Kirjoittaja Aihe: TP-LINK ja adfoc.us  (Luettu 7278 kertaa)

salai

  • Käyttäjä
  • Viestejä: 2126
    • Profiili
TP-LINK ja adfoc.us
« : 07.12.14 - klo:11.14 »
Viikko sitten siskon koneeseen (W7) oli ruvennut aukeamaan linkkejä johonkin adfoc.us (ja adfly) -osoitteiseen.
Menin katsomaan tilannetta  ja löysin netistä yhden tuoreen viestiketjun aiheesta: Adfly/adfoc | AfterDawnin keskustelualueet.

Latasin sitten tavanomaiseen tapaan Malwarebytesin ja ajoin pikatestin, joka ei löytänyt mitään. Selaimissa ei näyttänyt olevan mitään asiaan liittyvää. Käynnistin sitten täyden testin vikasietotilassa ja ajattelin samalla lukea nettiuutisia älykännykällä (Sony Xperia Z2) wlanin kautta. Hupsista, Ampparit-appletista aukenikin adfoc.us linkkaamani sivun asemasta.

Eli modeemi TP-LINK TD-W8101G olikin kaapattu, tai ainakin DNS-palvelin vaihdettu. En päässyt modeemin hallintasivulle oletussanasanalla enkä muistiin kirjoittamallani. Resetoin modeemin ja hain siihen uudemman firmwaren (joka sekin 4 vuoden takaa). Vaihdoin kaikki löytämäni asetukset pois oletuksista. W7-kone ja älykännykkä toimivat taas normaalisti (kun olin poistanut väliaikaistiedostot).

Windowsissa oli ilmainen Avast-virustorjunta, jossa on uudehko osio: Tarkista kotiverkon uhkat. Se ilmeisesti hakee firmwaren perusteella tietoa jostain listasta. Tuloksena oli samanlainen viesti kuin tuolla: Avast blog » How to upgrade your router with the latest firmware or replace it completely. Millään neuvotuilla asetuksilla en saanut sitä hyväksymään modeemia turvalliseksi, joten ainoa keino oli vaihtaa modeemi toiseen (Saunalahden liittymän mukana tulleeseen), jolle Avast näytti vihreää valoa.

Sain jollain haulla melko tuoreen listan noista haavoittuvista laitteista (TP-LINK mukana), valitettavasti en ottanut osoitetta ylös.
« Viimeksi muokattu: 08.12.14 - klo:14.15 kirjoittanut salai »

Tomin

  • Palvelimen ylläpitäjä
  • Käyttäjä / moderaattori+
  • Viestejä: 11449
    • Profiili
    • Tomin kotisivut
Vs: TP-LINK ja adfoc.us
« Vastaus #1 : 07.12.14 - klo:11.20 »
Tuollahan lähinnä neuvotaan ottamaan pois käytöstä tuo ulkoverkosta tapahtuva asetusten muuttaminen, jonka itse ainakin teen aina. Sen jälkeen se ei joko vastaa ollenkaan portissa 80 tai ohjaa sen jollekin tietokoneelle, jossa on www-palvelin, jota nyt sitten käytetään johonkin. Tosiaankaan en tarkoita että ihan huvikseen noita palvelimia pystyttelisin ;D vaan sitä, että jos sellaiselle on käyttöä niin että pitää päästä ulkoverkosta, silloin ohjataan sinne. Kokeilit varmaan tuota sille TeleWellille? Toki kyse voi olla jostain erityisemmästäkin tapauksesta tuolla laitteella, mutta tämä näin yleisesti.
Automaattinen allekirjoitus:
Lisäisitkö [RATKAISTU] ketjun ensimmäisen viestin aiheeseen ongelman ratkettua, kiitos.

salai

  • Käyttäjä
  • Viestejä: 2126
    • Profiili
Vs: TP-LINK ja adfoc.us
« Vastaus #2 : 07.12.14 - klo:12.05 »
Tuollahan lähinnä neuvotaan ottamaan pois käytöstä tuo ulkoverkosta tapahtuva asetusten muuttaminen, jonka itse ainakin teen aina. Sen jälkeen se ei joko vastaa ollenkaan portissa 80 tai ohjaa sen jollekin tietokoneelle, jossa on www-palvelin, jota nyt sitten käytetään johonkin. Tosiaankaan en tarkoita että ihan huvikseen noita palvelimia pystyttelisin ;D vaan sitä, että jos sellaiselle on käyttöä niin että pitää päästä ulkoverkosta, silloin ohjataan sinne. Kokeilit varmaan tuota sille TeleWellille? Toki kyse voi olla jostain erityisemmästäkin tapauksesta tuolla laitteella, mutta tämä näin yleisesti.
Missä minä puhuin TeleWellistä? Minä kyllä osaan yleensä lukea niitä ohjeita, mutta mistään en löytänyt tuosta TP-LINK TD-W8101G:stä paikkaa muuttaa asetuksia niiden mukaiseksi. Kotona ei ole ADSL:ää fyysisessä hallinnassa (puhelinliittymä + modeemi naapurin firmassa), joten en voi testata sitä ajan kanssa.
Lainaus
Toki kyse voi olla jostain erityisemmästäkin tapauksesta tuolla laitteella, mutta tämä näin yleisesti.
Oisko noissa laitteissa nyt kuitenkin yleisemminkin paikkaamattomia firmwareja (Avast blog »).
Lainaus
Last February, Craig Young, a researcher at security firm Tripwire, published research showing that 80% of the 25 best-selling small office/home office (SOHO) wireless router models on Amazon had vulnerabilities. Because some routers, in fact, a lot of them, have so many non-patched vulnerabilities, the easiest way to secure your home network is to replace the router completely with a secure model.
Taitaa suuri osa noista halvoista modeemeista jäädä lopullisesti paikkaamatta. Tuollekin oli viimeisin firmware julkaistu 1.11.2010: TD-W8101G - Welcome to TP-LINK.

PS. Telewellistä tulikin mieleen: Pari vuotta sitten Sonera toimitti eräälle eläkeläiselle taloyhtiön ilmaisen ADSL:n kylkiäisenä Telewellin modeemin, jossa oli oletuksena wlan päällä salaamattomana. Siellä näkyi olevan 5 eri laitetta yhdistettynä hänen liittymänsä kautta nettiin. Eräs toinen pariskunta oli puolestaan maksanut kaapelimodeemista 1½ vuotta. Ongelmia tuli kun naapuri ilmeisesti muutti pois, eikä hänen avoin verkkonsa ollut enää automaattisesti käytössä. Siitä maksetusta kaapelimodeemista ei oltu ikinä laitettu wlania päälle.

EDIT: korjattu reitittimen tyyppi B-->8
« Viimeksi muokattu: 07.12.14 - klo:14.10 kirjoittanut salai »

nm

  • Käyttäjä
  • Viestejä: 16293
    • Profiili
Vs: TP-LINK ja adfoc.us
« Vastaus #3 : 07.12.14 - klo:12.47 »
Taitaa suuri osa noista halvoista modeemeista jäädä lopullisesti paikkaamatta.

Käytännössä kaikki kaupalliset kotikäyttöön suunnatut NAT-boksit/reitittimet jäävät muutaman vuoden ikäisinä vaille tietoturvapäivityksiä. Lisäksi joissain laitteissa on takaovia, jotka mahdollistavat vapaan pääsyn asetuksiin tai sisäverkkoon, vaikka laitteen asetuksista olisi suljettu kaikki portit.

Vaihtoehtona uuden laitteen hankinnalle on vaihtaa firmwareksi jokin avoin toteutus, kuten OpenWRT. Se ei toki toimi kaikissa malleissa, mutta asia kannattaa huomioida seuraavalla kerralla reititinostoksia suunnitellessa.


Tomin

  • Palvelimen ylläpitäjä
  • Käyttäjä / moderaattori+
  • Viestejä: 11449
    • Profiili
    • Tomin kotisivut
Vs: TP-LINK ja adfoc.us
« Vastaus #4 : 07.12.14 - klo:14.00 »
Tuollahan lähinnä neuvotaan ottamaan pois käytöstä tuo ulkoverkosta tapahtuva asetusten muuttaminen, jonka itse ainakin teen aina. Sen jälkeen se ei joko vastaa ollenkaan portissa 80 tai ohjaa sen jollekin tietokoneelle, jossa on www-palvelin, jota nyt sitten käytetään johonkin. Tosiaankaan en tarkoita että ihan huvikseen noita palvelimia pystyttelisin ;D vaan sitä, että jos sellaiselle on käyttöä niin että pitää päästä ulkoverkosta, silloin ohjataan sinne. Kokeilit varmaan tuota sille TeleWellille? Toki kyse voi olla jostain erityisemmästäkin tapauksesta tuolla laitteella, mutta tämä näin yleisesti.
Missä minä puhuin TeleWellistä? Minä kyllä osaan yleensä lukea niitä ohjeita, mutta mistään en löytänyt tuosta TP-LINK TD-WB101G:stä paikkaa muuttaa asetuksia niiden mukaiseksi. Kotona ei ole ADSL:ää fyysisessä hallinnassa (puhelinliittymä + modeemi naapurin firmassa), joten en voi testata sitä ajan kanssa.

Aivan, anteeksi. Etpä missään, jotenkin tuo TP vääntyi päässäni TW:ksi ja TeleWelliksi. Täällä on ollut molempien valmistajien (TeleWell ja TP-LINK) laitteita ja pitäisihän minun tuo muistaa.

Tulipa mieleeni, että tänä syksynä sain Elisalta viestiä että meidän liittymäämme oli käytetty palvelunestohyökkäykseen ja kyseessä oli jokin UPnP:tä käyttävä systeemi. Otin pois UPnP:n reitittimestä (D-Link) ja se oli sillä hyvä. Eli kyllähän noita löytyy monestakin vehkeestä.
Automaattinen allekirjoitus:
Lisäisitkö [RATKAISTU] ketjun ensimmäisen viestin aiheeseen ongelman ratkettua, kiitos.

salai

  • Käyttäjä
  • Viestejä: 2126
    • Profiili
Vs: TP-LINK ja adfoc.us
« Vastaus #5 : 07.12.14 - klo:14.57 »
Tuo kyllä näyttää todella pahalta ja koskee monia ZynOS-käyttöjärjestelmällä varustettuja modeemeita.

Eli modeemista voidaan ladata paikallisesti tai verkosta käsin ilman salasanaa rom-0 -tiedosto, josta näkee yksinkertaisen ohjelman (löytyy myös verkkosivu) avulla laitteeseen asetetun salasanan.

Esim. tässä kyseisessä laitteessa hain sen komennolla:
Koodia: [Valitse]
wget http://192.168.1.1/rom-0Lähetin sitten tuon tiedoston eräälle nettisivulle, joka kertoi (resetoidun modeemin) hallintasalasanaksi admin.
Ilmeisesti modeemin graafinen hallintasivu ei lataudu ilman olemassa olevaa nettiyhteyttä?
Tuolla sivustolla: EgyptianVulture: How to fix ZynOS vulnerability & prevent rom-0 access
neuvotaan, miten tuon aukon voisi ilmeisesti korjata manuaalisesti. Sain telnetillä yhteyden modeemin ja pääsin kirjautumaan oletussalasanalla.

Olisiko tuossa syy, etten löytänyt oikeita asetuksia modeemista:
Lainaus
rom-0 vulnerability was discovered by MrNasro. he suggested a solution but I think it is not applicable for the most devices as they don't provide a web interface to change this settings. another person (Piotr Bania) came with a different way to solve it. however it is almost impossible to apply as it requires (smart people only :) from you to open the router's case & to start reverse engineering the router's memory.
Täytyy mennä huomenna kokeilemaan siskolle, josko tuo auttaisi.

EDIT: Myös Zyxel 660H-61 -modeemista sisäverkon puolelta haettu rom-0-tiedosto paljasti heti muutetun salasanan. Tuo on kyllä kätevää: jos ei tiedä/muista sitä, ei tarvitse turhaan resetoida.  :-[
« Viimeksi muokattu: 07.12.14 - klo:15.22 kirjoittanut salai »

jekku

  • Käyttäjä
  • Viestejä: 2624
    • Profiili
Vs: TP-LINK ja adfoc.us
« Vastaus #6 : 07.12.14 - klo:20.24 »
Tuo kyllä näyttää todella pahalta ja koskee monia ZynOS-käyttöjärjestelmällä varustettuja modeemeita.

Eli modeemista voidaan ladata paikallisesti tai verkosta käsin ilman salasanaa rom-0 -tiedosto, josta näkee yksinkertaisen ohjelman (löytyy myös verkkosivu) avulla laitteeseen asetetun salasanan.

Esim. tässä kyseisessä laitteessa hain sen komennolla:
Koodia: [Valitse]
wget http://192.168.1.1/rom-0---
EDIT: Myös Zyxel 660H-61 -modeemista sisäverkon puolelta haettu rom-0-tiedosto paljasti heti muutetun salasanan. Tuo on kyllä kätevää: jos ei tiedä/muista sitä, ei tarvitse turhaan resetoida.  :-[

Yksi purkki antoi html -sivun jonka mukaan (mm.)

You will now be redirected to the login page.<br />^M
If the login page does not appear, click <a href="/">this link</a>.^M

ja toinen totesi tylysti:

HTTP-pyyntö lähetetty, odotetaan vastausta... 401 Unauthorized
Todentaminen epäonnistui.

Joten on edelleen pidettävä visusti tallessa ne salasanat ;(

raimo

  • Käyttäjä
  • Viestejä: 4206
  • openSUSE Tumbleweed
    • Profiili
Vs: TP-LINK ja adfoc.us
« Vastaus #7 : 07.12.14 - klo:20.49 »
EDIT: Myös Zyxel 660H-61 -modeemista sisäverkon puolelta haettu rom-0-tiedosto paljasti heti muutetun salasanan. Tuo on kyllä kätevää: jos ei tiedä/muista sitä, ei tarvitse turhaan resetoida.  :-[

Vaan eipä tule salasanaa minun Zyxel P-660HN-61-T1A v2:ssa, tulee nettisivu jossa on Javascript-ohjaus osoitteeseen /cgi-bin/login.html
Eli ihan OK. Tämä on uudenkarhea Soneran vekotin, johon en ole vielä edes asentanut päivitystä.
Tietä käyden tien on vanki. Vapaa on vain umpihanki.
Aaro Hellaakoski

Tomin

  • Palvelimen ylläpitäjä
  • Käyttäjä / moderaattori+
  • Viestejä: 11449
    • Profiili
    • Tomin kotisivut
Vs: TP-LINK ja adfoc.us
« Vastaus #8 : 08.12.14 - klo:10.40 »
Nää on joskus hienoja: http://hackaday.com/2014/12/07/bad-code-results-in-useless-passwords/
Tossa on siis Arris VAP2500 tukiasema ja siitä löytyi ihan jänniä "oivalluksia" kuten se että istunnon eväste on käyttäjänimi md5 tiivisteenä. Erinomaisen hyvä idea. Tosin positiivista on, että nuo aukot korjattiin laiteohjelmiston päivityksessä kun niistä ilmoitettiin valmistajalle.
Automaattinen allekirjoitus:
Lisäisitkö [RATKAISTU] ketjun ensimmäisen viestin aiheeseen ongelman ratkettua, kiitos.

salai

  • Käyttäjä
  • Viestejä: 2126
    • Profiili
Vs: TP-LINK ja adfoc.us
« Vastaus #9 : 19.12.14 - klo:12.27 »
Yhä pahemmalta näyttää vanhojen (ja joittenkin uusienkin) reitittimien tilanne:
12 miljoonaa reititintä haavoittuvina – kaikki laitteet voi kaapata - Tivi
Lainaus
Hyökkäykseen riittää yhden ainoan haavoittuvuutta hyödyntävän http-evästeen lähettäminen. Se sotkee reitittimen muistin ja antaa rikollisella ylläpitäjän oikeudet.

”Haavoittuvuuden sisältävä koodi on kirjoitettu jo vuonna 2002 ja aukko paikattiin jo 2005. Silti haavoittuva koodi on mukana reitittimien firmware-ohjelmistoissa, joita äsken latasimme. Alalla on jotakin pielessä”, moittii Check Pointin tietoturvatutkija Shahar Tal.
Lista laitteista, joissa epäillään aukon olevan: http://mis.fortunecook.ie/misfortune-cookie-suspected-vulnerable.pdf

salai

  • Käyttäjä
  • Viestejä: 2126
    • Profiili
Vs: TP-LINK ja adfoc.us
« Vastaus #10 : 11.02.17 - klo:04.10 »
Päivitys: muistaessa tähän vanhaan aiheeseen:
Kokeilin syksyllä uudelleen tuota Telnet-ohjetta sivustolta:
http://egyptianvulture.blogspot.fi/2014/06/how-to-fix-zynos-vulnerability-prevent.html
ja totesinkin sen toimivaksi, ainakin mainitsemassani  TP-LINK TD-W8101G -modeemissa.