Podatność w ruterach od UPC (Technicolor C7200)

[ichito]

Za "Niebezpiecznikiem"

Odkryto podatność CSRF w rotuterach Technicolor C7200 , które — jak pisze nasz czytelnik “Tomecek” — są “masowo montowane przez UPC w Polsce i na świecie”. Podatność pozwala atakującemu na rekonfigurację ustawień routera (np. zmianę reguł firewalla, udostępnienie panelu zarządzania od strony internetu, albo reset do ustawień fabrycznych), a także uzyskanie do niego nieautoryzowanego dostępu. O tym, co może zrobić atakujący dysponujący nieautoryzowanym dostępem do routera Wi-Fi pisaliśmy niedawno w tekście pt. “Stracił 16 000 PLN bo miał dziurawy router“.

[Aby zobaczyć linki, zarejestruj się tutaj]

Technicolor TC7200 router

Warunkiem wykonania udanego ataku, oprócz posiadania przez ofiarę routera Technicolor TC7200 w wersji STD6.01.12 jest jeszcze zwabienie jej na odpowiednio spreparowaną przez atakującego stronę WWW (i to w momencie, kiedy ofiara posiada aktywną sesję administracyjnej na routerze). Ponieważ na CSRF podatne mogą być także inne routery, warto zapamiętać, aby przeprowadzać rekonfigurację routera tylko za pomocą osobnej przeglądarki (lub trybu incognito/prywatnego) — tak na wszelki wypadek.

Powierzchnia ataku CSRF na router wydaje się być mała, ale warto zauważyć, że atakujący może nakłonić ofiarę do ustanowienia sesji z routerem poprzez wysłanie spoof maila rzekomo od UPC, proszącego np. o zalogowanie się na modem/router w celu sprawdzenia czy taka a taka opcja jest na nim ustawiona.

Niestety odkrywca błędu nie informuje o tym, czy wypuszczono już jakąś poprawkę usuwającą odnalezione przez niego błędy — na screencaście demonstrującym obrazującym atak widać, że dziurawa jest wersja firmware’u STD6.01.12 , na stronie producenta nie udało nam się jednak odnaleźć żadnych informacji dot. aktualnego firmware’u. Użytkownicy tego modemu informują, że aktualizacje są tworzone przez roducenta dla poszczególnych operatorów i aplikowane przez nich “wewnętrznie”.

Nasi czytelnicy, będący jednocześnie klientami UPC Polska informują, że obecnie wykorzystywane są co najmniej 2 wersje oprogramowania w routerach Technicolora. Niektórzy z nich mają firmware w wersji STD6.01.27 (a więc nowszej niż testowana przez znalazcę błędu). Wersja ta jest niepodatą na atak CSRF z racji wbudowanego tokenu anty-CSRF-owego (co sugerują przesłane przez naszych czytelników pliki HTML panelu zarządzania). Ale niestety są też tacy klienci UPC Polska, którzy wciąż posiadają wersję STD6.01.12, czyli tę, która jest dziurawa….

Mam Technicolor TC 7200 od UPC, czy jestem podatny na ten atak?
Sprawdź, którą wersję firmware’u ma twój modem. Jeśli twoja wersja to STD6.01.12 — jesteś podatny na atak. Ale nie wpadaj w panikę!

Mam stary, dziurawy firmware, jak go zaktualizować?
Jak informuje nas anonimowy pracownik UPC Polska, na modemach Technicolor TC7200, dla wszystkich klientów jest od 1.02 udostępniona jest wersja STD6.01.27 , w której zostały wyeliminowane błędy (a przynajmniej ich część, którą udało nam się wyłapać). Osoby, które mają starszą wersje softu muszą tylko zrestartować modem, po uruchomieniu automatycznie rozpocznie się aktualizacja do najnowszej dostępnej wersji softu.

Jak widać, nie tylko właściciele TP-Linków i Pentagramów są narażeni na ataki.

PS. W Technicolor 7200 znajdują się też podatności XSS.

[Aby zobaczyć linki, zarejestruj się tutaj]

Artykuł celowo zacytowałem w całości, ponieważ UPC to powszechny dostawca internetu, dający przy tym całkiem przyzwoitą ofertę (sam korzystam z ich usług od kilku lat)...informacja przyda się wszystkim zainteresowanym.

[tommyklab]

Fajnie, tylko, szkoda, że udostępnia usługi tylko w większych miastach.
W routerze 2 zasady na samym początku: zmienić domyślne hasło i wyłączyć dostęp do panelu od strony WAN

Po artykule na niebezpieczniku dochodzi jeszcze: nie zostawiać w przeglądarce otwartej karty/panelu admina jeśli nie ma takiej potrzeby.

A tak, to przy okazji przetestujcie swoje WAN''y:

[Aby zobaczyć linki, zarejestruj się tutaj]

i zakładka Services/ShieldsUP! i potem kliknąć Common Ports

[Aby zobaczyć linki, zarejestruj się tutaj]

Aktualnie tak ISP tpsa biznes (+router+block ping):

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Przedtem tak ISP tpsa biznes (bezpośrednie połączenie, być może coś filtrują nie wiem :

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[ichito]

Kolejne doniesienia nie napawają optymizmem...zaczyna się robić gorzej, niż nieciekawie

Kolejne dziury w routerach od UPC (Technicolor TC7200 i Thomson TWG870) — wyciek hasła administratora

Kilkanaście dni temu opisaliśmy na Niebezpieczniku podatność CSRF w popularnych w Polsce routerach, które dystrybuuje swoim klientom UPC. Atak pozwalał na rekonfigurację routera przez atakującego, pod warunkiem, że ofiara — właściciel routera wszedł na odpowiednio skonstruowaną stronę. Dziś upubliczniono kolejny atak na router Technicolor TC7200 oraz Thomson TWG870 .

Routery rozdawane przez UPC podatne na atak
Otóż okazuje się, że w popularnych w Polsce routerach Technicolor TC7200 oraz Thomson TWG870 można bez uwierzytelnienia pobrać backup konfiguracji, który zawiera login i hasło administratora. Plik z backupem ściągnąć może dowolna osoba podpięta do sieci LAN, a następnie przy pomocy polecenia hexedit lub strings odszukać w nim nieszyfrowane hasło administratora (i inne ustawienia) — chociaż jak informują czytelnicy, na niektórych Thomsonach w backupie brak hasła (może to wynikać z różnej wersji firmware’u lub konkretnej konfiguracji routera).
Dzięki tej dziurze, obecnej nawet w najnowszym firmware STD6.01.27, każda osoba, którą wpuścimy do naszej sieci może poznać hasło do naszego routera i następnie zmienić jego konfigurację. To, czym grozi zmiana konfiguracji routera przedstawiliśmy w tekście pt. stracił 16000 PLN przez dziurawy router“)

Efekytwnie, powyższa dziura oznacza tyle, że de facto router Technicolor TC7200 lub Thomson TW870 należy uznać za taki, który w ogóle nie ma hasła do panelu administratora i każdy może go swobodnie przekonfigurować z sieci LAN.

Kolejna podatność: DoS
Dodatkowo, Technicolor 7200 jest podatny na atak Denial of Service na HTTP (slowloris)

Mam ten router od UPC — co robić, jak żyć?
Ponieważ nie ma jeszcze żadnej łatki ani znanego obejścia tego problemu — po prostu uważacie na to, kogo wpuszczacie do swojej sieci… albo zmieńcie, o ile to możliwe, router na inny jeśli jesteście “skazani” na niezaufanych użytkowników. Można również rozważyć podpięcie do routera kolejnego routera (Yo DAWG! po “kablu” i Wi-Fi rozgłaszać przez ten drugi, dodatkowy router, konfigurując go tak, aby użytkownicy z sieci Wi-Fi nie mieli dostępu do routera z UPC.

PS. Sprawdźcie, czy możecie pobrać backup na swoich Technicolorach/Thomsonach i czy w pliku z backupem jest hasło administratora. Jeśli tak/nie — dajcie znać jaka to wersja firmware’u i jaki model routera w komentarzach.

Aktualizacja 22:40
Jeden z czytelników potwierdza, że błąd wystaępuje także w routerze Thompson TWG870UG:

[Aby zobaczyć linki, zarejestruj się tutaj]

[Eugeniusz]

Hihi, mam ten ruter ^^

[ichito]

To nie koniec bajki z ruterami od UPC...niestety

[Aby zobaczyć linki, zarejestruj się tutaj]

[zbc]

Ciągle podatności w ruterach

[wojek]

Od kilku dni też mam ten router.Warto pogrzebać w ustawieniach,
bo np. poziom firewalla jest domyślnie ustawiony na niski i parę opcji
(np. wykrywanie skanowania portów, wykrywanie ataków typu flood)
jest wyłączonych.Można wyłączyć WiFi jak jest niepotrzebne,
ew. VPN, UPnP, Multicast, itd.

Testy ShieldsUp zdane na maxa, podobnie jak przy moim poprzednim
routerze (Linksys WAG354G) do Neostrady.

Próbuję sprawdzić czy włączenie Flow Control w ustawieniach
karty sieciowej ma wpływ na jakość połączenia (pingi, szybkość, itd.).
Jakieś sugestie?

[tommyklab]

ShielsUP zdane, to jak jest dobrze to nie ruszać

[wojek]

Z grubsza przetestowałem ten Flow Control, i chyba
nie ma on większego znaczenia (u mnie) dla połączenia.
Na bezpieczeństwo raczej nie wpływa,
tak jak np. ustawienia MTU i RWIN.

[mateusxzz]

Ja mam jeszcze STD6.01.11 i Pan na infolinii powiedział mi, że nowszej nie ma.