Zabytki w domu są niebezpieczne

Mówię tu o Państwa routerach w domu , które mogą sprawić ,że
pozbędą się Państwo nadmiaru gotówki, że wracając z wakacji
okaże się, że mieli Państwo niechcianych gości.
W tym roku stały się bardzo popularne ataki przestępców na nasze domowe
,firmowe routery. Skala tego zjawiska jest ogromna, a to my częściowo
sami przyczyniliśmy do jego powstania.
Ten router który mamy w domu, w firmie pozostawiliśmy z domyślnym loginem, hasłem.
Czy wychodząc z domu zamykają Państwo drzwi na klucz i zostawiają otwarte okno, wątpię.
Domyślne ustawienia typu login:admin hasło:admin wypadało by zmienić. przykład
Przestępcy wzięli na celowniki nasze rutery zaczęli szukać w nich niedopatrzeń
i jak w każdej dziedzinie tak i tu znaleźli luki w tych urządzeniach.
Dzięki tym dziurą mogą przejąć całkowitą kontrolę nad urządzeniem.
Dzwonią Państwo do swojego dostawcy internetowego denerwują się Państwo
,że ten internet źle działa, strona się nie otwiera lub otwiera się inna.
A tu okazuję się, że nie tylko Państwo korzystają z tego rutera.
Dostawcy internetowi Orange, Netia fałszywe przekierowania DNS
starają się przekierować na własne DNS. przykład
Jest to ponad 200 różnych urządzeń podatnych na ataki więc wymienię tylko producentów:
TP-link, Linksys, Netgear, Pentagram, Cisco, D-link,  Belkin, Technicolor  …
Konkretnie które modele danej firmy maja tylna furtkę mogą Państwo sprawdzić na stronie
Mój router jest podatny na ataki, lub działa nieprawidłowo co robić:
Sprawdzić czy na stronie producenta urządzenia jest aktualizacja oprogramowania,
jeśli jest zainstalować.

Domyślny login i hasło na urządzeniu:

Linksys:
adres:http://192.168.1.1/ login:admin hasło:admin
TP-Link
adres:http://192.168.1.1/ login:admin hasło:admin
Netegear
adres:http://routerlogin.net/ login:admin hasło:password
Pentagram
adres:http://192.168.1.100/ login:admin hasło:pentagram
Livebox 2.0 FunBox
adres:http://192.168.1.1/ hasło: admin
Netia Spot
http://netiaspot.home login:user hasło: user
login: admin hasło:admin_netia

Niektóre routery mają więcej użytkowników najczęściej brandowane np: admin,user,support

lista haseł

profilaktyka wystarczy zmienić hasło 🙂

Backdoor na porcie TCP-32764

lista urządzeń podatnych na atak niepełna ponad 200 urządzeń najcześciej Linksys,Netgear,Belkin

pełna kontrola nad urządzeniem

najszybciej sprawdzić programem nmap

nmap -p 32764 ip-routera

https://youtu.be/MAMGe-bOJ9M

kolejna tylna furtka przez którą można uzyskać pełną kontrole nad urządzeniem lista niepełna urządzeń:

TD-W8901G
TD-8816
TD-W8951ND
TD-W8961ND
D-Link DSL-2640R
AirLive WT-2000ARM
Pentagram Cerberus P 6331-42
ZTE ZXV10 W300

D-link GO DSL N150

http://ip-routera/rpFWUpload.html

http://ip-routera/rom-0

pobieramy pliki konfiguracyjne urządzenia odczytujemy np: hasła

dowolnie modyfikujemy ustawienia routera źródło

http://youtu.be/5hCTxvhHRWc

kolejna tylna furtka pełny dostęp zmiana konfiguracji

http://ip-routera/userRpmNatDebugRpm26525557/linux_cmdline.html

login: osteam
hasło: 5up

cytuje źródło tutaj

"TL-WR740N, TL-WR740ND, TL-WR743ND, TL-WR842ND, WA-901ND, TL-WR941N, TL-WR941ND, TL-WR1043ND, WR2543ND, TL-MR3220, TL-MR3020, TL-WR841N (na dwóch ostatnich link działa, ale brak dostępu ? prawdopodobnie inny login/hasło). Nie działa na modelach TL-WR340G, TL-WR543G. Dla TD-W8901G raporty są rozbieżne"

TL-WR841N / TL-WR841ND Date: 30.06.14 Multiple Vulnerabilities

kolejna furtka pełny dostęp zmiana konfiguracji

http://192.168.0.1/goform/system/GatewaySettings.bin

Thomson TWG870
Technicolor TC7200

źródło tutaj

Vulnerability Information hasła

ZTE ZXV10 W300
TP-Link TD-W8901G
TP-Link TD-W8101G
TP-Link TD-8840G
TP-Link TD-8817

źródło tutaj

zwiększenie uprawnień

urządzenia podatne na atak najczęściej to urządzenia brandowane

Netiaspot analiza routera od Netii autor Maksymilian Arciemowicz

CELLPIPE 2013

Pirelli P.DG A4000G

Asmax AR 1004g hasło administratora tutaj

http://ip-routera/backupsettings.html

pobieramy konfiguracje routera i uzyskujemy pełny dostęp do urządzenia

http://ip-routera/password.html

w kodzie źródłowym tej strony znajdziemy loginy i hasła wszystkich użytkowników

można wykonywać polecenia z uprawnieniami admina
D-Link DIR-600 i DIR-300
źródło tutaj

Backdoor D-Link modele:

DIR-100
DI-524
DI-524UP
DI-604S
DI-604UP

źródło

Dziura w Routerach D-Link

DI-524 (C1, 3.23)
DIR-628(B2, 1.20NA, 1.22NA)
DIR-655 (A1, 1.30EA)

źródło

podmiana DNS D-Link DSL-2740R więcej [inne rutery z systemem ZynOS np.: TP-Link, ZTE  więcej]

kolejne d-linki podatne na atak więcej

routery Asus wykonanie dowolnego kodu więcej

RT-N66U
RT-AC87U
RT-N56U
RT-AC68U
DSL-N55U
DSL-AC68U
RT-AC66R
RT-AC55U
RT-N12HP_B1
RT-N16
RT-AC66R
RT-N12HP_B1

dodatkowe ukryte konto login: super hasło: super lista routerów podatnych

 

 

Linksys seria E i nie tylko TheMoon Remote Command Injection tutaj

 

Urządzenia posiadające port USB podatne są na ataki ponad 90 różnych routerów lista

Modemy firmy Arris tylna furtka tutaj

strona z gotowymi scenariuszami ataku na nasz router modem tutaj

p.s.

artykuły o tematyce bezpieczeństwa tutaj

 

 

strona w trakcie tworzenia