ADSL Modem (Yönetici Arayüzü) Güvenliği – Araştırma

ADSL Modem (Yönetici Arayüzü) Güvenliği – Araştırma
Yazdır

E-posta

Bedirhan Urgun, TURKCELL

  
20.02.2008

Ülkemizde kullanılan ADSL modemler yönetici arayüzleri güvenliği
hakkında yapılan bu araştırma yazısı iki bölümden oluşmaktadır. İlk
bölüm bir hikaye şeklinde anlatıldıktan sonra, ikinci bölümde
araştırmalarımız sonucu ortaya çıkan bulgular belirtilmiştir.

Bölüm 1: Motivasyon (Tekerleğin Yeniden Keşfi)

Ağustos 2007 tarihinde, yönetiminden ve güvenliğinden sorumlu olduğumuz
web sitesine ait ModSecurity [1] web uygulama güvenlik duvarı saldırı
kayıt dosyasında ilginç! bir saldırı dizgisi gözlemledik (Şekil 1).

mod_sec_log2.gif

Şekil 1 – Modsecurity kayıt dosyasından bir saldırı alıntısı

Saldırgan IP’si üzerinde yaptığımız ilk araştırmalar sonucu IP’nin bazı
siyah listelere "istenmeyen e-posta kaynağı" nedeniyle girdiğini
anladık (Şekil 2).

googling_attacker_ip2.gif

Şekil 2 – Saldırgan IP’nin siyah listede bulunması ve nedeni

Saldırgan IP’sine bir tarayıcı ile direk web bağlantı açmaya karar
verdik ve AIRTIES RT-102 modem arayüzü ile karşılaştık (Şekil 3). Belki
de yapılmaması gerekeni yaptık ve bu modemin varsayılı şifre değeri
olan boşluğu deneyerek başarılı bir şekilde yetkilendirildik (Şekil 4).

 

i_am_out_for_now.gif

Şekil 3 – Saldırgan IP’ye web bağlantısı ve modem arayüzü

i_am_in.gif

Şekil 4 – Modem arayüzünde varsayılı şifre değeri girilmesi sonrası yetkilendirilme

 Bir saldırgan gözü ile bu noktadan sonra modem yönetim arayüzüne girilen kurbana yapılabilecek iki saldırı olarak;

  1. DNS değiştirme (bir çeşit pharming) ve
  2. İçerdeki bilgisayarları DMZ’e çıkarmak (modem jargonunda bir makinanın
    "DMZ’e çıkarılması" korumasız alana çıkarılması anlamına gelmektedir)

sıralanabilir. İlk saldırı ile "Web’in aşil tendonu" hedef alınacak ve
kurbanın DNS çözümlemeleri saldırganın belirlediği DNS tarafından
belirlenecektir. İkinci saldırı ile iç ağda bulunan ve büyük ihtimalle
güvenlik duvarı tarafından korunan bilgisayarlar oldukları gibi dış ağa
çıkarılabileceklerdir. ADSL kullanıcı adı ve şifreleri çalınarak ciddi
bir hizmet dışı bırakma saldırılarına değinilmeye bile gerek yoktur.

Biraz şans (web tarayıcısına saldırganın IP’si yerine yanlışlıkla
benzer başka bir IP’nin yazılması, bu sefer başka bir marka modem
arayüzü ile karşılaşılması ve varsayılı şifrenin başarılı olarak
kullanılması) biraz da girilen arayüz içinde yapılan bazı tetkikler
sonucu bu durumun yaygın olabileceği kanısına vardık. Ancak bu durumun
zaten, Şubat 2007 tarihinde Türk Telekom’un ADSL kampanyası dahilinde
dağıttığı, AirTies’ın ürünü RT-102 model ADSL Modem’lerde "Yetersiz
Yetkilendirme" olarak sınıflandırılabilen bir açıklığın bazı
sitelerde/forumlarda yer bulduğunu google yardımı ile öğrendik.[2] [3]

Açık basitçe, "modemin web yönetim arayüzü
varsayılı olarak (kullanıcı istese de istemese de) Internet’e açıktır
ve kullanıcı değiştirmedikçe arayüze başarılı olarak girmek için
sorulan varsayılı şifre değeri boştur" şeklinde açıklanabilir.

Varsayılı şifre problemi sadece AIRTIES’ın ilgili modeminde değil diğer bazı modemlerde de mevcuttur.

Bölüm 2: Araştırma ve Sonuçlar

Peki karşılaştığımız problem ne kadar yaygın? Riski hesaplamak aslında
o kadar kolay değil; kaç kullanıcının ilgili modemleri kullandığı
bilgisinin yetkili yerlerden alınması yeterli olmayacaktır. Çünkü,
mesela, AIRTIES tarafından üretilen firmware güncellemesini yükleyen
kullanıcılarda mutlaka mevcuttur.

AIRTIES bahsedilen problem için bir firmware güncellemesi üretmiştir.

Riski bir nebze olsun görmek için örnekleme yöntemini seçtik. Bir komut
satırı betiği yazıp (Alıntı 1), farklı TTnet yönlendiricilerinin
arkasında bulduğumuz bazı IP aralıklarını (Şekil 5) uzun bir zamana
yayarak sadece ilgili modem arayüzleri ve varsayılı şifreler için
taradık.

ip_ranges_vs_tt_router_names.gif

Şekil 5 – Farklı TTnet yönlendiricilerinin arkadasında bulduğumuz bazı IP aralıkları

Bu işlemi yaparken her IP’ye maximum 2 adet bağlantı açtık; ilk
bağlantı 80.portun açık olup olmadığı ikinci bağlantı ise ilgili
modemin web yönetim arayüzünün varsayılı şifre ile açık olup olmadığını
anlamak için açıldı.


FINISH_IPADRESS=`echo $IP_RANGE |cut -d ‘=’ -f2 | cut -d’-‘ -f2 | tr -d ‘"’`

while [  $START_IPADRESS -le $FINISH_IPADRESS ]
  do
    y=1
    while [  $y -lt 255 ]
     do
       REAL_IPADRESS="$IP_ADRESS.$START_IPADRESS.$y"

       HPING_RESULT=`hping -S $REAL_IPADRESS -p 80 -c 1 2>/dev/null | grep "flags=SA" | wc -l`

          if [ $HPING_RESULT -eq 1 ]
  …
           fi
        let y=y+1
     done
        let START_IPADRESS=START_IPADRESS+1

 

Alıntı 1 – Yazılan betikten bir parça

Karşılaştığımız sonuçları grafiksel olarak vermek gerekirse. Şekil
6’de, sadece ilgili modem web yönetim arayüzü ve varsayılı şifresi açık
(Buna "One Click Hackable" ismini verdik) IP sayısının, taranan IP
aralıklarının kapsayabileceği maximum IP sayısına olan oranı bir pasta
grafiği şeklinde bulunmaktadır. Bu oran %5’tir.

 

total_ip_vs_vuln_ip.gif

 

 Şekil 6 – "One Click Hackable" IP sayısının, IP aralığı ile kapsanabilecek maximum IP sayısı ile oranı

Şekil 7’de, "One Click Hackable" IP sayısının, sadece 80.portu açık
olan IP sayısına olan oranı bir pasta grafiği şeklinde verilmektedir.
Bu oran %46’dır. Yani nerdeyse taradığımız aralıklarda 80.portu açık
olan her iki IP’den birinde büyük bir sıkıntı mevcuttur.

 

80_open_ip_vs_vuln_ip.gif

 

Şekil 7 – "One Click Hackable" IP sayısının, 80.portu açık olan IP sayısına oranı

Son olarak, Şekil 8, taramalar için seçtiğimiz IP aralıkları ve bu IP
aralıklarında bulunan problemli IP sayılarını göstermektedir.

 

ip_ranges_vs_vuln_ip.gif

 Şekil 8 – Seçilen IP aralıkları ve bu IP aralıklarında bulunan problemli IP sayıları

Sadece ilgili modem için yapılan bu tarama sırasında aslında diğer
modem arayüzleri ve varsayılı şifrelerle, yani "One Click Hackable"
IP’lerle karşılaşılmıştır, ama sonuçlar sadece odaklanan modem için
alınmıştır.

Bu riske bir çözüm olarak kullanıcıların firmware güncellemelerinin
yanında (ki bu durumda bile bazı problemler olduğu belirtilmiştir [3]),
daha proaktif bir yaklaşım ile, kullandığımız betiğe benzer bir betik
yardımı ile riskli IP’lerde firmware güncelleme işlemi otomatik (ama
izinsiz) bir şekilde yapılabilir. Muhtemel riskleri göz önünde
bulundurulduğunda, bu işlemi ancak üreticinin yapabileceği gözden
kaçmamalıdır.

Ayrıca bu bulgular sonucu web uygulama güvenliği perspektifinden
javascript malware’e ne kadar açık olduğumuz da ortaya çıkmaktadır [5].

Referanslar:

  • [1] http://www.modsecurity.org/
  • [2] http://www.bildirgec.org/yazi/airties-rt-102-modemlerde-ciddi
  • [3]
    http://www.webhatti.com/genel-sohbet/26313-airties-modem-kullanicilarinin-dikkatine.html
    (asıl kaynak inndir.com olarak gözüküyor)
  • [4] http://www.webguvenligi.org/sozluk/
  • [5] http://jeremiahgrossman.blogspot.com/2006/09/video-hacking-intranet-websites-from.html
  • Kaynak

    Mehmet ARI

    Bu yazı Güvenlik içinde yayınlandı. Kalıcı bağlantıyı yer imlerinize ekleyin.

    Bir Cevap Yazın

    Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

    WordPress.com Logosu

    WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

    Twitter resmi

    Twitter hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

    Facebook fotoğrafı

    Facebook hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

    Google+ fotoğrafı

    Google+ hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

    Connecting to %s