Modemy / routery ADSL firmy Orange, obecne również w Polsce "Liveboksy" od dłuższego czasu były głośnymi bohaterami historii, w których udało się wskazać na luki zabezpieczeń. Najnowsze odkrycie to natomiast kompilacja - paskudnego błędu oraz niefrasobliwości samych użytkowników, którzy nie zdają sobie sprawy z zagrożeń, jakie płyną z braku zainteresowania konfiguracją modemu ADSL od Orange.
Troy Mursch z Bad Packets odkrył, że urządzenia Livebox mogą w całkiem prosty sposób udostępniać atakującemu dwie kluczowe informacje dotyczące sieci WiFi, którą obsługują. Za pomocą Shodana, nazywanego ogólnie "Google dla urządzeń sieciowych" znaleziono niemal 20 000 podatnych na atak Liveboksów działających w ramach infrastruktury Orange. Następnie, za pomocą prostego polecenia GET wskazującego na plik /get_getnetworkconf.cgi udało się wyciągnąć w plaintext dane sieci WiFi: SSID oraz hasło dostępowe.
Możliwe jest zdalne wywołanie tego polecenia i najpewniej wielu z Was uzna, że dane sieci WiFi, której lokalizacji zasadniczo nie znamy są odrobinę bezużyteczne w takiej sytuacji. Tyle, że wielu użytkowników albo zabezpiecza takim samym hasłem panel administratora, albo... korzysta z domyślnych ustawień zabezpieczeń (login: admin / hasło: admin).
Zobacz również: eSIM w Orange: poradnik krok po kroku
I właściwie w tym momencie zaczyna się cała zabawa: znajomość hasła sieci WiFi często będzie oznaczać również możliwość uzyskania dostępu do panelu administracyjnego, co stanowi już jeden, jedyny krok do przejęcia kontroli nad słabo zabezpieczonym Liveboksem. I właśnie dlatego tak ważne jest to, aby w trakcie konfiguracji routera / modemu zawsze zabezpieczać panel administracyjny: a) innym hasłem niż sieć WiFi, b) hasłem innym od standardowego admin/admin lub podobnego, typowego dla konkretnego sprzętu.
Kto jest zagrożony tym atakiem?
Zagraniczne media podają, że najwięcej takich sprzętów można znaleźć na terenie Hiszpanii, działających w obrębie infrastruktury Orange Espana. Co więcej, o takiej możliwości mówiło się już wcześniej, bo w latach 2012 oraz 2015 w raportach autorstwa Ricka Murraya (link) oraz w publikacji Prof. Claudio Enrique Alonso Alvite (link). Jednak dopiero teraz nadano tej luce odpowiednią sygnaturę CVE: (CVE-2018-20377). Nie jest wiadome dlaczego Orange nie zdecydowało się wcześniej na załatanie tego błędu.
Zobacz również: #Xiaomilepsze - sprawdź Mi 8 w ofercie Orange
Czy użytkownicy polskich urządzeń Livebox są zagrożeni?
Tego nie wiadomo na pewno - sami odkrywcy tego ataku pozostawiają możliwość obecności potencjalnie niebezpiecznych modemów w innych krajach otwartą. Stąd też zwróciliśmy się do polskiego oddziału Orange z prośbą o stosowny komentarz w tej sprawie.
Podatność, na którą zwrócił uwagę pan redaktor, nie umożliwia przejęcia zdalnej kontroli nad urządzeniem. Chodzi tutaj o zdalne pozyskanie haseł do lokalnej sieci WiFi. Następnie po jego uzyskaniu, żeby wykonać atak trzeba znaleźć się w zasięgu tej sieci WiFi. Nasze wersje firmware nie umożliwiają wystawienia usługi na porcie 8080, a tym samym czynią tego rodzaju atak niemożliwym. CERT Orange Polska od samego początku był w kontakcie z Badpackets.
Wojciech Jabczyński, Rzecznik Prasowy Orange Polska
Mimo wszystko, warto zająć się jego odpowiednią konfiguracją: zakładając rezygnację ze standardowych kombinacji (admin/admin) oraz ustawiając inne hasło sieci WiFi niż to, które zabezpiecza panel administracyjny.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu