v článku je tvrzení:
"Případ v ČR je alarmující také proto, že na routeru uživatele bylo nastavené netriviální heslo a není tak zatím zřejmé, jakým způsobem byl útok proveden," informuje bezpečnostní tým s tím, že má dotyčný router přislíben k bližšímu prozkoumání:
Pokud je toto tvrzení nějakého "odborníka", tak by především měl jít dělat něco jiného.
Neboť tyhle TP linky (a spousta dalších routerů obsahujících ZyNos) jsou nabouratelné naprosto snadno - nic tajného - ví to celý net (zřejmě kromě těch "odborníků" z toho týmu).
Návod na "hacknutí" (lépe řečeno využití této naprosto neuvěřitelné díry) přesně u tohoto typu
http://piotrbania.com/all/articles/tplink_patch/
link na decoder Rom-0
http://piotrbania.com/all/utils/RomDecoder.c
a tady je původní zjištění díry
http://rootatnasro.wordpress.com/2014/01/11/how-i-saved-your-a-from-the-zynos-rom-0-attack-full-disclosure/
doporučuji se soustředit na datum - tzn. jak dlouho se to ví - mj. v řadě států jsou známé už incidenty, kdy došlo k nabourání stovek tisíc ks routerů najednou (poslední případ je tuším anglie - 300 000 ks).
možná to není jasný akorát tobě.
Mj. návody (popis co to je za šílenou díru) jsou už po celým netu
http://rootatnasro.wordpress.com/tag/rom-0-hack/
http://securityaffairs.co/wordpress/21293/hacking/tp-link-routers-vulnerable.html
http://chrisreeves.co.nz/2014/03/20/zynos-rom-0-exploit/
a desítky dalších
Byla to docela sranda, blokovalo to facebook, google hledání v adresní řádce safari a objevovala se hláška o aktualizaci flashplayeru (doma mám 2x ubuntu a 1 macosx tak mě to až tak netrápilo). To že je něco špatně jsem si všiml až v momentě, kdy se mi ukazoval ping na seznam a google stejné IP adresy. Zakázal jsem co se dalo a pak změnil DNS na servery googlu a od té doby pohoda.
pohoda to bude pouze do doby, než to naboří znova - což je vzhledem k tomu, jak to nabourávají (vyčtou zvenku celý nastavení, včetně všech hesel ) absolutní jistota.
Jediné řešení co má smysl je buď použít alternativní firmware, nebo aktualizaci kde díra není (to je dost problém) a nebo bastlík s pečlivě implementovanou dírou od dodavatele prostě vyhodit.
- alternativní firmware na ADSL routery většinou neexistuje. Nejednalo se jen o ethernetové routery
- opravený firmware na tyhle routery protože se již nevyrábí neexistuje
- není známo že by došlo k průniku zvenší pokud je zpráva z venčí vypnutá ( nepřečtete nic)
- není známo, že pokud došlo k průniku, byl změněn ROM, pouze konfigurace. Tedy vrátí vše tak jak bylo resetem do výchozího nastavení.
Třeba fungujou tak, že se firmware nebo konfigurace automaticky nahrává po restartu z USB Flash (HDD), kam se to nahrálo předem přes FTP. A na to je přeci přístup vinou chyby ve firmware u těhlech plasťáků D-Link, i když je router zaheslován. Před časem se o tom hodně psalo, že krabička D-link má nějakou chybu, že se data zviditelňují i pro ostatní. Stačilo jen přistoupit přes FTP na router a připojený externí USB disk byl volně dostupný i vám. Na internetu jsou i seznamy IP adres takhle postihnutých.
Souhlas, zrovna dnes jsem také řešil. IMHO napadnuté přes rom-0, nutná povolena konfigurace z wan. Ani reset nepomohl, heslo zůstalo stejné, i na wifi, pouze se změnilo wifi jméno, neprovedl se komplet reset do továrního nastavení, takže asi i změněn firmware, bohužel jsem nezazálohoval abych porovnal. Takže nezbylo než zkompilovat exploit a hacknou to hackerum (přečíst heslo z rom-0 je bohužel fakt sranda), zakázat přístup zvenku, dát nejnovější firmware a nastavit znova vše...a snad klid, když je na TP-Linku zapnuté ve firewall SPI, nelze zvenku konfigurovat ani stáhnout rom-0, nicméně přes PC uvnitř lze útok samozřejmě opakovat, stačí uživatel který povolí přístup.
Chyba s přečtením hesla admina se týkala TPlinků( Zixel) a často bez USB portu. Zmiňovaný TP-LINK TD-W8901G je stará pixla bez USB dokonce nemá ani Nkovou wifi. Takže ho pro domácí použití považují za hranicí morální životnosti.
Nabourání nebylo formou podvrhnutí cracklé ROM, ale přečtením hesla ze zálohy ROM a pak jeho použitím pro regulérní přihlášení. Tedy zranitelnost byla né v tom že se to routeru dostanete bez hesla , ale v tom že to heslo si jistíte.
Pokud nedošlo k napadené přímo z venku (jedno jestli http, nebo FTP) protože router nepodporoval konfiguraci z WAN, možný scénář je že „prostředníkem“ byl počítač. Který zálohu ROM provedl z LAN, odeslal zálohu někam k dekompresi na přečtení hesla a zpětně provedl změnu konfigurace.
Upřímně to pak ale není zranitelnost routeru, ale zranitelnost PC a obecná. Keyloger a nějaký WEB robot naprogramovaný za změnu hesel ve všech formulářích které prohlížeč nahraje by fungoval stejně nebo ještě drastičtěji.
Tak přesně toto se mi dělo posledních 14 dní. Mám naprosto shodný modem, jako je uveden v článku (TP-Link) a asi před 14 dny mi najednou nešel na PC internet. Ani jsem se nemohl připojit k modemu. Jedinné co fungovalo bylo připojení přes wifi na notebooku.
Tam jsem se nalogoval do modemu a zjistil, že jsou úplně jiné DNS servery někam do tramtárie a navíc v DHCP odpojeny fyzické porty modemu. Když jsem to napravil, za pár dní to bylo zpět.
Vždy jsem do modemu složité heslo, které jsem navíc poté i změnil, beze změny, stalo se to opět.
Navíc vždy na tom notebooku, co jsem byl schopný se jedině pak napojit do internetu a modemu, Kaspersky hlásil riziko stažení virů (přesně jak píší, při zobrazení stránek Googlu se to snažilo protlačit do PC nějaký virus).
Zatím jsem to vyresetoval do továrního nastavení a je klid, ale nevím na jak dlouho...
Co s tím, mám to též někam nahlásit nebo rovnou kopuit nový modem?
Zpráva vyšla: http://blog.nic.cz/2014/05/21/kriticka-zranitelnost-mnoha-domacich-routeru/
V podstatě doporučují to, co já o příspěvek výše, tedy zapnout ACL.
... zrovna jsem řešil minulý týden, ADSL Router/Modem TP-LINK, nastaveno DNS někde do emériky a všechny adresy překládal na sebe sama ... těžko říct, co vše tímto získali, ale je to asi řádný průšvih ... já měl za to, že to byla nějaká chybka u providera ... tuto je gól tedy :(
Mimochodem heslo nebylo triviální, mělo 14znaků ...velká, malá, čísla