BREDBÅNDSRUTER

Sårbarhet kan gi angripere full tilgang til flere bredbåndsrutere

Leverandøren: – Gjelder ikke nyere modeller.

I alle fall ruterne EG500, FG101 og DG201 fra Inteno skal være berørt av den omtalte sårbarheten. Men alle de berørte ruterne er relativt gamle produkter.
I alle fall ruterne EG500, FG101 og DG201 fra Inteno skal være berørt av den omtalte sårbarheten. Men alle de berørte ruterne er relativt gamle produkter. Bilde: Inteno
Harald BrombachHarald BrombachNyhetsleder
5. sep. 2016 - 14:25

Den finske sikkerhetsforskeren Harry Sintonen hos F-Secure oppdaget den 18. januar i år en i utgangspunktet alvorlig sårbarhet i flere bredbåndsrutere fra svenske Inteno. Ifølge Sintonen kan sårbarheten utnyttes av angripere til å få full administrativ tilgang til enheten. 

Sårbarheten er knyttet til en løsning som blant annet bredbåndsleverandører kan benytte for fjernadministrasjon av ruteren. Løsningen er basert på en protokoll som kalles for TR-069 (Technical Report 069), som tilbyr kommunikasjon mellom ruteren og en spesiell server hos tilbyderen, Auto Configuration Server (ACS). Protokollen kalles også for CPE WAN Management Protocol (CWMP).

Les også: Kritisk feil i utstyr fra D-Link. Drøyt 400.000 enheter kan være truet

Manglende validering

Sårbarheten skyldes ifølge Sintonen at ruterne ikke validerer sertifikatet til serveren. Dette gjør det mulig for en angriper å utføre en MITM-angrep (Man in the middle) mot forbindelsen, slik at den kan avlyttes eller manipuleres, blant annet for å utføre administrative operasjoner på ruteren, som å installere en annen fastvare. 

Det er også mulig for angriperen å avlytte eller manipulere ikke-kryptert internettrafikk mellom ruteren og bredbåndsleverandøren.

I alle fall Inteno-modellene EG500, FG101 og DG201 skal være berørt, men dette er ikke nødvendigvis en fullstendig liste.

Liten respons

Som nevnt ble sårbarheten oppdaget allerede i januar. Sintonen skal ha varslet Inteno om den allerede dagen etter at den ble funnet, men responsen fra selskapet skal ha vært temmelig begrenset. 

Det er derfor Sintonen nå har offentliggjort detaljer om sårbarheten, drøyt tre uker etter at Inteno ble varslet om den planlagte offentliggjøringen.

I utgangspunktet er det trolig lite bredbåndskundene kan gjøre for å forhindre angrep av denne typen. En mulighet er riktignok å deaktivere TR-069-støtten til ruteren. En oppskrift på dette er beskrevet av Sintonen. Men den kan bare brukes dersom protokollstøtten ikke kreves av bredbåndsleverandøren. 

Les mer: De usikre tingenes nett. En varslet katastrofe

– Latterlig

– Det er latterlig at det finnes enheter på markedet som er så sårbare, sier Janne Kauhanen, ekspert på kybersikkerhet hos F-Secure, i en pressemelding

– Vi og andre sikkerhetsselskaper finner sårbarhetene av denne typen hele tiden. Fastvare i rutere og ulike typer av IoT-enheter (Internet of Things, journ. anm.) er bortglemte av både leverandørene og deres kunder – av alle i grunnen – bortsett fra de kriminelle som utnytter sårbarhetene til å kapre internettrafikk, stjele informasjon og spre skadelig kode, sier Kauhanen.

Etter et oppslag i svensk IT-presse før helgen, kom Inteno i dag med en uttalelse om saken.

Bredbåndsleverandørenes ansvar? 

– Som en leverandør av ruterteknologi, anbefaler vi operatører å sikre at standardpassord blir endret, IP-aksesslister blir implementert, og at sertifikatbasert fjernovervåkning (TR069) og lignende tiltak blir gjort. Denne funksjonaliteten finnes i produktene våre, men som produsent kan vi ikke ta ansvar for at de alltid blir brukt og implementert, sier Conny Franzén, CEO i Inteno Group, i pressemeldingen.

Det legges til at selv om Inteno tilbyr den nyeste programvaren til bredbåndsoperatørene, så er det operatørene selv som må oppdatere ruterne med denne. 

Franzén sier videre at sikkerhetsproblemet som er beskrevet av Sintonen, krever at angriperen har tilgang til operatørens nettverk, noe han sier er vanskelig å oppnå. 

Nextgentel: Innrømmer å ha somlet med usikre rutere

iopsys

Den sårbare løsningen benyttes dessuten ikke av nyere Inteno-rutere. Siden 2013 har selskapets vært basert på en tjenesteleveranseplattform som kalles for iopsys (Inteno open platform system), som blant annet skal tilby bedre sikkerhet enn eldre løsninger. 

Det understrekes også at ingen av de nevnte produktene som F-Secure har testet, har vært utstyrt med ipsys. 

– Så vidt vi vi forstår, basert på informasjonen i pressemeldinger og informasjon fra F-Secure, er systemprogramvaren i de aktuelle produktene av en eldre type og med en konfigurasjon som ikke er optimal, sett fra et sikkerhetsperspektiv. Ingen av disse produktene blir produsert lenger. Vi vil selvfølgelig hjelpe operatører som har disse produktene, med tilgang til den nyeste programvaren, samt anbefalinger om potensielt sikrere konfigurasjoner, sier Franzén.

Også tidligere har det blitt funnet sårbarheter i Inteno-rutere, noe som i Norge i spesiell grad berørte Nextgentel-kunder. Men ingen av de tre ruterne som F-Secure nevner, er blant dem som Nextgentel oppgir at selskapet bruker i dag.

Les også: NextGenTel-rutere hacket

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.