1 din 2
1
Vulnerabilitate Routere Actiontec, Hik Vision, Netgear, Synology, TP-Link, ZyXEL, Zhone si altele.
  [ Ignoră ]
Avatar
RankRankRankRank
Administrator
Din: The Colony, TX
Macuser din: 11.10.05

SCHIMBAȚI PAROLA IMPLICITĂ DE LA ROUTERE ȘI ECHIPAMENTE !

Ce am zis mai sus este de bun simț dar nu o face nimeni. De lene.

Acuma va trebui.

Căci se plimbă pe sârme nenea Moose.

Un worm care se bazează pe faptul că routerele și alte echimapente au parolele implicite gen admin/admin din fabrică. Se răspândește ca focul din modem în modem, se instalează și pe NAS-uri și alte dispozitive care au parole de astea simple.
Ce face (deocamdată) ?
1) Scanează rețelele după alte routere cu parole simple și se replică;
2) Interceptează traficul către Facebook, Twitter, Instagram, Google, Google Play/Android, YouTube și salvează informațiile voastre de logare.
3) Dă like-uri, +uri, follow-uri la diverse pagini și aplicații de pe site-urile de mai sus - după cum îi zic cei care îl controlează.

http://www.welivesecurity.com/2015/05/26/moose-router-worm/
http://arstechnica.com/security/2015/05/the-moose-is-loose-linux-based-worm-turns-routers-into-social-network-bots/

V-ați trezit că aveți like-uri date la chestii la care sigur nu ați dat ? Aveți încă parola implicită la router ?
- Download la ultima versiune de firmware a router-ului pe calculatorul vostru local
- Deconectat routerul de la internet și făcut update forțat la router cu resetare la factory settings (offline, nu on-line din interfața lui - căutați documentație la producător)
- Schimbat parolele implicite (ca să nu le uitați - le scrieți pe o hârtiuță pe care o lipiți cu scoci de router. Nimeni de pe internet nu o sa poată citi hârtia aia)
- Reconectat la internet doar după ce ați făcut cele de mai sus.

Aveți mai multe echipamente susceptibile în casă ? Vedeți să nu se vadă unul cu altul cât timp faceți operațiunile de mai sus pe fiecare - altfel se re-instalează worm-ul înainte să apucați să schimbați parola.

Nu există modalitate de reinstalare completă a firmware-ului offline pt reouter/dispozitiv ? Nasol. Dacă nu merge OpenWRT sau DD-WRT pe el ... la gunoi. Și următorului router pe care îl luați îi schimbați parola înainte de a-l conecta la internet.

 Semnătură 

Apple:5x macmini (G4, 2007, 2009, 2010, 2012)
UNIX:IBM 7011-250/AIX 5.1, HP Jornada 680/JLime, HP 9000 F20/HP-UX 11.11
PC:PentiumD/Debian, HP t5300/Debian
Misc:Spectrum 48k, 8x Raspberry Pi, 2x CHIP

Profil
 
  [ Ignoră ]   [ # 1 ]
RankRank
Jr. Member
Din: 
Macuser din: 16.11.12

foarte interesanta treaba, merci de post.
Exista vreo modalitate de scan ( ce au postat ei acolo pare destul de dificil) ? Eu oricum am modificat parola la foarte scurt timp de cand am luat tp-link-u meu, but I wanna check

Profil
 
  [ Ignoră ]   [ # 2 ]
Avatar
RankRankRank
Member
Din: Bucuresti
Macuser din: 20.07.10

thanks for the heads up!

 Semnătură 

*Mac Mini (Late 2012), 2.5GHz Intel Core i5, 4Gb DDR3, 120Gb SSD
*iPhone SE Space Gray, 16GB; Apple Watch Sport 38mm Space Gray;
*2 x PS3 Slim 120Gb, XBOX 360 Slim 640Gb, XBOX Classic 250Gb, Wii, Wii U, NDS Lite, NES, Raspberry Pi, PSP;
*Canon 550D, Fujifilm S6500FD

Profil
 
  [ Ignoră ]   [ # 3 ]
Avatar
RankRankRankRank
Sr. Member
Din: 
Macuser din: 20.06.09

Multumim pentru informatii. Pacat ca la configurarea routerelor utilizatorul nu este obligat sa schimbe parola implicita.

Profil
 
  [ Ignoră ]   [ # 4 ]
Avatar
RankRankRankRank
Administrator
Din: The Colony, TX
Macuser din: 11.10.05

A lasa un echipament cu parolele implicite este similar cu lasatul masinii in parcare cu cheile in contact. Este mult mai simplu - nu mai stai sa te gandesti unde este cheia - mergi la masina si ai plecat direct.
Si in carticica de la masina, si in carticica de la router scrie undeva mic acolo ca e bine sa nu lasi chieile in contacte sau parola implicita.

Acuma totul tine de cata incredere ai in vecinii de cartier sau cei de internet.
Ti-o lua pustiul din blocul vecin masina noaptea sa faca liniute cu ea ?
Ti-o folosi vre-un terorist routerul tau ca sa faca propaganda ISIS si sa recruteze pustani sa se arunce in aer in multime ?

Diferenta legala dintre cele doua situatii este ca la prima declari masina furata si pustiul este cautat de politie si in a doua tu esti un terorist imputit care faciliteaza crime in masa.

 Semnătură 

Apple:5x macmini (G4, 2007, 2009, 2010, 2012)
UNIX:IBM 7011-250/AIX 5.1, HP Jornada 680/JLime, HP 9000 F20/HP-UX 11.11
PC:PentiumD/Debian, HP t5300/Debian
Misc:Spectrum 48k, 8x Raspberry Pi, 2x CHIP

Profil
 
  [ Ignoră ]   [ # 5 ]
RankRank
Jr. Member
Din: 
Macuser din: 23.10.08

Nu-i chiar asa “negru viitorul” cum expune @psergiu
Exemplul dat e oarecum exagerat,da, poate cineva accesa echipamentul,doar daca stie parola la wireless,altfel are nevoie de o conexiune fizica la echipament.
Si ce-i drept e drept,in multe locatii ce ofera net wireless pentru clienti am gasit parole standard pentru administrarea router-ului respectiv.

La fel si acest “elan” cam slabut daca stie doar de admin admin ca sunt mai multe combinatii.

Offtopic dar si sfat pentru unii.
Criptare wpa2,parola complexa,schimbat user (daca se poate) si parola de administrare pe router.
Si nu chestii simple
qwerty
aqswdefr
12345678
....

Sa nu mai spun ca am tangenta cu partea GSM,cat de multi vin si au codul pin 0000 sau 1234,cam 90%, restul sunt de la alt operator ce are codul pin aleator.
Asta e,asta e nivelul de perceptie a securitatii pe la noi.

Profil
 
  [ Ignoră ]   [ # 6 ]
Avatar
RankRankRankRank
Sr. Member
Din: 
Macuser din: 20.06.09

Nu ai nevoie neaparat de conexiune fizica la un router pentru a-i modifica setarile. Sunt o gramada de calculatoare legate la internet (prin routere), care sunt infectate cu troieni si avand acces complet prin acei troieni la calculatoarele respective, poti accesa astfel si setarile routerelor chiar din interiorul retelei. Culmea este ca si cei care configureaza acesti troieni (programe de remote management - mai frumos spus), de obicei folosesc parole obisnuite scurte, de care se trece dupa doar cateva incercari.

Problema asta se extinde pana si in industrie, sunt o gramada de fabrici si firme care au si echipamentele de automatizare legate la internet, cu scopul de a le putea controla prin remote management (este mai ieftin asa, pentru ca tehnicianul nu trebuie sa fie toata ziua prezent). Multi insa lasa parolele implicite, chiar si la automatele programabile care controleaza procese ce pot fi periculoase. Nu vreau sa vad ce se intampla daca un “hacker” care se plictiseste, inchide niste valve la un cazan sau deschide niste valve la butelii care contin materiale periculoase. Mai sus am pus cuvantul hacker in ghilimele, deoarece multe echipamente de automatizare legate la internet pot fi accesate si fara prea multe cunostinte din domeniul informaticii (Google ajuta si aici).

Profil
 
  [ Ignoră ]   [ # 7 ]
Avatar
RankRankRankRank
Administrator
Din: The Colony, TX
Macuser din: 11.10.05

gabiz_ro - nu are nevoie de parola de Wireless - ca acceseaza routerul prin calculatorul tau.
Tu mergi pe o pagina
Pagina incarca o reclama HTML5 de pe un alt site
In reclama respectiva este si un mic javascript pe care calculatorul tau il executa.
Cat timp reclama e pe ecran, javascriptul ala se conecteaza la 192.168.0.1, 192.168.1.1, 10.0.0.1 . Ce IP are routerul tau ? Cu cumva unul din astea 3 ? Si incearca Admin/Admin, Root/Admin, Admin/Linksys ...
Odata ce a intrat, acceseaza pagina de update firmware de la router, downloadeaza un mic fimrware manarit de undeva si il uploadeaza pe router.
Si gata.
5 minute, a clipit becul de la router un pic, s-a deconectat un pic internetul da’ si-a revenit la loc.
Asta este, felicitari noului membru al jihadului electronic - tu.

 Semnătură 

Apple:5x macmini (G4, 2007, 2009, 2010, 2012)
UNIX:IBM 7011-250/AIX 5.1, HP Jornada 680/JLime, HP 9000 F20/HP-UX 11.11
PC:PentiumD/Debian, HP t5300/Debian
Misc:Spectrum 48k, 8x Raspberry Pi, 2x CHIP

Profil
 
  [ Ignoră ]   [ # 8 ]
Avatar
RankRankRank
Member
Din: Alba-Iulia
Macuser din: 19.07.11
psergiu - 29 Mai 2015 03:48 AM

gabiz_ro - nu are nevoie de parola de Wireless - ca acceseaza routerul prin calculatorul tau.
Tu mergi pe o pagina
Pagina incarca o reclama HTML5 de pe un alt site
In reclama respectiva este si un mic javascript pe care calculatorul tau il executa.
Cat timp reclama e pe ecran, javascriptul ala se conecteaza la 192.168.0.1, 192.168.1.1, 10.0.0.1 . Ce IP are routerul tau ? Cu cumva unul din astea 3 ? Si incearca Admin/Admin, Root/Admin, Admin/Linksys ...
Odata ce a intrat, acceseaza pagina de update firmware de la router, downloadeaza un mic fimrware manarit de undeva si il uploadeaza pe router.
Si gata.
5 minute, a clipit becul de la router un pic, s-a deconectat un pic internetul da’ si-a revenit la loc.
Asta este, felicitari noului membru al jihadului electronic - tu.

nu vreau sa fiu membru jihad

 Semnătură 

Macbook Pro 11,3
JBL Radial (the big one De vanzare
Asus RT-AC87U
Bose SoundTouch 30
Bose Soundlink mini
Bose SoundTouch Portable defecta
Cinema Display 24 defect

The Rum is gone..
Hattrick : 13.02.2004

Time Capsule 3TB smile
timecapsule 2tb smile
mac mini 2006(super jucarie) :(
apple tv 2g :(

Profil
 
  [ Ignoră ]   [ # 9 ]
Avatar
RankRankRankRank
Sr. Member
Din: 
Macuser din: 20.06.09

Am citit technical paper-ul de la ESET, ei au analizat acest worm, este interesant de citit dar destul de lung: http://www.welivesecurity.com/wp-content/uploads/2015/05/Dissecting-LinuxMoose.pdf

Pe ultima pagina sunt listati toti producatorii a caror echipamente de retea sunt potentiale tinte: 3Com, Alcatel-Lucent, Allied Telesis, Avaya, Belkin, Brocade, Buffalo, Celerity, Cisco, D-link, Enterasys, Hewlett-Packard, Huawei, Linksys, Mikrotik, Netgear, Meridian, Nortel, SpeedStream, Thomson, TP-Link, Zhone, ZyXEL. Producatori de aparate: APC, Brother, Konica/Minolta, Kyocera, Microplex, Ricoh, Toshiba, Xerox. Producatori Internet of Things: Hik Vision, Leviton.

Profil
 
  [ Ignoră ]   [ # 10 ]
Avatar
RankRankRankRank
Sr. Member
Din: Tulcea
Macuser din: 26.08.06

Deci ne trecem toti pe Airport Extreme?

 Semnătură 

13” Macbook Pro 2015

Profil
 
  [ Ignoră ]   [ # 11 ]
RankRankRank
Member
Din: Bacau/Iasi
Macuser din: 05.02.13
belasajgo - 29 Mai 2015 10:44 AM

Am citit technical paper-ul de la ESET, ei au analizat acest worm, este interesant de citit dar destul de lung: http://www.welivesecurity.com/wp-content/uploads/2015/05/Dissecting-LinuxMoose.pdf

Pe ultima pagina sunt listati toti producatorii a caror echipamente de retea sunt potentiale tinte: 3Com, Alcatel-Lucent, Allied Telesis, Avaya, Belkin, Brocade, Buffalo, Celerity, Cisco, D-link, Enterasys, Hewlett-Packard, Huawei, Linksys, Mikrotik, Netgear, Meridian, Nortel, SpeedStream, Thomson, TP-Link, Zhone, ZyXEL. Producatori de aparate: APC, Brother, Konica/Minolta, Kyocera, Microplex, Ricoh, Toshiba, Xerox. Producatori Internet of Things: Hik Vision, Leviton.


Huawey nu???

Profil
 
  [ Ignoră ]   [ # 12 ]
Avatar
RankRankRankRank
Sr. Member
Din: 
Macuser din: 20.06.09
Morfix333 - 29 Mai 2015 02:10 PM

Huawey nu???


Este acolo in lista, intre HP si Linksys.

Avand in vedere ca in ultimii ani toti producatorii cumpara din acelasi loc tehnologia, doar pun o carcasa pe care este numele lor si personalizeaza interfata web, este absolut normal ca atunci cand apare o vulnerabilitate, sa fie afectate produsele tuturor producatorilor. Cum a scris si DoT, in acest caz pare sa fie in beneficiu utilizatorii de Airport-uri (Apple).

Profil
 
  [ Ignoră ]   [ # 13 ]
RankRank
Jr. Member
Din: middle of nowhere
Macuser din: 09.10.09

Una e sa fii tinta, alta e sa fii penetrat smile
sper ca routerul meu mikrotik as nu ma lase.

 Semnătură 

macbook aluminium late 2008

Profil
 
  [ Ignoră ]   [ # 14 ]
Avatar
RankRankRankRank
Administrator
Din: The Colony, TX
Macuser din: 11.10.05

mactrix - problema mare este ca asta este Worm - care incearca sa se replice automat, nu te tinteste nimeni pe tine. Daca ai un router vulnerabil cu parola implicita, daca alt dispozitiv din retea are worm-ul, o sa-l ai si tu in scurta vreme. Worm = bad http://en.wikipedia.org/wiki/Morris_worm

1) schimba parolele implicite
2) verifica la mikrotik pe site poate au un update de firmware

 Semnătură 

Apple:5x macmini (G4, 2007, 2009, 2010, 2012)
UNIX:IBM 7011-250/AIX 5.1, HP Jornada 680/JLime, HP 9000 F20/HP-UX 11.11
PC:PentiumD/Debian, HP t5300/Debian
Misc:Spectrum 48k, 8x Raspberry Pi, 2x CHIP

Profil
 
  [ Ignoră ]   [ # 15 ]
Avatar
RankRankRankRank
Administrator
Din: The Colony, TX
Macuser din: 11.10.05

Alte buguri la alte routere:

http://www.itworld.com/article/2930295/new-soho-router-security-audit-uncovers-over-60-flaws-in-22-models.html

 Semnătură 

Apple:5x macmini (G4, 2007, 2009, 2010, 2012)
UNIX:IBM 7011-250/AIX 5.1, HP Jornada 680/JLime, HP 9000 F20/HP-UX 11.11
PC:PentiumD/Debian, HP t5300/Debian
Misc:Spectrum 48k, 8x Raspberry Pi, 2x CHIP

Profil
 
   
1 din 2
1