Trzepak.pl


Nowy temat  Odpowiedz w temacie
Autor Wiadomość
Post: wt, 15 gru 2015 21:15:05 
Odpowiedz z cytatem
Offline
Żółtodziób
Żółtodziób

Rejestracja: wt, 15 gru 2015 21:02:03
Posty: 9
Hej!


Odnotowałem ostatnio kilka przypadków podmiany oryginalnego softu w routerach tp linka chodzących w małej sieci (~1000 stacji) na open wrt luci. Czy ktoś z Was spotkał się z takim atakiem? Problem dotyczy tp-link wr 740 N i 841 N. Wszystkie routery były zahasłowane co najmniej 8 unikalnymi znakami (dla przykładu 189fuqebCv). Ktoś miał podobne przypadki?

Pozdrawiam


Na górę
Post: wt, 15 gru 2015 22:27:41 
Odpowiedz z cytatem
Offline
Mistrz pióra
Mistrz pióra

Rejestracja: pt, 21 gru 2012 17:01:55
Posty: 2120
Lokalizacja: /usr/src/sys
temat bity z tysiac razy na tym forum. Wystawienie tp-linka wanem na swiat to strzal w kolano. Jednak dziwne bo zeby sie na niego zalogowac musialo byc ustawione remote ip 255.255.255.255 do zarzadzania.

_________________
Chcialbym zeby mi sie tak bardzo chcialo jak bardzo mi sie nie chce.


Na górę
Post: wt, 15 gru 2015 22:36:33 
Odpowiedz z cytatem
Offline
Obsesyjny prozaik
Obsesyjny prozaik

Rejestracja: pt, 07 lut 2014 12:12:55
Posty: 1024
było na forum jakieś 4 miechy temu - podobny opis. pozostało bez odpowiedzi czy to jest "stockowe" luci czy jednak coś innego wkompilowanego...


Na górę
Post: wt, 15 gru 2015 22:37:58 
Odpowiedz z cytatem
Offline
Żółtodziób
Żółtodziób

Rejestracja: wt, 15 gru 2015 21:02:03
Posty: 9
Hmmm od 10 lat używam tp linków i z takimi modelami jak wr340g nigdy nie miałem żadnych problemów. Na świat wystawiam wtedy gdy jest mi/klientowi to potrzebne więc jakiś procent zawsze miałem wystawiony na świat i nie wiązało się to z bólem. Zbiegło się to wszystko z atakiem na serwer dns z chińskich adresacji.

Pomijając już: "jak?" bardziej ciekawi mnie "po co?" Automatycznie po wgraniu softa traci przecież dostęp (open wrt wycina domyślnie dostęp od strony WAN) natomiast router po restarcie działa prawidłowo. Do czasu restartu niestety nie działa mu po prostu serwer DHCP. Co za tym idzie większych szkód nie wyrządza.


Pozdrawiam


Na górę
Post: śr, 16 gru 2015 0:06:22 
Odpowiedz z cytatem
Offline
Moderator
Moderator
Awatar użytkownika

Rejestracja: czw, 18 lis 2010 9:00:53
Posty: 3680
Lokalizacja: Mazury
Dziury w silniku, chyba dotyczące nie tylko tp-linka :)

_________________
# http://kazuko.pl ☚☜ synchronizacja LMS -> MikroTik (DHCP,PPPoE,Simple Queue) po API / GUS / JPK


Ostatnio zmieniony śr, 16 gru 2015 0:16:30 przez noyo, łącznie zmieniany 2 razy.

Na górę
Post: śr, 16 gru 2015 0:06:53 
Odpowiedz z cytatem
Offline
Leniwy eseista
Leniwy eseista

Rejestracja: pt, 02 paź 2015 9:58:39
Posty: 576
Uchylisz rąbka tajemnicy i powiesz jak udało Ci się odczytać hasło?

A to czasami nie było jakieś celowe działanie kogoś obytego w świecie routerów do którego Twoi Klienci się zwrócili o pomoc?

Próbowałeś ustalać jakieś interakcje wśród tych Klientów? Koledzy? Brat? Szwagier?


Na górę
Post: śr, 16 gru 2015 3:23:54 
Odpowiedz z cytatem
Offline
Mistrz pióra
Mistrz pióra

Rejestracja: pt, 21 gru 2012 17:01:55
Posty: 2120
Lokalizacja: /usr/src/sys
ktos kiedys w podobnym temacie madrze napisal. OpenWRT to linux. Czyli system - srodowisko uruchomieniowe dla skyptow i aplikacji. Uwazasz ze ktos kto zdalnie zainstalowal tego Opena posadzil czysta wersje czy moze raczej dodatkowo podrasowana softem do weszenia po sieci? Dostep dostepem ale wystarczy by przechwycic pare haselek.
Oryginalny soft tp-linka ma ta zalete ze jest prosty jak konstrukcja widel i tam nic nie zainstalujesz.

siona pisze:
było na forum jakieś 4 miechy temu - podobny opis. pozostało bez odpowiedzi czy to jest "stockowe" luci czy jednak coś innego wkompilowanego...

zeby to stwierdzic trzeba by chyba rozmontowac opena na atomy. A to juz nieco wyzsza szkola jazdy

_________________
Chcialbym zeby mi sie tak bardzo chcialo jak bardzo mi sie nie chce.


Na górę
Post: śr, 16 gru 2015 12:07:25 
Odpowiedz z cytatem
Offline
Żółtodziób
Żółtodziób

Rejestracja: wt, 15 gru 2015 21:02:03
Posty: 9
Po pierwsze brak jakichkolwiek interakcji. Inna miejscowość, inna adresacja, brak pokrewieństwa. Klienci zapewniają, że nic nie grzebali. Atak w jeden dzień, podobne godziny. Łącznie około 8 zajść ale pewnie nie wszystko zostało jeszcze zgłoszone. Dotyczy 841N v9.1 i 740N v4.23.

Domyślnie nie działa DHCP na LANie. Po resecie w 841N (a właściwie przytrzymaniu guzika bo on się tak naprawdę nie resetuje - wszystkie dane pozostają niezmienione) i restarcie 740N DHCP zaczyna działać. Hasło i login pozostaje niezmienione po zmianie softa. Testowałem router pod kątem otwartych portów - nie znalazłem nic ciekawego. Dostęp po ssh, telnecie, www od strony WAN zablokowany. Na pewno jakiś cel w tym jest tylko nie wiem jak by miał aktywować to ustrojstwo ;) Zdaję sobie sprawę, że producent tp linków to nie jest bystrzacha więc nie wystawiam na świat tych urządzeń gdy nie muszę, a w większości przypadków w ogóle unikam nadawania publicznej adresacji. No ale niestety niekiedy trzeba i okazuje się, że oryginalny soft to jakaś zupełna porażka z którą można zrobić cokolwiek niezależnie od stopnia skomplikowania loginu i hasła.

Podobny przypadek zresztą miałem z bramkami 8level choć dotyczyło to ustawienia przekierowań na arabskie numery. W tym przypadku mimo braku dostępu od strony WAN, randomowym porcie, 10 znakowym randomowym loginie i 12 znakowym haśle i tak miałem wejścia na urządzenie - myślę, że od strony SIP port choć przy mnogości ruchu botów voipowych ciężko było określić co jest atakiem, a co skanowaniem pakietami voip. Producent zgłoszenia ignorował tak skutecznie, że musiałem wszystkie bramki wymienić. I myślę, że moje zgłoszenia do TPLinka czeka ten sam los.

Pozdrawiam


Na górę
Post: śr, 16 gru 2015 16:02:17 
Odpowiedz z cytatem
Offline
Starszy czytelnik
Starszy czytelnik

Rejestracja: sob, 18 cze 2011 22:27:56
Posty: 198
Potwierdzam TL-WR941 ND podmieniony.


PKK


Na górę
Post: ndz, 20 gru 2015 15:51:05 
Odpowiedz z cytatem
Offline
Leniwy eseista
Leniwy eseista

Rejestracja: pt, 02 sie 2013 14:30:53
Posty: 562
To jest cały czas ta sama dziura, można zassać z routera bin z softem i wygenerować sobie hasło admina.
Wystarczy wyłączyć zarządzanie z WANu.


Na górę
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat  Odpowiedz w temacie


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 1 gość


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
Dzisiaj jest pn, 01 cze 2020 22:28:34

Strefa czasowa UTC+02:00

Moderatorzy: Administratorzy, Moderatorzy

Nakarm glodne dziecko - wejdz na strone www.Pajacyk.pl


Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
SubSilver2 modified for Trzepak.pl by Colir
Polski pakiet językowy dostarcza phpBB.pl