Взлом роутеров или что-то другое?

Question

[Trifors]

Добрый день всем! Ситуация такая, работаю на техподдержке и в последние пару недель появилось множество обращений от абонентов о том, что через роутер инет не работает. Некоторые приносят роутеры в офис к нам, к остальным ходят техники и везде одинаковая проблема — роутер не выдает по dhcp шлюз на любые подключенные устройства и соответственно если ручками его не прописать, то инет не работает + невозможно зайти на интерфейс роутера, пароли не подходят. У всех абсолютно пользователей роутеры модели TP-Link (741, 841, 940 итд). Приходится делать полный сброс настроек и по новой настраивать, этот геморрой порядком поднадоел.

Позвонили в компанию Tp-Link, описали им проблему, они говорят, что мы уже 3-й провайдер с такой проблемой ( еще 2 звонили из разных городов, с разных концов страны) и что делать они незнают.


Может кто сталкивался с такой проблемой? Что это может быть? Есть какие-то решения?


Заранее спасибо.

Answer 1

[Николай Васильчук]

Как решение проблемы «в лоб» — прошивайте клиентам OpenWRT, чтобы проблема не повторилась.
Ну а у себя поставьте несколько «проблемных» роутеров, подключите через UART и пишите логи.

Answer 2

[Boleg2]

Предположу логически: если речь идет о какой-либо дыре, распространенной в определенных прошивках определенной модели роутеров, то злоумышленник, получая доступ к роутеру, эту дыру вынужден так или иначе после себя прикрывать, чтобы его путем не пошли остальные кулхацкеры и не лишили его кучи дедиков.

Тут для выявления того, что изменилось, можно посмотреть тем же нмап-ом картину: какие на роутере исчезли открытые наружу порты, состояние до и после захвата (если речь, конечно, о нём). Каков ответ по различным службам (хотя вряд ли кто будет править бажную службу в прошивке роутера, так?). Таким образом можно косвенно вычислить бажную службу и, если она не критичная, рекомендовать клиентам её отключать на определенных моделях.

Можно еще попробовать снять дамп прошивки и посмотреть, что же там такое изменилось.
Можно погуглить по кулхацкерным бордам.

Вообще странно, чтобы злоумышленник так явно провоцировал на сброс настроек — отключением dhcp? Может и впрямь речь об аппаратной/программной проблеме конкретных железок?

Answer 3

[Trifors]

Эта беда именно и на последних прошивках и на старых. Nmap показывает все тот же один единственный 80 порт.

Answer 4

[themiron]

в качестве начала можно вывесить железки в клиентскую сеть и глядеть в консоли, что там происходит.
дамп прошивки мало что даст, кроме общего подтверждения изменений, т.к. и kernel и rootfs части находятся во flash в сжатом виде.

Answer 5

[Алексей Т]

Массовость проблемы указывает не на конкретного хакера(врятли 80-й порт да еще у роутера открыт по дефолту наружу, к тому же мало провайдеров которые дают доступ к 80-м портам клиентов снаружи). Это либо проблема самого роутера(порча настроек) ибо взлом его инженерным паролем изнутри провайдерской сети — а именно с клиентского оборудования каким-нибудь трояном например. Хакера внутри провайдерской сети вычислить в принципе возможно, но если затронуты и другие провайдеры — скорей всего это какой-то вредонос пользующийся уязвимостями роутеров и по всей видимости делающий это неправильно — меняет какие-то настройки внаглую затирая важные(под какую-то другую модель роутера рассчитан) отсюда и демаскировка.

Answer 6

[emoxam]

Мне кажется информации мало.
Есть ли доступ к роутерам снаружи? Если да то:
1. можно сменить порт удаленного управления, как минимум.
2. можно указать «Remote Management IP Address»
3. На TL-WR741N (а ведь мы вроде о нем), в разделе system log есть «Auto Mail Feature»
Ну для начала хватит. Или я что-то не так понял?

P.S. И потом, если вы провайдер, может стоило взять железки с поддержкой tr-069?

Answer 7

[emoxam]

У меня правда не отработало, но может у вас прошивка постарее и там сработает

weblance.com.ua/blog/160-kriticheskaya-uyazvimost-v-routerah-i-tochkah-dostupa-tp-link.html

меня удивил момент:

Для эксплуатации уязвимости злоумышленнику достаточно: сформировать HTTP-запрос к
/userRpmNatDebugRpm26525557/linux_cmdline.html
использовать учётную запись логин osteam, пароль 5up дальше можно выполнять произвольный код с root-правами

Источник: weblance.com.ua/blog/160-kriticheskaya-uyazvimost-v-routerah-i-tochkah-dostupa-tp-link.html

Answer 8

[Алексей]

У 741 ND по дефолту 80 порт для доступа из WAN закрыт и открывается ручками на определенный IP (по моему даже не на диапазон). Есть еще вариант, оставляют стандартный пароль и включенный WPS который может поломаться.