Duitse overheid wijt Telekom-problemen aan wereldwijde aanval op dsl-routers

Het Duitse BSI, een overheidsorganisatie die over informatiebeveiliging gaat, heeft bekendgemaakt dat de problemen met Telekom-routers voortkomen uit een wereldwijde aanval op kwetsbare apparaten.

Deutsche Telekom De organisatie laat weten dat de aanval plaatsvond op 'bepaalde poorten die worden gebruikt voor beheer op afstand', zonder te melden om welke poorten het precies gaat. Het BSI komt tot deze conclusie, omdat het de aanval ook op overheidssystemen in eigen beheer heeft kunnen waarnemen, maar in staat was om deze af te slaan. De organisatie zegt de reactie op de aanval samen met de Duitse tegenhanger van het NCSC te coördineren. De aanval zou tot doel hebben gehad om de routers met malware te infecteren.

De getroffen provider Deutsche Telekom heeft inmiddels via een bericht op zijn website laten weten dat er een patch voor de getroffen routers beschikbaar is. Gebruikers kunnen deze automatisch binnenhalen door de stekker van hun apparaat gedurende dertig seconden niet in te pluggen. Uit de melding is verder op te maken dat het bij de getroffen routers om het model Speedport W921V gaat. Uit eerdere berichten kwam naar voren dat ongeveer 900.000 klanten van de provider sinds zondagavond last hebben van een storing, waardoor zij geen of nauwelijks verbinding kunnen maken met internet. Deutsche Telekom liet weten dat de problemen mogelijk voortkomen uit een hackaanval.

Op de site van het Amerikaanse Internet Storm Center verscheen maandag een bericht waarin wordt gewaarschuwd dat in de afgelopen dagen steeds meer aanvallen plaatsvinden op poort 7547. Er wordt gesuggereerd dat dit de oorzaak is van de problemen bij de Duitse provider. Uit een scan zou blijken dat ongeveer 41 miljoen met het internet verbonden apparaten deze poort open hebben staan, waardoor deze 'eenvoudig een tweede Mirai-botnet zouden kunnen vormen'.

De verzoeken aan de poort zouden gebruik proberen te maken van een rce-lek in het TR-069-protocol, dat mogelijk aanwezig is in routers van de Telekom en een Ierse provider. Het is momenteel onduidelijk of dit daadwerkelijk de oorzaak is van de aanvallen op de Telekom-routers.

IT-banen

Reacties (71)

CAPSLOCK2000

Security
Internet
Netwerk en systeembeheer
Duitsland

28 november 2016 17:04

Oei, dat klinkt ernstig.
Een paar punten zijn zorgelijk.

Ten eerste is het natuurlijk een schande dat die poort uberhaupt via internet te bereiken is. Iedere junior netwerkbeheerder weet dat je dat soort managementadressen zo moet isoleren dat je er niet via internet bij kan.

Het tweede punt van zorg is dat er blijkbaar geen fatsoenlijk wachtwoord of digitale handtekening wordt gebruikt om de boel te beveiligen. Blijkbaar kun je al die routers met dezelfde credentials benaderen.

Het derde punt van zorg is dat Deutsche Telekom niet de eerste de beste partij is. Ze zijn misschien niet de beste netwerkbeheerder ter wereld, maar zeker niet de slechtste. Als het bij DT al fout zit dan weet ik bijna zeker dat het bij veel meer ISPs ook fout zit.

Het laatste punt dat ik wil noemen is dat deze routers op een heel gevoelig punt zitten. Veel mensen vertrouwen juist op dit soort routers voor hun veiligheid. Ze gebruiken zo'n apparaat om hun onveilige interne netwerk af te schermen. Als er malware op zo'n router komt dan heeft die ook toegang tot alle sappige systemen die de eigenaar juist van internet weg probeerde te houden.

Dat ISPs apparatuur beheren die bij klanten thuis staat en daar bij kunnen zonder de eigenaar te informeren zal ik maar door de vingers zien, dat willen de klanten zelf ook.

OddesE @CAPSLOCK2000 • 28 november 2016 17:41

Ten eerste is het natuurlijk een schande dat die poort uberhaupt via internet te bereiken is.

Tja dat is voor remote admin. Wel fijn voor de ISP als hij niet bij iedereen langs hoeft...

Uit een scan zou blijken dat ongeveer 41 miljoen met het internet verbonden apparaten deze poort open hebben staan

...open hebben staan...

Men praat alsof het hier om een deur gaat die open staat. Dat is echter een te grote versimpeling van de werkelijkheid.

Firewall producenten willen je graag anders doen geloven, maar het openstaan van een poort is in principe geen enkel probleem. Welke software er luistert op die poort, dat is het probleem.

Vergelijk het met een telefoonsysteem: het IP adres is het telefoonnummer van het bedrijf, het toestelnummer is het poortnummer. Maak je verbinding met een bepaald IP/port combinatie, dan is dat te vergelijken met het bellen naar een specifiek toestelnummer. Luistert er geen applicatie op die poort, is dat te vergelijken met een toestel in een leeg kantoor; er wordt gewoon niet opgenomen maar er is verder niks aan de hand. Luistert er wel software naar die port, dan is dat te vergelijken met een medewerker in het kantoor die de telefoon opneemt. Onveilig? Dat hangt dan dus van die software of medewerker af...

Het is natuurlijk verstandig om het aantal contactpunten klein te houden. Echter het allerbelangrijkst is niet zozeer alle poorten dichtzetten... Dat is weliswaar heel veilig maar ook nogal lomp... Doe je dat te grof dan zullen ook een hoop applicaties met server functies niet goed werken (luisteren naar een afgesloten port schiet niet op natuurlijk).

Veel belangrijker is het dat je weet welke software er aan het luisteren is. Jammer genoeg maakt Windows het niet makkelijk om dit te zien. Ook routers zelf zijn daar meestal niet transparant over. Alsnog zou je er waarschijnlijk weinig aan gehad hebben aangezien je hem toch niet dicht had kunnen/mogen zetten van de ISP.

Het probleem hier was dat de management software die luistert op poort 7547 gewoon niet veilig was.

Annihlator @OddesE • 28 november 2016 20:04

"Firewall producenten willen je graag anders doen geloven, maar het openstaan van een poort is in principe geen enkel probleem. Welke software er luistert op die poort, dat is het probleem"

Belangrijk detail: de enige manier om aan te tonen dat een poort open is, is door een respons te veroorzaken. Hoe krijg je die respons zonder listener? Juist...

CAPSLOCK2000

Security
Internet
Netwerk en systeembeheer
Duitsland

@OddesE • 28 november 2016 18:07

Tja dat is voor remote admin. Wel fijn voor de ISP als hij niet bij iedereen langs hoeft...

Maar de ISP hoort er voor te zorgen dat zo'n poort alleen bereikbaar is vanaf het eigen netwerk, niet vanaf de rest van internet.

Men praat alsof het hier om een deur gaat die open staat. Dat is echter een te grote versimpeling van de werkelijkheid.

Firewall producenten willen je graag anders doen geloven, maar het openstaan van een poort is in principe geen enkel probleem. Welke software er luistert op die poort, dat is het probleem.

Ik neem aan dat die 41 miljoen slaat op het aantal apparaten dat deze poort open heeft staan én dit soort onveilige software draait. Het aantal apparaten dat deze poort níet blokkeert maar er óók niet aan luistert zal eerder in de miljarden lopen dan in de miljoenen.

Als men in de beveiligingswereld spreekt over "open poorten" heeft men het eigenlijk altijd over poorten waar ook daadwerkelijk aan wordt geluisterd.

[Reactie gewijzigd door CAPSLOCK2000 op 26 juli 2024 08:30]

Dreamvoid @CAPSLOCK2000 • 28 november 2016 17:12

1) dit is inderdaad raar - dat er een management poort openstaat ok dat is onvermijdelijk, maar niet voor verkeer buiten de ISP.

2) als al die routers met dezelfde credentials te benaderen zijn, zou er niet zo'n aanval nodig zijn want dan hoef je maar 1 poging per router te doen. ik vermoed dat de aanvallers diverse algoritmes proberen op basis van mac adres, etc om passwords te proberen. Een certificate-based login is op zich wel veilig, maar wat als iemand het certificaat steelt? En een database aan unieke randomized passwords is ook te stelen.

3) dit is idd een probleem - maar we weten eingenlijk nog weinig. zijn de routers ook werkelijk gehacked, of is er enkel een enorme stortvloed aan loginpogingen die de boel in de soep gooit?

[Reactie gewijzigd door Dreamvoid op 26 juli 2024 08:30]

procyon @CAPSLOCK2000 • 28 november 2016 17:08

Wat kan je hiertegen doen als simpele thuisgebruiker?
Zelf heb ik een asus routertje aan het gebridge ziggo modem hangen. Is dat dan veiliger?
Of is de Asus router (omdat er daar ook erg veel van zijn) ook vroeg of laat te hacken?

Ben gewoon benieuwd wat tweakers die hier echt van op de hoogte zijn van vinden.

himlims_ @procyon • 28 november 2016 17:35

Zelf heb ik een asus routertje aan het gebridge ziggo modem hangen. Is dat dan veiliger? Of is de Asus router (omdat er daar ook erg veel van zijn) ook vroeg of laat te hacken? Ben gewoon benieuwd wat tweakers die hier echt van op de hoogte zijn van vinden.

Gooi remote management dicht, houdt firmware up2date en "denk na" alvorens je op 'apply settings' klikt

[Reactie gewijzigd door himlims_ op 23 juli 2024 11:59]

Armin

Netwerk en systeembeheer
Security

@himlims_ • 28 november 2016 18:37

Dat helpt niet, want de interface die gebruikt wordt is niet van de router (ook al wordt er structureel van 'router' gesproken) maar van de kabel/DSL modem. Deze hebben tegenwoordig ook een router functionaliteit, maar het is de interface tussen ISP en modem die aangevallen wordt.

Deze interface kun je doorgaans niet eens zien laat staan bedienen via de webinterface. Soms kun je wel wat status zien of soms zelfs wat aanpassen, maar écht de ISP buitensluiten kan vrijwel nooit.

R4gnax @Armin • 28 november 2016 20:44

Dat helpt niet, want de interface die gebruikt wordt is niet van de router (ook al wordt er structureel van 'router' gesproken) maar van de kabel/DSL modem. Deze hebben tegenwoordig ook een router functionaliteit, maar het is de interface tussen ISP en modem die aangevallen wordt.

Deze interface kun je doorgaans niet eens zien laat staan bedienen via de webinterface. Soms kun je wel wat status zien of soms zelfs wat aanpassen, maar écht de ISP buitensluiten kan vrijwel nooit.

Het idee is dan ook dat je achter de routermodem combinatie v/d ISP je eigen router voert waar jouw interne netwerk aan vast hangt en dat je die router zelf netjes potdicht en up-to-date houdt.

Behandel de routermodem combinatie v/d ISP dus gewoon als 'het grote boze internet' zelf.

[Reactie gewijzigd door R4gnax op 26 juli 2024 08:30]

Cave_Boy @R4gnax • 29 november 2016 06:10

Maar dat apparaat kan dan nogsteeds meedoen in een botnet. Je kunt als klant weinig doen met geleende apparatuur waarbij het beheer bij de provider is.

R4gnax @Cave_Boy • 29 november 2016 09:15

Maar dat apparaat kan dan nogsteeds meedoen in een botnet. Je kunt als klant weinig doen met geleende apparatuur waarbij het beheer bij de provider is.

Klopt.
Maar je eigen interne netwerk is op dat moment in elk geval 'veilig'.

Cave_Boy @R4gnax • 29 november 2016 09:55

Maar ik meen me te herinneren dat je wel aansprakelijk bent voor je eigen internet. Hoe zit het dan? Dit wordt een beetje grijs gebied.

R4gnax @Cave_Boy • 29 november 2016 19:42

Maar ik meen me te herinneren dat je wel aansprakelijk bent voor je eigen internet. Hoe zit het dan? Dit wordt een beetje grijs gebied.

Jij krijgt het modem opgedrongen door je ISP en kunt daar zelf niets in wijzigen. Lijkt me sterk dat je daar aansprakelijk voor wordt gehouden; komt nooit door een giecheltoets heen.

Cave_Boy @R4gnax • 29 november 2016 19:48

Dat is dus een lastig punt.

Wie de dienst van internettoegang aanbiedt, is niet aansprakelijk voor de inhoud of handelingen die over die internettoegang plaatsvinden. Dat staat in de wet (art. 6:196c BW) en is de basis waarom partijen als Ziggo of XS4All niet elke dag aansprakelijk worden gesteld voor klantgedrag.

Dit gaat weliswar over een open wifi maar het verschilt eigenlijk niet heel veel.
http://blog.iusmentis.com...kelijk-voor-je-open-wifi/

Armin

Netwerk en systeembeheer
Security

@R4gnax • 28 november 2016 21:01

OK, ja, dat is inderdaad een goed advies. $_/-\o_$

Yggdrasil

@procyon • 28 november 2016 17:38

Als je die Asus router up-to-date houdt qua patches, je een eigen sterk wachtwoord instelt en je geen onnodige diensten van buiten uit toegankelijk maakt dan kan je op dat gebied weinig gebeuren.

Bij onnodige diensten denk ik aan de Admin UI of NAS-achtige functies zoals disk-sharing 'Cloud-storage' en zo.

Als het een ASUS router is die wordt ondersteund door de Asuswrt-Merlin firmware dan kun je nog overwegen die te gaan gebruiken. Dit is een firmware die doorontwikkeld op de officiële van Asus maar enkele features toevoegt en daarnaast wat sneller is in het patchen van bugs.

AJediIAm @procyon • 28 november 2016 18:01

Gelukkig heb ik m'n eigen router gebruikt voor onze verbinding met Deutsche Telekom.

Het process om dit op te zetten was echter dusdanig moeilijk en klant onvriendelijk dat ik snap dat NIEMAND dat doet. Het heeft letterlijk dagen gekost om dit voor elkaar te krijgen. De helpdesk wist het vaak niet, maar met de hulp van verschillende forums kwam ik steeds een stapje verder elke keer dat ik de helpdesk belde vroegen ze waarom ik niet gewoon een DT router had. Antwoord: dat ding kost meer dan 100 euro en ik heb al goede een router.

Erg jammer dat een grote en toch best dure provider z'n zaakjes zo slecht geregeld heeft. Wat dat betreft was de service en kwaliteit in Nederland zo slecht nog niet.

Durandal @procyon • 29 november 2016 02:50

Wat kan je hiertegen doen als simpele thuisgebruiker?
Zelf heb ik een asus routertje aan het gebridge ziggo modem hangen. Is dat dan veiliger?
Of is de Asus router (omdat er daar ook erg veel van zijn) ook vroeg of laat te hacken?

Ben gewoon benieuwd wat tweakers die hier echt van op de hoogte zijn van vinden.

Dat is al een stuk veiliger want ze zullen waarschijnlijk op die 90% af gaan die kaal hun netwerk achter de ziggo modem hebben hangen.

Zelf heb ik ziggo via dmz (want bridged kon niet) naar DD-WRT en daar achter mijn LAN. Als je daar door wil dan moet je gericht binnen willen komen, denk ik.

ASS-Ware @Verwijderd • 28 november 2016 20:45

Gezien het feit dat je de Asus router in bridge mode hebt draaien,

Dat zegt hij niet.

Quote:
Zelf heb ik een asus routertje aan het gebridge ziggo modem hangen.

Zijn Ziggo modem staat dus in bridge mode.

Ik hoop het nog iets beter te hebben gedaan, een Asus router achter het Ziggo modem, niets ge-bridged, gewoon nat over nat, werkt prima, 2 firewalls.

OddesE @Verwijderd • 28 november 2016 20:52

De firewall op de windows machine beschermt vooral tegen software op die machine zelf... Dat die niet gaan luisteren naar een port zonder dat je het weet.

Zorg je er zelf voor dat er geen software gaat staan luisteren naar verbindingen van buitenaf, dan voegt Windows Firewall hier weinig aan toe. Toch is het wel leerzaam om Windows Firewall aan te hebben om er een beetje achter te komen wat voor een software dat zoal doet. Onder andere Skype gaat standaard luisteren naar poort 80 (http) en 443 (https)....

Wat weer interessant is. Want waarom gaat Skype eigenlijk luisteren op de HTTP(S) ports? Het antwoord is dat veel mensen nogal fanatiek zijn met de firewall (want veilig) waardoor het voor Skype soms lastig is om er doorheen te komen... Poort 80 en 443 zijn echter zo ongeveer nooit geblokkeerd. Dus jaagt Skype het verkeer gewoon over die ports. Men noemt dit tunneling over HTTP en het laat imho goed zien waarom blind alle ports dicht gooien contra productief is.

scenix_ 28 november 2016 16:52

Ik woon en werk in Duitsland, het probleem begon bij vrienden en bekenden van mij die een Speedport 723V typ B of w921 hebben. Langzaam uitvallen van TV, internet en niet meer kunnen bellen (alles over DSL annex J). Ik heb zelf een fritz!box 7490 en geen problemen gehad. Dacht eerst dat de DNS server een probleem hadden van de telekom, maar dat konden we al snel uitsluiten. Na een snelle wissel van de router was het probleem opgelost.

GZdeMosselman @scenix_ • 28 november 2016 17:06

Duitse vriend had ook het probleem. Kon wel via Teamspeak praten, Steam berichten ontvangen en Whatsappen, maar geen internetpaginas openen of online gamen. Router reboot verhielp het probleem voor ~30 minuten maar toen kwam het weer terug.

burnout963 @scenix_ • 28 november 2016 22:33

Ik had het ook. Kreeg geen/slecht verbinding van buitenaf en we waren niet bereikbaar via de telefoon. Na de router reset heb ik packet loss en 12/3 mbit - ping 116. Het zou 45/10 - ping 35 moeten zijn.

Edit:

Heb inmiddels zelf de nieuwste firmware er op gezet, omdat het aangegeven "30 seconden stroom er af en alles is klaar" niet werkte. Helaas zijn de snelheden hetzelfde gebleven.

[Reactie gewijzigd door burnout963 op 26 juli 2024 08:30]

Verwijderd @scenix_ • 29 november 2016 01:59

Woon en werk zelf ook in duitsland, heeft de EasyBox van vodafone (DSL aansluiting) ook hier last van?

scenix_ @Verwijderd • 30 november 2016 12:07

niet dat ik weet, eigenlijk alleen de Deutsche Telekom.

Skender 28 november 2016 17:06

Er is in het artikel sprake van TR-069. Maar als ik me niet vergis wordt poort 7547 gebruikt voor TR-064. Terwijl TR-069 bedoeld is voor het remote beheren van devices, is TR-064 bedoeld voor lokaal (binnen de LAN) beheer. Poort 7547 zou dus nooit via het Internet toegankelijk mogen zijn.

Dreamvoid 28 november 2016 16:49

Is dat niet vrij eenvoudig af te vangen door op hoger niveau alle verkeer op port 7547 (al dan niet tijdelijk) te blokken? Ik zie ook niet helemaal waarom er uberhaupt verkeer op die port van buiten de ISP range naar binnen mag komen, dat is een gereserveerde port voor device management.

[Reactie gewijzigd door Dreamvoid op 26 juli 2024 08:30]

Armin

Netwerk en systeembeheer
Security

@Dreamvoid • 28 november 2016 18:33

Ik zie ook niet helemaal waarom er uberhaupt verkeer op die port van buiten de ISP range naar binnen mag komen, dat is een gereserveerde port voor device management.

Dit!

Het kan natuurlijk dat er een geavanceerde aanval via het ISP netwerk is opgezet en een dergelijke blokade dus bestond, maar zo niet is dit een mega-faal van deze ISP. Er zijn namelijk in het verleden al eerder aanvallen op ISP's gedaan via exact dit soort methodes waar men de management interface aanviel.

Deze poorten horen inderdaad gewoon 100% dicht/gefilterd voor verkeer dat van buiten de ISP afkomstig is, of nog beter enkel toegestaan vanaf een whitelist van management systemen.

Soldaatje @Dreamvoid • 28 november 2016 16:52

Het zou standaard al niet toegankelijk moeten zijn door ip whitelist en certificaat controle.
De provider moet er wel bij kunnen voor updates, de rest van de wereld niet.

Dreamvoid @Soldaatje • 28 november 2016 16:54

Precies, maar de provider zit natuurlijk al binnen zijn eigen netwerk.

rvt1 @Dreamvoid • 28 november 2016 17:01

Nou ja, dat hangt er natuurlijk af hoe het netwerk ontworpen is.

Als je het bekijkt om landelijk nivo dan hoeft het natuurlijk niet persee allemaal binnen je netwerk te vallen. Want wat als je eens een keer een paar bedrijven overneem etc.. Dan wil het natuurlijk nog niet gelijk zo zijn dat je dat ook allemaal direct binnen je eigen netwerk zit.
Misschien hebben de netwerk ontwerpers er ook nooit bij stil gestaan dat dit ooit een probleem zou kunnen zijn en managen ze dit op een ander nivo.

Wellicht hebben ze het zelf besloten juist niet binnen eigen netwerk te houden ivm veiligheid van eigen netwerken.

Hoe je het went of keer, het is niet eenvoudig om 1mil apparaten te beheren op landelijk nivo en het zo te maken dat dit robust blijft over vele jaren (denk +5 a 10 jaar).

De opmerking "Precies, maar de provider zit natuurlijk al binnen zijn eigen netwerk." weet je natuurlijk niet dat dit zo is als je het netwerkt zelf niet hebt ontworpen.

Houtenklaas @rvt1 • 28 november 2016 17:41

Een management poort blootstellen aan het internet - als je de keuze hebt - is simpelweg 'not done'. Als provider heb je legio keuzes waarbij het gebruik van een tweede management VC binnen het eigen netwerk een meer dan uitstekende optie is en tegelijk erg charmant omdat je je eigen management data keurig loskoppelt van de data van je klant. En hoeveel routers je dan beheert maakt dan weinig uit. Maar ook op het eigen segment geldt de simpele regel dat het ook daar secure moet zijn en je voldoende drempels moet hebben om maatregelen te kunnen nemen als je merkt dat het misgaat.

Als internetprovider heb je legio manieren om dit goed te doen, al zou je maar beginnen met poort 7574 te blokkeren vanaf "buiten", of als extra alleen toe te staan vanaf één bepaald source adres/reeks van binnen het eigen netwerk.

rvt1 @Houtenklaas • 29 november 2016 13:28

Zoals ik al aangaf, soms groeit en bedrijf en lukt dat allemaal niet, of (als ITer) krijg je het budget niet. Er zijn legio mogelijkheden waarom dit niet direct goed gaat, en het is op Tweakers vaak wel lekker makkelijk lullen 'dat ze het XYZ moeten implementeren', liefst binnen een dag

Uiteraard is het nooit een excuus!

Houtenklaas @rvt1 • 29 november 2016 19:20

Inderdaad is het NOOIT een excuus. Een ingaande poort dichtzetten op je core routers is geen rocket science en kost niets, behalve een klein beetje processor power. En kan binnen één dag. Ruim zelfs. En dat is altijd nog beter dan niets doen als een tweede VC of apart management VLAN niet wordt ondersteund, of teveel tijd kost om in te richten.

En dat is niet makkelijke lullen, maar gewoon praktisch als er even geen andere opties liggen die wellicht geld - of tijd - kosten. Eerst schade beperken, dan stappen bepalen en verder.

Daarnaast heb je als je een beetje internetprovider bent een circus klaarstaan als je ge-DDOS'ed wordt om daar iets mee te kunnen. Met de kennis die je daarvoor nodig hebt is een poortje dichtzetten dan echt kinderspel niveau nul. Nah, over tot de orde van de dag.

Yucko @Dreamvoid • 28 november 2016 16:56

tja, en dan komt de aanval van binnen het ISP netwerk (1 geinfecteerde machine is genoeg) en ga je alsnog nat.

Dus nee, alleen beperken tot eigen ISP netwerk is nog steeds te ruim.

[Reactie gewijzigd door Yucko op 23 juli 2024 01:10]

Dreamvoid @Yucko • 28 november 2016 16:57

Maar als de portscans van binnen je eigen netwerk komen, kan de ISP die aansluitingen eenvoudig met 1 klik afsluiten. Het probleem met dit soort aanvallen is altijd dat de aanvallers van buiten het eigen netwerk komen.

Verwijderd @Dreamvoid • 28 november 2016 18:37

Wat Yucko bedoeld is dat een PC wordt overgenomen en daarmee in feite de gegevens 'gespooft' worden waar de aanval vandaan komt. Tenzij je de geinfecteerde PC 'terughackt' zal je op de netwerkservicelogs af moeten gaan, en dat is nog een heikel klusje om dat goed te doen.

Dreamvoid @Verwijderd • 28 november 2016 18:43

Is dat zo heel moeilijk? Je ziet als ISP toch wel redelijk rap op de routers op je eigen segment waar al dat verkeer op port 7574 ineens vandaan komt, of denk ik iets te makkelijk?

Verwijderd @Dreamvoid • 28 november 2016 18:48

Ik weet niet hoe het bij providers precies gaat, en als ze een portfiltering hebben in hun logs gaat dat wel rapper. Maar je moet nog steeds kijken of het dataverkeer mogelijk legitiem is. (Natuurlijk is 99% van de 100 gevallen bij zulke poorten het nooit legitiem)

Het zou niet de eerste keer zijn dat een ontwikkelaar compleet de verkeerde poort aangewezen heeft voor een programma (alhoewel 7574 wel heel erg 'uit de route' ligt voor een foutje)

Nota - natuurlijk moet je er ook rekening mee houden met de frequentie. Een normaal weinig gebruikte poort die opeens gespamt wordt valt wel heel erg op....

[Reactie gewijzigd door Verwijderd op 26 juli 2024 08:30]

Jonathan-458 28 november 2016 17:23

Helaas, dit doet mijn vermoeden bevestigen dat providers zelf niet instaat zijn hun eigen hardware correct te beveiligen.

Er worden veelste weinig fixes en updates doorgevoert door de providers en in sommige gevallen door de fabrikant vrijgegeven. Ik ben 100% voor hele domme modems, met puur alleen maintenance login met certificaat en random sterke wachtwoorden en daar achter een eigen fatsoenlijke router of combie, dan was dit zo te zien niet gebeurt.

Daarnaast gaan providers veelste lang door op oude hardware die geen ondersteuning meer krijgt.

Weet bijna wel zeker dat vrijwel alle door provider geleverde modem router combies ernstige veiligheid risicos hebben, zeker als ik de lijst van fixes doorneem van D-Link, Asus, Cisco en TP-Link.

Vanuit Router fabrikant zouden echter ook een soort van mailing moeten zijn of andere betere notificatie methode om de normale gebruiker op de hoogte te stellen dat er een nieuwe update beschikbaar is.

Hopelijk zet dit nog meer mensen aan om hardware management zoveel mogelijk voor eigenrekening te nemen.

[Reactie gewijzigd door Jonathan-458 op 26 juli 2024 08:30]

Dreamvoid @Jonathan-458 • 28 november 2016 17:33

Probleem is dat je dan miljoenen complexe devices (routers) bij consumenten krijgt, die totaal niet weten hoe ze die moeten beveiligen of beheren.

Stel je voor dat dit was gebeurd met een populair router model? Nu kan de ISP direct ingrijpen terwijl de aanval bezig is, anders moet je weken/maanden/jaren wachten voordat oma haar router heeft vervangen of geflashed, en al die tijd heb je een actieve bot.

Jonathan-458 @Dreamvoid • 28 november 2016 18:08

Klopt, daar zit inderdaad de grote uitdaging en tot op zekere hoogte kunnen providers zeker iets voor deze klanten betekenen maar zij dienen dit stukken serieuzer te nemen, het is niet erg als een port openstaat naar iets maar zorg dat de site, apparaat etc goed beveiligd zijn.

Fabrikanten zouden hun set-up procedures ook moeten aanscherpen, want het is belachelijk sommige hardware of software zonder correcte instellingen volledig toegang tot het internet kan krijgen.

Providers zouden moeten Investeren in betere apparatuur, Management overlaten aan de fabrikanten en fors meer in veiligheid moeten investeren en ook zo iets simpel als standaard bijv. UPNP uitzetten, meer een soort van iOS approach.

[Reactie gewijzigd door Jonathan-458 op 26 juli 2024 08:30]

Dreamvoid @Jonathan-458 • 28 november 2016 18:31

Probleem is, hoe weten de fabrikanten hoe de netwerk config van de ISP in elkaar zit? En een tweede: een ISP is een lokaal bedrijf dat een streng gereguleerde dienst in eigen land levert, de routerfabrikant kan volgende week weer een ander Chinese OEM zijn. Je vingers kruisen en hopen dat die zorgvuldig zorg dragen voor klanten die 1x ooit een router hebben gekocht is lastiger dan dat eisen van de ISP die een continu doorlopend abonnement met de gebruiker heeft, en via wiens netwerk alle ellende loopt.

Ik zie het eerder de andere kant op gaan: de ISP beheert de routers steeds strakker, en kan ook eerder ingrijpen bij zombies binnen het LAN van de gebruikers: zoals bij gedetecteerd botverkeer bv een geinfecteerde AppleTV, slimme meter of NAS gericht afsluiten van internet, zonder direct de hele aansluiting (incl alle andere devices) af te hoeven sluiten.

Het is gewoon niet te doen om miljoenen mensen allemaal op te leiden tot systeembeheerders met hetzelfde kennisniveau als de professionals bij de ISP, en maar hopen dat al die mensen zichzelf beveiligen. Dat lukt met een huis nog net wel (een slot is niet zo moeilijk te snappen), maar niet met de fijnere details van firewall policies.

Verwijderd @Dreamvoid • 28 november 2016 18:56

Hm.... Is het probleem bij gericht afsluiten (op MAC niveau of hoe had je het voor ogen?) niet dat je een massa customer service erbij moet hebben om de vragen aan te kunnen? En met ISPs die steeds meer betaalde lijnen instellen (ben ik persoonlijk echt niet blij mee), zal je juist mensen krijgen die besluiten over te switchen.

Dat er gekeken moet worden naar wat beter kan ben ik het mee eens... Maar er zitten flink wat haken en ogen aan.

Dreamvoid @Verwijderd • 28 november 2016 20:59

Je kan het idd op IPv6 of mac-adres doen, en daarna een email naar de klant. Het switchen kan je voorkomen door dezelfde regels voor elke (consumenten) ISP te hanteren. Ik bedoel, ik weet niet of er veel mensen overschakelen van provider als ze horen dat hun slimme thermostaat of tablet is gehacked - dat lost nl niks op en zodra de zombie actief wordt op het netwerk van de andere provider sluit die m ook af.

Jonathan-458 @Dreamvoid • 28 november 2016 19:45

Hiervoor zouden bepaalde standaarden in het leven moeten worden geroepen, want je moet inderdaad malafide hardware weren en kunnen blokkeren. (gebeurt eigenlijk al)

Voor een groot aantal klanten zouden providers of fabrikanten, tot op zekere hoogte ivm privacy, hen netwerk idd kunnen beheren, echter ben ik meer voor een variatie van Bitdefender's BOX dan dat de ISP zelf dingen gaat lopen doen binnen jouw lokale netwerk.

Dat is zeker niet te doen, en dat wil ik ook zeker niet maar als je een wizard goed instelt is dat ook niet nodig en daarnaast zijn er tegenwoordig tal van professionals die dit voor de klant kan doen.

Ik vind dat mensen tenminste bij aanschaf van een IoT apparaat (andere eigenlijk ook) voorgelicht moeten worden, soort van klein checklist meegeven of laten instellen door professional ofzo.

[Reactie gewijzigd door Jonathan-458 op 26 juli 2024 08:30]

R4gnax @Jonathan-458 • 28 november 2016 20:51

Vanuit Router fabrikant zouden echter ook een soort van mailing moeten zijn of andere betere notificatie methode om de normale gebruiker op de hoogte te stellen dat er een nieuwe update beschikbaar is.

Of gewoon een automatische update die standaard aan staat en updates in plant op tijden wanneer er geen LAN verkeer actief is.

Jonathan-458 @R4gnax • 28 november 2016 21:12

Dan zouden ze wel beter moeten testen, ben geregelt updates tegen gekomen welke of een hard reset nodig hadden of de stabiliteit negatief beïnvloedde, maar als ze dat zouden kunnen fixen zou dat voor velen handig zijn jah.

[Reactie gewijzigd door Jonathan-458 op 26 juli 2024 08:30]

R4gnax @Jonathan-458 • 28 november 2016 21:50

Dan zouden ze wel beter moeten testen, ben regelt updates tegen gekomen welke of een hard reset nodig hadden of de stabiliteit negatief beïnvloedde, maar als ze dat zouden kunnen fixen zou dat voor velen handig zijn jah.

Tja; het is in principe gewoon mogelijk om de oude versie v/h router OS en applicaties draaiende te houden terwijl een complete mirror-copy gemaakt wordt waarop de upgrade-patch gedraaid wordt om tenslotte de twee 'om te schakelen' waarbij het beheer over openstaande verbindingen, port triggers, etc. doorgegeven wordt aan de vers gepatchte instance.

Technisch is dat al lang realiseerbaar. Het grote probleem daar is, zoals gewoonlijk, budget.

Je zult geen hardware-leverancier vinden die trek heeft om dat soort zaken te gaan leveren tegen de huidige prijzen in het budget segment waar de gemiddelde consument in koopt. En je zult buiten het enthusiast segment geen consument vinden die zin heeft om er extra voor te lappen.

[Reactie gewijzigd door R4gnax op 26 juli 2024 08:30]

Jonathan-458 @R4gnax • 28 november 2016 22:15

Helaas denk ik dat je gelijk hebt.

GeoBeo 28 november 2016 17:22

Wereldwijde aanval op alle DSL routers.

Misschien ver gezocht hoor, maar klinkt mij in de oren als: NSA/overheid/spionage?

Het hek was wat dat betreft natuurlijk al lang van de dam, maar mocht dit inderdaad kloppen dan zullen dit soort problemen (test-foutje?) in de toekomst nog veel vaker voorkomen.

[Reactie gewijzigd door GeoBeo op 26 juli 2024 08:30]

AJediIAm @GeoBeo • 28 november 2016 18:08

De overheid zou het niet zo hard op laten vallen. Er zijn genoeg diensten die data verzamelen op een gigantische schaal zonder dat dat voor problemen zorgt. Wat dat betreft was dit een beetje een amateuristische uitwerking. Iedereen is nu wakker en alert.

Waarschijnlijk heeft het persoon/organisatie die hierachter zit geholpen om het internet weer een stukje veiliger te maken door het zo te verprutsen.

Verwijderd @AJediIAm • 28 november 2016 20:40

Mwah ik denk dat je de overheid hier onderschat.

Is toch leuk iedereen z'n internet om zeep halen. Hackers de schuld geven. En dan met een nieuw wet voorstel komen, voor meer bevoegdheden, zodat ze die gevaarlijke hackers kunnen vangen. Vergeet niet de online terroristen

en ik wil ook zeker niet de pedo's hier weglaten. Zal mij benieuwen wat de eerst volgende drogreden wordt.

Ik verzeker je, dat je er niet tegen 'mag' of ' hoort' te zijn.

AJediIAm @Verwijderd • 28 november 2016 21:23

Ik zie geen enkel verband tussen wat je zegt en wat hier gebeurt is. Dit een een duidelijk probleem van matig beveiligde firmware van een bedrijf.

En ik weet niet wat je denkt dat ze bij de overheid doen, maar "leuke" dingen zoals het internet om zeep helpen voor geen enkele reden slaat nergens op.

Verwijderd @AJediIAm • 29 november 2016 18:15

Misschien, heel misschien ben je dan een beetje naïef?

AJediIAm @Verwijderd • 30 november 2016 08:34

Waarschijnlijk wel. De waarheid ligt vaak in het midden.

Verwijderd @GeoBeo • 28 november 2016 18:43

Lijkt me eerder dat er gezocht wordt naar uibreiding van botnetwerken. Bv die + 1 TB botnet zal waarschijnlijk ook brute force meegespeeld hebben naast gewoon slechte standaardbeveiliging voor IoaT-apparaten.

Prulleman 28 november 2016 16:57

Ik ben weleens iets vergelijkbaars tegen gekomen, soms als ik een inlog poging op mijn NAS zie kijk ik waar het IP vandaan komt, meestal china of india ofzo, maar ik had er ook een x 1 uit NL, vervolgens geprobeerd op port 22 te connecten naar dat IP en dat ging dus gewoon met root zonder wachtwoord.

Aan de hand van het IP de provider achterhaald en contact opgenomen, netjes op de hoogte gebracht en binnen 2 uur was ssh toegang dicht

Anyway, gewoon even een anekdote van een gemiddelde tweaker zonder diepgaande netwerk, of hack kennis om aan te geven hoe groot dit probleem is. Wellicht ook interessant om eens te kijken of ver je op je eigen IP komt als je scriptkiddy hacks handmatig op je eigen ip toepast!

iTeV 28 november 2016 16:58

De getroffen provider Deutsche Telekom heeft inmiddels via een bericht op zijn website laten weten dat er een patch voor de getroffen routers beschikbaar is

Maar wat nou als de DSL router al geinfecteerd is, heeft de patch nog nut naast het feit dat het alleen port 7547 blokkeert?

Verwijderd 28 november 2016 17:51

Het botnet begint duidelijk al vorm te krijgen: ik zie in mijn firewall logs veel meer verbindingspogingen naar poort 7547. En als ik dan naar die ip's probeer te verbinden krijg ik toch vaak een socket op die poort...

Nov 28 17:32:58 xxxxx kernel: [11852771.453143] INPUT-v4:IN=eth1 OUT= MAC=xxxxx SRC=46.62.183.39 DST=xxxxx LEN=40 TOS=0x00 PREC=0x00 TTL=46 ID=52913 PROTO=TCP SPT=51541 DPT=7547 WINDOW=55623 RES=0x00 SYN URGP=0

root@xxxxx:~# telnet 46.62.183.39 7547
Trying 46.62.183.39...
Connected to 46.62.183.39.
Escape character is '^]'.

Vermoedelijk zijn ze er dus in geslaagd werkende code te injecteren bij een heleboel van die dsl routers, die op hun beurt ook anderen aan het infecteren zijn...

ehtweak 28 november 2016 18:01

Zoals bij het andere nieuwsitem over dit topic al is aangegeven:
ehtweak in 'nieuws: Deutsche Telekom: storing 900.000 routers mogelijk gevolg...
Wat tips om e.e.a. te checken/configureren.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (71)

Sorteer op:

Weergave: