23:07
18/12/2014

Misfortune Cookie to nazwa dziury, która ma dotykać 12 milionów domowych routerów (ok. 200 różnych modeli). Dzięki temu atakowi, intruz ma mieć możliwość zalogowania się na routerze jako administrator bez potrzeby znajomości hasła — a do czego to prowadzi, pisaliśmy już nie raz (por. stracił 16 000 PLN bo miał dziurawy router).

Misfortune Cookie

Misfortune_Cookie_by_Check_Point

Producenci rozwiązań bezpieczeństwa chyba ostatnio prześcigają się między sobą, który z nich opublikuje bardziej medialny raport, o poważniejszym błędzie, z najfajniejszą nazwą i najbardziej ślicznym logiem. Po HartBleadzie i Shell Shocku, kampaniach takich jak Cleaver czas na CheckPointa i Misfrotune Cookie.

Na czym polega atak?

Do routera trzeba wysłać odpowiednio zmodyfikowane ciasteczko. Dzięki błędowi w jego obsłudzie router “głupieje” i uznaje osobę przesyłającą to ciasteczko za administratora. Atakujący korzystający z tej dziury, którzy dostaną się na poziom domowych routerów, zapewne będą podmieniali DNS-y na złośliwe, albo wykonywali inne ataki typu Man in the Middle (np. zmiana w routingu może prowadzić do przejmowania Bitcoinów).

Na razie brak kodu exploita, ale zapewne pojawi się na dniach, ponieważ… błąd ten został już ponoć załatany przez producenta w 2005 (!!!) roku, ale z analizy firmy CheckPoint wynika, że wciąż 12 000 000 routerów korzysta z dziurawej wersji tego webserwera. Jakoś nas to nie dziwi, bo dziura która w styczniu tego roku dotknęła ponad milion Polaków też została odkryta po raz pierwszy 10 lat temu (!!!).

Przyczyną dziury Misfortune Cookie ma być błąd w oprogramowaniu webserwera RomPager firmy AllegroSoft (dla wersji poniżej 4.34), w oparciu o który pracuje spora część domowych routerów różnych producentów, m.in:

  • TP-Link
  • D-Link
  • Edimax
  • Huawei
  • ZTE
  • Zyxel

Mam router; co robić, jak żyć?

Nie wpadajcie w panikę. Problem najbardziej dotyczy tych routerów, które udostępniają panel zarządzania na interfejsie WAN (od strony internetu). Ale mamy nadzieję, że po ostatniej fali ataków na routery już dawno je przekonfigurowaliście tak, aby nie dało się na nie logować od strony internetu.

Mniej ucierpią ci, którzy, choć mają wyblokowane możliwości nawiązywania połączeń z interfejsem administracjnym routera od strony internetu, to zezwalają na tego typu dostęp od strony sieci lokalnej po Wi-Fi, o ile do swojej sieci wpuszczają niezaufane osoby.

UWAGA! Taką konfigurację często spotyka się np. w kawiarniach i publicznych hotspotach — ale łącząc się z internetem z niezaufanej sieci i tak zawsze powinniście zaczynać od zestawienia połączenia VPN.

Krótko mówiąc, najlepiej całkowicie zablokować zarządzanie routerem od strony internetu, oraz od strony sieci lokalnej (Wi-Fi), a zostawić możliwość administracji jedynie poprzez bezpośrednio połącznie “po kablu” (nie zapomnijcie tylko schować routera do szafeczki na kłódkę, żeby nikt swojej skrętki mu nie wsadził :)

Można też oczywiście — co zawsze polecamy — sprawdzić czy Wasz router udźwignie alternatywny firmware, taki jak OpenWRT lub Tomato …i przeflashować go (oraz całej swojej rodzinie, w prezencie pod choinkę).

PS. Ciężko oprzeć się wrażeniu, że Checkpoint robi z tego zananego od 9 lat błędu marketingowo-PR-ową zagrywk, pt. kup naszego firewalla. Najbardziej jednak urzekły nas słowa ilustrujące “realne” zagrożenie związane z tą dziurą:

“mogą ci się włamać na kamerkę za pomocą tego błędu”

i dopisek w nawiasie: “potencjalnie, jeśli używasz domyślnego hasła“… Niniejszym ogłaszamy więc, że możemy się włamać na skrzynkę e-mailową prezesa CheckPointa (jeśli potencjalnie używa domyślnego hasła).

Przeczytaj także:

67 komentarzy

Dodaj komentarz
  1. … i dlatego przed zakupem rutera sprawdzam, czy można zainstalować na nim jakieś open-cośtam.

    • I co ci po open-cośtam, skoro nie masz bladego pojęcia jak to skonfigurować. Tu zaptaszkujesz, tam odptaszujesz i narobisz jeszcze więcej dziur.

    • Taaa… panie asd. Bo nie ma to jak wierzyć,że producent zawsze wie lepiej… ;)

    • @ asd 2014.12.18 23:35 “I co ci po open-cośtam, skoro nie masz bladego pojęcia jak to skonfigurować.” <- wróżka? Open-cośtam raz w życiu widziałeś? Chyba nie bardzo, bo miesza ci się open-cośtam z web-interface do open-cośtam. PS polecam też maść na ból … wiesz co Cię boli.

    • ao29_5 – nie twierdzę, że producent wie lepiej. Twierdzę, że spora grupa tych ludzi, którzy instalują różne tomato, open-wrt tak naprawdę nie ma większego pojęcia co i jak powinno być skonfugurowane, poprostu kopiują jak małpy ustawienia zapodane przez innych.

    • Rafał – wiele widziałem :P Tak się składa, że mam ccna security zrobione i pare innych (wybacz ale numerów nie podam) więc (_Y_) to moze ciebie bolec, mnie nie.

    • asd: zglos sie jak zrobisz ccnp, ccie (zakonczone zdanym egzaminem zewnetrznym), LPIC1,2,3.
      i ogolnie nie zawaracaj…

    • syn siostry zakonnej rozumiem, że ty takimi możesz się pochwalić… akurat jestem w trakcie przygotowań do ccnp r&s
      I nie zawracam, pierd…cie tu o open source jakby to miało być lekarstwo na wszystko. Wyciagnij jeden z drugim głowę z (_Y_) w końcu. Błędy w systemach to jedna sprawa, a gówniana wiedza o prawidłowej konfiguracji to inny temat, więc się tak nie spinaj

    • asd – co się spinasz ludzie to niech sobie kopiują nawet jak słonie, a Ty możesz mieć nawet certyfikat prowadzenia samochodu pod wodą … najważniejsze tak naprawdę jest aby wszystko działało
      i pamiętaj: ból d…y gorszy od bólu głowy ;P

  2. okej, mam Netia Spot(oke, zanim ocenicie – małe mieszkanie, nie potrzeba większej mocy a i z uptimem nie ma problemów, sieć działa jak powinna) – czy jest podatny?

  3. W oryginale
    a) nie ma nic o kamerze w laptopie
    b) *potentially* using default credentials – gdzieś mijają się z prawdą?

    “Can you further explain the technical risk?
    […]
    For example, an attacker can try to access your home webcam (potentially using default credentials, as we’ve recently seen in the news) or extract data from your business NAS backup drive”

    c) to jest napisane dla nie-geeka i moim zdaniem przykłady są dobrze dobrane (do zrozumienia przez przeciętnego odbiorcę), w przeciwieństwie do hipotetycznego “spenetrowania LANu, eskalacji przywilejów, przejęcia kontrolera domeny za DSLem i w ogóle emacsa sendmailem”. Taka sztuka dla sztuki.

    A że robią sobie przy tym marketing? NIe gorszy niż Wasz case z Basią, Zosią i informatyką śledczą :)

    Full disclosure: w domu mam Huawei, w robocie tysiące Checkpointów.

  4. “Ale mamy nadzieję, że po ostatniej fali ataków na routery już dawno je przekonfigurowaliście tak, aby nie dało się na nie logować od strony internetu.”
    “My” tak, ale pewnie ok. 60-70 % innych ludzi nie…

  5. “You are trying to access a website that has been blocked by the ‘Acceptable Use of xxxxx Systems Policy’. Reputation: phishing”.

    Taki mały komunikat korporacyjnego firewalla po wejściu na stronkę mis.fortunecook.ie

    • A korpo firewall to Checkpoint czy konkurencja ? ;)

  6. Mikrotika to nie tyka :D

  7. Jak fajnie czyta się takie newsy kiedy na półce stoi Buffalo WZR-600DHP2-EU z zainstalowanym DDWRT na dodatek z suportem producenta ;)

    • Amatour.

  8. Czy postawienie Linuksa na starym komputerze, który i tak jest nie używany i skonfigurowanie go jako routera jawi się jako bezpieczniejsze rozwiązanie w świetle tych wszystkich ostatnich dziur, podatności i pogłoskach o firmowo instalowanych w Cisco backdoorach?

    • Moim zdaniem tak. Po przebojach z Cisco i problemach z VPN-SSL na routerach – helpline który próbował gadać po polsku z indonezyjskim akcentem a potem po angielsku z naleciałościami wietnamskimi wymiękłem. Wyp..rosiłem router Cisco – wsadziłem PowerEdge który miałem pod ręką na nim Slackware. Teraz ja jestem master i jak sobie pościele tak się wyśpię. A możliwości konfiguracji ustawień nawet drogich firewalli w sprzęcie do możliwości budowy wyrafinowanych łańcuchów w iptablesach, IPS’ach itp generalnie są niepowalające. Kwestią jest skalowalność – bo do dużej sieci trzeba sporą rurę i duży ruch przepychać – ale nie jest to nic czego by Xeon nie zmielił.

      Inny przykład – jeden z kontrahentów zakupił za sporą kasę firewall’a FortiNet’a – doli, goli i robi lody – tylko zrywa sesje VPN przy niezbyt długiej bezczynności. Połączenia często mamy takie, gdzie sporo się robi na jednej końcówce a jednocześnie do serwerowni właśnie rzeczonym VPN-em przy backendzie się grzebie. I fajnie jest – ale wydłużenie czasu sesji IDLE połączeń okazuje się sprawą nietrywialną i problem tworzy się tam gdzie nie było go…

    • Jeśli jesteś na bieżąco z tematem i potrafisz to jeszcze odpowiednio skonfigurować, nie przeszkadza ci szum wiatraków, i stać cie na rachunki za prąd…

    • Tak.

    • a te pogloski na temat backdoroow w cisco, to w tv republika byly czy w fakcie?

    • Ja również postawiłem liuxa jako firewalla w mojej firmie ( 500 userów) i działa jak talala. Próbowałeem paru podejsc do róznych utm (sophos, cyberoam, barracuda) ale na końcu zawsze okazuje się że zamiast klikac 50 razy zeby coś zrobić można to samo za pomocą kopiuj wklej zrobic 10 azy szybciej z poziomu cmd. Poza tym iptables to potęga, jak znasz się na linuxie i iptablesach to zrobisz co tylko dusza zapragnie.

    • @Lukasz na jakim routerze te problemy? Masz dobry słuch do akcentów jak widać. Jeżeli angielski z naleciałościami sprawia Ci problem, to dlaczego nie zadzwoniłeś do polskiego Cisco TAC – na stronie cisco.com można znaleźć numer? Jeżeli nie potrafisz dogadać się z supportem (który nie bez powodu *jest* ceniony w branży) to *poprawna* konfiguracja SSL-VPN może Ci sprawiać kłopoty.

      Co do Fortineta – IIRC można skonfigurować keepalive, a po drugie można wydłużyć TTL dla danej usługi / protokołu.

      Chyba nigdy nie byłem w sytuacji, że problemu nie dało się rozwiązać z pomocą producenta, czasami zajmuje to dłużej (np. produkty do zarządzania od Checkpointa – ze względu na ich złożoność i konieczność użycia ludzi z R&D do debugowania), czasami od ręki w trakcie rozmowy (Sourcefire wymiata).

    • Nie zapominaj, że stary komp w roli rutera jest kompletnie nieakceptowalnym rozwiązaniem w warunkach domowych, bo jest zbyt duży i energochłonny. Z drugiej jednak strony taki ruter w starym kompie może być też NAS-em. Ewentualnie nadawałby się komputer w miniobudowie, bo jednak w domu nikt nie zaakceptuje wielkiego grata. Może w firmowej serwerowni taki ruter ze starego komputera jakoś przejdzie. Poza tym Linux na kompie w roli rutera ma masę niepotrzebnych ustawień i aplikacji, a to jak wiadomo otwiera luki do ataków. Dlatego wymyślono małe i wygodne w konfiguracji rutery wyspecjalizowane tylko do obsługi ruchu sieciowego. Do niedawna producenci nawet nie przejmowali się estetyką tych sprzętów, ale to się na szczęście od pewnego czasu zmieniło.

      Ciągle powtarzam, że problemem ruterów jest w wielu przypadkach brak prostej procedury aktualizacji firmware, co skutkuje nieaktualizowaniem softu przez userów. Netgear coś w tej kwestii zrobił, bo w oprogramowaniu rutera można sprawdzić dostępność aktualizacji i pobrać nową wersję firmware bezpośrednio w ruterze. Inni producenci też powinni iść tą drogą, bo inaczej rutery nie będą aktualizowane. A ściślej mówiąc będą aktualizowane głównie modemy kablowe i xDSL dostarczane przez operatorów, bo nad nimi mają władzę operatorzy a klient zwykle ma taki sprzęt w dzierżawie.

    • Paweł Nyczaj@
      Zgadzam się z tobą w większości – jednak domowy serwer jako m.in. ruter nie jest nieakceptowalny, a to dlatego, że na tym serwerze możesz sobie zainstalować dużo innych rzeczy pobocznych. System kontroli wersji, serwer www, ftp, samba, ownCloud’a i inne cuda niewidy. Serwer tylko jako ruter to tak.. przerost formy nad treścią.

  9. Dlatego najlepiej mieć mikrotika gdzie się tylko da :)

    • tak, mikrotik super sprawa. co update, to przestaja dzialac rzeczy ktore dzialaly i zaczynaja dzialac te ktory nie dzialaly w poprzedniej wersji. wieczna wersja alpha bo nawet nie beta. naiwni kupuja, daja sobie wkrecac, ze maja sprzet klasy cisco/juniper/etc, a tak na prawde sa wiecznymi apha/beta testareami i jeszcze za to placa.

  10. A co z alternatywnym oprogramowaniem routera w postaci DD-WRT? Mam nadzieję, że również nie jest podatny na opisany atak (choć i tak mam wyłączone logowanie spoza LAN po kablu, to pytam z ciekawości).

  11. Jakie jest “domyślne hasło” na skrzynkę mailową? ;)

    • duba.8

    • Faken … dupa.8 miało być :)

    • A nie ma ? :D

      dupa
      dupa1
      admin1

      i takie tam….

  12. Forti guard blokuje stronke: mis.fortunecook.ie

    • U mnie nie blokuje.

  13. “HartBlead”: 2 sylaby, 2 błędy.

    • Misfrotune Cookie – też nie dużo lepiej. Chyba, że to inny typ ataku poprzez froterujące cookie.

    • O to chodziło. Zapis fonetyczny.

  14. “zananego ” to musiał być bardzo zanananaznany błąd ;-p przypomina mi się kawał:
    Pani w szkole prosi dzieci by ułożyły zdanie ze słowem ANANAS. Dzieci łapki w górę, chętne do odpowiedzi. Pani pyta Zosię:
    – ANANAS to moj ulubiony owoc.
    – Pięknie Zosiu, piatka. Może ty Stasiu:
    – ANANAS to tropikalny owoc.
    – Pięknie Stasiu- mówi pani.
    Jasio wyrywa się cały czas:
    – Ja, ja, ja chcę powiedzieć!
    Pani z duszą na ramieniu pyta Jasia.
    – Mój tata wczoraj jadł kiełbasę aNAnas nawet nie spojrzał…

  15. Serwer www RomPager jest używany przez firmę DIGI w urządzeniach embedded, np bramkach IoT.

  16. NIe każde oprogramowanie alternatywne będzie sie nadawać. Np.w Gargoyle nie ma prostego sposobu (jak np. w dd-wrt) wyłączenia dostępu do panelu administracyjnego przez wi-fi.
    Znalazłem takie coś, ale poziom zaawansowania jest wysoki:
    You could create new interface and bridge it to br-lan interface. Then you would pass Wifi traffic throught this new wifi interface. After that you could just use iptables to block access from this interface.
    None of this two can be done from Gargoyle GUI sadly

    • Większość sprzętu który rozpoznaje z listy to i tak są router z modemami ADSL na nie zasadniczo alternatywnego softu i tak nie ma

  17. Nie wiem czy to przez ten atak mogę to mieć lecz od niedawno nie mogę w ogóle wejść na router (interfejs się nie wgrywa i pisze pobieranie skryptu) i rozłącza niekiedy z internetem. Router: TP-Link W8961ND. Wiem że jest on wymieniony jako podatny na atak.

  18. Domowy router sprzed 2005? 802.11a 54Mb?

  19. ściema jakaś albo zwykła reklama
    http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9222
    nie ma takiego CVE w bazie

  20. Faktycznie dostawcy domowych routerów to generalnie idioci
    powinno się na nich kary nakładać za defaultowe udostępnianie takich interfejsów w WAN
    przy takiej jakości oprogramowaniu.

    Na razie jest jeszcze względny spokój mało technikaliów związanych z bugiem i równie dobrze można by się podniecać faktem że ktoś może zacząć zgadywać hasła albo próbować domyślnych.
    No ale jakby tak zaatakowali w wigilijny wieczór :) to sajgon jak jasny ch***

    • Również uważam, że osoby tworzące tego typu oprogramowanie/sprzęt zawierający tak grube błędy/dziury to po prostu albo idioci albo jest to robione celowo.

  21. Oczywiście, że odpowiednio skonfigurować! Oczywiście najpierw przeczytać instrukcję (to NIE jest oczywiste). Najsensowniej nadać uprawnienia tylko jednemu komputerowi (po kablu, a jakże!) z jednym, określonym adresem MAC. małe prawdopodobieństwo, że ktoś MAC będzie znał symulował…

    • wydaje ci się, że małe…
      najpierw nasłuchuje się w sieci i zbiera dane jej dotyczące. A potem podszywasz się na początek pod komputer administratora. Wtedy z jego danymi (IP / MAC) podczas jego nieobecności łączysz się z accesspointem. Admin jak jest dupa to o twoim wyczynie nawet się nie dowie. Chociaż… zdarzają się zbiegi okoliczności :D

    • Może się mylę, ale przy połączeniu kablowym ten ‘wektor ataku’ nie ma racji bytu? Podkreślam, że powiązanie IP/MAC jest na stałe zaszyte w konfiguracji routera i wyłącznie ten komputer o okreslonym MAC ma możliwość wejścia na panel administracyjny

    • Nabezpieczniej konfigurację powinno się przeprowadzać przez RS232 :)

    • Demon75@ nie, no OK, dobrze gadasz. Jeżeli patrzeć tylko i wyłącznie na ten typ ataku. Ja mówię bardziej ogólnie o wbiciu się komuś na accesspointa. Napisał bym więcej kilka przypadków z życia wziętych.. ale sam rozumiesz.

  22. Witam,

    może nie na temat ale co dzieje się z google. Mam neta po netii i nie mogę zalogować się na gmail. Czy ktoś wie coś na ten temat ?

    Pozdrawiam.

  23. ©2015 Check Point Software Technologies Ltd.
    Raport z przyszłości!

  24. Chętnie bym przeflashował mojego Thomsona od Upieca, ale nie wiem jak a *WRT nie jest dostępne.

    Co do podmiany DNS to mi to tam zwisa i powiewa bo mam ustawione DNS na sztywno w komputerze – nie pobiera ich z rutera. Kradzieży bitmonet też się nie boję, bo mój komputer za słaby do miningu.

    • Z tego co wiem to nie jest dostępne.

  25. Się przestraszyłem już, bo ostatnio w robocie robiliśmy wymianę, ale asusów na szczęście nie widzę na liście.

  26. Dla posiadaczy starszych routerów TP-Link adsl z pewnością jest do pobrania nowszy firmware na stronie producenta .Warto zaktualizować router po tych ostatnich atakach…Oczywiście przez kabel, od strony panelu administracyjnego routera.A mała uwaga podczas aktualki wyłączamy antywira…

  27. Wygląda na to, że Check Point znalazł nowy sposób promocji słabo sprzedającego się produktu ZoneAlarm. Teraz można go kupić za “speszial prajs” $9.

    Wystarczyło trochę postraszyć bez żadnych konkretów podając przerażające liczby potencjalnie dziurawych urządzeń i sprzedaż szybko wzrośnie ratując bilans roczny firmy.

    Błąd powinien nazywać się raczej “Misfortune Sales” ;-)

  28. A ja jestem ciekawe na co można wymienić Thompson TWG870UG za niedrogą kasę oraz czy sama wymiana sprzętu odbyła by się bez “fachowców” z kablówki, którzy to musieli by znowu wpisywać magiczne hasła i numery (pewnie seryjne lub MAC) na swojej strony www.

    • Coś mi się zdaje, że nie będzie tak łatwo, chyba, że znajdziesz router kablowy ze zmiennym MAC na porcie HFC i ustawisz go na MAC poprzedniego routera – w przeciwnym razie CMTS kablówki nawet nie zobaczy twojego sprzętu.

  29. Zone Alarm mozesz sobie pobrac za darmo, finansowe wyniki Check Point maja sie zupelnie dobrze od wielu lat i Zone Alarm nie ma na to żadnego wpływu. Uwierz, wiem :)

    • Mam wrażenie, że Check Point specjalizuje się w strategii marketingowej polegającej na straszeniu. Słynna już sprawa darmowej wersji Zone Alarm, która działała jak scareware (http://www.tomsguide.com/us/ZoneAlarm-firewall-Scareware-Trojan-Check-Point,news-8069.html) spowodowała, że wiele osób odpuściło sobie ten produkt.

      Teraz mają szansę poprawić wyniki.

    • @AlAraf – Naprawdę sądzisz, że produkt typu ZoneAlarm ma inny niż znikomy wpływ na ich przychody (1.4 miliarda dolarów w 2013)? Może jakiś product manager popłynął z tym pop-upem ale nie nie z tego Checkpoint żyje…

  30. Ludzie bo to trzeba paloalto kupować a nie jakieś sophos, Check Point, cyberoam, barracuda czy inne dziwactwa.

  31. Może warto byłoby zrobić mały update artykułu, bo opublikowali listę podatnych urządzeń:
    http://mis.fortunecook.ie/misfortune-cookie-suspected-vulnerable.pdf

    Na pewno nie jest to katalog zamknięty, bo problem dotyczy wszystkich urządzeń z Allegro Software Rompager wersja poniżej 4.34 (nie mylić ze znanym portalem aukcyjnym).

    Jest też już skrypt do MSF, więc można sprawdzić swoje zabawki.

    Ciekaw jestem czy rzeczywiście problem jest tak powszechny jak napisali i gdzie jeszcze wylizie. Być może również w “Super Ekstra Ultra Routerach WiFi” oferowanych przez znanych ISP dla Kowalskich i Nowaków, gdzie zdalny dostęp z WAN to ficzer :-)

  32. Kiedyś dla zabawy bruteforcowałem ZyXela, nie pamiętam modelu. Efekt był taki, że router po 2 minutach głupiał i przyjmował dowolne hasło. Muszę przetestować to na TP Linku może pracuje na tym samym firmware.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.