spacer.png, 0 kB
Bilgi için: bilgi at bilgiguvenligi gov tr   

 

spacer.png, 0 kB
spacer.png, 0 kB
ADSL Modem (Yönetici Arayüzü) Güvenliği - Araştırma Yazdır E-posta
Bedirhan Urgun, TURKCELL   
20.02.2008

Ülkemizde kullanılan ADSL modemler yönetici arayüzleri güvenliği hakkında yapılan bu araştırma yazısı iki bölümden oluşmaktadır. İlk bölüm bir hikaye şeklinde anlatıldıktan sonra, ikinci bölümde araştırmalarımız sonucu ortaya çıkan bulgular belirtilmiştir.

Bölüm 1: Motivasyon (Tekerleğin Yeniden Keşfi)

Ağustos 2007 tarihinde, yönetiminden ve güvenliğinden sorumlu olduğumuz web sitesine ait ModSecurity [1] web uygulama güvenlik duvarı saldırı kayıt dosyasında ilginç! bir saldırı dizgisi gözlemledik (Şekil 1).

mod_sec_log2.gif

Şekil 1 - Modsecurity kayıt dosyasından bir saldırı alıntısı

Saldırgan IP'si üzerinde yaptığımız ilk araştırmalar sonucu IP'nin bazı siyah listelere "istenmeyen e-posta kaynağı" nedeniyle girdiğini anladık (Şekil 2).

googling_attacker_ip2.gif

Şekil 2 - Saldırgan IP'nin siyah listede bulunması ve nedeni

Saldırgan IP'sine bir tarayıcı ile direk web bağlantı açmaya karar verdik ve AIRTIES RT-102 modem arayüzü ile karşılaştık (Şekil 3). Belki de yapılmaması gerekeni yaptık ve bu modemin varsayılı şifre değeri olan boşluğu deneyerek başarılı bir şekilde yetkilendirildik (Şekil 4).

 

i_am_out_for_now.gif

Şekil 3 - Saldırgan IP'ye web bağlantısı ve modem arayüzü

i_am_in.gif

Şekil 4 - Modem arayüzünde varsayılı şifre değeri girilmesi sonrası yetkilendirilme

 Bir saldırgan gözü ile bu noktadan sonra modem yönetim arayüzüne girilen kurbana yapılabilecek iki saldırı olarak;

  1. DNS değiştirme (bir çeşit pharming) ve
  2. İçerdeki bilgisayarları DMZ'e çıkarmak (modem jargonunda bir makinanın "DMZ'e çıkarılması" korumasız alana çıkarılması anlamına gelmektedir)

sıralanabilir. İlk saldırı ile "Web'in aşil tendonu" hedef alınacak ve kurbanın DNS çözümlemeleri saldırganın belirlediği DNS tarafından belirlenecektir. İkinci saldırı ile iç ağda bulunan ve büyük ihtimalle güvenlik duvarı tarafından korunan bilgisayarlar oldukları gibi dış ağa çıkarılabileceklerdir. ADSL kullanıcı adı ve şifreleri çalınarak ciddi bir hizmet dışı bırakma saldırılarına değinilmeye bile gerek yoktur.

Biraz şans (web tarayıcısına saldırganın IP'si yerine yanlışlıkla benzer başka bir IP'nin yazılması, bu sefer başka bir marka modem arayüzü ile karşılaşılması ve varsayılı şifrenin başarılı olarak kullanılması) biraz da girilen arayüz içinde yapılan bazı tetkikler sonucu bu durumun yaygın olabileceği kanısına vardık. Ancak bu durumun zaten, Şubat 2007 tarihinde Türk Telekom'un ADSL kampanyası dahilinde dağıttığı, AirTies'ın ürünü RT-102 model ADSL Modem'lerde "Yetersiz Yetkilendirme" olarak sınıflandırılabilen bir açıklığın bazı sitelerde/forumlarda yer bulduğunu google yardımı ile öğrendik.[2] [3]

Açık basitçe, "modemin web yönetim arayüzü varsayılı olarak (kullanıcı istese de istemese de) Internet'e açıktır ve kullanıcı değiştirmedikçe arayüze başarılı olarak girmek için sorulan varsayılı şifre değeri boştur" şeklinde açıklanabilir.

Varsayılı şifre problemi sadece AIRTIES'ın ilgili modeminde değil diğer bazı modemlerde de mevcuttur.

Bölüm 2: Araştırma ve Sonuçlar

Peki karşılaştığımız problem ne kadar yaygın? Riski hesaplamak aslında o kadar kolay değil; kaç kullanıcının ilgili modemleri kullandığı bilgisinin yetkili yerlerden alınması yeterli olmayacaktır. Çünkü, mesela, AIRTIES tarafından üretilen firmware güncellemesini yükleyen kullanıcılarda mutlaka mevcuttur.

AIRTIES bahsedilen problem için bir firmware güncellemesi üretmiştir.

Riski bir nebze olsun görmek için örnekleme yöntemini seçtik. Bir komut satırı betiği yazıp (Alıntı 1), farklı TTnet yönlendiricilerinin arkasında bulduğumuz bazı IP aralıklarını (Şekil 5) uzun bir zamana yayarak sadece ilgili modem arayüzleri ve varsayılı şifreler için taradık.

ip_ranges_vs_tt_router_names.gif

Şekil 5 - Farklı TTnet yönlendiricilerinin arkadasında bulduğumuz bazı IP aralıkları

Bu işlemi yaparken her IP'ye maximum 2 adet bağlantı açtık; ilk bağlantı 80.portun açık olup olmadığı ikinci bağlantı ise ilgili modemin web yönetim arayüzünün varsayılı şifre ile açık olup olmadığını anlamak için açıldı.

...
FINISH_IPADRESS=`echo $IP_RANGE |cut -d '=' -f2 | cut -d'-' -f2 | tr -d '"'`

while [  $START_IPADRESS -le $FINISH_IPADRESS ]
  do
    y=1
    while [  $y -lt 255 ]
     do
       REAL_IPADRESS="$IP_ADRESS.$START_IPADRESS.$y"

       HPING_RESULT=`hping -S $REAL_IPADRESS -p 80 -c 1 2>/dev/null | grep "flags=SA" | wc -l`

          if [ $HPING_RESULT -eq 1 ]
  ...
           fi
        let y=y+1
     done
        let START_IPADRESS=START_IPADRESS+1
...

 

Alıntı 1 - Yazılan betikten bir parça

Karşılaştığımız sonuçları grafiksel olarak vermek gerekirse. Şekil 6'de, sadece ilgili modem web yönetim arayüzü ve varsayılı şifresi açık (Buna "One Click Hackable" ismini verdik) IP sayısının, taranan IP aralıklarının kapsayabileceği maximum IP sayısına olan oranı bir pasta grafiği şeklinde bulunmaktadır. Bu oran %5'tir.

 

total_ip_vs_vuln_ip.gif
 

 Şekil 6 - "One Click Hackable" IP sayısının, IP aralığı ile kapsanabilecek maximum IP sayısı ile oranı

Şekil 7'de, "One Click Hackable" IP sayısının, sadece 80.portu açık olan IP sayısına olan oranı bir pasta grafiği şeklinde verilmektedir. Bu oran %46'dır. Yani nerdeyse taradığımız aralıklarda 80.portu açık olan her iki IP'den birinde büyük bir sıkıntı mevcuttur.

 

80_open_ip_vs_vuln_ip.gif
 

Şekil 7 - "One Click Hackable" IP sayısının, 80.portu açık olan IP sayısına oranı

Son olarak, Şekil 8, taramalar için seçtiğimiz IP aralıkları ve bu IP aralıklarında bulunan problemli IP sayılarını göstermektedir.

 

ip_ranges_vs_vuln_ip.gif

 Şekil 8 - Seçilen IP aralıkları ve bu IP aralıklarında bulunan problemli IP sayıları

Sadece ilgili modem için yapılan bu tarama sırasında aslında diğer modem arayüzleri ve varsayılı şifrelerle, yani "One Click Hackable" IP'lerle karşılaşılmıştır, ama sonuçlar sadece odaklanan modem için alınmıştır.

Bu riske bir çözüm olarak kullanıcıların firmware güncellemelerinin yanında (ki bu durumda bile bazı problemler olduğu belirtilmiştir [3]), daha proaktif bir yaklaşım ile, kullandığımız betiğe benzer bir betik yardımı ile riskli IP'lerde firmware güncelleme işlemi otomatik (ama izinsiz) bir şekilde yapılabilir. Muhtemel riskleri göz önünde bulundurulduğunda, bu işlemi ancak üreticinin yapabileceği gözden kaçmamalıdır.

Ayrıca bu bulgular sonucu web uygulama güvenliği perspektifinden javascript malware'e ne kadar açık olduğumuz da ortaya çıkmaktadır [5].

Referanslar:

  • [1] http://www.modsecurity.org/
  • [2] http://www.bildirgec.org/yazi/airties-rt-102-modemlerde-ciddi
  • [3] http://www.webhatti.com/genel-sohbet/26313-airties-modem-kullanicilarinin-dikkatine.html (asıl kaynak inndir.com olarak gözüküyor)
  • [4] http://www.webguvenligi.org/sozluk/
  • [5] http://jeremiahgrossman.blogspot.com/2006/09/video-hacking-intranet-websites-from.html
  •  

     

     

     

     

     


    Favori olarak ekle (0) | Görüntüleme sayısı: 19034

    Yorumlar (8)
    1. 04-10-2009 02:12
     
    Bir ara bu tür işlemlerle uğraştım aynı sıkıntılar halen var.Fuat beyin dediği gibi user lara eğitim şart.Bilgilendirmeler için teşekkürler.
     
    Önder Özdoğan
    2. 15-06-2009 14:52
     
    ADLS lerde bulunan bu tarz açıklar, yapılacak DNS yönlendirmeleri ile binlerce insanın kredi kartı ve diğer şifrelerinin tehlike altında olduğunu açıkça ortaya koyuyor. Host security tarafında giderek alınan önlemler artsada User'ların da eğitim almaları şart. User'lara da bir update gerekiyor sanırm :)
     
    Fuat Müminoğlu
    3. 15-02-2009 19:18
     
    Riskin önemine dikkat çektiğin ve farklı örneklerle desteklediğin için ben teşekkür ederim Onur.
     
    Bedirhan Urgun
    4. 07-02-2009 14:51
     
    Modemine giriş yapılan bir kurbanın internet bağlantısı kesilebileceği gibi kirli işlerdede kullanılarabilir. Modem üzeriden ilgili bir port yardımıyla yönlendirme yapılabilir ve hatta ilgili portlar açılarak uzak bağlantı direk masaüstüne gerçekleştirilrbilir. Örneğin;81.x.x.12 numaraları bir ip adresinin modemine eriştiniz ve bu modemin markası Greek modellerden. Standar şifre bellidir. Admin Admin. Daha sonrası ise telnet uygulamalarıdan tehditkar açıklamalara ahlaksız saldırılardan çocuk pornosuna kadar varabilecek tehlikeli sonuçlardır. Üretici firmalar kesinlikle bankacılık misali bir şifre uygulama ve ilk kullanımda yeni bir şifre atama zorunluluğu getirmelidirler. Teşşekürler Bedirhan bey.
     
    Onur KARAMANLI
    5. 05-08-2008 16:07
     
    Ellerinize sağlık tekkelime çoook şeyler öğreneceğiz daha
     
    Yunus KIŞAN
    6. 05-08-2008 10:25
     
    verdiiniz bılgılerınız için teşekkur ederım arkasdaslar i gunler
     
    HAKAN TEK
    7. 15-04-2008 23:58
     
    Teşekkürler Melih. Senin de yorumunda belirttiğin gibi umarım adsl modem kullanıcıları bu konularda biraz daha bilinçlenir ve bir o kadar önemlisi adsl modemleri "kutudan güvenli" çıkarlar...
     
    Bedirhan Urgun
    8. 15-04-2008 18:27
     
    selam öncelikle döküman güzel ama aynı zamanda az çok hackle uğraştığım için bunun gibi farklı modemlee girmek için video çekmiştim hatta modemden 
    ttnet kullanıcı adı şifre almaya kadar isterseniz göndere bilirim diğer bi sözümse adsl modem güvenliği hakkında insanlar modem pass değişmiyorlar genelde aldıkları gibi fabrika çıkışı bırakırlar çok yanlış bir uygulamadır en basitinden girdiğiniz o airtes tipi modemlerde şifre istemez şifre kısmına direk enter yapılarak girilebilir vede nat bağlantısından kullanıcı int kesile bilir bunları yazmammın sebebi belki dökümanı okuyan bazı arkadaşlara farklı bilgiler olması açısından tekrardan dökümanınız güzeldi elinize sağlık (lütfen alay etmeyin :D)
     
    Melih Aslan

    Sadece kayıtlı kullanıcılar yorum yazabilir.
    Lütfen sisteme giriş yapın veya kayıt olun.

     
    spacer.png, 0 kB
    spacer.png, 0 kB
    Copyright 2014 TÜBİTAK-BİLGEM. Sitenin teknik altyapısında Joomla kullanılmıştır. Yazar ve site referans gösterilmeden alıntı yapılamaz. Görüşleriniz
    spacer.png, 0 kB