21:16
11/2/2014

Odkryto podatność CSRF w rotuterach Technicolor C7200, które — jak pisze nasz czytelnik “Tomecek” — są “masowo montowane przez UPC w Polsce i na świecie”. Podatność pozwala atakującemu na rekonfigurację ustawień routera (np. zmianę reguł firewalla, udostępnienie panelu zarządzania od strony internetu, albo reset do ustawień fabrycznych), a także uzyskanie do niego nieautoryzowanego dostępu. O tym, co może zrobić atakujący dysponujący nieautoryzowanym dostępem do routera Wi-Fi pisaliśmy niedawno w tekście pt. “Stracił 16 000 PLN bo miał dziurawy router“.

Technicolor TC7200 router

Technicolor TC7200 router

W przypadku Technicolorów i Thompsonów nie jest jednak tak łatwo, jak w przypadku opisywanych przez nas niedawno TP-Linków i Pentagramów — atakujący musi nakłonić do współpracy ofiarę (ale jak pokazujemy poniżej, niekiedy jest to bardzo proste — wystarczy, że ofiara wejdzie na odpowiednią stronę internetową). Najpierw jednak zobaczmy demonstrację ataku i jego skutków:

W przypadku tej klasy podatności, warunkiem koniecznym wykonania udanego ataku, oprócz posiadania przez ofiarę routera Technicolor TC7200 jest jeszcze zwabienie jej na odpowiednio spreparowaną przez atakującego stronę WWW. Dodatkowo, ofiara musi posiadać aktywną sesję administracyjną na routerze (być na nim zalogowana).

Prawdopodobieństwo wykonania ataku CSRF na router wydaje się być małe, ale warto zauważyć, że atakujący może z powodzeniem nakłonić ofiarę do ustanowienia sesji z routerem poprzez wysłanie spoof maila rzekomo w imieniu UPC Polska, prosząc np. o zalogowanie się na modem/router w celu sprawdzenia czy jakąś opcja jest na nim ustawiona. Oczywiście ten scenariusz jest możliwy do wykorzystania raczej w ataku ukierunkowanym, a nie masowym — należałoby bowiem znać e-mail ofiary.

Niestety odkrywca błędu nie informuje o tym, czy wypuszczono już jakąś poprawkę usuwającą odnalezione przez niego błędy — na screencaście demonstrującym obrazującym atak widać, że dziurawa jest wersja firmware’u STD6.01.12, na stronie producenta nie udało nam się jednak odnaleźć żadnych informacji dot. aktualnego firmware’u. Użytkownicy tego modemu informują, że aktualizacje są tworzone przez producenta dla poszczególnych operatorów i aplikowane przez nich “wewnętrznie”.

Nasi czytelnicy, którzy jednocześnie są klientami UPC Polska informują, że obecnie wykorzystywane są co najmniej 2 wersje oprogramowania w routerach Technicolora. Niektórzy z nich mają firmware w wersji STD6.01.27 (a więc nowszej niż testowana przez znalazcę błędu). Wersja ta wygląda na niepodatną na atak CSRF z racji wbudowanego tokenu anty-CSRF-owegom, co ujawniają przesłane przez naszych czytelników pliki HTML panelu zarządzania — ale jeden z komentujących twierdzi, że o ile wbudowano mechanizm ochronny, to został on źle zaimplementowany i atak dalej jest możliwy). Niestety są też tacy klienci UPC Polska, którzy wciąż posiadają wersję STD6.01.12, czyli tę, która na pewno jest dziurawa….

Mam Technicolor TC 7200 od UPC, czy jestem podatny na ten atak?

Sprawdź, którą wersję firmware’u ma twój modem. Jeśli twoja wersja to STD6.01.12 — jesteś podatny na atak. Ale nie wpadaj w panikę! Możesz zaktualizować oprogramowanie routera — instrukcja poniżej.

Mam stary, dziurawy firmware, jak go zaktualizować?

Jak informuje nas anonimowy pracownik UPC Polska, na modemach Technicolor TC7200,

dla wszystkich klientów jest od 1 lutego udostępniona jest wersja STD6.01.27, w której zostały wyeliminowane błędy (a przynajmniej ich część, którą udało nam się wyłapać). Osoby, które mają starszą wersje softu muszą tylko zrestartować modem, po uruchomieniu automatycznie rozpocznie się aktualizacja do najnowszej dostępnej wersji softu.

To powinno pomóc, chociaż jak informują niektórzy czytelnicy będący klientami UPC Polska, czasami nawet po wielokrotnym restarcie upgrade nie następuje. Przyczyn nie znamy.

Na koniec warto podać ogólną metodę ochrony przed tą klasą podatności, ponieważ na CSRF podatne mogą być także inne routery. A jest nią przeprowadzanie rekonfiguracji routera tylko za pomocą osobnej przeglądarki (lub trybu incognito/prywatnego). Wtedy mamy pewność, że sesja administracyjna do routera zostanie “zniszczona” wraz z zamknięciem tej przeglądarki. A przypomnijmy, bez takiej sesji, nawet jeśli ofiara wejdzie na podstawioną przez atakującego stronę, to nic się nie stanie.

PS. W Technicolor 7200 znajdują się też podatności XSS.

Aktualiacja 16:04, 12.02.2014
Jeden z czytelników infomruje, że ta sama podatność znajduje się także w routerze Thomson TWG870U (soft ma wersję STBA.01.75 (TWG870U-BA.01.75-130605-F-1C1.bin)

Przeczytaj także:

134 komentarzy

Dodaj komentarz
  1. coś mi grozi jak ruter służy mi tylko jako bramka do internetu? tzn. moja sieć lokalna działa na innej podsieci niż ruter upc

    • Podmieniają Ci DNS, wchodzisz na fałszywą stronę poczty, banku etc i przechwytują twoje hasło.

    • Jeśli tylko jesteś w stanie zalogować się z przeglądarki do panelu konfiguracyjnego, to owszem.

  2. no kuźwa mać… a myślałem, że jestem bezpieczniejszy niż te TP linki…

    • Bo jestes. To zupelnie inny problem, wlasciwie nic nowego jak ktos pamieta cyrki z IE5-6. To nie backdoor.

    • Przeczytaj uważnie post – ofiara musi spełnić co najmniej 2 warunki: znaleźć się na stronie atakującego (to łatwe) ale być w tym czasie uwierzytelniona do routera (to małoprawdopodobne — chociaż jak wskazujemy w ramce w artykule, można to przy pomocy socjotechniki wymusić). Generalnie, dalej prościej atakującemu przejechać się po TP-linkach niż Technocolorach ;-)

    • Klientom UPC nie są przekazywane dane do logowania na router, szczególnie z uprawnieniami administratora. Mają dostęp tylko do hasła logowania do zabezpieczonej sieci WiFi (jeżeli router udostępnia sieć WiFi).
      Także podatność występuje, ale tylko dla ew. techników rozwiązujących problemy klienta po stronie operatora. :)

    • BZdura, do każdego routera w UPC użytkownik dostaje dostęp. Chocby po to by sobie po konfigurować przekierowania portów czy zmienić hasło do WIFI. W podanym mo0delu domyślnie jest chyba admin/admin albo admin/puste, już nie pamiętam. Więc śmiało możesz się zalogować i pozmieniać co potrzebujesz.

    • @Stonek oczywiście, że klientom są przekazywane dane do logowania na router. Masz dostęp do standardowych ustawień tak samo jak w innych tego typu urządzeniach.

    • @stonek – polemizowalbym z Twoim stwierdzeniem.
      Najczesciej (jak nie w 99.9%) przypadkow login i haslo sa defaultowe.
      Po zalogowaniu masz pelen dostep do wszystkich parametrow.

    • Próbowałeś admin:admin ? – jak nie działa – to można zresetować spinaczem :)

    • @Stonek

      Tak nie dokońca, być może są klienci, którzy nie mają dostępu do panelu administratora, ale UPC raczej nie stosuje takich praktyk, tj. zabrania własnoręcznej konfiguracji routera jak to bywa u innych operatorów. Można mieć pełny dostęp do routera UPC, jak taki dostęp miałem na starym modemie, mam również na nowym, zarządzam również dwoma innymi routerami od UPC i nie ma żadnego problemu z dostępem do panelu administracyjnego. Mało tego, większość użytkowników jedzie na standardowych loginach i hasłach, ale całe szczęście, zdalne logowanie się do routera jest domyślnie wyłączone, trzeba tę funkcję dopiero aktywować. Dodatkowo można wyłączyć możliwość logowania się do routera przez WiFi i zarządzać routerem tylko na kablu, przydatna opcja.

  3. Będziecie domagać się (or prosić :D) komentarza od UPC Polska?

  4. napiszecie o tym może jak zrekonfigurować ustawienia routera??

    • Zaktualizować firmware do .27 — ale jak, to jeszcze jest dla nas zagadka. Może ktoś z czytelników wie jak można to zrobić?

    • @Piotr Konieczny
      AFAIK to te modemorouteroswitchoaccesspointy aktualizują się same (tzn. jak im sieć UPC wyśle aktualizację), podobnie jak ich tunery (dekodery) DVB-C (które też mają w sobie modem m.in. do obsługi telewizji on-demand, nota bene to niektóre mają nieużywane złącze ethernet)

    • Upgrade można “wymusić” przez restart.

    • @Slawek
      Może i mają złącze Ethernet, tyle że jest software’owo blokowane (z tego co wiem)

  5. Czekam na info o moim CISCO z UPC…. ciekawe ile dni minie zanim tym się “hackiery” zajmą. Chętnie bym go zabezpieczył bardziej – gdybym umiał :)

  6. a i jeszcze czy macie jakieś informacje czy to działa tylko i wyłącznie w tym modelu Tomka?

  7. Po pierwsze stary news, po drugie była już aktualizacja oprogramowania i co prawda nie mam potwierdzenia czy zostały błędy poprawione, ale z waszej strony wstawianie takich newsów jest mało wiarygodne.

    Może na link bloga się nadaje, ale sorry nie na newsa, który jest tak na prawdę opisem filmiku…

    • Dobrze ze pisza, mnustwo osob dalej podatnych bo wisi na starym sofcie tych modemow. Ja tez mam wersje 12 :(

    • “Wstawianie newsów jest mało wiarygodne”

      ?
      Nie używaj słów, których nie rozumiesz.

  8. UPC w Holandii raczej instaluje sprzęt Cisco.

  9. miałem niedawno wymieniony modem w UPC własnie na ten i mam wersje softu
    STD6.01.27 . ale oczywiście nigdzie nie ma żadnych informacji o różnicach między wersjami

    • Podeślij nam pls na redakcja@niebezpiecznik.pl kod HTML strony konfiguracyjnej “Advanced” (zaloguj się, kliknij menu Advanced, i w przeglądarce wybierz “Zapisz stronę jako …”, a plik który powstanie podeślij mailem).

    • @Piotr ja mam dokładnie tą wersję: STD6.01.12
      Mogę wam podesłać HTMLa z panelu admina :)

    • poszło

    • Ciekawe czy user maco dostanie w zwrotce od niebezpiecznika jakiś ciekawy link. ;P

    • Nie, ale jego IP to … a zaszyty token to 90438826 ;-)

  10. 2x to samo i takie to security bug jak otworzenie listu przez listonosza

  11. STD6.01.27

  12. Jestem w UPC. Modem technicolor. STD6.01.12 wstawili mi go jakies 3 miesiace temu

    • Ciekawe… bo mnie w wakacje dali z .27… czyli wersja chyba zależy, z której półki w magazynie wzięli i mają pomieszane nowsze i starsze.

    • @zdegustowany
      wydaje mi się, że te modemy się same aktualizują – bo odnoszę wrażenie, że jeszcze kila tygodni temu panel logowania był trochę inny (nie było przycisku wylogowania innej sesji)

    • Sławek:
      potwierdzam, aktualizacja nastąpiła u mnie około sysdate minus uptime:
      Uptime 24 days 13h:09m:46s

  13. Również mam STD6.01.27, widać problem jest w starszych dostawach (ten modem mam od września 2013).

  14. Wersja oprogramowania STD6.01.27

  15. UPC Polska
    Router: Technicolor C7200
    f/w: STD6.01.12
    Mam go trochę mniej niż pół roku.

    • Czy i ty mógłbyś podesłać kod HTML storny konfiguracyjnej routera – menu “Advanced”? (Zaloguj się, klinij menu “Advanced” i “Zapisz plik jako…” w przeglądarce — to mailem do nas na redakcja@niebezpiecznik.pl). Kolega z firmwarem .27 nie jest podatny (są tokeny) — sprawdźmy jeszcze jak z polskimi routerami na .12.

    • Abstrahując już od tego czy polski STD6.01.12 jest podatny. UPC już dawno wypuściła update. Więc powinien się rozejść prędzej czy później. Czasem trzeba ruter zresetować, trochę pomóc :)

  16. Mam STD6.01.12

  17. UPC Austria – modem montowany TYDZIEN TEMU

    Software Version STD6.01.12

  18. Takie dziury były są i będą, ale każdy rozsądny user ma inną przeglądarkę do stron administracyjno/bankowych i do reszty… tylko szkoda, że zamiast tworzenia makr w wordzie itp, nie uczy się podstaw bezpieczeństwa w szkołach na lekcjach inf :(

    • Jakich makr w wordzie, teraz uczy się używania fejzbóka.

  19. STD6.01.27 – taki mam, wcześniej musiało być coś innego, bo doszedł przycisk wylogowania innych sesji. UPC Opole

  20. W Gdańsku mam – STD6.01.27 – na blachę aktualizują je online, bo wcześniej nie miałem przycisku do wylogowywania innych sesji – tak więc w przeciągu ostatnich paru tygodni poszedł update. I ogólnie coś w nich ostro grzebali…

    Najgorsze jest to, że wcześniej miałem od nich Cisco, który robił mi tylko za bridge, a dalej miałem własny sprzęt – a teraz dali mi ten syf…

    A na DNSy to ostatnio narzekałem – więc może coś było na rzeczy.
    BTW – fajne echo w stopce ;)

  21. Ta? My mamy od grudnia 2013 i mamy STD6.01.12

  22. Mam 27 dostarczone w lipcu.

  23. Hmm, zauważyłem ciekawą rzecz, mówiliście że user musi mieć aktywną sesję i wejść na stronę atakującego..
    Na router logowałem się kilka dni temu? może dłużej, przez to że napisaliście żeby wchodzić przez inna przeglądarkę tak zrobiłem i ku mojemu zdziwieniu zostałem opluty komunikatem że jest aktywna sesja innego usera i czy ją wylogować… :/ czyli jeśli ktoś się logował dość dawno temu to sesja nie wygasa po x czasu.. Daję sobie rękę obciąć że logowałem się jakiś dłuższy czas temu.

    • Przez aktywna sesje należy rozumieć odpowiednie nagłówki (np. Cookie: ) zapamiętane po stronie przeglądarki.

    • @Marian
      To proste: modem nie ma żadnych sesji. Jednak z kilkoma dniami spotykam się pierwszy raz – u mnie wygasa po 30 minutach. Możliwe, że ograniczenie czasowe dodali w .27.

      @Piotr Konieczny:
      A czy mógłbyś najpierw sprawdzić, czy w ogóle są wysyłane jakiekolwiek ciasteczka? Nie są. Modem po otrzymaniu prawidłowego loginu i hasła przechodzi w “stan zalogowania” w którym utrzymuje się tak długo, jak długo nie dostanie zapytania wylogowującego (adres ). Możesz się zalogować, a potem sobie nawet gołym wgetem bez ciasteczek grzebać w modemie. Oczywiście w tym czasie strona główna prezentuje formularz do logowania, ale ona go prezentuje zawsze – nawet jeśli jesteś już zalogowany w tej samej sesji przeglądarki. To jest ustawiona na twardo atrapa, tak samo jak tokeny anty-CSRF w wersji STD6.01.27.

  24. ja bym się cieszył gdyby miał v01.12 – w tej wersji chyba jeszcze dało się go przełączyć w tryb bridge:
    snmpset -v2c -c public 192.168.0.1 1.3.6.1.4.1.4413.2.2.2.1.7.1.1.0 i 1

    dla zainteresowanych, więcej info tutaj:
    http://www.boards.ie/vbulletin/showthread.php?t=2057106714
    (dot. TWG-870U, ale TC to ten sam chipset i też działało..)
    niestety w wersji .27 SNMP jest już zablokowane :/

    a sama dziura jest w sumie czysto akademicka/teoretyczna (gdyby to był remote code exec. czy jakiś inny access bez hasła to byłoby się czym martwić ;))

    btw, aktualizacja jest automatyczna.
    obstawiam, że wystarczy odciąć mu prąd (z poziomu interfejsu nie ma opcji restart/reboot) – po wstaniu pewnie będzie już miał nową wersję..

    • Przełączanie w tryb bridge jest możliwe i w nowszych softach.
      snmptranslate 1.3.6.1.4.1.4413.2.2.2.1.7.1.1.0 2>/dev/null
      BRCM-RG-MGMT-MIB::rgOperMode.0
      ========
      rgOperMode OBJECT-TYPE
      SYNTAX INTEGER {
      disabled(1),
      residentialGateway(2),
      cableHome10(3),
      cableHome11(4)
      }
      MAX-ACCESS read-write
      STATUS deprecated
      DESCRIPTION
      “Sets the operational mode of the device with regard to residential
      gateway behaviour.”
      ::= { rgMgmtBase 1 }

      ============
      Operator dał D$*$, że włączył SNMP od strony LAN :)
      Więc teraz po prostu zauważył i wyłączył SNMP od strony klienta :P

    • @Spock: w jaki sposób, skoro SNMP jest wyłączone od strony LANu?
      Podpowiesz?

  25. Ten modem nie sprawdza pochodzenia zapytania (przynajmniej w wersji ST6.01.12). W takim wypadku można próbować dostać się do modemu po standardowych loginach.

  26. A wiecie moze czy da sie wymusić od UPC wymianę tego badziewia na zwykły modem?

    • wszystko się da..
      jak w każdym przypadku gdy ktoś chce coś od kogoś – trzeba tylko odpowiednio dobrać `argumentację`.

      w tym przypadku rozwiązania drastyczne (typu gumowa pałka ;)) nie będą konieczne – powinno wystarczyć wypowiedzenie umowy, kontakt z DUK i uzależnienie wycofania wypowiedzenia od wymiany technicolora na cisco.

      oczywiście będąc w okresie obowiązywania umowy siła tego argumentu jest znacząco mniejsza – wypowiadając umowę w takiej sytuacji musisz liczyć się z konsekwencjami wynikającymi z umowy (hint: promocja, rabaty/upusty, kary umowne..).

  27. A ja mam takie pytanie, ponieważ niedługo zamierzam zmienić sobie ISP na UPC właśnie i dostane od nich jakiegoś mutanta modemoruter Netgear N150. Czy mogę w jakiś sposób go przerobić, aby służył jedynie za przejściówkę między kablem koncentrycznym a moim routerem (TP-Link, ale bezpieczny)? Wifi, dhcp i cała masa ładnie mi chodzi na tplinku, a kolega ma jakiś sprzęt z backdoorem że dostawca może mu wyłączyć wifi zdalnie i to mnie niepokoi. Chodzi mi o to, aby nikt się zdalnie na niego nie zalogował, nawet ISP (w końcu to będzie technicznie mój sprzęt), nie podmieniał dnsów i tak dalej.

    • Poszukaj na sieci, czy istnieje możliwość przełączania routera w tryb bridge.

    • Netgear N150 to tylko najzwyklejszy ruter: http://www.upc.pl/pdf/upc_instrukcja_instalacji_routera_netgear_n150.pdf
      Jesteś pewien, że go dostaniesz? Oprócz niego musi być tez zwykły modem kablowy. Dawno temu dawali taki zestaw jeśli ktoś wykupił dodatkowo WiFi za 16zł. Później wprowadzili modemorutery Cisco, Thomson i Technicolor.

  28. Niby nowy soft dostępny od od 1.02 (jak donosi anonimowy pracownik UPC Polska choć chyba powinien ktoś oficjalnie wypowiedzieć się), a ja sobie restartuję Technikolora co pewien czas i nowego softu jak nie było tak nie ma, a mamy prawie połowę lutego.

  29. No więc kolejno, bo w artykule jest kilka błędów:
    1) STD6.01.27 jest tak samo podatny na atak jak STD6.01.12.
    2) W .27 rzeczywiście jest w formularzu pole “CSRFValueL”, które zawiera token. Token ten nie jest nigdy sprawdzany, co zresztą i tak nie miałoby sensu, bo jest na stałe wpisaną wartością. U was też 7…488, czy chociaż na różnych modemach dali różne wartości? ;)
    3) Koniecznym jest bycie zalogowanym, co nie jest wielkim problemem. Większość użytkowników nigdy nie zmieniła domyślnego admin/admin. Na wiele innych osób zadziała socjotechnika.
    4) Pablo napisał, że rozsądny użytkownik używa różnych przeglądarek. Racja. Zakłada on jednak, że stan zalogowania jest przypisany do sesji przeglądarki. Pudło – sesje to kolejna atrapa w tc7200. Modem ślepo przyjmuje wszystkie zapytania z dowolnego źródła z tego samego adresu IP tak długo, jak długo użytkownik nie wyloguje się z niego wprost opcją “log off” lub nie minie 30 minut od ostatniej operacji. Nie ma żadnej obsługi sesji. Modem udaje istnienie sesji w ten sposób, że gdy wejdzie się ponownie na stronę główną po zamknięciu przeglądarki, jest się proszonym o ponowne zalogowanie. Rzecz w tym, że ten formularz jest tam pokazywany zawsze, niezależnie od tego, czy jest się zalogowanym, czy nie. Nawet linki nad formularzem logowania nie prowadzą do właściwych stron, żeby nie dało się przypadkiem wejść dalej nie znając adresu.
    5) Ktoś pytał, czy UPC coś z tym robi. Pod koniec stycznia wysłałem maila z ochrzanem w tej sprawie. Oprócz informacji z BOKu, że nie rozumieją słowa “podatność” i przesyłają do działu technicznego, zero reakcji.

    Jeśli chodzi o zabezpieczenie, to w tej chwili zdaje się, że w tej chwili jest jedno: ABE z NoScripta blokuje odwołania do 192.168.0.1. Ryzyko zmniejsza też pamiętanie o wylogowaniu się za każdym razem i, oczywiście, zmiana hasła na inne niż domyślne.

    Jeżeli ktoś chce obejrzeć inne ciekawostki w interfejsie webowym tego modemu:
    1) W “trans_func.js” w wersji produkcyjnej pozostał kod developerski używany podczas tłumaczeń. Nawet chińskie teksty jeszcze są.
    2) W “language/english.js” na końcu obiektu:
    ———————————
    “TAG_UPC_FORCE_LOG_OFF_USER”: “Force log off user”,

    /* end of array */
    “__end__” : “Do not add comma to the end of array!”
    }
    ———————————
    3) W kodzie formularza logowania modem wypluwa 12 oktetów binarnych śmieci razem z właściwym kodem HTML. Wartości te zmieniają się przy restarcie modemu.

    • Inni informowali, że CSRFvalue zmienia wartość po przelogowaniu. Nie potwierdzasz?

    • Nie, nie potwierdzam. Jest taki sam nawet po odcięciu modemu od zasilania i ponownym podłączeniu. W tej chwili nawet specjalnie odciąłem zasilanie i ponownie podłączyłem. Nadal jest ta sama wartość: 7…488.

      Token nie jest też w żaden sposób sprawdzany. Trywialny exploit¹ oparty o iframe bez problemu² np. włącza u mnie WiFi: http://mpan.pl/pub/tc7200-wifienable.avi

      Wersja STD6.01.27. Sprawdziłem tuż przed wysłaniem posta.

      ____
      ¹ http://mpan.pl/pub/evulwebsite-tc7200.tar.xz
      ² Zakładając, że NoScript nie zablokuje połączenia do sieci lokalnej, oraz używanie domyślnego hasła lub bycie już zalogowanym

    • jak pisałem wcześniej mam soft 27 i CSRFvalue po przelogowaniu pozostaje takie samo. a miałem takie ładne Cisco

    • wygląda że są CSRFvalue są różne na różnych modemach, mam inną niż wspomniane przez Ciebie 7…488

  30. “i to w momencie, kiedy ofiara posiada aktywną sesję administracyjnej na routerze”. Eloł, czyta ktoś. Router od UPC w domu tylko stoi. Klient nie ma dostępu do panelu administracyjnego

    • Może są różne rodzaje usług, albo BOK sam ocenia, kto jest odpowiedzialny a kto nie ;-). A na poważnie: inni klienci mają dostęp do panelu routera.

  31. Jak już ktoś napisał – przede wszystkim UPC nie daje danych do zalogowania na router. Co prawda akurat w moim hasło było standardowe, ale jednak oficjalnie hasła nigdzie nie ma… Także dla mnie dziura czysto teoretyczna, bo zwykły user i tak się nie zaloguje… bo i po co.

    • Teoretycznie to można rozmawiać o czarnych dziurach, bo nikt żadnej nie dotknął. Ta jest prawdziwa i możliwa do wykorzystania. Użytkownika można skłonić do zalogowania się na router – nawet jeśli nigdy tego nie robił. Ma to jednak sens w atakach ukierunkowanych, kiedy znamy adres e-mail, bo wymaga spoofingu i socjotechniki. A to do czego prowadzi “teoretyczna” socjotechnika, możesz zobaczyć tu: https://niebezpiecznik.pl/tag/social-engineering/

    • @hydralisk
      Poszukaj takiej małej, kwadratowej książeczki zatytułowanej “Installation manual”, w której powinieneś mieć opis łączenia się przez WiFi spod różnych Windowsów i MacOS X. Książeczka jest wielojęzykowa (LibertyGlobal działa w wielu krajach, tylko nie wszędzie używają marki UPC), rozkładana i gdzieś na dole, w lewym dolnym rogu masz podane login i hasło do modemu. Biorąc pod uwagę poziom ustandaryzowania ich usług w całej Europie, wątpię w to, by ktoś takiej książeczki nie otrzymał lub miał dane do logowania inne niż admin/admin.

      Chociaż biorąc pod uwagę, że moje obserwacje nie pokrywają się z tym, co otrzymał Piotr od innych użytkowników, to nie wiem. Może jednak poziom ustandaryzowania nie jest tak wielki ;).

    • UPC razem z modemo-routerem daje pudełko i płytę z instrukcją obsługi w kilku językach, gdzie domyślne hasło jest wpisane…

  32. Trochę off-topic ,w Niemczech przeprowadzono serię ataków na Fritzboxy ,miały otwarty port 443 ,tu link po niemiecku http://www.spiegel.de/netzwelt/web/fritzbox-router-hersteller-avm-veroeffentlicht-sicherheits-updates-a-952468.html

  33. “Osoby, które mają starszą wersje softu muszą tylko zrestartować modem, po uruchomieniu automatycznie rozpocznie się aktualizacja do najnowszej dostępnej wersji softu.”

    Reset modemu i sprawa załatwiona. Poza tym żaden klient nie otrzymuje dostępu administratora do router’a (nie mówiąc o garstce, która by chciała taki dostęp wykorzystać). Nie wspomnę o warunku: “jest jeszcze zwabienie jej na odpowiednio spreparowaną przez atakującego stronę WWW (i to w momencie, kiedy ofiara posiada aktywną sesję administracyjnej na routerze).”

    A więc po co tak panikujecie? @Ci co panikują.

  34. Jakiś czas temu wziąłem na warsztat 3 routery, które dostarcza UPC. Krótko mówiąc katastrofa: na każdym routerze domyślne login/hasło, na wszystkich CSRF, na dwóch XSS.
    Co gorsza firmware (na jednym z routerów) zmodyfikowany w taki sposób, że nie można go przełączyć w tryb bridge. Nie bardzo rozumiem dlaczego UPC tak zaciekle z tym walczy.

    • W trybie bridge nie mają dostępu do wnętrza twojej sieci.

    • @zdegustowany: odciąłem to G. od LAN Mikrotikiem. Dodatkowo zmieniłem domyśle login/hasło, adres sieci. Mam też cichą nadzieję, że firewall blokujący dostęp do routera od strony Internetu działa.

  35. Wczoraj miałem wersję .12 dzisiaj już STD6.01.27
    Restart robiłem 14 h temu, bezpośrednio po nim dalej miałem wersję .12
    W sprawie dostępu do takiego routera proszę o info na mail.

  36. Mam upiecowego Thomsona (tego z białą górą), więc chyba jestem bezpieczny.

    • @SuperTux
      No właśnie, “chyba”. Dopóki ktoś czegoś nie znajdzie… ;)

    • Grzechooo, na razie nikt nic nie znalazł, więc…

  37. Niektórzy są tu ostro niedoinformowani i na siłę bagatelizują problem. UPC daje wszystkim dostęp do routerów, a opis jest w instrukcjach dostępnych na ich stronie:
    http://obsluga-klienta.upc.pl/app/answers/detail/a_id/40/~/nazwa-u%C5%BCytkownika-i-has%C5%82o-do-konfiguracji-routera%2Fmodemu-z-funkcj%C4%85-routera
    http://www.upc.pl/pdf/upc_instrukcja_technicolor_7200.pdf

    RESET, RESTART TC7200 NIE ZAWSZE SKUTKUJE WGRANIEM NOWEGO SOFTU – SPRAWDZONE EMPIRYCZNIE!

    Brak oficjalnego komunikatu UPC też jest znaczący.

    Jak ktoś jeszcze nie rozumie o co chodzi to proszę przeczytać sobie komentarz użytkownika piko z wykopu:
    http://www.wykop.pl/link/1863084/dziura-w-routerach-sprzedawanych-przez-upc-takze-w-polsce-technicolor/#comment-19853718

  38. Jest na to wszystko prosty lifehack. Należy zezwolić na zarządzanie urządzeniem tylko z adresu 192.168.1.1… Ma to oczywiście wadę (konieczny twardy reset) i nie jestem pewny kolejności sprawdzania uprawnień na “problematycznych” urządzeniach, to też hw mino wszystko może być nadal podatny…
    Całą bramę można też zloopować samą na siebie… Ale chyba łatwiej wyciągnąć kabel od internetu..

  39. Jeśli chodzi o tytuł to UPC nie sprzedaje w Polsce żadnych routerów – co najwyżej dzierżawi/wypożycza. Potem taki sprzęt się zwraca.

  40. UWAGA! Aby zadziałała automatyczna aktualizacja software’u, trzeba wykonać tzw. twardy reset (czyli przytrzymać ‘reset’ przez kilka sekund).

    Router powinien się zrestartować, pobrać nowy soft, po czym zrestartować ponownie z nowym softem. Tak to działało przynajmniej u mnie z Thomsonem – nie jestem pewien, czy ten sam model, bo w pracy jestem. Fakt, że sprawdzałem to przy innej okazji, ale pobieranie softu działało (z twardym resetem).

    P.S.: Opisana operacja wykonywana na własne ryzyko – to, że u mnie pobierało dane do logowania automatycznie, nie oznacza, że u wszystkich będzie to działało :).

    • “UWAGA! Aby zadziałała automatyczna aktualizacja software’u, trzeba wykonać tzw. twardy reset (czyli przytrzymać ‘reset’ przez kilka sekund).”

      To jest kompletna głupota, wystarczy zresetować ruter normalnie, może nie zawsze zaskoczy, ale na pewno nie trzeba hard resetu robić.

    • Napisałem po prostu w jaki sposób zachował się router u mnie.

    • To czy router zrobi upgrade i nie nie zależy od jego restartwania tylko czy operator chce go zrobić czy nie.
      Upgrade modemu można zrobić na dwa sposoby – poprzez odpowienią deklarację w pliku konfiguracyjnym bądź przy pomocy SNMP. Jak robi to UPC – nie wiem. Zwykle po prostu generuje się nowe pliki z nowym SW w konfiguracji i modem przy okazji restartu sprawdza sobie czy ma zrobić upgrade czy nie. Ale znam operatorów, którzy zbieają trapy SNMP, że modem się zalogował i robią to na piechotę – sprawdzają versję SW i jak jest potrzeba to wysyłają polecenie upgrade via SNMP.

  41. Reset przyciskiem z tyłu wyczyści wszystkie ustawienia zapisane w modemie i nie jest to żadna głupota, a normalne postępowanie przed wgraniem nowego softu do każdego urządzenia. Wgra się też po zwykłym restarcie prądowym, ale ja też pamiętam sytuację, kiedy mając poprzednika Technikolora w postaci Thomsona upgrade firmware nie chciało wejść bez twardego resetu, więc teraz sprawdzam obydwie opcje. Jak na razie bezskutecznie. Jak się uda, to pierwsze co sprawdzę na STD6.01.27, to, czy rzeczywiście jest odporne na błąd tutaj opisywany. Kolega mpan zasiał we mnie ziarno wątpliwości pisząc, że nowy soft wcale nie łata dziury. To niewykluczone, bo ukazał się zanim zrobiło się głośno o podatności na ataki. Raczej był przewidziany na co innego – ZABLOKOWANIE PRZEŁĄCZANIA W TRYB BRIDGE i tę “dziurę” załatał skutecznie, co parę osób już sprawdziło i opisało w sieci.

  42. Publikacja o podatności na atak jest z początku stycznia 2014:
    http://www.cvedetails.com/cve/CVE-2014-0621/

    Wersja STD6.01.27 dostępna była już na początku grudnia 2013 zagranicą:
    http://www.unitymediakabelbwforum.de/viewtopic.php?f=53&t=26172&start=60#p278088

    W Polsce właśnie w styczniu 2014 donoszono o aktualizacji:
    http://forum.mediaswiat.pl/viewtopic.php?p=128484&highlight=#128484

    Pozostaje pytanie, co ta “nowa” wersja w sobie zawiera, bo w necie na próżno szukać oficjalnych informacji, zarówno producent jak i dostawcy o tym milczą.

  43. Witam, abstrachując od tego czy atak jest łatwy i możliwy. Mam pytanie do redakcyjnego prawnika. Czy firma udostępniająca internet razem ze swoim sprzętem (np. UPS, Vectra itp.) jest jakoś odpowiedzialna za np. kradzież danych i/lub pieniędzy jeżeli okaże się, że oprogramowanie routera umożliwia atak, w szczególności kiedy dostępna jest aktualizacja usówająca lukę? Może to temat na artykuł? Dzięki.

    • Nie trzeba prawnika i kolejnego artykułu, twoje wątpliwości rozwieje lektura regulaminów tych dostawców, każdy pięknie wykręca się od odpowiedzialności wobec klienta.

    • @yosa istnieją tzw. klauzule niedozwolone, więc nie byłbym taki pewien.

    • Teoretycznie jest to możliwe, chodź by na zasadach odpowiedzialności deliktowej z kodeksu cywilnego, choć może to być trudne od strony dowodowej. Co do wyłączenia z góry swojej odpowiedzialności, to generalnie przedsiębiorca, nie może z góry wyłączyć swojej odpowiedzialności za szkodę wyrządzoną konsumentowi, bo takie postanowienie w regulaminie stanowiłoby klauzulę niedozwoloną, a one z mocy prawa nie wiążą konsumenta.

  44. Nie wiem czy to z tym związane ale miałem z tym routerem problemy, sam mi się restartował kilka razy dziennie.
    Na szczęście po kilku zgłoszeniach wymienili mi na CISCO i problemu nie ma :)

  45. @yosa masz rację, ale w żadnym regulaminie nie ma informacji o tym, że klient jest zobligowany do aktualizacji oprogramowania dostarczonego sprzętu. Nie chodzi mi o ten przypadek, ponieważ jak już Koledzy powyżej opisali, musi być spełnionych kilka czynników zależnych od użytkownika. Co w przpadku hipotetycznej sytuacji, gdy wystarczy zhakowanie np. routera, modemu itp. bez udziału użytkownika? Też mogą się wykręcić? Pomijam oczywiście problemy z udowodnieniem takiej sprawy.

  46. Przemek, ja mam Thomsona 870, który także ma tę dziurę. UPC mi odpisało, że CISCO są montowane wyłącznie klientom biznesowym. Jak ci się udało wydębić CISCO od UPC?!

    • Ja nie jestem klientem biznesowym, ba, nawet telewizji cyfrowej nie mam – tylko słaby pakiet internet + TV analogowa a mam CISCO.
      Ale nie ma się z czego cieszyć, bo mi np. nie włączyli wifi bo nie mam wykupionej takiej usługi. A nie wykupiłem takiej usługi bo jak podpisywałem unowę kilka lat temu to takiej usługi nie było… a nowej umowy nie chcę.

    • Bzdura, osobiście znam osoby które mają pakiet Internet+TV na osobę fizyczną i dostały router’y Cisco.

  47. Zauważcie, iż ISP najpierw musi udostępnić nowy soft – jak nie to żadne rebooty nie pomogą. On pobiera to sobie z serwera TFTP po stronie operatora, jednak wiadomo, iż operator jakby chciał to byzdalnie je wszystkie zrebootował, poprzez docsDevResetNow.

  48. ciekawe jak jest z modemorouterem Thomsona TCW770 bo nie znalazłem nic na temat ewentualnych podatności w necie…ktoś może się czegoś doczytał ?

  49. Podmiana DNS? A jak ktoś nie używa DNS’sów przydzielanych z DHCP, tylko ręcznie sobie ustawia na Open DNS? No i kto normalny nie zmienia hasła do routera?

    • W przypadku podatności CSRF nie ma znaczenia, jakie masz hasło do routera akurat, bo nie atakujący ma je znać, tylko Ty ;-)

  50. Witam, od niedawna szukam informacji jak dorobić się trybu bridge w tym routerze, znalazłem info o SNMP, niestety miałem już uaktualniony soft.
    Udało mi się wpiąć do routera po RS232 – posiada on dwa obrazy, w moim wypadku aktualny soft i poprzedni, można go spokojnie uruchomić. Niestety myk z SNMP nie działa, odpowiedź jest poprawna i następuje reboot, ale adres dostaję wciąż lokalny.
    Całość opisałem tutaj http://www.boards.ie/vbulletin/showthread.php?p=88976002

    • A przyszło Ci do głowy, że operator może wymuszać tryb pracy RG (routergateway) w konfiguracji jaką modem pobiera i żadne lokalne operacje nic nie dadzą, bo w chwili pobrania konfiguracji modem ignoruje ustawienia lokalne. Priorytet zawsze mają ustawienia pobierane od operatora.

  51. Ja szukam kogoś, kto ma Thomsona z firmware <.75 coby odpalić ten nieszczęsny bridge…

  52. @Stonek
    Jeśli masz thomsona to w logowaniu pole user/login zostawiasz puste a jako hasło wpisujesz admin i enter

  53. Przepraszam za kompletny offtopic, ale post innego Pawła (o routerze cisco z wyłączonym wifi) przypomniał mi inną kwestię. Mianowicie o co chodzi z tym dostępem wifi i ilością komputerów do podłączenia? Gdzie nie patrzę to piszę: Liczba komputerów do podłączenia: 5, Wifi tak, ale płatne. Czy dostawca internetu nie udostępnia nam tylko łącza i publicznego adresu IP? Dlaczego ja np. nie mógłbym użyć switcha i podłączyć 30 urządzeń, albo użyć prywatnego wifi w domu i udostępnić np. podczas imprezy każdemu? Wie ktoś o co chodzi? Czy to tylko chwyty marketingowe?

    Poza tym, jak widzę batalię o to, że ISP ma zdalny dostęp do tego routera, blokuje brigdeingi, to czy jest jakiś powód do obaw oprócz tej dziury? Czy mogą podmienić np. DNSy na swoje, uniemożliwić usługę VPN lub monitorować albo nawet ingerować w moją domową sieć (choć i tak zamierzam podłączyć pod ten modem tylko swój router)?

    I ostatnia kwestia. Czy wie ktoś czy w UPC mógłbym sam kupić sobie modem (w trakcie trwania umowy), podmienić go z ich udostępnionym i tak działać, czy to nie narusza umowy? (oczywiście nowy miałby sklonowany adres MAC)?

    • Włączenie bridgingu powoduje u operatora ból głowy związany z tym, że ich DHCP musi obsługiwać MAC’i kart klientów :)
      Być może system provisioningu UPC nie ogrania tego. W trybie routera klient=IP. W trybie bridge o ile klient nie ustawi swojego routera to jeden klient to możę być i 4-5 IP.
      A te się kończą. Pozatym duże firmy lubią procedury, i schematy. A tutaj jeden chce router, drugi tryb bridge bez routera, trzeci bridge + swój router ..:) A później trzeba to utrzymywać, serwisować.

      To w sumie prosta odpowiedź czemu operatorzy nie lubią bridge-mode.

      Adresu MAC modemu nie sklonujesz – jest to weryfikowane w kilku miejscach a i sam soft jest podpisany prz pomocy kryptografii asymetrycznej. Jeśli zmienisz MAC we flash modem zgłosi błąd integralności. Przynajmniej w teori – jak wygląda implementacja – nie wiem – nie mam czasu sprawdzić :)

    • @Spock: Chyba mieszasz ze sobą pojęcia prywatnego i publicznego IP…

  54. Więc wskaż je stosownemu urzędowi, bo ja przeczytałem regulamin UPC i nie znalazłem takiej.

  55. Przepraszam, ale nie wiem co się dzieje z tymi komentarzami. Piszę odp. dla SuperTux, a włazi, gdzie chce. Proszę moderatora o posprzątanie.

  56. mam technicolor 7200 od lokalnego dostawcy, a nie UPC, też jestem podatny?

  57. mam Tomsona z STBA.01.75 (UPC) i faktycznie szaleje (w moim przypadku od wczoraj)
    z dhcp przydziela dnsy od czapy
    Adres IPv4. . . . . . . . . . . . . : 192.168.0.200
    Brama domyślna. . . . . . . . . . : 192.168.0.1
    Serwer DHCP . . . . . . . . . . . : 192.168.0.1
    Serwery DNS . . . . . . . . . . . : 192.168.10.2
    192.168.10.10
    129.219.13.81
    Po przewaleniu na jakiś czas łapie dnsy od upc ale je po jakimś czasie je gubi

    • Ustaw sobie bezpośrednio w komputerze (w win7 jest to w centrum sieci i udostępniania) DNS-y googla (8.8.8.8 i 8.8.4.4) albo open dnsa i nie będzie wtedy korzystał z ruterowych DNS-ów, tylko będzie tamte odpytywał. Zresztą DNS-y upieca są b. obciążone. Po zmianie na googlowe internet przyspieszył o 20%.

  58. U mnie jest te jest STBA.01.75 i restart nie wymusi aktualizacji.

  59. U mnie jest stara wersja (STD6.01.12), a montowany był 31.12.2013.

  60. do kazdego modemu z wifi w upc da sie wyciagnac haslo wifi na podstawie nazwy sieci a wy sie martwicie o cos takiego, gdzie wiekszosc uzyszkodnikow nie jest w stanie napisac admin…

    • Tym wyciąganiem hasła na podstawie nazwy sieci to mnie zabiłeś. Może wskaż metodę, jak to z nazwy sieci można wyciągać hasło. I czemu działa to tylko w UPC, a nie we WLANach z routerów innych operatorów.

      Jeżeli użytkownik nie potrafi napisać “admin”, to również nie zienił hasła z domyślnego. Tym samym nie musi niczego wpisywać, bo hasło jest znane i kod może zalogować się samodzielnie.

    • @mpan logujesz sie na cmtsa i przedstawiasz sie jako eurodocsis modem, oraz sciagasz configa gdzie masz zapisane ssid i pass. lecisz po kolei z bazy macow dla 870tek, 850tek i 7200tc i masz cala baze. potrafi to zrobic nawet DS 6300C D3 ze zmodyfikowanym softem.

    • Włam do WLANu wymagający fizycznego dostępu do kabla. Pomysł ciekawy, wręcz ocierający się o sztukę, ale nijak nie związany z twierdzeniem, że jesteś w stanie na podstawie nazwy sieci podać hasło do niej.

      I czy CMy wysyłają konfigi w górę? O tym akurat nie wiedziałem – zawsze wydawało mi się, że modem co najwyżej ściąga konfigurację, a nie radośnie dzieli się nią.

  61. A co jeśli ktoś korzysta z rumuńskich VPN?

  62. @mpan 1. zapinasz sie do cmtsa, czyli do dowolnego lockboxa w kraju (skrzynka upc na korytarzu dowolnego bloku) i sciagasz config z cmtsa a nie z modemu. przedstawiasz sie jako modem. zastanawiam sie jak mogles to zrozumiec w tak glupi sposob.

    • Niemądre to są twoje wywody bik, włamanie do skrzynki UPC to przestępstwo z kk. Poza tym konfig z cmtsa nie poleci do urządzenia niezarejestrowanego w ich systemie, a weryfikacja jest po kilku rzeczach.

  63. […] podatność CSRF w routerach, które w Polsce dystrybuuje swoim klientom UPC. Atak pozwalał na rekonfigurację routera przez atakującego, pod warunkiem, że ofiara — właściciel routera wszedł na odpowiednio skonstruowaną […]

  64. w Vectrze jest podobnie. a mistrzowie fachu uniemozliwiają zmiane hasła samodielnie i co na infolinii osobie postronnej mam podać hasło?

    • Właśnie, jak się ma teraz sprawa z vectra? Cały czas dają epc3925 z bridge mode? Zastanawiam się czy nie zmienić isp…

  65. TC7200, aby przełączyć go w tryb Bridge należy być zalogowanym do urządzenia następnie przejść na stronę poniżej.

    http://ip_tc7200/system/switch-mode.asp

    Niestety mój router Fritz7390 nie dostaje public IP, i zgłasza jak by DHCP4 był off.
    Podłączając komputer po LAN i WIFI oba pobierają publiczne IP w trybie bridge.

    Wersja fw STD6.01.27

    • Właśnie mnie rozwaliło… Jagrok, browar!
      Faktycznie działa! Działa BRIDGE!

    • 30.01.2015: Już nie działa.

      Pozdrowienia z krainy szczęśliwości UPC!

  66. […] użytkownika (i w konsekwencji przejęcie kontroli nad urządzeniem) oraz atak CSRF pozwalający przekonfigurować komuś router od UPC. Teraz przyszedł czas na trywialny w wykonaniu atak umożliwiający zdalny restart routera, który […]

  67. […] ostatnio zauważyć, że oprócz nazwy domowej sieci Wi-Fi ich router od UPC (w którym niedawno znaleziono kilka poważnych dziur) rozgłasza także sieć o nazwie “UPC Wi-Free“. Co ciekawe, […]

  68. Niestety UPC nadal wynajmuje urządzenia ze starym softem. Dostałem swój egzemplarz jakieś 10h temu z wersją STD6.01.12 i po kilkukrotnym restarcie nie nastąpiła aktualizacja.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.