Telia Yhteisö
peruuta
Näytä tulokset kohteelle 
Hae sen sijaan kohdetta 
Tarkoititko: 
Pekka_Koo
Telialainen
Telialainen
  • 127 custom-general.kudos
  • 531 custom-general.replies
  • 50 custom-general.solutions

Mirai-haittaohjelma murtanut modeemeja – uudelleenkäynnistys auttaa

Ylläpito on lukinnut tämän ketjun. Uusia kommentteja ei voi kirjoittaa

Viikonloppuna uutisoitiin, että Saksassa lähes miljoonan asiakkaan yhteys oli katkennut Mirai-haittaohjelman murrettua modeemeja. Suomessakaan Mirain mahdilta ei harmi kyllä vältytty. Yhteydet eivät onneksi katkenneet kokonaan, mutta haittaohjelma aiheutti hidastelua ja satunnaista pätkimistä yhteyteen.

 

Mirai mahdollistaa sen, että hyökkääjä pääsee ajamaan modeemissa omaa ohjelmistoa. Hyökkääjällä on mahdollista käyttää modeemia palvelunestohyökkäykseen ja mahdollisesti ohjata käyttäjä turvattomille sivuille. Lisäksi hyökkääjä pystyy näkemään asiakkaalta lähtevän salaamattoman liikenteen. Tämän hetkisen tiedon mukaan modeemia käytetään kuitenkin vain haittaohjelman levittämiseen sekä palvelunestohyökkäyksiin.

 

Maanantaina asian havaittuamme aloimme tekemään verkkoon rajoituksia, ettei haittaohjelma pääsisi enää leviämään. Haavoittuneelle modeemille tarvitsee kuitenkin tehdä vielä uudelleenkäynnistys tai resetointi, että Mirai poistuisi lopullisesti. Modeemin hallintasivun salasana on myös hyvä vaihtaa.

 

Haavoittuvia laitteita ovat ainakin muutamat Zyxelin valmistamat modeemit ja yksi Huawein modeemi, todennäköisesti muitakin laitteita on. Meillä on noin 16700 asiakasta, joilla tietoturva-aukollinen modeemi on käytössä, joten on hyvä tarkistaa, mikä modeemi siellä huoneen nurkassa hyrrääkään. Odotamme laitevalmistajilta ohjelmistopäivityksiä, jotka paikkaavat aukon lopullisesti.

 

Viestintävirasto ilmoittaa seuraavat modeemit haavoittuviksi:

  • Zyxel AMG1202-T10B (saatavilla jo korjaava ohjelmistopäivitys, ladattavissa täältä)
  • Zyxel P-660HN-T1A
  • Zyxel AMG1302-T11C
  • Zyxel AMG1312-T10B

Asiasta voi lukea lisää Viestintäviraston sivuilta osoitteesta https://www.viestintavirasto.fi/kyberturvallisuus/varoitukset/2016/varoitus-2016-04.html

Viestistä saa tykätä, jos se on hyvä, ja merkata ratkaisuksi, jos auttoi ongelmassasi. 🙂 Telia.fi -sivulla hallinnoit liittymiäsi ja palveluitasi milloin tahansa. Chat-yhteys asiakaspalveluumme 24/7

16 vastausta
lasselusse
Vakiokalustoa ☆
  • 63 custom-general.kudos
  • 191 custom-general.replies
  • 3 custom-general.solutions

Ylläpito on lukinnut tämän ketjun. Uusia kommentteja ei voi kirjoittaa

jos oikein tulkitsen firmwaren mukana tullutta pdf logia niin Zyxel AMG1312-T10B modeemiin on tullut korjaava päivitys.

 

tosin selitys oli lyhyt ja epämääräinen joten jos jollakin on parempaa tietoa niin ihmeessä korjaus koska kysymys on tietoturvasta.

 

firmware versio:

2.00(AAFP.10)C0
julkaistu:
28.11.2016

OsmoPaa
Telialainen
Telialainen
  • 0 custom-general.kudos
  • 4 custom-general.replies
  • 0 custom-general.solutions

Ylläpito on lukinnut tämän ketjun. Uusia kommentteja ei voi kirjoittaa

Kyllä, tuohon on korjaus.

 

Tämän hetkinen tilanne on:

Korjauspäivitys saatavilla:AMG1312-T10B ja AMG1302-T11C

 

Todennäköisesti päivitystä ei tule: P-660HN-T1A

Maahantuoja on lupaillut, että päivitys pitäisi tulla, ei ole varmistettu: P-660HN-T1A v2

 

AMG1202-T10B on haavoittuva, mutta uusin saatavilla oleva ohjelmistoversio on suojattu oletusasetuksilla.  Tarkoittaa käytännössä sitä, että laitteen sisäinen palomuuri estää ohjelmistovian heikkouden hyödyntämisen.

olepo
Uusi keskustelija
  • 1 custom-general.kudos
  • 7 custom-general.replies
  • 0 custom-general.solutions

Ylläpito on lukinnut tämän ketjun. Uusia kommentteja ei voi kirjoittaa

Osaisiko (ja haluaisiko) joku valottaa maallikolle tapauksen teknisiä yksityiskohtia, kun en ole mistään kovin tarkkoja selostuksia löytänyt, vaikka haavoittuvan Soneralta saadun laitteen (Zyxel P-660HN-T1A) käyttäjänä olen asiaa yrittänyt selvittää.

Modeemin asetusten muuttamisesta en ole havainnut mainintoja, joten sen ainakin pitäisi

tarkoittaa, että asetuksilla ei voi vaikuttaa, mutta asiaa huonosti tietävälle nousee mieleen tyhmä kysymys:

miten siltaavassa tilassa olevaan modeemiin, jolla ei(?) ole omaa IP-osoitetta, ylipäätänsä saa

lähettyä paketteja? Onko niin, että siltaavassakin tilassa modeemi prosessoi WAN:in kautta porttiin 7547 tulevia paketteja? Ja jos tällainen useaan tietokoneeseen yhdistetty siltaava modeemi on Mirai:n saastuttama, mistä IP:stä se lähettää dataa ulos?

 

Toisaalta onko tiedossa mitään testiohjelmaa, jolla modeemin haavoittuvuuden voi selvittää? Tämä olisi siinä mielessä mahdollisesti hyödyllinen, koska esim. Viestintävirasto kirjoittaa sivuillaan että "On hyvin todennäköistä, että haavoittuvuus koskee muitakin laitteita", joten jos sattuu olemaan vaihtoehto tarjolla, olisi mukava varmistaa, että onko vaihdosta mitään hyötyä.

dorffi
Uusi keskustelija
  • 1 custom-general.kudos
  • 18 custom-general.replies
  • 1 custom-general.solutions

Ylläpito on lukinnut tämän ketjun. Uusia kommentteja ei voi kirjoittaa

"Toisaalta onko tiedossa mitään testiohjelmaa...."

 

erittäin hyvä pointti.

 

 

olkitu
Kunniajäsen
  • 690 custom-general.kudos
  • 4434 custom-general.replies
  • 126 custom-general.solutions

Ylläpito on lukinnut tämän ketjun. Uusia kommentteja ei voi kirjoittaa

Haavoittuvuutta hyödynnetään IP-verkon yli eli jos laitteella ei ole IP-osoitetta ei sinne haittaohjelma iske. Siltaavassa tilassa modeemilla voi olla silti IP-osoite, kannattaa varmistaa tämä asia. Ainakin sillä on reititittämätön privaatti IP-osoite.

 

Nyt kuitenkin operaattorit rajoittaneet portin käyttöä joten haavoittuuvuuden voit korjata kun päivitys julkaistu. 

 

Voit tutkia vaikka internetistä päin porttiskannerilla eli onko turhia porttejä auki ulkoverkkoon. Työkaluina ovat hyviä nmap esimerkiksi.

 

Onko heikko matkapuhelimen kuuluvuus? Mittaa matkapuhelinverkon kuuluvuuksia Cellmapper-sovelluksella, saatavilla täältä ja ohje .
olepo
Uusi keskustelija
  • 1 custom-general.kudos
  • 7 custom-general.replies
  • 0 custom-general.solutions

Ylläpito on lukinnut tämän ketjun. Uusia kommentteja ei voi kirjoittaa

@olkitu kirjoitti:

Haavoittuvuutta hyödynnetään IP-verkon yli eli jos laitteella ei ole IP-osoitetta ei sinne haittaohjelma iske. Siltaavassa tilassa modeemilla voi olla silti IP-osoite, kannattaa varmistaa tämä asia. Ainakin sillä on reititittämätön privaatti IP-osoite.


Lisää tyhmiä kysymyksiä: miten modeemin IP-osoitteen olemassa olo varmistetaan? Vaikuttaisi tosin ilmeiseltä, että modeemilla (siltaavassa tilassa) ei voi olla ulospäin omaa osoitettaan, koska tällöin yhden tietokoneen internetyhteys veisi palveluntarjoajalta turhaan kaksi IP-osoitetta.

 

 


@olkitu kirjoitti:

Nyt kuitenkin operaattorit rajoittaneet portin käyttöä joten haavoittuuvuuden voit korjata kun päivitys julkaistu.


Käyttäjän 'TurvallinenOsmo' mukaan mainitulle laitteelle ei todennäköisesti ole tulossa päivitystä.

 


@olkitu kirjoitti:

Voit tutkia vaikka internetistä päin porttiskannerilla eli onko turhia porttejä auki ulkoverkkoon. Työkaluina ovat hyviä nmap esimerkiksi.


Tämä tuskin on todellinen vaihtoehto kovin monelle Soneran asiakkaista, joita ongelma koskee.

 

irritus
Konkari ☆
  • 583 custom-general.kudos
  • 1076 custom-general.replies
  • 86 custom-general.solutions

Ylläpito on lukinnut tämän ketjun. Uusia kommentteja ei voi kirjoittaa

@olepo kirjoitti:

miten siltaavassa tilassa olevaan modeemiin, jolla ei(?) ole omaa IP-osoitetta, ylipäätänsä saa

lähettyä paketteja?


Tuossa tilanteessa ei voikaan lähettää, mutta monista nykyaikaisista modeemeista oikeastaan puuttuu puhdas siltaus-tila kokonaan. Ne toimivat joko reititys- tai reititys&siltaus-tilassa. Reititys&siltaus-tilassa modeemi pystyy luonnollisesti hakemaan itselleen oman IP-osoitteensa.

 


@olepo kirjoitti:

Lisää tyhmiä kysymyksiä: miten modeemin IP-osoitteen olemassa olo varmistetaan?


Sen pitäisi näkyä modeemin hallintasivustolla. Ainakin BeWAN A2100N:ssä modeemin oman osoitteen näkee suoraan modeemin hallintasivustolta, myös siltaavana.

 

Jotta sillatussa tilassa pääsee modeemin hallintaan, tietokoneen IP-osoite täytyy toki asettaa käsin modeemin sisäisestä IP-osoiteavaruudesta.

 

Vinkki: Linuxissa verkkosovittimelle saa sekä dhcp että käsin asetetun osoitteen käyttöön samanaikaisesti.

 


@olepo kirjoitti:

Vaikuttaisi tosin ilmeiseltä, että modeemilla (siltaavassa tilassa) ei voi olla ulospäin omaa osoitettaan, koska tällöin yhden tietokoneen internetyhteys veisi palveluntarjoajalta turhaan kaksi IP-osoitetta.


Vaan kun osa modeemeista toimii juuri näin. Mikäli modeemi ottaa sillattunakin itselleen oman julkisen IP-osoitteensa, voit estää tämän vaihtamalla modeemin WAN-asetuksiin DHCP:n sijaan huuhaa-IP-osoitteen, esim. 10.98.76.54, maski 255.255.255.252, ei yhdyskäytävää. Jos romu ei salli jättää yhdyskäytävää tyhjäksi, laita 10.98.76.53.

 

Jos modeemissa ei olisi tietoturvaongelmaa, tämän "hukka-ip-osoitteen" voisi toki ottaa hyötykäyttöön laittamalla ne laitteet, jotka eivät julkista IP-osoitetta tarvitse, modeemin NAT:in taakse. Mutta kun kyse on valmitusvikaisesta modeemista, on parempi konfiguroida se niin lähelle tyhmää siltaa kuin mahdollista ja hankkia reitittimet erikseen.

olkitu
Kunniajäsen
  • 690 custom-general.kudos
  • 4434 custom-general.replies
  • 126 custom-general.solutions

Ylläpito on lukinnut tämän ketjun. Uusia kommentteja ei voi kirjoittaa

@olepo kirjoitti:

@olkitu kirjoitti:

Haavoittuvuutta hyödynnetään IP-verkon yli eli jos laitteella ei ole IP-osoitetta ei sinne haittaohjelma iske. Siltaavassa tilassa modeemilla voi olla silti IP-osoite, kannattaa varmistaa tämä asia. Ainakin sillä on reititittämätön privaatti IP-osoite.


Lisää tyhmiä kysymyksiä: miten modeemin IP-osoitteen olemassa olo varmistetaan? Vaikuttaisi tosin ilmeiseltä, että modeemilla (siltaavassa tilassa) ei voi olla ulospäin omaa osoitettaan, koska tällöin yhden tietokoneen internetyhteys veisi palveluntarjoajalta turhaan kaksi IP-osoitetta.

 

 


@olkitu kirjoitti:

Nyt kuitenkin operaattorit rajoittaneet portin käyttöä joten haavoittuuvuuden voit korjata kun päivitys julkaistu.


Käyttäjän 'TurvallinenOsmo' mukaan mainitulle laitteelle ei todennäköisesti ole tulossa päivitystä.

 


@olkitu kirjoitti:

Voit tutkia vaikka internetistä päin porttiskannerilla eli onko turhia porttejä auki ulkoverkkoon. Työkaluina ovat hyviä nmap esimerkiksi.


Tämä tuskin on todellinen vaihtoehto kovin monelle Soneran asiakkaista, joita ongelma koskee.

 


Modeemin IP-osoite juurikin löytyy hallintasivulta ja käyttöohjeen avulla pääset sinne siltaavassa tilassa. Yleensä se on joku 192.168.1.X joka ei reitity verkkoon. Näin siihen siis ei voi laittaa haittaohjelmaa verkon kautta.

 

Laitteelle ei päivitystä varmaan tule koska Zyxel ei halua vanhentuneita laitteita tukea -> Osta uusi. Tämä on ihan normaalia kun laite on niin halpa että se tulee järjettömän kalliiksi valmistajalle. Voit aina yrittää Soneran kautta vaatia päivitystä mutta enpä usko että menee pitkälle vielä. Valmistaja kun ne tekee eikä Sonera.

 

Niinpä, ei yleensä ole muuta vaihtoehtoa kun osta uusi laite.

Onko heikko matkapuhelimen kuuluvuus? Mittaa matkapuhelinverkon kuuluvuuksia Cellmapper-sovelluksella, saatavilla täältä ja ohje .
olepo
Uusi keskustelija
  • 1 custom-general.kudos
  • 7 custom-general.replies
  • 0 custom-general.solutions

Ylläpito on lukinnut tämän ketjun. Uusia kommentteja ei voi kirjoittaa

Kiitoksia jälleen vastauksista. Yritin nyt selvittää tuota modeemin IP-osoitetta seuraavasti:

-Internetyhteys oli aluksi päällä, jolloin modeemiin ei saanut yhteyttä.
-Muutin tietokoneen IP-osoitteeksi verkkokortin asetuksista 192.168.1.2, jolloin internetyhteys hävisi, mutta reitittimeen sai yhteyden osoitteesta 192.168.1.1. Hallintasivuilla WAN-tiedoissa luki:


IP Address: 0.0.0.0
IP Subnet Mask: 0.0.0.0
Default Gateway: 0.0.0.0

 

joten en ainakaan tämän perusteella saanut vahvistusta, että laitteella olisi oma IP enkä nyt suorilta keksi, miten asian voisi muuten tehdä, jollei sitten Soneralle voi soittaa ja kysyä, että monta IP:tä liittymä vie tällä hetkellä.

 

Uuden laitteen hankkiminen ei nyt ainakaan vielä ole ajankohtaista. Ihan oppimismielenkiinnosta haluaisin jostain saada aluksi maallikon ymmärrettävän varmistuksen, että laitteessa on todella ongelma tällä käyttötavalla, koska missään en ole sitä eksplisiittisesti nähnyt mainittavan. Ja toisaalta jos ongelma on ohjelmallisesti korjattavissa, niin jo periaatteellisesti se, että täysin toimiva hardware, eikä ymmärtääkseni mikään kovin vanha, menisi elektroniikkajätteeksi, on sellainen, mihin olisi mukava kuulla joidenkin isompien tahojen näkemyksiä ja vaatimuksia sille, että mikä vastuu valmistajilla on. Sinällään mielenkiintoista, että kun kuitenkin katsoin paria yksinkertaista ADSL-modeemia eräästä verkkokaupasta, niin miltei ensimmäinen asia mikä pisti silmään oli käyttäjäarvostelu modeemin saastumisesta.