NextGenTel-rutere hacket

Selskapet bekrefter sårbarhet.

Morten Ågnes i NextGenTel erkjenner at enkelte av ruterne deres har blitt hacket. Han hevder slike angrep ikke har skjedd i stor skala.
Morten Ågnes i NextGenTel erkjenner at enkelte av ruterne deres har blitt hacket. Han hevder slike angrep ikke har skjedd i stor skala. Bilde: NextGenTel
15. okt. 2012 - 10:26

En NextGenTel-kunde oppdaget i forrige uke at ruteren hans var blitt kompromittert. Uvedkommende har tatt seg inn på utstyret og byttet ut DNS-oppføringene.

Overfor digi.no forteller kunden hva som skal ha skjedd med en ruter av typen Inteno X5668.

- Jeg merket tirsdag kveld at jeg ikke kom inn på Facebook, Youtube og Google. Det skal jo ikke skje at alle tre feiler samtidig.

Vedkommende sier han alltid benytter sikker HTTPS-forbindelse mot Facebook. Denne fungerte da ikke. Da han forsøkte ordinær HTTP-forbindelse skal han ha blitt servert en etterligning av Facebook og skadevare forkledd som versjon 12 av Adobe Flash.

- Dette skjønte jeg var en falsk side fordi gjeldende versjon er 11, sier vedkommende som ønsker å være anonym.

Snikangrep

Etter å ha sjekket ruternes administrasjonsgrensesnitt fant han at primær DNS (domain name service) var endret til 200.98.67.135. Sekundær oppføring var endret til IP-adressen 8.8.8.8, som er Googles legitime DNS-tjener.

Forholdet kunden beskriver tilsvarer et sofistikert angrep i Brasil, som digi.no nylig omtalte, hvor 4,5 millioner rutere er bekreftet hacket.

Ved å aktivere en falsk primær DNS, og ellers la en legitim navnetjener ta seg av jobben, har kriminelle bakmenn kunnet kontrollere nettrafikk til bestemte tider – uten å vekke mistanke, sa IT-sikkerhetsselskapet Kaspersky Labs i begynnelsen av oktober.

Tror på kunden

Bredbåndsselskapet NextGenTel sier rett ut at de fester lit til kundens opplevelse. Det stemmer at ruteren kan ha blitt fjernhacket over internett.

- Ja, svarer Morten Ågnes på direkte spørsmål fra digi.no. Han er medgründer i selskapet og direktør for marked og informasjon i NextGenTel.

- På samme måte som PC-er og annet datautstyr, er også rutere avhengig av oppdatert programvare (firmware eller systemvare, red.anm.) og korrekt konfigurasjon for at de skal fungere optimalt. Dersom en ruter har svakheter i programvare eller konfigurasjon, er ikke kompromittering fra internett en umulighet.

Ågnes mener derimot også at angrepet mot kundens Inteno-ruter kan ha andre forklaringer.

- Ruteren kan være endret eller kompromittert fra innsiden. Det vil si ved hjelp av skadevare på en PC eller annet utstyr koblet til kundens nettverk.

NextGenTel bekrefter at det eksisterer sårbarheter i rutere som selskapet har levert til kundene sine.

- Ja, for øyeblikket utbedrer vi noen sårbarheter i et mindre antall rutere.

Informasjonsdirektøren kan fortelle at leverandørene av rutere i liten grad er åpne med hvorfor de med jevne mellomrom kommer med oppdateringer. Ifølge ham kjørte de i forrige uke ut en ny firmware til en del eldre Inteno-rutere.

Denne oppdateringen skal ifølge Ågnes «blant annet ha vært sikkerhetsrelatert», uten at det fremgår detaljer om hva som er utbedret eller hvilke sårbarheter utstyret kan ha.

Enkelte tilfeller har vi hatt, og disse har blitt håndtert Bekrefter angrep
- I hvilken grad har andre NGT-kunder opplevd å få ruteren sin hacket?

- NextGenTel har ikke blitt utsatt for hacking av rutere i stor skala, så langt vi kjenner til. Enkelte tilfeller har vi hatt, og disse har blitt håndtert, sier Morten Ågnes.

Han kan ikke avvise at slike angrep har utnyttet samme sårbarhet som i det oppsiktsvekkende og langt mer omfattende ruter-angrepet i Brasil.

- Det kan vi aldri være helt sikre på. Programvare i rutere er spesiell og ulik fra rutertype til rutertype. Sårbarheter i en type rutere er derfor ikke nødvendigvis tilsvarende på andre typer rutere, svarer Ågnes.

Måtte purre

Den aktuelle norske kunden deres sier at han etterlyste og purret på NextGenTel om å få ruteren sin oppdatert etter han oppdaget innbruddet.

- Etter flere purringer kom det endelig en firmware-oppdatering av ruteren i løpet av onsdag kveld, opplyser vedkommende til digi.no.

Kunden hevder at han fortsatt ikke har fått noen tilbakemelding om hva som faktisk har skjedd med utstyret hans.

Stor aktør

NextGenTel er en av de virkelig store nettleverandørene i Norge. Selskapet oppgir å ha 186.000 abonnenter. Sikkerhetsproblemer er typisk et forhold bredbåndsleverandører, akkurat som selskaper ellers, i liten grad snakker om.

- Det er en del ting som foregår som vi ikke snakker høyt om, sier Morten Ågnes til digi.no.

Inteno X5668
Inteno X5668

Inteno - en gjenganger

Det er ikke første gangen sårbarheter i bredbåndsruteren Inteno X5668 har havnet i søkelyset.

Etter mye om og men innrømmet NextGenTel i februar i fjor å ha somlet med å lukke et skrekkelig sikkerhetshull i produktet, som gjorde at hvem som helst kunne ta seg inn på ruteren over internett.

Passordet til utstyret hadde da sirkulert på internett i flere år..

    Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.