image

Achterdeur in Speedtouch routers treft miljoenen consumenten

dinsdag 9 oktober 2007, 11:36 door Redactie, 21 reacties

Onderzoekers hebben verschillende beveiligingslekken in de Thomson/Alcatel Speedtouch routers ontdekt waardoor een aanvaller een achterdeur kan installeren, de WEP/WPA sleutel kan stelen of de draadloze functionaliteit in z'n geheel kan uitschakelen. De routers worden wereldwijd door miljoenen consumenten gebruikt. Het enige dat een aanvaller hoeft te doen is een Speedtouch gebruiker een kwaadaardige pagina te laten openen.

Hoewel het probleem in de Speedtouch 7G router is aangetroffen, zijn ook andere modellen kwetsbaar omdat die dezelfde code gebruiken. "Natuurlijk zijn er ook andere aanvallen mogelijk. We kunnen elke actie met volledige adminrechten kapen of elke informatie van de router pagina stelen. Dit betekent dat het gevaar van de exploits alleen door de fantasie van de aanvaller beperkt is", zegt Petko Petkov.

Door een lek in de router is het administrator wachtwoord niet nodig om toegang te krijgen. De web interface van het apparaat is namelijk zeer kwetsbaar, waardoor een aanvaller eenvoudig het authenticatie gedeelte kan omzeilen. De onderzoekers hebben de betrokken partijen ingelicht, maar verwachten geen reactie. Vorig jaar ontdekte Petkov een ander probleem in de apparatuur. Ondanks een duidelijke beschrijving van het probleem ontving hij nooit een reactie.

Reacties (21)
09-10-2007, 11:51 door SirDice
Ze misbruiken de remote assistance functie. Daar krijg je inderdaad full access mee vanaf het Internet. Je moet dit zelf aanzetten, het staat niet default open, en waarschijnlijk gebruiken ze een client-side javascript, wat geladen wordt nadat je op een link geklikt hebt, die dit even "onderwater" aanzet.
09-10-2007, 12:30 door Anoniem
Lekker zeg,

Word je router straks misbruikt voor allerlei rare misdadige zaken.

Als ik het geod begrijp niet enkel de draadloze modellen?

Nou dan hebben KPN en XS4all wat huiswerk te doen...
09-10-2007, 13:16 door Anoniem
Door Anoniem
Nou dan hebben KPN en XS4all wat huiswerk te doen...

Is al in onderzoek:

Het zou eventueel de Internet versie van de ST780 kunnen treffen mits
Remote Assistance wordt ingeschakeld. Standaard blijft deze 20 minuten
aanstaan en zal dan bij geen activiteit weer uitschakelen.
In de KPN Experia Box is deze functie niet aanwezig.
09-10-2007, 13:23 door Anoniem
LOL bijna heel Nederland gebruikt die dingen // ik heb een
linksys :P
09-10-2007, 13:38 door Anoniem
Door Anoniem
Lekker zeg,

Word je router straks misbruikt voor allerlei rare misdadige zaken.
Correct, maar dit schept ook een precedent richting justitie. Het is nu altijd
mogelijk om je router de schuld van wat dan ook te geven toch?....
09-10-2007, 13:59 door Anoniem
Door Anoniem
LOL bijna heel Nederland gebruikt die dingen // ik heb een
linksys :P
Die heeft net zo goed loopholes in de beveiliging
09-10-2007, 14:21 door Anoniem
Één en ander houdt dus in dat voor gebruikers van een
Speedtouch zònder 'Remote Assistance' er volkomen niks aan
de hand is?

Mijn SpeedTouch 510 heeft die (onnodige/ongewenste) optie
b.v. niet = :-))

Is dat correct?
09-10-2007, 15:05 door SirDice
De sleutel is inderdaad die Remote Assistance feature. En volgens mij heeft die 510 dat niet.

Overigens lijkt mij het simpelweg beveiliging van de admin toegang (van binnenuit) ook al voldoende om deze truuk te niet te doen..
09-10-2007, 15:16 door Martijn Stolk
Door SirDice
Ze misbruiken de remote assistance functie. Daar krijg je
inderdaad full access mee vanaf het Internet. Je moet dit
zelf aanzetten, het staat niet default open, en
waarschijnlijk gebruiken ze een client-side javascript, wat
geladen wordt nadat je op een link geklikt hebt, die dit
even "onderwater" aanzet.
Volgens mij heb je dit te snel geconcludeerd. Het aanzetten
van de remote assistance functie wordt als voorbeeld
gebruikt. Door het bezoeken van een "besmette" pagina wordt
de remote assistance aangezet. Dit heb je dus niet zelf in
de hand in dat geval.

Andere voorbeelden die genoemd worden is dat je wifi
uitgezet wordt of dat het wifi wachtwoord achterhaald wordt.

Basispunt is simpelweg dat er toegang tot de webinterface
mogelijk is zonder administrator wachtwoord, waardoor ze
feitelijk alles met je router kunnen doen.

[edit]
Je laatste zin toch niet al te best gelezen. Maargoed het klonk beetje alsof je het erg ongevaarlijk vondt. ;) Foutje!
[/edit]
09-10-2007, 15:30 door Anoniem
Nou,

Maar eens weer een refresh doen vd thuissituatie.
09-10-2007, 15:58 door SirDice
Door Martijn Stolk
[edit]
Je laatste zin toch niet al te best gelezen. Maargoed het klonk beetje alsof je het erg ongevaarlijk vondt. ;) Foutje!
[/edit]
Ongevaarlijk, in zo verre dat je dus iets moet uitvoeren (een besmette pagina bezoeken dus) wil dit lukken. Da's nogal een "mitigating factor". En het is dus geen "lek" maar slim misbruik van een feature door middel van client-side javascripting en wat social engineering. Wat overigens niet wil zeggen dat dat niet voor problemen kan zorgen. De virus top 10 staat altijd vol met dingen die iets soortgelijks doen.

Ik maak me meer zorgen om UPnP wat meestal standaard aan staat op dit soort routers.
09-10-2007, 17:34 door Anoniem
Java....Ik neem aan dat het bezoeken van een kwaadaardige
website met een dergelijk script tegen de lamp loopt als er
gebruik gemaakt wordt van Firefox waar de laatste versie van
NoScript extensie actief is?

Als ik het verkeerd heb, dan wil ik dat graag eens horen.Kan
iemand hier zijn licht over dit probleem laten schijnen?

Reacties zijn welkom.
09-10-2007, 17:42 door SirDice
De details zijn (nog) onbekend maar een mogelijke manier is
middels een client-side script (java of javascript). In dat
geval helpt NoScript dus heel goed :)
09-10-2007, 18:36 door Thing
block return out quick on $ext_if from $pc_int to $router

Toch lekker, internetten met BSD/pf ertussen.
09-10-2007, 18:47 door Anoniem
Door SirDice
De sleutel is inderdaad die Remote Assistance feature. En
volgens mij heeft die 510 dat niet.
Bedankt. Nee, dat heeft ie zeker niet.

Overigens lijkt mij het simpelweg beveiliging van
de admin toegang (van binnenuit) ook al voldoende om deze
truuk te niet te doen.. [/quote]Je bedoelt een wachtwoord op de Speedtouch zetten? Dat heb
ik al heel lang, al ben ik hier de enige gebruiker, voor het
geval dat het ooit nog eens nodig zou blijken...

Iemand anders had het nog over UPnP uitzetten, dat is een
tijd bekend, en een goed idee (want wie heeft dat nou
helemaal nodig).

Jammer dat zulke apparaten van de fabriek af vaak met zulke
foute standaardinstellingen geleverd worden.

Maar ja, het gemak dient de mens, en dan verkoopt het beter,
waarschijnlijk.
09-10-2007, 21:04 door SirDice
Maar dan kun je er zelf ook niet meer bij :P

Wat ik me dus alleen afvraag.. Als je de webinterface gewoon beveiligd met username/password (en dat is standaard dus niet zo) dan kan dat client-side script dus ook niets meer.

Normaal gesproken is de admin webinterface alleen toegankelijk via de interne (fysieke) interface(s) (WiFi, LAN). En de remote assistance, beveiligd met een wachtwoord, kun je alleen open zetten via de admin webinterface. Dat is zelfs tijdelijk, het gaat na een x aantal minuten weer dicht. De "noodzaak" om die admin webinterface te beveiligen was er ook niet echt in een thuis situatie. Gebruikersgemak enzo...

Dat gezegd kun je dus meestal wel op die admin webinterface authenticatie aanzetten. En dan geen standaard username/password er op zetten, dat lijkt me duidelijk. Maar ja, da's natuurlijk niet zo gebruikersvriendelijk. Gelukkig
ook niet voor dit soort truukjes.

Overigens geldt dit hele verhaal ook voor telnet achtige interfaces. Die zijn meestal al wel voorzien van authenticatie echter is dat vaak een standaard username/password. En dit client-side script truukje kan dan ook.
09-10-2007, 23:41 door [Account Verwijderd]
[Verwijderd]
10-10-2007, 08:24 door SirDice
Is dit hele client-side scripting verhaal inclusief
openzetten van de remote assistance niet de bypass?

Mocht dat niet het geval zijn dan lijkt me een firmware
update van Thompson op z'n plaats.
14-10-2007, 11:17 door Nomen Nescio
Dus is een MAC-adres beveiliging nog altijd beter dan WEP of WPA, want
dan heb je tenminste nog één stap tussen veilig werken en kraken.
13-11-2007, 16:23 door Anoniem
Door NielsT
Door SirDice
Maar dan kun je er zelf ook niet meer bij :P

Wat ik me dus alleen afvraag.. Als je de webinterface gewoon
beveiligd met username/password (en dat is standaard dus
niet zo) dan kan dat client-side script dus ook niets meer.
(...)

The only requirement for the router to be owned is
that a victim user visits a (malicious) website. The good
news is that our exploits do NOT require knowledge of the
admin password! How can that be? Well, we rely on a
authentication bypass bug we discovered!

Maybe good to mention you can also create a
so-called SuperUser, which has permanent
Remote Access and overrulez the Administrator account.

You need to know the CLI to create a SuperUser properly.

ST support guy :)
14-09-2008, 12:58 door Anoniem
Door Nomen NescioDus is een MAC-adres beveiliging nog altijd beter dan WEP of WPA, want
dan heb je tenminste nog één stap tussen veilig werken en kraken.
Het is geen of/of erhaal. De combinatie van WEP én MAC adres is de juiste beveilging.Plus het uitsluitend toestaan van de apparaten die door de admin zijn ingesteld. Bovendien is een extra firewall op de pc nog een aardige hindernis. En dan niet zo een die alleen ingaand verkeer blokkeert, zoals dat Windowsding.

"De gebruiker geeft toegang tot de inbreker..."

Jur
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.