at kommentere