Viruksen saastuttamia / hakkeroituja mobiilireitittimiä Elisan verkossa.

  • 24 huhtikuu 2017
  • 10 kommenttia
  • 1478 katselukerrat

Elisan mobiiliverkosta on alkanut tulla hämärää liikennettä verkkosivuilleni (WordPress). Verkkoliikenteen analyysisovellus sivustollani kertoo mm. HTTP-pyyntöjen IP-osoitteen ja käytetyn selainversion. Liikenne kohdistuu WordPressin kirjautumissivuun.

Hakkeroitujen reitittimien käyttö ns. "Brute Force" -hyökkäyksiin on yhä nouseva trendi maailmalla:
https://www.wordfence.com/blog/2017/04/check-your-router/

Tarkista oma reitittimesi yllänäkyvässä osoitteessa. Klikkaa "SCAN ME".
Jos reitittimesi on haavoittuva, eli portti 7547 on avoin, pyydä Elisaa sulkemaan se välittömästi.

10 kommenttia

Käyttäjätaso 4
Kunniamerkki
huomasin vähän myöhään.

teliahan sulki tcp 7547 ja 5555 portit noin joulukuussa ja on vieläkin suljettu (testattu noin 2 viikkoa sitten).

kyseisten porttien sulkeminen elisan tapauksessa on vähän hankalaa kun elisalla on etäohjattavat modeemit. tosin portin vaihtaminen joksinkin muuksi kuin 7547 ja 5555 voisi toimia. tai sitten palomuuri monimutkaisesti käyttöön eli sallitaan vaan 7547 ja 5555 liikenne turvallisista ip-numeroista. niin jo saastuneet modeemit pitää putsata, päivittää ja putsata (varmuuden vuoksi kerran vielä päivityksen jälkeen).

elisalla on varmaan kirottu tätä tr-069 protokollaa suljettuen ovien takana ja enkä usko että julkisuudessa hirveästi asiaa puidaan. (huom tr-064 on eri kuin tr-069)
@lasselusse, kiitos vastauksesta ja tiedoistasi.

On ymmärrettävää että modeemien täytyy olla etäohjattavia (tarkkailtavia) ja huoltoportin täytyy olla auki. Ei kuitenkaan liene ylivoimaista konffata reitittimiä hyväksymään liikennettä kyseiseen porttiin vain Elisan ylläpidon IP-osoitteista.

Olisi kiva kuulla Elisan selittelyä aiheesta.

Reitittimien ohella myös ns. "Windows" -käyttöjärjestelmä on erittäin vaarallinen, varsinkin jos se on imuroitu torrenttisaitilta. Nämä "maksuttomat" versiot suositusta maksullisesta järjestelmästä yleensä pitävät sisällään täydellisen etäohjattavat botnet-palikat.

Windows-käyttäjä, älä koskaan asenna käyttöjärjestelmää tai sovelluksia tuntemattomista lähteistä.

On se vaan harmi että tällaisia tietoturvan yksinkertaisimpiakin perusasioita joudutaan puimaan julkisesti.

Tässä vielä linkki pcworldin artikkeliin vuodelta 2014:
http://www.pcworld.com/article/2463480/many-home-routers-supplied-by-isps-can-be-compromised-en-masse-researchers-say.html
Käyttäjätaso 6
Kunniamerkki +1
Mitkäs routterit ovat haavoittuvia? Kiinteän verkon routerit vai mobiililaajakaistareitittimet?

Mulla on Telialta saatu B525 ja sen yhdeydessä Telian liittymä, sivuston testin mukaan turvallinen.
Käyttäjätaso 7
Kunniamerkki +5
Minulle tuli Safe tuossa testissä.

Jaan nettiä puhelimesta koneelle.
Käyttäjätaso 4
Kunniamerkki
Mitkäs routterit ovat haavoittuvia? Kiinteän verkon routerit vai mobiililaajakaistareitittimet?

Mulla on Telialta saatu B525 ja sen yhdeydessä Telian liittymä, sivuston testin mukaan turvallinen.

tein myös testin ja tuli "safe". jos tulee "safe" tuo tulos on epämääräinen koska ei ole välttämättä päässyt reitittimeen. safe voi siis tulla palomuurin takia eikä suojatun reititiimen takia. mobiilineteissä on usein operaattori nat:taus joten safe tulee siellä. jos tulos olisi "epäturvallinen", se voisi kertoa jotain oleellista.

viime vuoden lopulla oli/on mirai haavoittuvuus joka liitty porttiin 7547 jonka takia sain päivittää modeemiani suunnilleen paranoidisti. jos (lukijan) modeemisi on päiväämättä noin 6:een kuukauteen niin kannattaa tarkistaa päivitykset. mirai haavoittuvuus on yleisempi piuhallisten nettien modeemeissa ja reitittimissä.
Käyttäjätaso 7
Kunniamerkki +3
Elisa estää jo verkkoliikenteen tietoliikenneporttiin TCP 7547.
Tämä kerrottiinkin jo esim. lehdessä jo helmikuussa 🙂
Kerrankin rekisteröitymisen arvoinen topic.

Oliko noissa HTTP headereissa jotain reitittimiin (tai mobiilireitittimiin) viittavaa? Mietin että pelkän User-Agentin perusteella voi olla hankalaa rajata requestien tulevan nimenomaan mobiilireitittimistä. Tietysti jos User-Agent on viittaa johonkin Linux/Unix pohjaiseen OS:ään ja IP on jostain NAT-poolista, voi tuollaisen johtopäätöksen tekeminen olla mahdollista.

Mitä tulee TR-069 niin liekkö tuo CWMP mobiilireitittimissä käytössä?
Käyttäjätaso 1
"Your router is safe." tarkistin nyt ihan varmuuden vuoksi.
Käyttäjätaso 7
Kunniamerkki +1
"Your router is safe." tarkistin nyt ihan varmuuden vuoksi.

Häh.. "Router" onko se jotain syötävää... :8

Mulla ei ole edes "routeria", joka voisi olla safe tai unsafe. Mobiilidaa menee kännykästä (josta sitä joskus jaetaan muille laitteille), kannettavassa on oma SIM+4Gmodeemi (käytetään suoraan jos ei muuta verkkoa Wlan tai kiinteä) ja kiinteässäkään yhdeydessä ole ole mitään "routeria". Verkon reunalla valo muuttuu sähköksi (hyvin tyhmällä laitteella = ei tartuntapintaa pöpöille). Sitten on palomuuri (PC), jonka takana sitten omissa segmenteissään tarvittavat verko (LAN/DMZ1...n). Sisäverkossa on toki yksi "router", mutta sekin toimii vain Wlan- tukiasemana. Kaikki "router" toiminnot on siitä pois päältä ja laite on "turvallisella" puolella LAN:ssa.

T: Tuokki
Käyttäjätaso 7


Mulla ei ole edes "routeria", joka voisi olla safe tai unsafe. Mobiilidaa menee kännykästä (josta sitä joskus jaetaan muille laitteille), kannettavassa on oma SIM+4Gmodeemi (käytetään suoraan jos ei muuta verkkoa Wlan tai kiinteä) ja kiinteässäkään yhdeydessä ole ole mitään "routeria". Verkon reunalla valo muuttuu sähköksi (hyvin tyhmällä laitteella = ei tartuntapintaa pöpöille). Sitten on palomuuri (PC), jonka takana sitten omissa segmenteissään tarvittavat verko (LAN/DMZ1...n). Sisäverkossa on toki yksi "router", mutta sekin toimii vain Wlan- tukiasemana. Kaikki "router" toiminnot on siitä pois päältä ja laite on "turvallisella" puolella LAN:ssa.

T: Tuokki


Niinpä niin. :D:D

Router tai PC , joka toimii palomuurina , niin yhtä kaikki ne ovat haavoittuvia. Toki siihen "palomuuriisi" ei todennäköisesti ainakaan Mirain kaltaiset haitakkeet tartu. No en tiedä mitä tapahtuu , jos siinä palomuurissa pyörii Linux. No se pointti tässä on , että etähallinta netin kautta pitää sulkea , jos haluaa Mirailta turvaan.

PS. Kuituliittymä sinänsä ei estä haitakkeita ja se verkon reunan tyhmä muunnin on tosiaan , kuten itsekin mainitsit , vain suora putki , jonka läpi kulkee kaikki mahdollinen.

Osallistu keskusteluun