Mirai-haittaohjelma murtanut modeemeja – uudelleenkäynnistys auttaa

  • 30 November 2016
  • 16 kommenttia
  • 34 katselukertaa

Viikonloppuna uutisoitiin, että Saksassa lähes miljoonan asiakkaan yhteys oli katkennut Mirai-haittaohjelman murrettua modeemeja. Suomessakaan Mirain mahdilta ei harmi kyllä vältytty. Yhteydet eivät onneksi katkenneet kokonaan, mutta haittaohjelma aiheutti hidastelua ja satunnaista pätkimistä yhteyteen.


 


Mirai mahdollistaa sen, että hyökkääjä pääsee ajamaan modeemissa omaa ohjelmistoa. Hyökkääjällä on mahdollista käyttää modeemia palvelunestohyökkäykseen ja mahdollisesti ohjata käyttäjä turvattomille sivuille. Lisäksi hyökkääjä pystyy näkemään asiakkaalta lähtevän salaamattoman liikenteen. Tämän hetkisen tiedon mukaan modeemia käytetään kuitenkin vain haittaohjelman levittämiseen sekä palvelunestohyökkäyksiin.


 


Maanantaina asian havaittuamme aloimme tekemään verkkoon rajoituksia, ettei haittaohjelma pääsisi enää leviämään. Haavoittuneelle modeemille tarvitsee kuitenkin tehdä vielä uudelleenkäynnistys tai resetointi, että Mirai poistuisi lopullisesti. Modeemin hallintasivun salasana on myös hyvä vaihtaa.


 


Haavoittuvia laitteita ovat ainakin muutamat Zyxelin valmistamat modeemit ja yksi Huawein modeemi, todennäköisesti muitakin laitteita on. Meillä on noin 16700 asiakasta, joilla tietoturva-aukollinen modeemi on käytössä, joten on hyvä tarkistaa, mikä modeemi siellä huoneen nurkassa hyrrääkään. Odotamme laitevalmistajilta ohjelmistopäivityksiä, jotka paikkaavat aukon lopullisesti.


 


Viestintävirasto ilmoittaa seuraavat modeemit haavoittuviksi:



  • Zyxel AMG1202-T10B (saatavilla jo korjaava ohjelmistopäivitys, ladattavissa täältä)

  • Zyxel P-660HN-T1A

  • Zyxel AMG1302-T11C

  • Zyxel AMG1312-T10B


Asiasta voi lukea lisää Viestintäviraston sivuilta osoitteesta https://www.viestintavirasto.fi/kyberturvallisuus/varoitukset/2016/varoitus-2016-04.html


16 kommenttia

Käyttäjätaso 4
Kunniamerkki +10

jos oikein tulkitsen firmwaren mukana tullutta pdf logia niin Zyxel AMG1312-T10B modeemiin on tullut korjaava päivitys.

 

tosin selitys oli lyhyt ja epämääräinen joten jos jollakin on parempaa tietoa niin ihmeessä korjaus koska kysymys on tietoturvasta.

 

firmware versio:

2.00(AAFP.10)C0
julkaistu:
28.11.2016

Kyllä, tuohon on korjaus.

 

Tämän hetkinen tilanne on:

Korjauspäivitys saatavilla:AMG1312-T10B ja AMG1302-T11C

 

Todennäköisesti päivitystä ei tule: P-660HN-T1A

Maahantuoja on lupaillut, että päivitys pitäisi tulla, ei ole varmistettu: P-660HN-T1A v2

 

AMG1202-T10B on haavoittuva, mutta uusin saatavilla oleva ohjelmistoversio on suojattu oletusasetuksilla.  Tarkoittaa käytännössä sitä, että laitteen sisäinen palomuuri estää ohjelmistovian heikkouden hyödyntämisen.

Osaisiko (ja haluaisiko) joku valottaa maallikolle tapauksen teknisiä yksityiskohtia, kun en ole mistään kovin tarkkoja selostuksia löytänyt, vaikka haavoittuvan Soneralta saadun laitteen (Zyxel P-660HN-T1A) käyttäjänä olen asiaa yrittänyt selvittää.

Modeemin asetusten muuttamisesta en ole havainnut mainintoja, joten sen ainakin pitäisi

tarkoittaa, että asetuksilla ei voi vaikuttaa, mutta asiaa huonosti tietävälle nousee mieleen tyhmä kysymys:

miten siltaavassa tilassa olevaan modeemiin, jolla ei(?) ole omaa IP-osoitetta, ylipäätänsä saa

lähettyä paketteja? Onko niin, että siltaavassakin tilassa modeemi prosessoi WAN:in kautta porttiin 7547 tulevia paketteja? Ja jos tällainen useaan tietokoneeseen yhdistetty siltaava modeemi on Mirai:n saastuttama, mistä IP:stä se lähettää dataa ulos?

 

Toisaalta onko tiedossa mitään testiohjelmaa, jolla modeemin haavoittuvuuden voi selvittää? Tämä olisi siinä mielessä mahdollisesti hyödyllinen, koska esim. Viestintävirasto kirjoittaa sivuillaan että "On hyvin todennäköistä, että haavoittuvuus koskee muitakin laitteita", joten jos sattuu olemaan vaihtoehto tarjolla, olisi mukava varmistaa, että onko vaihdosta mitään hyötyä.

"Toisaalta onko tiedossa mitään testiohjelmaa...."

 

erittäin hyvä pointti.

 

 

Käyttäjätaso 4
Kunniamerkki +16

Haavoittuvuutta hyödynnetään IP-verkon yli eli jos laitteella ei ole IP-osoitetta ei sinne haittaohjelma iske. Siltaavassa tilassa modeemilla voi olla silti IP-osoite, kannattaa varmistaa tämä asia. Ainakin sillä on reititittämätön privaatti IP-osoite.


 


Nyt kuitenkin operaattorit rajoittaneet portin käyttöä joten haavoittuuvuuden voit korjata kun päivitys julkaistu. 


 


Voit tutkia vaikka internetistä päin porttiskannerilla eli onko turhia porttejä auki ulkoverkkoon. Työkaluina ovat hyviä nmap esimerkiksi.


 


@olkitu kirjoitti:

Haavoittuvuutta hyödynnetään IP-verkon yli eli jos laitteella ei ole IP-osoitetta ei sinne haittaohjelma iske. Siltaavassa tilassa modeemilla voi olla silti IP-osoite, kannattaa varmistaa tämä asia. Ainakin sillä on reititittämätön privaatti IP-osoite.


Lisää tyhmiä kysymyksiä: miten modeemin IP-osoitteen olemassa olo varmistetaan? Vaikuttaisi tosin ilmeiseltä, että modeemilla (siltaavassa tilassa) ei voi olla ulospäin omaa osoitettaan, koska tällöin yhden tietokoneen internetyhteys veisi palveluntarjoajalta turhaan kaksi IP-osoitetta.

 

 


@olkitu kirjoitti:

Nyt kuitenkin operaattorit rajoittaneet portin käyttöä joten haavoittuuvuuden voit korjata kun päivitys julkaistu.


Käyttäjän 'TurvallinenOsmo' mukaan mainitulle laitteelle ei todennäköisesti ole tulossa päivitystä.

 


@olkitu kirjoitti:

Voit tutkia vaikka internetistä päin porttiskannerilla eli onko turhia porttejä auki ulkoverkkoon. Työkaluina ovat hyviä nmap esimerkiksi.


Tämä tuskin on todellinen vaihtoehto kovin monelle Soneran asiakkaista, joita ongelma koskee.

 

Käyttäjätaso 7
Kunniamerkki +16

@olepo kirjoitti:

miten siltaavassa tilassa olevaan modeemiin, jolla ei(?) ole omaa IP-osoitetta, ylipäätänsä saa

lähettyä paketteja?


Tuossa tilanteessa ei voikaan lähettää, mutta monista nykyaikaisista modeemeista oikeastaan puuttuu puhdas siltaus-tila kokonaan. Ne toimivat joko reititys- tai reititys&siltaus-tilassa. Reititys&siltaus-tilassa modeemi pystyy luonnollisesti hakemaan itselleen oman IP-osoitteensa.

 


@olepo kirjoitti:

Lisää tyhmiä kysymyksiä: miten modeemin IP-osoitteen olemassa olo varmistetaan?


Sen pitäisi näkyä modeemin hallintasivustolla. Ainakin BeWAN A2100N:ssä modeemin oman osoitteen näkee suoraan modeemin hallintasivustolta, myös siltaavana.

 

Jotta sillatussa tilassa pääsee modeemin hallintaan, tietokoneen IP-osoite täytyy toki asettaa käsin modeemin sisäisestä IP-osoiteavaruudesta.

 

Vinkki: Linuxissa verkkosovittimelle saa sekä dhcp että käsin asetetun osoitteen käyttöön samanaikaisesti.

 


@olepo kirjoitti:

Vaikuttaisi tosin ilmeiseltä, että modeemilla (siltaavassa tilassa) ei voi olla ulospäin omaa osoitettaan, koska tällöin yhden tietokoneen internetyhteys veisi palveluntarjoajalta turhaan kaksi IP-osoitetta.


Vaan kun osa modeemeista toimii juuri näin. Mikäli modeemi ottaa sillattunakin itselleen oman julkisen IP-osoitteensa, voit estää tämän vaihtamalla modeemin WAN-asetuksiin DHCP:n sijaan huuhaa-IP-osoitteen, esim. 10.98.76.54, maski 255.255.255.252, ei yhdyskäytävää. Jos romu ei salli jättää yhdyskäytävää tyhjäksi, laita 10.98.76.53.

 

Jos modeemissa ei olisi tietoturvaongelmaa, tämän "hukka-ip-osoitteen" voisi toki ottaa hyötykäyttöön laittamalla ne laitteet, jotka eivät julkista IP-osoitetta tarvitse, modeemin NAT:in taakse. Mutta kun kyse on valmitusvikaisesta modeemista, on parempi konfiguroida se niin lähelle tyhmää siltaa kuin mahdollista ja hankkia reitittimet erikseen.

Käyttäjätaso 4
Kunniamerkki +16

@olepo kirjoitti:


@olkitu kirjoitti:

Haavoittuvuutta hyödynnetään IP-verkon yli eli jos laitteella ei ole IP-osoitetta ei sinne haittaohjelma iske. Siltaavassa tilassa modeemilla voi olla silti IP-osoite, kannattaa varmistaa tämä asia. Ainakin sillä on reititittämätön privaatti IP-osoite.




Lisää tyhmiä kysymyksiä: miten modeemin IP-osoitteen olemassa olo varmistetaan? Vaikuttaisi tosin ilmeiseltä, että modeemilla (siltaavassa tilassa) ei voi olla ulospäin omaa osoitettaan, koska tällöin yhden tietokoneen internetyhteys veisi palveluntarjoajalta turhaan kaksi IP-osoitetta.


 


 



@olkitu kirjoitti:

Nyt kuitenkin operaattorit rajoittaneet portin käyttöä joten haavoittuuvuuden voit korjata kun päivitys julkaistu.




Käyttäjän 'TurvallinenOsmo' mukaan mainitulle laitteelle ei todennäköisesti ole tulossa päivitystä.


 



@olkitu kirjoitti:

Voit tutkia vaikka internetistä päin porttiskannerilla eli onko turhia porttejä auki ulkoverkkoon. Työkaluina ovat hyviä nmap esimerkiksi.




Tämä tuskin on todellinen vaihtoehto kovin monelle Soneran asiakkaista, joita ongelma koskee.


 




Modeemin IP-osoite juurikin löytyy hallintasivulta ja käyttöohjeen avulla pääset sinne siltaavassa tilassa. Yleensä se on joku 192.168.1.X joka ei reitity verkkoon. Näin siihen siis ei voi laittaa haittaohjelmaa verkon kautta.


 


Laitteelle ei päivitystä varmaan tule koska Zyxel ei halua vanhentuneita laitteita tukea -> Osta uusi. Tämä on ihan normaalia kun laite on niin halpa että se tulee järjettömän kalliiksi valmistajalle. Voit aina yrittää Soneran kautta vaatia päivitystä mutta enpä usko että menee pitkälle vielä. Valmistaja kun ne tekee eikä Sonera.


 


Niinpä, ei yleensä ole muuta vaihtoehtoa kun osta uusi laite.

Kiitoksia jälleen vastauksista. Yritin nyt selvittää tuota modeemin IP-osoitetta seuraavasti:

-Internetyhteys oli aluksi päällä, jolloin modeemiin ei saanut yhteyttä.
-Muutin tietokoneen IP-osoitteeksi verkkokortin asetuksista 192.168.1.2, jolloin internetyhteys hävisi, mutta reitittimeen sai yhteyden osoitteesta 192.168.1.1. Hallintasivuilla WAN-tiedoissa luki:


IP Address: 0.0.0.0
IP Subnet Mask: 0.0.0.0
Default Gateway: 0.0.0.0

 

joten en ainakaan tämän perusteella saanut vahvistusta, että laitteella olisi oma IP enkä nyt suorilta keksi, miten asian voisi muuten tehdä, jollei sitten Soneralle voi soittaa ja kysyä, että monta IP:tä liittymä vie tällä hetkellä.

 

Uuden laitteen hankkiminen ei nyt ainakaan vielä ole ajankohtaista. Ihan oppimismielenkiinnosta haluaisin jostain saada aluksi maallikon ymmärrettävän varmistuksen, että laitteessa on todella ongelma tällä käyttötavalla, koska missään en ole sitä eksplisiittisesti nähnyt mainittavan. Ja toisaalta jos ongelma on ohjelmallisesti korjattavissa, niin jo periaatteellisesti se, että täysin toimiva hardware, eikä ymmärtääkseni mikään kovin vanha, menisi elektroniikkajätteeksi, on sellainen, mihin olisi mukava kuulla joidenkin isompien tahojen näkemyksiä ja vaatimuksia sille, että mikä vastuu valmistajilla on. Sinällään mielenkiintoista, että kun kuitenkin katsoin paria yksinkertaista ADSL-modeemia eräästä verkkokaupasta, niin miltei ensimmäinen asia mikä pisti silmään oli käyttäjäarvostelu modeemin saastumisesta.

Käyttäjätaso 4
Kunniamerkki +16

Eikä tuo modeemi ensimmäinen mikä saastuu naurettavan helposti. Sama ongelma on noissa IP-kameroissa mitä halvalla saa... Ja varsinkin Tee-Se-Itse haluaa sen julkisen IP-osoitteen ja pistää verkkoon ymmärtämättä mitä se voi aiheuttaa. Lisäksi tietenkin oletussalasanalla. Sitä täälä saa ihmetellä kun halutaan julkinen IP-osoite ja sitten kamera verkkoon, onhan se näppärää kun kamera netissä ja puhelimella voi niitä katsoa. 


 


Verkkokauppa.com:issa esimerkiksi myydään Netwjork brändin alla olevia Tendan laitteita (Tenda on kiinalainen halpa modeemi / reititin valmistaja) joissa on myös todennäköisesti tälläisiä vastaavia ongelmia. Kukaan ei päivitä vaikka saatavilla ja varmana on takaporttejakin mukana ties mitä kun sieltä kiinasta softan lataa. Tendan sivuilta siis firmware ladataan ja se on todella hidasta.


 


 Yritä sanoa valmistajalle joka tuottaa rahaa että tarjoakaa päivityksiä. Eiköhän joku isompi kuten tämä EU nyt voisi olla hyödyksi, ihan turhaan siis me täälä yksin valitetaan. Valmistajan pitäisi vähintään takuuajan tarjota tukea ja tuki on myös ohjelmistopäivitys mutta eipä se toteudu. Android puhelimissa ihan tyypillistä ettei tämä toteudu koska valmistajat eivät päivitä, Google tekee tuo joka kuukausi uuden päivityksen saataville mutta valmistajat eivät tätä toteuta tietenkään.


 


Eikä modeemi oo ensimmäinen laite joka kertakäyttöinen, tulostimet ovat olleet jo kauan kertakäyttökamaa kun värit maksaa enemmän kuin tulostin melkeinpä.


 

Käyttäjätaso 7
Kunniamerkki +16

@olepo kirjoitti:
Hallintasivuilla WAN-tiedoissa luki:

IP Address: 0.0.0.0
IP Subnet Mask: 0.0.0.0

Default Gateway: 0.0.0.0


Onneksi olkoon. Mikäli modeemin hallintakäyttöliittymä ei ole rikki ja nämä tiedot pitävät paikkansa, modeemiisi ei sillatussa tilassa pääse hyökkäämään internetin kautta.

 

Täysin turvalliseksi tilannetta ei kuitenkaan voi pelkästään tällä perusteella vielä sanoa. Modeemisi voi potentiaalisesti olla edelleen alttiina naapurisi saastuneen modeemin kautta tapahtuvalle hyökkäykselle. Tämä olisi kuitenkin monimutkaisempi kuin internetin kautta tehty hyökkäys, joten sellaista ei välttämättä ole vielä kukaan toteuttanut.

 

@olepo kirjoitti:

miten asian voisi muuten tehdä, jollei sitten Soneralle voi soittaa ja kysyä, että monta IP:tä liittymä vie tällä hetkellä.

Kyllä, Soneran vikapalvelusta voi kysyä, montako IP-osoitetta liittymässä on parhaillaan käytössä. Kaiva valmiiksi esille laitteittesi MAC-osoitteet, jotta voitte tunnistaa mitkä laitteet ovat saaneet IP:t.

 

Toinen tapa on labrata asia itse, mutta harvalla on kotonaan omaa DSLAM:iä modeemien toiminnan tutkimista varten :-(

 

olepo kirjoitti: 

Uuden laitteen hankkiminen ei nyt ainakaan vielä ole ajankohtaista.

Mainiota. Sillä välin voit tutustua virhevastuuseen ja harkita virheilmoituksen tekemistä modeemin toimittajalle. Jos valmistaja ei korjaa ongelmaa, olisi aivan kohtuullista, että Sonera vaihtaa loput toimittamansa modeemit sellaisiin, joissa ei ole valmistusvikaa.

 

olepo kirjoitti: 

Ihan oppimismielenkiinnosta haluaisin jostain saada aluksi maallikon ymmärrettävän varmistuksen, että laitteessa on todella ongelma tällä käyttötavalla, koska missään en ole sitä eksplisiittisesti nähnyt mainittavan.

Juuri tämä! Ongelma on toki paikattavissa ohjelmistopäivityksellä, mutta missä tilanteissa ohjelmistopäivitys on välttämätön?

 

Operaattorit ovat ainakin tilapäisesti suunnitelleet portin 7547 palomuuraamista. Entä jos modeemin omasta käyttöliittymästä palomuuraa 7547 umpeen tai tekee sille portinohjauksen käyttämättömään IP-osoitteeseen, tehoaako se?

 

Modeemien testaamiseksi täytyisi ehdottomasti olla työkalu, joka kertoo, jos modeemi on altis tälle hyökkäykselle. Ja nimenomaisesti sellainen, jonka voi ajaa omalta koneelta. Internetin skannauspalvelut eivät näe tilannetta, jos operaattori on jo toteuttanut omat estonsa.

Käyttäjätaso 4
Kunniamerkki +16

Joukkokanne vaan pystyyn, yksin turhaan kannattaa lähteä ja ihan niin laaja että menisi valmistajallekin asti.


 


Voitan testata tota porttia onko se auki vaikka koneella vaikka Wiresharkillakin tai NMAP joka yksi simppeleistä työkaluista. Saatavilla Windows, Linux ja MacOS:lle että kyllä löytyy kunhan tietää mitä tekee. NMAP toki ei saisi internetin  yli tehdä koska sitä voidaan tulkita nuuskinnaksi :)


 


---


 


Eiköhän laite toimi siihen mitä tarkoitettu? Ei sielä varmaan myyntitilanteessa sanottu että "Tietoturvallinen modeemi?". Varmaan sanottiin että "Halpa modeemi kotiin". 


 


Koska Suomessa eikä missään ole sääntöjä ei niitä yleensä noudateta. Toki Sonera voisi ottaa nämä vaihtoon mutta tuskinpa haluaa kaivaa rahaa omasta pussista ainakaan.

Tämähän menee mielenkiintoiseksi. Tulevia käänteitä odotellessa tässä linkki Zyxel:in tiedotukseen asiaan liittyen:

www.zyxel.com/support/announcement_tr_064_protocol.shtml

Käyttäjätaso 6
Kunniamerkki +10

Kuten toisessa viestiketjussa totesin, niin modeemi alle 3 vuotta vanha ja nyt sitten muka pitäisi itse hamkkia uusi kun zyxel on tehnyt( tai ketä sitten valmistusketjussa löydetään syypääksi) tuotteen missä virhe ja aiheuttaa tietoturva uhkan. Kun sain liittymän niin sonera antoi modeemin joten sonera ottanut zyxelin partterikseen. Odotan edelleen jollei zyxel tarjoa päivitystä tuotteeseen niin jompi kunpi korvaa uuden modeemin korjatakseen virheen. Soneran kannattaisi tässä nyt patistaa zyxelia hoitamaan päivtyksiä kun on heidän tuotteitaan jakanut asiakkailleen joita soneran mukaan on 16700, jollei zyxel hoida päivtyksiä tai uusia modeemeja ei muuta kuin sopimukset irti ja muita modeemeja jatkossa asikaille. Aika monta tietoturva uhkaa soneran verkossa jota joutuu nyt suodattamaan jollei saadas päivityksiä tai uusia modeemeja.


@peekotu kirjoitti:

Kuten toisessa viestiketjussa totesin, niin modeemi alle 3 vuotta vanha ja nyt sitten muka pitäisi itse hamkkia uusi kun zyxel on tehnyt( tai ketä sitten valmistusketjussa löydetään syypääksi)

Odotan edelleen jollei zyxel tarjoa päivitystä tuotteeseen niin jompi kunpi korvaa uuden modeemin korjatakseen virheen. Soneran kannattaisi tässä nyt patistaa zyxelia hoitamaan päivtyksiä kun on heidän tuotteitaan jakanut asiakkailleen joita soneran mukaan on 16700

 

Tässä vaiheessa ei ole syytä kiirehtiä. Laitteen boottaamalla / resetoimalla mato lähtee pois, eikä sen pitäisi sinne meidän verkon kautta päästä takaisin koska olemme estäneet tuon heikkouden näkymisen internetiin (tcp/7547 portti estetty sekä ulos että sisään).

 

Vastaavan eston voi tehdä myös itse päätelaitteeseen, joka voi olla yksi mahdollinen korjaus mikäli emme saa valmistajalta korjattua ohjelmistoa versiota. Sitä, onnistuuko tuollaisen säännön ujuttaminen näihin vanhimpiin malleihin en tiedä. Vaati kokeilemista. Liikenteen estäminen tuohon tcp/7547 porttiin on riittävä suojaus. Selvittelen asiaa. 

 

Olen kanssanne samaa mieltä korjauksien saamisesta myös muutaman vuoden vanhoihin laitteisiin. EU:ssa on vireillä lainsäädäntöä, jonka tarkoituksena on kertoa kuluttajille laitteiden käyttöikä ja päästä eroon kertakäyttökulttuurista. Kannattanee ilmaista mielipide europarlamentaarikoille, jotta myös ohjelmistopäivitykset saataisiin tähän mukaan. Ohessa linkki ylen uutiseen aiheesta. http://yle.fi/uutiset/3-9289303

 

Raportoimme tähän ketjuun kun saamme varmistuksen kunkin laiteversion kohtalosta.

 

Viestintäviraston sivuille on päivitetty seuraavat korjauspäivitykset. Nämä ovat perus Zyxel ohjelmistoja, joista puuttuu Soneran muokkaukset. Tuolle 1202 mallille on tulossa pikapuolin myös meille erikseen tehty versio.

 

Zyxel AMG1302-T11C ftp://ftp2.zyxel.com/AMG1302-T11C/firmware/AMG1302-T11C_3.00(ABCG.7)C0.zip

Zyxel AMG1312-T10B ftp://ftp2.zyxel.com/AMG1312-T10B/firmware/AMG1312-T10B_2.00(AAFP.11)C0.zip

Zyxel AMG1202-T10B http://www.zyxel.com/support/SupportLandingSR.shtml?c=gb&l=en&kbid=M-01434&md=AMG1202-T10B

Kysyin Zyxel:in nettisivujen kautta laitteen P-660HN-T1A haavoittuvuutta siltaavassa tilassa ja vastauksen mukaan laite olisi haavoittuva tuossakin tilassa. Se, että pitääkö tuo paikkansa on toki oma kysymyksensä, mutta ainakaan itsellä ei ole pätevyyttä väittää toisin.

Vastaa