Παρασκευή 6 Δεκεμβρίου 2013

2000 Έλληνες χρήστες υπηρεσιών DSL ευάλωτοι σε διαρροή δεδομένων από Huawei Router!

Το SecNews δημοσιοποιήσε πριν μερικές ημέρες το ενδιαφέρον άρθρο του P0wnbox, αναφορικά με την ύπαρξη default κωδικού σε ADSL modem Huawei HG-530 που παρέχετε από Ελληνικούς τηλεπικοινωνιακούς παρόχους στους πελάτες τους . 

Σύμφωνα με το άρθρο, ένας default “ξεχασμένος” κωδικός μπορούσε υπ' ορισμένες συνθήκες να προσδώσει επαυξημένη πρόσβαση στην κονσόλα διαχείρισης του modem. Μάλιστα όπως σημείωναν και άλλοι ερευνητές ασφάλειας στο Forum στα σχόλια του άρθρου, η χρήση της εν λόγω αδυναμίας ήταν εφικτή μόνο εντός του εσωτερικού δικτύου, υπό ορισμένες προυποθέσεις κλπ.

Η ερευνητική ομάδα του SecNews σε συνεργασία με εθελοντές ειδικούς ασφάλειας, προχώρησε σε βαθύτερη διερεύνηση των αναφερομένων στο άρθρο, ώστε να α) εξακριβώσει τον βαθμό που τα ανωτέρω ανταποκρίνονταν στην πραγματικότητα β) διαπιστώσει πως επηρεάζονταν οι χρήστες της συγκεκριμένης συσκευής του οίκου Huawei γ) να προσδίορίσει αριθμητικά πόσοι πιθανόν χρήστες είναι ευάλωτοι και τέλος δ) επισημάνει τι δυνατότητες μπορεί να αποκτήσει ενας εξωτερικός επιτιθέμενος με χρήση της συγκεκριμένης αδυναμίας και με τι βαθμό δυσκολίας.



Τα συμπεράσματα που προέκυψαν από την έρευνα του SecNews είναι άκρως ενδιαφέροντα και απαιτούν άμεση ενημέρωση των χρηστών. Για λόγους προστασίας των ευάλωτων χρηστών από την υφιστάμενη αδυναμία αλλά και των τηλεπικοινωνιακών παρόχων, η ερευνητική ομάδα αποφάσισε να μην δημοσιοποιήσει ΠΛΗΡΩΣ τα στοιχεία ή ακριβή δεδομένα που μπορούν να χρησιμοποιηθούν για διάπραξη επιθέσεων, διαρροών usernames ή passwords και λοιπών στοιχείων.

Μεθοδολογία Έρευνας:

Η εθελοντική ερευνητική ομάδα υπό την εποπτεία του SecNews, δημιούργησε αρχικά μια πλήρη λίστα με το σύνολο των Ελληνικών IP διευθύνσεων (Country IP Block) με χρήση της παρακάτω ΕΠΙΣΗΜΗΣ ιστοσελίδας

https://www.countryipblocks.net/country_selection.php

Στη συνέχεια μέσω διαθέσιμης στο κοινό υπηρεσίας μέσω διαδίκτυου με δυνατότητα banner grabbing, εντοπίστηκαν οι IP διευθύνσεις που έχουν εκτεθειμένη την υπηρεσία telnet (port 23). Η εν λόγω ελεύθερη υπηρεσία “σαρώνει” μια προς μία τις IP διευθύνσεις από μια λίστα (εν προκειμένω την λίστα των Ελληνικών IP διεθύνσεων) και εντοπίζει τα “banners” δηλαδή τα χαρακτηριστικά εκείνα μηνύματα (όπως version, όνομα υπηρεσίας, έκδοση κλπ) που εκθέτονται στο διαδίκτυο, προσβάσιμα απο τον καθένα ώς απόδειξη της ενεργής υπηρεσίας του εκάστοτε εξυπηρετητή ή modem. Το banner grabbing εν προκειμένω πραγματοποιήθηκε αποκλειστικά για την υπηρεσία telnet (port 23), μιας και όπως αναφέρει το άρθρο του P0wnbox οι άλλες πόρτες δεν ήταν προσβάσιμες (πχ η πόρτα 22)



Αξίζει να σημειώσουμε οτι εθελοντής που συνεισέφερε κατά την έρευνα, διέθετε το ίδιο ακριβώς modem και κατα συνέπεια την στιγμή της σάρωσης εντοπίστηκε (Πλέον των άλλων εκτεθειμένων IP διευθύνσεων) και το banner της IP διεύθυνσης του εθελοντή μας.

Το αρχικο τμήμα της έρευνας είχε ολοκληρωθεί. Οι ερευνητές διέθεταν μια λίστα με όλα τα ένεργα telnet banners από ένα μεγάλο εύρος IP διευθύνσεων.

Στην συνέχεια οι ερευνητές ξεχώρισαν μόνο τα banners εκείνα που περιείχαν την λέξη “—–Welcome to ATP Cli——”, μιας και όπως φαίνεται στο άρθρο του P0wnbox , αυτό είναι το χαρακτηριστικό μήνυμα εισαγωγής της εν λόγω συσκευής κατά την διαδικασία της σύνδεσης.

Αποτελέσματα Έρευνας:

Τα αποτελέσματα της έρευνας κατά την σάρωση banner grabbing έδειξαν ότι:

- 2100 περίπου Έλληνες χρήστες ADSL υπηρεσιών (μη ακριβής εκτίμηση/μέτρηση), έχουν στην κτήση τους την συγκεκριμένη συσκευή και άρα είναι ευάλωτοι στην συγκεκριμένη αδυναμία την στιγμή της αποτύπωσης.

- Υπάρχει διασπορά στα ενεργά ευάλωτα modems σε όλους τους γνωστούς τηλεπικοινωνιακούς παρόχους. Λανθασμένα το P0wnbox αναφέρει ότι η αδυναμία αφορούσε μόνο την υπηρεσία Conn-X. Η έρευνα διαπίστωσε ότι η αδυναμία εμφανίζεται σε όλους τους γνωστούς Ελληνικούς παρόχους συμπεριλαμβανομένου ΚΑΙ του DSL που παρέχει το ΕΔΕΤ/GrNet (για το δίκτυο των Πανεπιστημίων – φοιτητών κλπ)

- Αναφερόταν στο άρθρο ότι η πόρτα telnet (23) ήταν προσβάσιμη ΜΟΝΟ από το εσωτερικό δίκτυο. Κάτι τέτοιο διαπιστώσαμε οτι ΔΕΝ ισχύει. Στους ευάλωτους στόχους που εντοπίστηκαν κατά την έρευνα, η υπηρεσία ήταν προσβάσιμη από το Internet με ιδιαίτερη ευκολία χρησιμοποιώντας ενα απλό telnet client ,τον οποιό διαθέτει ο καθένας στον υπολογιστή του. Το μόνο που χρειαζόταν να γνωρίζει ενας κακόβουλος χρήστης είναι την IP διεύθυνση του στόχου την δεδομένη χρονική στιγμή. Συνεπώς ο τρόπος κακόβουλης χρήσης της εν λόγω αδυναμίας ήταν κάτι παραπάνω απο εύκολος μιας και μπορεί να πραγματοποιηθεί δυνητικά από τον καθένα, με ελάχιστη γνώση!.

-



Διαρροή κωδικού σύνδεσης χρήστη στον πάροχο:

Όπως αναφέραμε και παραπάνω εντός της ευρεθείσας λίστας των εν λόγω Modems Huawei, εντοπιστηκε και το modem ενός εκ των ερευνητών μας. Αποφασίσαμε να προχωρήσουμε ενα βήμα πιο πέρα. Ο ερευνητής με ΑΠΛΟΤΑΤΕΣ εντολές κατόρθωσε να αντλήσει σε μορφή απλού κειμένου (όχι κρυπτογραφημένου) τα ενεργά στοιχεία της σύνδεσής του, όπως αυτά έχουν δοθεί από τον τηλεπικοινωνιακό πάροχο. Δείτε step-by-step πώς αντλήσε τα στοιχεία σύνδεσής του σε μορφή απλού κειμένου:

Καταρχήν ο ερευνητής συνδέθηκε στην IP διεύθυνση που είχε εντοπιστεί από το banner grabbing. Με στοιχεία admin/admin αποκτά πρόσβαση στον Modem. Τονίζουμε οτι η πρόσβαση ΕΙΝΑΙ ΑΠΟ ΤΟ INTERNET και όχι από το εσωτερικό δίκτυο δηλαδή μπορεί να το κάνει ο ΟΠΟΙΟΣΔΗΠΟΤΕ!



Στην συνέχεια και αφού έχει πληκτρολογήσει την εντολή “shell” στο prompt για να αποκτήσει πρόσβαση στην κονσόλα του Modem, δίνει την εντολή “cd /var/wan/ppp256″ ώστε να αποκτήσει πρόσβαση στον εν λόγω υποφάκελο. Στον φάκελο αυτό ιδιαίτερα ενδιαφέρον παρουσιάζει το αρχείο “config”



Διαβάζοντας το αρχείο config (cat config) διαπιστώνουμε ότι το username και ο κωδικός πρόσβασης στον πάροχο είναι εκεί σε πλήρως αναγνώσιμη μορφή. Συνεπώς πλέον μπορεί να το χρησιμοποιήσει ο κακόβουλος εισβολέας για να αποκτήσει πρόσβαση στην αλληλογραφία μας (e-mail) εφόσον είναι το ίδιο username/pass που χρησιμοποιούμε για την πρόσβαση στο mailbox που μας παρέχει ο εκάστοτε πάροχος.



Επιπρόσθετα και επειδή το λειτουργικό που χρησιμοποιεί η συσκευή είναι βασισμένο σε linux για embedded devices (Busybox) μπορεί να τοποθετηθούν πολλαπλά είδη backdoors. Παραδείγματος χάρη, μια backdoor που θα καταγράφει το σύνολο των δικτυακών κινήσεων του χρήστη (sniffer), θα εντοπίζει τις ιστοσελίδες που επισκέπτετε και κάτω απο ορισμένες προυποθέσεις θα μπορεί να καταγράψει πλήρως τους κωδικούς πρόσβασης που εισάγει στις ιστοσελίδες κατά την καθημερινή του περιήγηση. Υπό τις ίδιες συνθήκες μπορεί να χρησιμοποιήσει ενας κακόβουλος χρήστης την συσκευή για να πραγματοποιήση κακόβουλη δικτυακή κίνηση (χρήση ως jumpoint για επίθεση σε άλλα δίκτυα) ακόμα και για διάπραξη κυβερνοεγκλημάτων και απόκρυψη ιχνών! Δυνατότητες δηλαδή να μετατρέψει ένας κακόβουλος χρήστης το Modem σε μια υπερσυσκευή παρακολούθησης και επίθεσης εν αγνοία του χρήστη!

Αν αυτό φαντάζει επιστημονική φαντασία, ίσως θα πρέπει να το ξανασκεφτούμε. Αξίζει να αναφερθεί ότι σε αντίστοιχο κινέζικο modem της εταιρείας Tenda εντοπίστηκε από ερευνητή ασφάλειας “backdoor” πριν μερικές εβδομάδες που έδινε πλήρη πρόσβαση εν αγνοία του χρήστη (δείτε σχετικό άρθρο εδώ)



Συμπεράσματα – Υποδείξεις

To SecNews σε συνεργασια με την ερευνητική ομάδα των εθελοντών προχώρησε ένα βήμα παραπάνω το ζήτημα που ανέδειξε πρώτο το P0wnbox αναφορικά με την λανθασμένη παραμετροποίηση του Huawei HG-530 Router που χρησιμοποιεί μεγάλος αριθμός Ελλήνων χρηστών DSL υπηρεσιών. Η έρευνά μας κατέληξε στα εξής συμπεράσματα:

- Πάνω από 2000 Ελληνες χρήστες είναι ευάλωτοι στην αδυναμία και ανα πάσα στιγμή μπορεί να διαρρεύσει ο κωδικός σύνδεσής τους στο διαδίκτυο!

- Αν αυτός ο κωδικός χρησιμοποιείται παράλληλα και για την λήψη e-mail ή άλλων υπηρεσιών (ιδιαίτερα σύνηθες) τότε ο επιτιθέμενος μπορεί να αντλήσει ευαίσθητα και προσωπικά δεδομένα!

- Η πρόσβαση δεν είναι εφικτύ ΜΟΝΟ απο εσωτερικό δίκτυο του πελάτη αλλά και απο όλο τοInternet όπως διαπιστώσαμε με την έρευνα/μελέτη μας

- Η αδυναμία δεν επηρεάζει μόνο home users αλλά διαπιστώσαμε οτι πολλές μικρομεσαίες επιχειρήσεις αλλά και υπηρεσίες διαθέτουν το εν λόγω modem/router με ότι αυτό μπορεί να σημαίνει για την ασφάλεια των δεδομένων και της απρόσκοπτης πρόσβασης στο διαδίκτυο. Φανταστείτε λόγου χάρη εταιρεία να χρησιμοποιεί το συγκεκριμένο modem για την διαχείριση των καμερών ασφάλειας. Μια παύση της λειτουργίας της σύνδεσης μπορεί να δημιουργήσει σοβαρότατα προβλήματα, ακόμα και φυσικής ασφάλειας!

- Η χρήση της συγκεκριμένης αδυναμίας δεν απαιτεί εξειδικευμένη γνώση και μπορεί να τύχει εκμετάλλευσης από τον οποιονδήποτε, ακόμα και απο κάποιον με ιδιαίτερα χαμηλή τεχνογνωσία

- Πιο έμπειροι-advanced χρήστες μπορούν να χρησιμοποιήσουν την αδυναμία για απόκρυψη των ιχνών τους / κυβερνοαπάτες-κυβερνοεγκλήματα αλλά και πλήρη παρακολούθηση της δικτυακής συμπεριφοράς του χρήστη (ιστοσελίδες, κωδικούς κλπ)

- Από την αδυναμία/λανθασμένη παραμετροποίηση επηρεάζονται όλοι σχεδόν οι τηλεπικοινωνιακοί πάροχοι αναλογικά με τον αριθμό των πελατών τους που διαθέτουν την συγκεκριμένη συσκευή



Είναι σαφές ότι οι πάροχοι δεν διαθέτουν ευθύνη για την ύπαρξη της default ρύθμισης των modems που διαθέτουν στους πελάτες τους, μιας και μπορεί κάποιος εξ αυτών να το έχει προμηθευτεί και απο μόνος του ασχέτως παρόχου.


Εκτιμούμε ότι ΑΜΕΣΑ θα πρέπει:

Οι χρήστες των ευάλωτων συσκευών:
Να αλλάξουν άμεσα των κωδικό πρόσβασης από admin/admin σε έναν πολύπλοκο της επιλογής τους. Οδηγίες μπορούν να βρούν [εδώ] στην σελίδα Change Admin Password
Να ελέγξουν το modem τους από το Web Interface για ύπαρξη ενεργών χρηστών την ύπαρξη των οποίων δεν γνωρίζουν
Να αλλάξουν άμεσα πιθανα WPA/WPAv2 keys που χρησιμοποιούν για τις ασύρματες συσκευές

Οι πάροχοι που παρέχουν τους Routers Huawei HG-530 για τους πελάτες τους:
Οφείλουν άμεσα να ενημερώσουν τους χρήστες με δελτίο τύπου ή με ηλεκτρονικό μήνυμα ώστε να προβούν σε ΑΜΕΣΗ αλλαγή του κωδικού admin
Να παρέχουν μέσω της ιστοσελίδας τους σε εμφανές σημείο (banner) ή μέσω του τηλεφωνικού τους κέντρου ενημέρωση και δυνατότητα υποστήριξης για αλλαγή του κωδικού πρόσβασης σε περίπτωση που ο χρήστης δεν διαθέτει την σχετική τεχνογνωσία
Να ενημερώσουν την εταιρεία-πάροχο Huawei για προσθήκη patch στο επόμενο Firmware ώστε να επιβάλει την αλλαγή του default κωδικού πρόσβασης ή να τον καθιστά ανενεργό από την πλευρά του Internet ώστε να μην μπορεί να χρησιμοποιηθεί από εξωτερικό επιτιθέμενο.

Πηγή: http://cdn.secnews.gr

0 comments:

Δημοσίευση σχολίου