image

Grootschalige aanval op dsl-routers via poort 7547

maandag 28 november 2016, 16:05 door Redactie, 18 reacties
Laatst bijgewerkt: 28-11-2016, 17:00

De afgelopen dagen hebben aanvallers op grote schaal geprobeerd om populaire dsl-routers via poort 7547 aan te vallen, zo waarschuwt het Internet Storm Center (ISC). De aanvallen maken misbruik van een kwetsbaarheid in de routers en zouden mogelijk ook voor de storing bij Deutsche Telekom verantwoordelijk zijn geweest.

De Duitse autoriteiten hebben inmiddels bevestigd dat door de storing door een aanval is veroorzaakt waarbij werd geprobeerd om de routers met malware te infecteren. Volgens Johannes Ullrich van het ISC zijn er via internet zo'n 41 miljoen apparaten te vinden waarvan poort 7547 openstaat. "Daardoor kan dit eenvoudig een tweede Mirai-botnet worden." Poort 7547 wordt voor het CPE WAN Management Protocol (CWMP) gebruikt en laat providers routers op afstand beheren.

De aanvallen, waardoor er willekeurige code op het apparaat kan worden uitgevoerd, zoals de installatie van malware, lijken een kwetsbaarheid in het TR-064-configuratieprotocol te gebruiken. Een exploit die hier misbruik van maakt is sinds begin november op internet te vinden. Het ISC heeft een onbevestigde lijst van kwetsbare routers opgesteld. Het zou gaan om de D1000 Wireless Router van de Ierse provider Eir, dat eigenlijk een Zyxel-modem is, en de Speedport-router van Deutsche Telekom.

Update

Het blog BadCyber meldt dat ook routers in Polen via dezelfde aanvalsmethode zijn aangevallen. Eenmaal actief op de router dicht de malware het beveiligingslek waardoor het wist binnen te komen. Zo wordt poort 7547 gesloten en daarna de Telnet-service uitgeschakeld, wat het lastig voor providers maakt om de routers op afstand bij te werken. Ook heeft het blog een uitleg online gezet hoe de aanval precies in z'n werk gaat.

Image

Reacties (18)
28-11-2016, 16:26 door Erik van Straten - Bijgewerkt: 28-11-2016, 16:27
Uit https://www.heise.de/security/meldung/Grossstoerung-bei-der-Telekom-Die-Telekom-prueft-Hinweise-auf-Hackerangriff-3506044.html:
[Update 28.11. – 12:32 Uhr] Mittlerweile scheint die Telekom die Störungen weitgehend in den Griff bekommen zu haben. Alle Speedport-Router der Telekom, die die c't-Redaktion am heutigen Montag testen konnte, stellten mittlerweile wieder problemlos die Verbindung her und zeigten keine Störungen beim Internet-Zugang.
Ik zou me maar niet rijk rekenen. De routers worden tijdens een succesvolle aanval beveiligd (door de aanvallers) om nieuwe aanvallen (door anderen) te voorkomen. Tegelijkertijd wordt er een backoor geïnstalleerd, waar natuurlijk alleen de aanvallers toegang tot hebben.

Meer info:
https://devicereversing.wordpress.com/2016/11/07/eirs-d1000-modem-is-wide-open-to-being-hacked/
https://badcyber.com/new-mirai-attack-vector-bot-exploits-a-recently-discovered-router-vulnerability/
(een recente MIPS backdoor): https://www.virustotal.com/en/file/2548d997fcc8f32e2aa9605e730af81dc18a03b2108971147f0d305b845eb03f/analysis/
https://www.virustotal.com/en/domain/l.ocalhost.host/information/
https://www.virustotal.com/en/ip-address/212.92.127.146/information/

Aangezien natuurlijk niemand een virusscanner op z'n router draait (die sowieso altijd achter de feiten aan zou lopen) zou het mij niet verbazen als er ondertussen een flink nieuw botnet is gevormd.
28-11-2016, 16:51 door Blondie
Heeft iemand al een search gedaan op Shodan voor Nederland?

rompager port:7547 country:nl
28-11-2016, 17:16 door Anoniem
Waarom fixen die Duitse ISP's niet die toegang tot die poort als ze zo een device aan hun klanten geven?
Waarom loopt het Duitse NCSC niet dit soort poorten preventief te scannen en ISP's op te adviseren ipv te zeggen dat je niet Flash Player 0.1 meer moet installeren?
Dan heb je zo een instantie maar dan moeten hackers vooral jou vertellen dat ISP's hun werk niet goed doen..
28-11-2016, 17:21 door Anoniem
Door Blondie: Heeft iemand al een search gedaan op Shodan voor Nederland?

rompager port:7547 country:nl

Met een kleine 280 op 5 miljoen wereldwijd lijkt dat nog best mee te vallen.
28-11-2016, 17:30 door Anoniem
Tja,soms snap ik de Duitse providers niet.
Ze lijken soms onzorgvuldig te zijn op de eerste verantwoordelijkheid internet veilig te houden,alvorens de klant zelf verantwoordelijk is voor zijn internetaansluiting.
Het is ook een merkwaardige poort 7547 volgens mij wordt die haast in Nederland niet gebruikt op internet.
28-11-2016, 19:25 door Anoniem
Door Anoniem: Waarom fixen die Duitse ISP's niet die toegang tot die poort als ze zo een device aan hun klanten geven?
Als ze dat zouden doen dan zouden de mensen hier moord en brand schreeuwen over net neutrality...
28-11-2016, 22:30 door Anoniem
Door Anoniem:
Door Anoniem: Waarom fixen die Duitse ISP's niet die toegang tot die poort als ze zo een device aan hun klanten geven?
Als ze dat zouden doen dan zouden de mensen hier moord en brand schreeuwen over net neutrality...
Onzin. Er worden wel meer gevoelige poorten geblokkeerd.
28-11-2016, 22:42 door Anoniem
Een ISPer die TR-064 heeft openstaan bij klanten naar het www zijn dom. Zeker niet subscriben bij zo'n provider.
29-11-2016, 00:42 door Anoniem
Drukke tijden komen er aan voor zowel hacker als beveiliger.
Berg je DLink-ie en je DocuPrint Laserprintertje maar vast op.

Hele productielijnen open voor de "exploit to rule them all: TR-069 - ~45m".

Trefwoorde: managment software, server free, open source, kpn

Veel implementaties zijn gewoon qua veiligheid niet meer serieus te nemen met dit protocol uit 2007.

Identificatie en authenticatie op http niveau, ook de verbinding gaat over http.

Vele vendors hebben niet veilig geïmplementeerd, waardoor bij compromitteren,
toegang kan worden verkregen tot gehele
" ISP's subscriber base's routers (with TR-069 enabled)".

Dat is nogal wat, mensen.

Voor rompager en waar dat wordt toegepast, leze men: https://www.symantec.com/security_response/attacksignatures/detail.jsp?asid=24686
29-11-2016, 08:30 door ph-cofi
Unconfirmed List of vulnerable routers:
- Eir D1000 Wireless Router (rebranded Zyxel Modem used by Irish ISP Eir)
- Speedport Router (Deutsche Telekom)
Zouden deze ISP modems in NL door KPN worden uitgegeven als Experia boxes?
29-11-2016, 08:33 door Anoniem
Na een scan zijn er 25000 zijn er in nederland kwetsbaar in Nederland
29-11-2016, 08:40 door Blondie
Volgens mij is de Experiabox V10 van ZTE, en is het de ZXHN H369AKPN .
29-11-2016, 09:17 door Blondie
Door Anoniem:

Vele vendors hebben niet veilig geïmplementeerd, waardoor bij compromitteren,
toegang kan worden verkregen tot gehele
" ISP's subscriber base's routers (with TR-069 enabled)".


Bedoel je hiermee dat de aanval verlopen is via een database/gegevens enz van een provider? Ik vind het gekke aan die hele Duitse aanval namelijk dat de aanval alleen in Duitsland lijkt te zijn gebeurd, alleen bij klanten van Deutsche Telekom. Dat is veel gerichter dan hackers die rucksichlos ALLE op internet aangesloten routers met dit gat aangevallen hebben.
29-11-2016, 09:39 door Anoniem


Bedoel je hiermee dat de aanval verlopen is via een database/gegevens enz van een provider? Ik vind het gekke aan die hele Duitse aanval namelijk dat de aanval alleen in Duitsland lijkt te zijn gebeurd, alleen bij klanten van Deutsche Telekom. Dat is veel gerichter dan hackers die rucksichlos ALLE op internet aangesloten routers met dit gat aangevallen hebben.
Ik zie op de firewall van mijn bedrijf poort ,7547 ook flink gescand worden.
29-11-2016, 09:57 door Anoniem
Door Blondie:

Bedoel je hiermee dat de aanval verlopen is via een database/gegevens enz van een provider? Ik vind het gekke aan die hele Duitse aanval namelijk dat de aanval alleen in Duitsland lijkt te zijn gebeurd, alleen bij klanten van Deutsche Telekom. Dat is veel gerichter dan hackers die rucksichlos ALLE op internet aangesloten routers met dit gat aangevallen hebben.

Deze aanval vond zeer zeker ook in Nederland plaats, zoals ik afgelopen zondagavond al op deze site aangaf https://www.security.nl/posting/494100/Grootscheepse+en+wereldwijde+aanval+op+poort+7547

Er werd afgelopen zondag urenlang, alleen al bij mij, zo'n 150 - 250 keer per uur op deze poort aangeklopt.
29-11-2016, 10:43 door Anoniem
Telfort had dit ook 2 jaar geleden in een van hun oudere modems. CPE maar niet openen naar het www. Maar alsnog kon je via deze open poorten via t lokaal netwerk dingen verneuken. XSS(zonder authenticatie) en local CPE DOS (door 1 pakkettje/commando te verzenden ging je gateway down. Deze dingen zijn ook erg gevaarlijk met htnl5 nu.

Telfort hun forum zelf had ook een persistent XSS die uitvoerde tijdens het laden van een pb of topic.. Zeer "goede" beveiliging..
29-11-2016, 14:08 door Anoniem
Ja dat bedoel ik, speciale management routers en gateways van ISP's hangen aan het Internet en kunnen gemakkelijk worden overgenomen door aanvallers. Daarmee kunnen potentieel miljoenen routers op thuisnetwerken worden overgenomen.
De crux van het probleem is het toenemend gebruik van het TR-069 protocol ofwel CMWP wat vele ISP's gebruiken om op afstand configuratieproblemen met routers van klanten te troubleshooten.

De meeste gebruikers weten niet dat hun ISP via Auto Configuratie Servers zo'n enorme mate van controle kunnen uitoefenen. De router administratie interface wordt meestal door firmware verborgen gehouden. En al weten de eindgebruikers ervan, dan is er meestal geen mogelijkheid om het uit te zetten.

Als iemand de ACS kan overnemen kan hij een router rogue DNS laten gebruiken om alles rogue te kunnen tunnelen en in het ergste geval kan hij via een kwaadaardige firmware update malware of een achterdeur installeren.

Als we weten dat het TR-069 protocol eigenlijk het gebruik van HTTPS adviseert en 80% dit rustig aan de laars lapt,
weten we nu inmiddels misschien wel hoe gemakkelijk we vogelvoer kunnen worden.
29-11-2016, 15:21 door Blondie
@Anoniem 14.08. Dat zou dus verklaren waarom in Duitsland zo'n specifieke groep getarget werd (door hackertoegang tot special management routers en ISP gateways).

Verontrustende gedachte: tegelijkertijd zijn er wereldwijd ook heel veel andere routers 'gewoon' aangevallen, dus niet through ISP. En al die losse aanvallen zijn vast niet zo opvallend geweest (want vele losse ziet maken toch net iets minder indruk dan veel gecombineerde aanvallen). Oftewel: iedereen focust nu op Deutsche Telecom, maar de kans is groot dat een deel van de Nederlandse routers inmiddels ook besmt is. Toch?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.