20:39
25/2/2014

Kilkanaście dni temu opisaliśmy na Niebezpieczniku podatność CSRF w popularnych w Polsce routerach, które dystrybuuje swoim klientom UPC. Atak pozwalał na rekonfigurację routera przez atakującego, pod warunkiem, że ofiara — właściciel routera wszedł na odpowiednio skonstruowaną stronę. Dziś upubliczniono kolejny atak na router Technicolor TC7200 oraz Thomson TWG870.

Routery rozdawane przez UPC podatne na atak

Otóż okazuje się, że w popularnych w Polsce routerach Technicolor TC7200 oraz Thomson TWG870 można bez uwierzytelnienia pobrać backup konfiguracji, który zawiera login i hasło administratora. Plik z backupem ściągnąć może dowolna osoba podpięta do sieci LAN, a następnie przy pomocy polecenia hexedit lub strings odszukać w nim nieszyfrowane hasło administratora (i inne ustawienia) — chociaż jak informują czytelnicy, na niektórych Thomsonach w backupie brak hasła (może to wynikać z różnej wersji firmware’u lub konkretnej konfiguracji routera).


http://192.168.0.1/goform/system/GatewaySettings.bin

$ hexedit -C GatewaySettings.bin

00006590 00 00 00 00 00 00 00 00 30 4d 4c 6f 67 00 06 00 |........0MLog...|
000065a0 05 61 64 6d 69 6e 00 15 6d 79 73 75 70 65 72 73 |.admin..mysupers|
000065b0 65 63 72 65 74 70 61 73 73 77 6f 72 64 00 06 75 |ecretpassword..u|
000065c0 70 63 63 73 72 00 00 |pccsr..|

Dzięki tej dziurze, obecnej nawet w najnowszym firmware STD6.01.27, każda osoba, którą wpuścimy do naszej sieci może poznać hasło do naszego routera i następnie zmienić jego konfigurację. To, czym grozi zmiana konfiguracji routera przedstawiliśmy w tekście pt. stracił 16000 PLN przez dziurawy router“)

Efekytwnie, powyższa dziura oznacza tyle, że de facto router Technicolor TC7200 lub Thomson TW870 należy uznać za taki, który w ogóle nie ma hasła do panelu administratora i każdy może go swobodnie przekonfigurować z sieci LAN.

Kolejna podatność: DoS

Dodatkowo, Technicolor 7200 jest podatny na atak Denial of Service na HTTP (slowloris):

Mam ten router od UPC — co robić, jak żyć?

Ponieważ nie ma jeszcze żadnej łatki ani znanego obejścia tego problemu — po prostu uważacie na to, kogo wpuszczacie do swojej sieci… albo zmieńcie, o ile to możliwe, router na inny jeśli jesteście “skazani” na niezaufanych użytkowników. Można również rozważyć podpięcie do routera kolejnego routera (Yo DAWG! ;) po “kablu” i Wi-Fi rozgłaszać przez ten drugi, dodatkowy router, konfigurując go tak, aby użytkownicy z sieci Wi-Fi nie mieli dostępu do routera z UPC.

PS. Sprawdźcie, czy możecie pobrać backup na swoich Technicolorach/Thomsonach i czy w pliku z backupem jest hasło administratora. Jeśli tak/nie — dajcie znać jaka to wersja firmware’u i jaki model routera w komentarzach.

Aktualizacja 22:40
Jeden z czytelników potwierdza, że błąd wystaępuje także w routerze Thompson TWG870UG:

wget http://192.168.100.1/RgBackupRestore.asp
hasło – ostatnie kilka bajtów


Przeczytaj także:



144 komentarzy

Dodaj komentarz
  1. Jak żyć?

    • openWRT?

    • Dobrze, że mam OpenWRT po drodze. Zrobiłem szybki workaround i blokowanie forward do Technicolora.
      config rule
      option name Disalow-UPC-Router
      option src lan
      option dest wan
      option dest_ip ip_routera_upc
      option dest_port 80
      option proto tcp
      option target REJECT

  2. Nie wiem, czy mozna zmienic router na inny, ten niestety ma modem kablowy. Wiec nawet jesli postawie innego AP, to to i tak mozna sie dopchac do thomsona.

    • Można ustawić konfigurację tylko po LAN i ustawić filtrowanie MAC.

    • Dzwonisz do vectry o zmiane routera na zwykły modem, po czym podłączasz swój router pod WAN.

    • Próbowałem wymienić router na modem ale stwierdzili że nie mają nic takiego w ofercie i że tylko technicolory mają -,-‘

  3. Dziwne… Faktycznie z mojego routera (Thomson TWG870UG, firmware version STBA.01.75) dało się ściągnąć backup, ale nie widać w nim hasła.

    • MODEL: TWG870U, Software Version: STBA.01.75 (BA.01.75-130605-F-1C1)
      hasło widoczne jak na tacy. Jestem zdruzgotany.

    • Rzecz jest bardziej pokopana. U mnie widać w ostatnich bajtach jakieś 3/4 hasła, czyli że ono niby nie jest składowane w tym pliku, ale zostaje w jakichś śmieciach.

    • @Artur: to że widać 3/4 hasła, nie musi, ale może też oznaczać że router ma ograniczenie na długość hasła i można się zalogować podając tylko te 3/4 hasła i dalej wpisując cokolwiek.

    • Faktycznie jest tak że nie zawsze hasło jest widoczne na końcu pliku. Po zmianie hasła na dłuższe mam widoczne ostatnie 10 znaków. Kiedy zmieniłem inne ustawienia (wyłączyłem dhcp) to hasło zniknęło, zostało zastąpione losowymi znakami. Po ponownej zmianie hasła 5 ostatnich znaków hasła wróciło.

    • Ale to jest końcowe 3/4 hasła żeby było śmieszniej :-)

    • A co wpisałeś bo u mnie się nie udało, od razu pyta o hasło, a mam też TWG870UG wersję STBA.01.75.

  4. Mam Thomson TWG 850, czy też się łapie ? :)

  5. Ale mnie to wkur… ciągłe dziury… Sam router w ogóle jest gówniany i najgorsze, że UPC nie wymieni tego na zwykły modem (tak, mam fajny router, który nie ma non stop problemów z przekierowywaniem portów), bo nie. Technicy upc oczywiście mówią, że nie ma problemu, wystarczy zrzec się usługi wifi i wymienią modem, ale oczywiście bok mówi, że nie wymieni. Co za gówno, ja chce poprzedni router cisco…

    • da się, ale trzeba trochę powalczyć..
      trzeba dostać zgodę na wymianę poza matrycą sprzętową (czy jak to się tam u nich nazywa).
      zacznij od rezygnacji z usługi internetu bezprzewodowego.
      mnie wymienili TC7200 na Cisco 3212 8)

  6. Mam tego Thomosona, ale jestem laikiem: co dokładnie znaczy wpuścić kogoś do sieci? Jak jedynie korzystam z poczty, facebooka i dużych portali to mam się czegoś obawiać?

    • Wpuścić do sieci znaczy tyle co udostępnić WiFi lub umożliwić wpięcie kabelekiem do routera, osobie niepowołanej. Chodzi wyłącznie o Twoją sieć lokalną i to do czego używasz internetu nie ma znaczenia.

    • Ja i tak nie korzystam z Wifi, a nawet gdybym miał, to zabezpieczyłbym ją przez WPA2 z porządnym hasłem. Czyli na razie w ruterku wifi nie mam włączone.

    • No i, nie wiem czy to coś daje, ale mam też ustawione w Wireless->Access control w panelu rutera Administration web page access na Deny. Czyli nawet jak ktoś pozna hasło i dostanie się w jakiś magiczny sposób do sieci po wifi to strony administracyjnej nie otworzy. Hehe.

    • @SuperTux Chyba, że jakimś ‘magicznym’ (nie pamiętam jaki router ma sąsiad, ale jakiegoś THOM_D###### z kablówki, i kiedyś mu się tak stało jak KALIm sie bawiłem -.- Zupełnie niechcący…) sposobem, przez sam dostęp do WiFi, przywróci Ci router do ustawień domyślnych.

  7. może jestem za słaby, ale zawsze dostaje 401 na moim TWG870

  8. Zwykły notepad ++ oraz notatnik daje rade z otwarciem pliku i pokazuje login i hasło :)

  9. Z tego co widzę, w firmware użyty jest serwer EmbedThis Goahead, który w większości wersji jest podatny co najmniej na DoS’a. :)

  10. Model TWG870U wydaje się bezpieczny (przynajmniej na firmwarze BA.01.75-130605-F-1C1) . Konieczne jest podanie loginu i hasła by ściągnąć backup.

    • U mnie to samo, po wpisaniu URL-a z plikiem cfg wyskakuje monit o hasło. Jak nie podam hasła, dostaję 401

  11. do przeprowadzenia ataku trzeba być w lanie, ale i tak jak już atakujący jest w lanie to nawet ruter bez dziur nie pomoże…

  12. no to dupa… czekam na jakieś info o tym jak obronić się przed atakiem niebezpieczniku.

    • Napisałem w moim komentarzu, jak za pomocą OpenWRT można zablokować dostęp do panelu admina.

    • jdoe, a jak zainstalować *WRT na Thomsonie? Nie, na serio się pytam.

    • http://bit.ly/1hjTrBn

    • @jdoe – polecasz mu zainstalować OpenWRT na modemorouterze od UPC??? Pogięło Cię?!

  13. Trzeba trzymać się zasady że dla gości tylko i wyłącznie odseparowany vlan z restrykcjami.

  14. W tym Thomson TWG870 da się w ogóle ustawić na sztywno DNSy? Bo albo jestem ślepy, albo nie ma takiej opcji

    • Da się ale przy statycznym IP.

    • Można z poziomu Linuxa/MacOS-a/Windowsa ustawić DNS-y, wtedy komputer zignoruje dns-y wysyłane przez ruter i odpyta te które ustawisz ;). Ja sobie ustawiłem w komputerze DNS-y googla i o jakieś 20% szybciej mi internet zaczął chodzić (pewnie upiecowe DNS są obciążone).

  15. TWG870 ma 2 konta do zarządzania, administracyjne dla ISP oraz dla użytkownika nie fortunnie nazwa jego jest “admin”; w ściągniętym pliku .bin widać tylko dane od strony użytkownika, nie widać danych do konta administracyjnego dla ISP.

  16. Warto dodać, że również Vectra rozdaje routery Thomson TWG870, do którego użytkownik nie ma dostępu, ponieważ Vectra na daje dostępu do swoich routerów. Co według mnie jest totalną głupotą…

    • W zasadzie, to już masz dostęp… :-)

    • Tez tak pomyślałem, ale o ile da sie pobrac backup to hasła w nim nie widać.

    • therminus a tobie udało się wyciągnać login i hasło z TWG870 ?

    • Podobną a nawet może jeszcze gorszą praktykę stosuje Toya – też daje router (tak się chyba teraz wg. nich nazywają APeki) do którego nie można się dostać, no chyba że to ja jestem taki głupi że nie mogę a hasło do wifi to ciąg ośmiu cyferek.

  17. U mnie na Thomsonie nie da się pobrać tego backupu bez uwierzytelniania.

  18. W moim TWG870 plik udało mi się ściagnąć ale nie odnalazłem nieszyfrowanego hasła. wersja software: STBA.01.75

    • W moim jest zarówno hasło admina jak i do WiFi. Wszystko w całości otwartym tekstem. Hasło admina mam 14 znakowe. Firmware STD6.01.27

  19. Ludzie, jaki atak? No tak jak wpuscimy kogoś do naszej sieci i damy mu dostęp do strony routera no to nie potrzebuje robić backup konfiguracji po to by później go wyedytowac i wrzucić ponownie do routera aby zmienic hasło…
    Czy tylko ja widzę to ze niebezpiecznik stał sie ostatnio kolejnym “faktem” szukającym sensacji?

    Nawet najlepsze zabezpieczenia nie pomogą jeśli sami nie potrafimy zadbać o podstawowe rzeczy.

    • Tom, nie zrozumiałeś artykułu i błędu, więc się nie wypowiadaj, bo pokazujesz poziom gorszy od przeciętnego czytelnika brukowca na który się powołujesz ;]

      Jak cię wpuszczę do mojej sieci to NIE przekonfigurujesz mi routera, bo dostępu do niego chroni login i hasło. No chyba, że mam router od UPC, bo [i na tym właśnie polega błąd] możesz BEZ ZNAJOMOŚCI loginu i hasła nie tyle zrobić backup jak piszesz co go po prostu pobrać BEZ KONIECZNOŚCI uwierzytelnienia się. Na tym polega dziura. Mając ten plik, odczytujesz hasło, i logujesz się nim do routera.

      Dobrze że Niebezpiecznik o tym pisze, bo jakoś UPC w ogóle nie informuje o takich dziurach, a wystarczy, że ktoś korzysta z takiego routera na przykład w biurze albo sklepie kawiarni. Każdy klient może wtedy skompromitować sieć.

  20. U mnie widoczna jest tylko część hasła – soft najnowszy

  21. Pracownik UPC właśnie udzielił mi informacji – powołując się na ten artykuł (nawet go cytując tak więc nie blefował) że ich dział już pracuje nad aktualizacją FW łatającą również tę dziurę.

    • Sądząc po tym że u niektórych nie da się pobrać bez uwerzytelnienia to pewnie już zrobione i do pewnych osób aktualka już dotarła.

  22. Najgorsze, że ten backup robi się bez względu na to, czy chcemy, czy też nie po każdej zmianie hasła. Właściwie, po kiego grzyba? Chyba. że to od początku do końca zaplanowany backdoor.

  23. Czy ktos wie jak w TC7200 (z najnowszym softem) wlaczyc bridge mode? Nie wiem czy mi sie tylko wydaje, czy jednak nie ma takiej mozliwosci?

    • Jest to możliwe, ale sam tego nie zrobisz, bo nie ma dostępu do tych ustawień od strony klienta, jedynie UPC ma pełen dostęp do konfiguracji i może to włączyć, tak samo jest z wifi. Ja nie mam pakietu wifi, pomimo tego, że jest darmowy, bo mam swój router z obsługą usb, i o ile miesiąc po zmianie na tego technicolora mogłem zajrzeć w ustawienia wifi, tak po aktualizacji softu już nawet tej opcji nie mam.

  24. metoda dla Thomson TWG870UG:
    wget http://192.168.100.1/RgBackupRestore.asp
    hasło – ostatnie kilka bajtów

  25. Browar temu, który powie jak włączyć portbase passthrough w najnowszych FW (innymi słowy: opcję modemu).
    Na stałe. SNMPwalk nie działa.

    • pamiętam, że coś tam się udawało po odłączeniu kabla koncentrycznego..
      ale po ponownym podłączeniu TC7200 chyba się restartował i nie chciało mi się z tym więcej bawić.

    • @yy: owszem, ale po restarcie wraca do normalnego trybu. niestety.

      I nieprawdą jest to, co wspominane jest na forach, że jeśli ‘bridge’ był aktywny przed update’m, to i po także jest. U mnie się wyłączył.

  26. Modem TC7200
    Wersja oprogramowania STD6.01.27

    Niestaty działa, co ciekawe, mam zmieniony adres IP modemu – routera, ale nadal jest dostępny pod http://192.168.100.1/.

    @Couto – z tego co wiem najnowszy soft blokuje możliwość zmiany trybu pracy modemu (zmiany w snmp, lub wyłączenie z dostępu z poziomu lan). Jeżeli na starszej wersji softu tryb bridge był włączony to po aktualizacji nadal będzie aktywny.

    • Zmiana TC7200 na Cisco już w drodze :)

    • Niektórzy piszą, że UPC wymieniło im modemo-router na sam modem Cisco. Ja od tygodni walczę o taką wymianę, bo mam swój router z Tomato, ale za chiny nie chcą dokonać wymiany :( Jak to się wam udało?

    • @Tomecek – szukaj na forum MediaŚwiat

  27. Nauczcie się raz na zawsze Thomson a nie ThomPson… Używacie sprzętu Cisco czy Cipsco?

    • Lancom :-)

  28. Miesiąc temu padło mi Cisco I dostałem ten syf. Dobrze, że man do niego wpięty inny routerna OpenWRT (w oryginalnym sofcie też miał dziury). Na TechniColorze zmieniłem IP i hasło admina (stoi za NATem). Zawsze zwiększa to szansę, że jakiś automat będzie miał na sztywno zakodowane IP i nie trafi. Chociaż IP da się łatwo przez traceroute znaleźć.
    Dla strefy lan i strefy gościa dodałem reguły, które blokują ruch na port 80 w całej podsieci, w której jest router UPC (interfejs wan OpenWRT).

    • Czy mógłbyś opisać jak zablokować ruch dla tej strefy? Czy blok portu 80 tam nie blokuje jakoś sieci? Jak się dostać wtedy do takiego rutera, podpiąć się tam na chwilę? Za około miesiąc idę do UPC i jak się dowiedziałem w punkcie, nie mogę swojego modemu dać, nie mogę wchodzić na modemoruter, nic nie mogę zmieniać, nic nie wolno… Do niego wepnę TP-Linka, więc w sumie żaden problem, ale nadal mam obawy przed tym, że ich modemoruter mógłby jakoś wpływać na ruch w sieci, np. zmusić do używania ich DNSów lub coś podobnego. Myślę też nad VPN to i nawet UPC by nie widział co robię, ale to raczej średnie rozwiązanie.

    • Tutaj sz regułke dla OpenWRT: https://niebezpiecznik.pl/post/kolejne-dziury-w-routerach-od-upc-technicolor-tc7200-i-thomson-twg870-wyciek-hasla-administratora/#comment-280759. Port 80 jest blokowany tylko dla adresu, na którym działa router, do pozostałych podsieci jest przepuszczany.
      Można też w /etc/firewall.user dopisać iptables -I FORWARD 1 -p tcp -m tcp -d ip_routera –dport 80 -i eth1 -j REJECT

  29. W jaki sposób odczytać to hasło w Windowsie z notepada++ nie mogłem w linuxie za pomocą strings tez mi się nie udało?

  30. MODEL TWG870U Software Version STBA.01.75

    Hasełko pięknie dostępne w ostatnich bajtach, nie potrzeba nawet hexeditora – notepad++ daje radę (zwykłe pole tekstowe w porównaniu do reszty danych w pliku)

  31. Szczęściem w nieszczęściu jest to, że przynajmniej swojej własnej nazwy usera (tej zamiast “admin”) nie widzę, więc do tanga trzeba dwojga ;).

  32. Thompson TWG870UG
    STBA.01.75
    401 Unauthorized

  33. Ja posiadam Thomson TWG850-4U i na nim równiez problem występuje. WiFi natomiast rozgłaszam przez własny TP Link (zresztą UPC zablokowało WiFi na Thomsonie), a do sieci nikogo obcego nie wpuszczam, więc póki co, strachu nie ma.

  34. Hardware Version: 1.1
    Software Version: STBA.01.75

    W backupie hasło jak byk na ostatnich bajtach. Całe szczęście, że między modemem UPC a LANem mam jeszcze swój ruter i mogę wyciąć.
    Co ciekawe, jakiś czas temu wyłączyłem WiFi na tym Thompsonie, a po aktualizacji oprogramowania znowu się aktywował interfejs bezprzewodowy. Trzeba jakimś skryptem to monitorować, bo UPC nie ma w zwyczaju informować o aktualizacjach.

    • jeżeli zgłosisz do upc to wyłączą Ci WiFi na stałe.

  35. STD6.01.27, hasło na tacy…

    Czy można gdzieś UPC zgłosić że naraża klientów na strate wrażliwych danych?

    • Dodatkowo wystarczy iść gdzie jest wifi od UPC np restauracje na starówce i namieszać można…

  36. Tak czytam o kolejnych i kolejnych dziurach w domowych routerach. W moim obecnym routerze niezależnie od ustawień panel administracyjny był dostępny z zewnętrznej sieci, mam nadzieję że nikt nie złamał hasła brute-forcem; musiałem ustawić przekierowanie portu 80 na nieużywany adres wewnątrz mojej sieci żeby to zatkać, ale nie wiem czy nie czycha na mnie coś jeszcze. I jak popatrzę na jakość software’u w tych których używałem to zastanawiam się co właściwie mam zrobić żeby mieć względny spokój. Mam wrażenie że właściwie czegokolwiek bym nie kupił to i tak będzie to programistyczny bubel – błędy zdarzają się wszędzie, ale to co można znaleźć w routerach które widziałem to po prostu badziew – przynajmniej jeżeli chodzi o bezpieczeństwo. Co mam zrobić/kupić żeby nie bać się wielkiej, ziejącej, otwartej dziury w mojej sieci domowej?

    • Polecam DrayTek

  37. Tia, jeśli hasło leci cleartextem po wifi, to też nie specjalnie chronimy się przed złośliwym użytkownikiem naszej sieci.

  38. Witam

    Czy jeśli mam w/w router ale mam pod niego podłączony drugi router i w nim ustawiłem sobie ręcznie dns to coś mi grozi ? Nie mam adresów dns przypisanych z automatu z routera upc jak wtedy. Dodatkowo mam wyłączony zdalny dostęp do routera, zmienione hasła, blokadę po mac dla jednego komputera z którego mogę tylko zmienić parametry konfiguracyjne routera.

  39. I czym tu sie podniecać wiekszość uzytkowników i tak nie zmienia domyślnych ustawień a te są dostępne na stronie po wybraniu modelu urządzenia.
    http://obsluga-klienta.upc.pl/app/answers/search_results/kw/upc%20na%20%C5%BC%C4%85danie/search/1/kw/slaby%20zasieg
    Świadomy użytkownik sam zmienia hasło z domyślenego i później po lanie nawet nie ściagnie backupu jak nie zna hasła do logowania (ewentualnie hard reset) po wi-fi tym bardziej jeśli nie zna klucza

  40. Widzę że sporo z Was używa dwóch routerów (ja też) akurat jestem szczęśliwcem i posiadam cisco od UPC. Mam pytanie do użytkowników własnie (T)homsonów i (T)echnicolorów czy u Was jest możliwość ustawienie na nich statycznego routingu.
    I do znawców Czy w takim razie jeżeli ktoś włamie się na takiego (T) to mimo że będę miał ustawione statyczne dnsy na moim routerze można mnie przekierować na stronę włamywacza?

  41. Pozytywną wiadomością jest to, że w UPC od momentu kiedy opisaliście problem fałszywych DNSów, podobnie jak w Orange, zablokowany jest ruch do tych “złośliwych” DNS. Podatnosć podatnością, ale jak kogoś wpuścimy do lanu to może nam gorszych rzeczy narobić niż przekonfigurować router i poznać nasze tajne hasło (no chyba, że takie hasło mamy do wszystkiego) ;>

  42. Niestety działa

  43. 99% użytkowników i tak posiada standardowe hasło dostępu do panelu administracyjnego, jakie ustawia sobie UPC na TWG870UG + brak filtrowania adresów MAC. Wystarczy 1 minuta na google i już mamy dostęp do wszystkich opcji, łącznie z możliwością zmiany hasla admina, sieci Wi-Fi,… Swoją drogą można znajomemu/udostepniającemu nam Wi-Fi zrobić fajny dowcip “porywając” jego własny punkt dostępu do sieci ;)

  44. tylko po co pobierać rom skoro UPC ma defaultowe hasło

    Username
    (none – leave blank)
    Password
    aDm1n$TR8r

    • I po chuj udostępniasz? Znalazł się spec od full disclosure, psia mać.

  45. Ech. I tak sobie czlowiek czyta o tych routerach w PL i mysli ze go nie dotyczy bo siedzi sobie za granica. A tu jak na zlosc UPC irlandzkie TWG wlasnie rozdaje. Bedzie trzeba cisco wyciagnac z szafy.

  46. A czy te dane są ścisle tajne?
    Wystarczy 1 min googlingu i masz taki i lepsze informacje.
    Może autor komentarza, który udostępnił powyższe informacje wychodzi z takiego założenia jak podałem wcześniej lub wyznaje brutalną zasadę “za lenistwo trzeba płacić” (dostęp do sprzętu, modyfikacje konfiguracji etc.).
    W obecnych czasach wiedza na temat pierwszych kroków podczas uruchamiania nowego sprzętu (zmiana domyślnych ustawień) jest ogólno dostępna, a to że ktoś jest leniwy…

    • Owszem, ale hasła upiecowego admina, thego “magicznego” co verdan podał NIE DA się zmienić.

    • czyli Twoja nacechowana agresywnie odpowiedź ma swoje źródło w fakcie że “ktoś” upiecowy nie dopilnował podstaw bezpieczeństwa.
      W mojej ocenie problem to nie fakt że ktoś podał domyśle hasło (przecież to nie sekret) a fakt że nie da się go zmienić (jak twierdzisz).
      Problem to urządzenie a nie ogólnodostępna informacja, bo gdyby tak było a Ty byłbyś konsekwentny to powinieneś co 3 artykuł krytykować w podobny sposób (zauważ że niebezpiecznik wcale nie tworzy informacji on je tylko “kopiuje” z innych miejsc ogólnodostępnych).

  47. Modem Technicolor TC7200

    wersja oprogramowania STD6.01.27

    Bina ściąga się bez problemu , hasło widoczne jak BYK ??

    UPC nie chce pomagać ma klientów gdzieś cytują tylko oficjalne stanowisko firmy i tyle

  48. W moim Thompsonie można pobrać plik konfiguracyjny ale wyłącznie wtedy, gdy jesteśmy zalogowani. Problemem jest brak przycisku wyloguj. Wersja STBA.01.75

  49. Na pewno dziurawe: ST9D.01.09 TWG850-4U

  50. Thomson TWG870UG, Hardware v1.1, Firmware STBA.01.75.
    działają oba linki:
    http://192.168.xx.1/goform/system/GatewaySettings.bin
    http://192.168.100.1/RgBackupRestore.asp
    w pliku nie widać hasła

  51. TC7200.U wersja STD6.01.27 również podatna

  52. Thompson, Standard Specification Compliant DOCSIS 3.0, Hardware Version 1.1, Software Version STBA.01.75 pobrany plik backup nie zawiera hasła przynajmniej w wersji jawnej, w TotalCommander przegladając plika jako HEX nie widać nic co przypominałoby nie zaszyfrowane dane.

  53. sposób pierwszy:
    wget http://192.168.0.1/goform/system/GatewaySettings.bin
    pobiera plik bez autoryzacji, natomiast w ostatnich bajtach widać tylko końcowe 3/4 hasła (to w zasadzie i tak dużo)

    sposób drugi:
    wget http://192.168.100.1/RgBackupRestore.asp
    tutaj od razu jest 401 Unauthorized poza tym nie sądzę, żeby dało się cokolwiek z tego odczytać, to po prostu strona do generowania pliku backupowego, ściągnięcie samej strony .asp nie sadze zeby spowodowało wyświetlenie hasła

    Testowane na Thomson TWG870U – STBA.01.75
    FW: TWG870U-BA.01.75-130605-F-1C1.bin

  54. Ba. W tym pliku są też hasła do WiFi…

  55. Swoją drogą nie ma się co podniecać dziurawym backupem skoro wchodzi `domyślne’ hasło upc podane wyżej (z linków na google wynika, że znane i niezmienione jest od 2010).

    Bardziej jestem ciekaw:
    Remote management wyłączyłem. Czy faktycznie? Skanując z zewnątrz – tak, ale UPC może to filtrować, a sami mogą mieć dostęp. Nie mam jak sprawdzić bo do modemu wchodzi koncentryk.

    Lokalnie co bym nie zrobił – hasło domyślne wchodzi, postawię wifi na tp-linku z openwrt, ale pierwotnie myślałem, że na thomsonie zrobię siec wifi ‘guest’, ale dopuszczenie do niego kogokolwiek jest mniejszą/większą dziurą.

    • Jak postawisz na OpenWRT na TP-Linku to tam możesz sieć gościa zrobić. Na stronie OpenWRT jest ładne howto: http://wiki.openwrt.org/doc/recipes/guest-wlan. Nie analizowałem dokładnie, czy reguły filtrujące z sieci gościa do lanu są szczelne. Przy dhcp nadmiarowo przepuszczają TCP na portach 67-68

    • Modemorouter w trybie gateway ma min. 2 adresy – adres modemu i adres portu WAN routera; dodatkowo adres dla MTA jeśli jest używane. Włączenie “Remote Management” daje dostęp przez adres WAN; niezależnie od tego operator może się dostać przez adres IP modemu.

  56. Hardware Version 2.0
    Software Version ST9D.01.09
    thomson TWG850-4U
    :)

  57. Thomson TWG870UG
    STBA.01.75
    widać hasło ;]

  58. Tak jak już inni pisali na Thompsonie TWG870U soft STBA.01.75 nie da się tak zrobić jak opisane w artykule – zwraca 401 Unauthorized. A dwa po podaniu hasła komendą wget http://192.168.100.1/RgBackupRestore.asp –user=x –password=x to zaciąga mi po prostu strone ‘główną’ gdzie nic ciekawego nie ma(nie wiem, może coś zle robie). Poza tym de fakto można się przed tym łatwo zabezpieczyć wyłączając dostęp do panelu admina po Remote.

  59. Rozmowa z infolinią UPC (TWG 850-U)
    * Krótkie wytłumaczenie że dzwonię w sprawie dodatkowego hasła na routerze, gość zniknął na moment, wrócił i mówi:
    – upc: atak jest czysto teoretyczny, wymaga akcji po stronie użytkownika – wejścia na stronę admina, a następnie kliknięcia linku w internecie.
    * Przerywam i tłumaczę, że opisuje dziurę CSRF w innych routerach, a nie w moim – w moim jest lewe hasło, które wpuszcza każdego. (więc np. każde urządzenie podpinające się do siebi musiało by być zaufane. Mogę swojej dziewczynie ufać, ale nie ufam, że zabezpiecza swojego kompa poprawnie. Jest granica.)
    * Pan mówi, żebym zmienił hasło do routera.
    * Tłumaczę, że się nie da, bo działają dwa różne. Moje i inne.
    * Pan prosi o podanie tego hasła.
    * Dyktuję hasło i Pan znika na moment…
    * upc: “No wie Pan co, na tę chwilę nie ma możliwości zmiany tego hasła, my też nie możemy, pracujemy nad nowym updatem softu na tych urządzeniach żeby już tej dziury nie było”
    * Ja: Kiedy można się spodziewać aktualizacji lub zmiany routera?
    * upc: “Prace są w toku, widzieliśmy też coś na onecie, na niebezpieczniku, prace są w toku. Nie wiadomo kiedy zostanie usunięte, ale prace są w toku. Nie dawno wyszło na technicolory, teraz pracujemy nad TWG.”

    Jakby ktoś jeszcze był ciekawy, to tak wygląda zdanie UPC via infolinia.

  60. Thomson (TWG-850-4 ) wersja oprogramowania : ST9A.01.11
    adresip/GatewaySettings.bin

    Brak Hasła

  61. tc7200 fw STD6.01.27 hasło widoczne, psia mać, calutkie, wyklikałem skargę, jak nie wymienią na cisco to piszę do urzędu. W końcu jak ktoś mi coś narobi z mojej sieci bez mojej wiedzy to i ja bedę miał przechalapane, takie prawo(lewo).
    Zdalny syslog mi też nie działa. O ddos nie wspomniałem.

    • Udostępnisz gdzieś pisemko? Chętnie bym też posłał.

    • Zarejestrowałem się epuap, i wyklikałem skargę do uke, dołączyłem korespondencję z upc, zaznaczyłem,że operator ma to gdzieś i poszło.

  62. O co chodzi z trendz.pl ? Na węźle wyjściowym od miesięcy mam przynajmniej 30% ruchu na tą stronę. Nie kumam tego…

  63. No może nie “ruchu” ale zapytań. W wireshark: “statistics > HTTP >requests”

  64. Analizujecie ruch wyjściowy w TORze? Ja tylko domeny czasem z nudów sprawdzam, no dobra przyznaję się bez bicia (bo jestem pijany) że trochę haseł pop3 i ftp też widziałem…

  65. Przecież ten trendz.pl to strona dla debili, czemu ja na exit-nodzie mam na to ciągle taki ruch?

  66. W ogóle jest dziwne i ciekawe czemu to jest przekierowywane na polski węzeł. Nie przypuszczam żeby wszystkie węzły wyjściowe na świecie miały 30% trendz.pl. Kiedyś myślałem, że to tylko chwila a zaraz sieć przełączy połączenia i farmazon zacznie wychodzić innym węzłem, ale to się nie sprawdziło. Nie można tu dawać załącznikół, szkoda bo bym dołączył zdjęcie z wiresharka.

  67. Jestem otwarty na poważne propozycje analizy ruchu. Znów przechwyciłem ledwie 100MB i 20% w tym to sylez.pl, trendz.pl nie ma wcale, ciekawe…

  68. Poza tym dziadostwo zaczęło zrywać połączenie na opisanym sofcie. To nie router, to psie odchody.

  69. Zapuściłem wiresharka na minute i z 250MB danych 25% zapytqń jest na stylez.pl. Bez sensu…

  70. Odpowiedź z upc:
    Szanowny Panie

    Odpowiadając na przesłaną korespondencję uprzejmie informuję, że jeżeli “atakujący” nie znajduje się w sieci lokalnej, to możliwość “ataku” jest mocno teoretyczna. Wystarczy zatem dbać o to, by nie udostępniać swojej sieci osobom niezaufanym.

    Dodatkowo wyjaśniam, że Pana router pracuje z najnowszym oprogramowaniem, które nie umożliwia zdalnego logowania do urządzenia.

    Ode mnie:
    Komentarz zbędny… ale to po prostu kpiny.

    • Uwielbiamy, jak UPC wszystkie opisane, praktycznie zobrazowane podatności w routerach nazywa “mocno teoretycznymi” ;-) Słowa którego szukają to “dziurawe, ale mało prawdopodobne do wykorzystania o ile …” :-)

    • Clue w tym, że nie chodzi o niewpuszczanie “niezaufanych osób”. Chodzi o “niewpuszczanie osób z niezaufanym sprzętem”. Dla mnie wszystkie komputery moich zaufanych kolegów są niezaufane. I mam wątpliwości co do zaufania mojej własnej komórki. ;-)

  71. Mniej więcej to im odpisałem. Poza tym to teoretyczne oznacza realne zagrożenie. M$ nie bez powodu wypuszcza łaty na teoretyczne zagrożenia-każde dla nich takie jest.
    Teraz tylko się zastanawiam czy napisać do uke skargę czy pismo czy jak inaczej. Według mnie skarga: jawne naruszenie bezpieczeństwa, i nie muszę wiedzieć czy ktoś zaufany czy nie, wystarczy zainfekowany sprzęt, potem podmiana dns i dalej wiemy.

  72. Oczywiscie tez dostalem odpowiedz o “teoretycznym ataku” (dokladnie taka jak wyzej w komenatarzach). Ale dalsze drazenie tematu i moje oburzenie odnosnie odpowiedzi chyba poskutkowaly, bo jutro maja wymienic router na modem. W zwiazku z tym wszystkim zainteresowanym taka operacja polecam naciskac i nie ustepowac.

    • Ciekawe ….. do mnie przyjechał serwisant i stwierdził że nie mają nic innego … czyste kłamstwo i oszustwo …. zaczynają mnie irytować..

  73. UPC mnie olało. Ale mam odpowiedż od UKE.
    Podejmą interwencję w związku z możliwością nieautoryzowanego dostępu w ustawienia urządzeń thomson i technicolor.
    Mam nadzieję, że wreszcie uke dobierze się do tego bezprawia.
    Ps.: epuap działa zaskakująco szybko!

  74. A mi wymienili na Ciskacza. ;-)

  75. TWG870UG. Działający WORKAROUND (dopóki nie wypuszczą łaty), do wykorzystania za każdym razem kiedy chcemy coś zmienić/podejrzeć w ustawieniach urządzenia.

    1. Logujemy się do routera, zmieniamy ustawienia albo przechodzimy tylko po stronach – nie ma znaczenia. Ważne, żeby do urządzenia poszedł request od zalogowanego użytkownika.

    2. Wywołujemy spoza zalogowanej przeglądarki jakiś zasób w panelu admina BEZ PODAWANIA danych do logowania. Możemy to zrobić w trybie incognito przeglądarki albo po prostu wgetem, np. wywołujemy poniższy adres:
    wget http://192.168.100.1/RgBackupRestore.asp

    Wget powinien zasygnalizować błąd 401.

    Jeżeli adres wpisaliśmy w oknie przeglądarki – NIE LOGUJEMY się do panelu admina, tak, żeby dostać właśnie błąd 401.

    3. Od tego momentu niemożliwe jest ściągnięcie ustawień routera:

    > wget http://192.168.0.1/goform/system/GatewaySettings.bin
    –2014-03-06 10:44:14– http://192.168.0.1/goform/system/GatewaySettings.bin
    Connecting to 192.168.0.1:80… connected.
    HTTP request sent, awaiting response… 401 Unauthorized

    UWAGI:
    1. Jeżeli tylko wywołamy jakąkolwiek stronę jako zalogowany użytkownik, plik znowu staje się dostępny.
    2. Potwierdzam, że w pliku widać hasło.
    3. Z powyższego zachowania wynika dlaczego niektóre osoby zgłaszają, że u nich nie można ściągnąć pliku.

  76. A dlaczego wszędzie jest mowa o dostępie z wewnątrz sieci a nie z zewnątrz? Domyślnie te routery mają włączone zdalne zarządzanie i opisane tu dziury działają. Sprawdzone ;-)

  77. Mam TWG870 (Vectra), ale nie zauważyłem niczego, co mogłoby być hasłem. Spróbowałem:

    > strings GatewaySettings.bin > vectra.txt
    > hydra -L vectra.txt -L vectra.txt -P vectra.txt 192.168.0.1 http-head
    Hydra v7.6 (c)2013 by van Hauser/THC & David Maciejak – for legal purposes only

    Hydra (http://www.thc.org/thc-hydra) starting at 2014-03-06 21:05:26
    [WARNING] You must supply the web page as an additional option or via -m, default path set to /
    [WARNING] http-head auth does not work with every server, better use http-get
    [DATA] 16 tasks, 1 server, 2116 login tries (l:46/p:46), ~132 tries per task
    [DATA] attacking service http-head on port 80
    1 of 1 target completed, 0 valid passwords found
    Hydra (http://www.thc.org/thc-hydra) finished at 2014-03-06 21:05:48

    Co więcej, przy pobraniu backupu po ustawieniach fabrycznych i po porównianiu obu zestawów łańcuchów, widać różnice właściwie tylko w nazwie sieci, haśle do niej (nie do panelu) i, jak mniemam, liście urządzeń, które się podpinały po wifi. Reszta jest ta sama. Domyślnie hasło musiało zostać zmienione – działało po factory defaults, nie działa po podłączeniu routera do sieci Vectry.

    Swoją drogą strasznie się ucieszyłem, jak to opisaliście, bo Vectra blokuje panel argumentując “nie, bo nie” ;)

  78. TWG850-4U na sofcie ST9D.01.09 – pobiera backup, trochę danych typu login i hasło do wi-fi, brak hasła do routera

  79. U mnie to samo. Sciągając plik Gateway Settings hasło podane jak na tacy. Co w przypadku, jeśli nie mam możliwości konfiguracji routera (opcja zablokowana przez UPC)?

  80. Kurde lol mam ten router TWG870U i Software Version STBA.01.75 po ściągnięciu pliku jest tam login i hasło na samym dole nic nie ukryte.

  81. Witam!
    Od paru dni jestem nowym klientem UPC i też dostałem modem-ruter Technicolor TC7200 i przestraszyło mnie to co przeczytałem.
    Wpisałem http://192.168.100.1/RgBackupRestore.asp oraz http://192.168.100.1/rom-0 i nie wyświetliło mi się nic, a ni też nie pobrało żadnego pliku. Tzn., że jestem bezpieczny?

  82. […] ich ciągle prowadzi UPC), które od jakiegoś czasu słyną z licznych błędów (więcej tutaj i tutaj), kolejny raz zaskakują trywialną podatnością. Po atakach CRSF i możliwości pobrania, z […]

  83. […] UPC informowaliśmy Was już wiele razy — do tej pory opisaliśmy dziury umożliwiające pobranie konfiguracji routera z poziomu niezalogowanego użytkownika (i w konsekwencji przejęcie kontroli nad urządzeniem) oraz atak CSRF […]

  84. […] zauważyć, że oprócz nazwy domowej sieci Wi-Fi ich router od UPC (w którym niedawno znaleziono kilka poważnych dziur) rozgłasza także sieć o nazwie “UPC Wi-Free“. Co ciekawe, […]

  85. Mam modem Technicolor z wyłączonym przez montera wifi. UPC zdalnie odpaliło WI-FREE. Można je wyłączyć w panelu admina routera ale po restarcie odpala się jeszcze raz. Aby na dobre zablokować należy w panelu klienta UPC wyłączyć WI-FREE.

    Do technicolora mam podpięty swój router i przez niego wifi. Niestety każdy komputer podłączony po wifi miał dostęp do panela logowania modemu technicolor :( Nawet kompy odizolowane w dodatkowej sieci GOŚĆ :(

    U siebie rozwiązałem to tak:

    -stacjonarny komp w DHCP ma zarezerwowane ip\
    -w routerze> Access Control Rule Management > Deny the packets specified by any enabled access control policy to pass through the Router
    -Modify Internet Access Control Entry:
    LAN IP Address: IP z zakresu DHCP bez ip zarezerwowanego
    Target Type: IP Address
    IP Address: 192.168.0.2 IP modemu technicolor(pomimo zmiany panel był widoczny po wifi)
    Target Port: 80
    Protocol: TCP

    ZAPISZ

    Po restarcie routera dostęp do modemu ma tylko stacjonarny komputer :D Po wifi dostęp do modemu nie jest możliwy

  86. Posiadam TWG870 z Vectry – plik pobiera się ale nie ma w nim hasła.
    Czy poznał ktoś już domyślne hasło tych modemów oferujących przez vectrę?
    Dostęp do mojego jest zablokowany a potrzebuje się do niego dostać.

  87. Trzeba być DUPOM WOŁOWOM żeby używać tylko routera jaki nam UPC dostarcza. Kupiłem samemu ROUTER kablowy w sklepie za 98 zł (cena z listopada 2014 roku) i go podłączyłem do mojego MODEMU jaki mam od UPC. Wszystko dziecinnie proste i tylko za 98 zł a nie jakieś dodatkowe pieniądze płacone miesięcznie UPC w ich niby “Promocji”. Trzeba trochę POMYŚLEĆ a nie dawać się wydymać za każdym razem przez marketingowców z UPC na jakieś ich badziewne promocje dla tępaków, których dodatkowe koszty już po 2 latach są wyższe jak cena mojego ROUTERA kupionego osobiście. Ta zasada dotyczy nie tylko UPC ! Każdy dostawca internetu DYMA klientów na promocjach bo one są oparte tylko na naiwności klientów i nieznajomości przez klientów tematu “internet a sprawa dymania klienta na kasiorę”.

  88. No prosze. A ja mam drugi router MikroTika za Thomsone, ustawilem w regulach firewalla dropowanie pakietow skierowanych do Thomsona kompletnie, Wifi z jakims haslem z /dev/random kilkudziesiecioznakowym ktorego nawet ja nie znalem a dzis rano obudzilem sie ze zresetowanym zewnetrznym routerem… Ciekaw jestem na ile to powazne i czy rzeczywiscie byl to atak czy zwyczajny blad, w koncu po tak dopracowanym sofcie to ja juz sie wszystkiego spodziewam…

  89. Update: faktycznie ta luka pozwala zmieniać ustawienia routera. Wystarczy, że ktoś w sieci wewnętrznej albo przez Wifree wejdzie na stronę, z kodem, która jest zaprezentowana powyżej. No i faktycznie ta luka jest używana, w ostatnich dniach miałem kilka resetów routera właśnie przez tą lukę.

    Ja miałem firmware z 2012 roku i mimo twardego restartu ani odłączania routera nie nastąpiła żadna automatyczna aktualizacja.

    Dzisiaj przyszedł do mnie technik i zaktualizował firmware na: Firmware Name TWG870U-BA.01.84-150504-S-1C1.bin Firmware Build Time 17:38:35 Mon May 04 2015 i test wykazał, że luka jest już załatana.

    Także posiadaczom tego routera radzę sprawdzić go testerem, który przygotował Niebezpiecznik (dzięki!). Jeśli ta strona działa, lepiej poprosić o aktualizację firmware.

    Najbardziej żenujące jest to, że UPC mimo iż luka jest znana od przeszło roku zapiera się do samego końca, że jej nie ma. Widocznie problem istnieje na taką skalę, że musi tak mówić.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: