Siirry uusimpaan kommenttiin
Etsimäsi kommentti on joko siirretty toiseen keskusteluun tai poistettu kokonaan.

Valokuitu Plus modeemin expert tunnus ja sen salasana

Valokuitu Plus (Sagemcom F-3686ACv2) modeemissa on näköjään ”expert” super-admin tunnus josta mainitaan vain ohimennen laajennetussa oppaassa. Tunnuksen salasana on laitteen sarjanumero joka on kaikkien luettavissa kaupan hyllyssä koska se on modeemin laatikosta tarrassa. Kävin Gigantissa katsomassa ja hyllyssä oli ~10 kpl modeemia ja kaikkien sarjanumero hyvin lähellä toisiaan. Brute-forcella löytäisi toimivan salasanan nopeasti mutta tietenkin sen voisi lukea suoraan laatikosta tai vaikkapa poimia roskista sen laatikon kun naapuri ostaa modeemin. Pahinta on kuitenkin se, että salasanaa ei näköjään pysty muuttamaan. Kun kirjautuu expert tunnuksella käyttöliittymään niin siellä sanotaan salasananvaihtosivulla suoraan että web-käyttöliittymällä ei voi vaihtaa expert tunnuksen salasanaa vaan ainoastaan admin tunnuksen salasanaa.

Mitä ihmettä?! Tämähän tarkoittaa että esim. joku peli joka pyörii tabletissa / kännykässä voi käydä helposti muuttamassa modeemin asetuksia etkä voi tälle mitään.

Lisäksi huomasin että kun kirjautuu admin tunnuksella ja painaa logouttia niin pystyy edelleen käyttämään admin käyttöliittymää jos ottaa suorat urlit talteen ja menee niihin suoraan. Asetuksia voi myös muuttaa. Tämä toimii myös vaikka käyttäisit selainta joka ei edes ole ollut loggautuneena sisään, tai private-browsing moodia, tms. Ilmeisesti admin käyttöliittymä päästää kenet tahansa sisään kunhan tulee IP:stä joka on aikaisemmin kirjautunut sisään. Tätä voi testata helposti: kirjaudu admin tunnuksella sisään ja mene mille tahansa sivulle admin liittymässä. Kopioi urli talteen. Loggaa ulos. Pasteta urli vaikka toiseen selaimeen joka on private- / incognito moodissa ja huomaat että pääse sisään ilman loginia. Sessio kuolee parin minuutin kuluttua - ei kuitenkaan silloin kun painaa logout.

Ei näin! Nämä ovat kummatkin todella amatöörimäisiä tietoturvamokia! Olen ollut tästä yhteydessä asiakaspalveluun, DNA kaupassa, tekniseen tukeen, ja joka kerta ollaan oltu todella yllättyneitä ja luvattu ottaa yhteyttä kun asia selviää. Mutta ei. Voisiko joku pikkuhiljaa jo ottaa tämän tosissaan?
Petrus Lundqvist Ilmoita asiaton sisältö

Kommentit

  • Tuon voi kiertää ainakin Windows 10:ssä ottamalla käyttöön pääsalasanan, jolloin se pitää antaa ennen kun voi antaa laitteen salasanan.
    PW
  • Väännän vielä rautalangasta:

    DNA myy kaapelimodeemia jossa on super-admin tunnus ”expert” jonka salasana - jota ei voi muuttaa - on kaikkien luettavissa kaupassa modeemin laatikon kyljessä. Ja se salasana on muutenkin helposti arvattavissa koska se on sarjanumero joka on kaikissa modeemeissa hyvin pienellä variaatiolla sama.

    Windows ei liity tähän mitenkään. Eikä muutkaan päätelaitteet, muuta kuin siltä osin että yksi hyökkäysvektori on että esim. lataat ja asennat pelin tai appiksen joka salaa kirjautuu kaapelimodeemiin tällä expert tunnuksella ja muuttaa vaikkapa DNS palvelimen osoitteen sellaiseen joka ohjaa liikenteen phishing saitteihin.
    Petrus Lundqvist
  • Modeemin firmware pitäisi korjata esim. näin:

    1) Logout pitäisi oikeasti logata käyttäjän ulos

    2) Admin session pitäisi olla sidottu keksillä (cookie) eikä IP/MAC osoitteella, koska silloin sitä ei voi väärinkäyttää toisesta prosessista kuten nyt voi
    3) Expert tunnus pitäisi olla defaulttina pois-päältä tai siitä pitäisi kertoa kaikille käyttäjille niin että tajuavat muuttaa sen salasanan

    4) Expert tunnuksen salasana pitäisi olla käyttäjän muutettavissa
    Petrus Lundqvist
  • Purnipsi
  • Tuollaiset tehtaalla poltetut salasanat ovat ilmiselvästi erittäin huono käytäntö. Tässä tilanteessa en kuitenkaan ihan suoriltaan keksi minkälaiseen hyökkäykseen expert-hallintasivua voisi käyttää.

    Pääsy hallintankymään luonnollisesti lisää laitteen hyökkäyspinta-alaa ja siitä saattaa löytyä vakavampia haavoittuvuuksia. Sen lisäksi siellä on monia toimintoja joita olisi helppo käyttää palvelunestohyökkäyksessä. Myös langattoman salasana paljastuu hallintasivulta.

    Historiallisesti tällä tavalla haavoittuvien kuluttajapäätteiden DHCP-palvelimien DNS tietuetta on muutetttu siten että verkon laitteet ovat alkaneet käyttää hyökkääjän DNS-palvelimia ja siten hyökkääjä on ohjannut uhrin kalastelusivulle tai muuhun haitalliseen sisältöön. Esimerkki haittaohjelmasta joka toimi tällä tavalla on DNSChanger. Muistaakseni Sagemcomissa DNS-tietuetta ei voi kuitenkaan muuttaa.

    Tässä purkissa on muitakin sangen mainittavia puutteita, mutta vaikuttaa siltä ettei korporaatio anna kahta hattua. Sitä odotellessa että alueella olisi kilpailua kiinteiden laajakaistojen markkinoilla. Ehkä pitäisi erottaa verkkoyhtio palveluntarjoajasta siten että eri asiakaspalvelukonsernit saisivat keskenään kokeilla miten asiakkaat pidetään parhaiten tyytyväisenä, samalla kun verkkoyhtio keskittyy infrastruktuuriin jolla on tai ei ole luonnollinen monopoli.
    AP
  • Moikka! Kiitos palautteestasi, tämä on toki hyvä huomio että salasanan vaihto pitäisi olla mahdollista. Laitoin tästä palautteen eteenpäin.

    Modeemin hallintasivulle pääsy ei ole mahdollista ulkoverkosta käsin joten riskit ovat kuitenkin rajalliset.

    DNA Iiro palveluneuvoja
  • Hallintasivulle pääsee kaikista sovelluksista jotka pyörivät laitteissa jotka ovat sisäverkossa. Ja koska logout ei oikeasti toimi ja koska admin sessio on sidottu IP/MAC osoitteeseen niin vieläpä niin että jos loggaat esim. Firefoxilla hallintasivulle niin mikä tahansa muu prosessi (käyttäjästä riippumatta) siinä laitteessa pääsee myös sinne. Toinen käyttäjä (esim. lapsi) tai prosessi (esim. haittaohjelma) pääsee muuttamaan asetuksia sen jälkeen kun aikuinen on käynyt hallintasivulla vaikka aikuinen loggaa ulos hallintasivulta, sulkee selaimen ja vielä loggaa ulos Windowsista.

    Jos olisi tehty oikein niin admin sessio olisi sidottu cookiella vain siihen selaimeen jossa kirjaudutaan hallintasivulle. Silloin toinen prosessi tai käyttäjä ei pääsisi sinne. Ja luonnollisesti jos painaa ”logout” niin sen pitäisi toimia. Eikö?
    Petrus Lundqvist
  • Lundqvistin havainto siitä, että modeemi käyttää IP-osoitetta asiakkaan autentikoinnissa, ja se että hallintasivun 'logout' ei havaittavasti tee yhtään mitään ovat mitä tarkimpia.

    Hallintasivun RPC (eli form submit) on autentikoitu erillisellä mekanismilla jonka turvallisuus riippuu kuitenkin ensimmäisestä autentikaatiosta. Siinä hyödynnetään muuttuvaa salaisuutta joka on renderöity sivulle upotettuun <script>-tagiin. On olemassa vain yksi tunnistettu salaisuus kerrallaan. Salaisuus vanhenee kun uusi salaisuus generoidaan. Näin tapahtuu kun salaisuus käytetään (eli asetusta muutetaan) tai sivulle kirjaudutaan. Päällisin puolin vaikuttaisi, että salaisuus on generoitu turvallisella tavalla, ja että, sen arvaaminen ei ole poikkeuksellisen helppoa.

    Hallintasivulle voi olla kirjautuneena vain yksi asiakas (tai siis IP-osoite) kerrallaan, eli onnistunut autentikaatio heittää muut käyttäjät pihalle. Kirjautumalla sisään jatkuvasti, haittaohjelma voi estää hallintasivulle pääsyn <3

    Kohtelias arvioni laitteen hallintasivusta on se, ettei se ole tuotantovalmis. Vaikka hallintasivulla on DNA:n brändäys, ei DNA ole kehittynyt sitä itse, vaan se tulee Sagemcomilta.
    AP

Kommentoi tai kirjoita uusi viesti

Nimesi ja viestisi näytetään julkisesti.Sähköpostiosoitettasi ei koskaan näytetä julkisesti.