-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Salve a Koba, a tutti gli esimi lettori della lista!
volevo iniziare un nuovo thread cercando di capire se esiste e come fa ad esistere una botnet che sfrutta gateway e router zombie. <Mi scuso perche' so che l'argomento e il tono del post sono forse un po' troppo da ignorante> L'idea era partita da una serie abbastanza casuale ma significativa di probes verso la porta 23 TCP del mio modem casalingo. In sostanza provenivano tutti da clienti di ADSL residenziale (gran parte telecom). Controllati ad uno ad uno questi IP risultava che mostravano ai quattro venti il pannello di amministrazione dello scatolotto ADSL sulla porta 80. Ora quasi tutti gli apparecchi in questione sono dei D-Link di vario modello (molti DSLG624-T con firmware piu' o meno datati stando alle statistiche ma talvolta Zyxel, Netgear,...), a quanto pare offerti in commodato d'uso dall'ISP. Sembrava strano che venisse lasciata aperta la configurazione di questi alla Rete, ma ripensandoci e' piu' probabile che l'installatore avesse lasciato abilitato il servizio, ignorando le più semplici norme di sicurezza: magari lasciando inalterate l'utenza e relativa password di amministrazione? (domanda retorica, lo sa anche mio nonno) I gateway D-Link serie DSL sono poi noti per almeno un paio di falle[1] la prima delle quali risalente al 2005. Entrambe avrebbero permesso una fuga di dati relativi alla configurazione del router. Ora alcune di queste risultano patchate, ma rimane la questione dell'accesso non configurato di admin/root. Cercando di capire se e come gli attacker potessero sfruttare queste falle per mantenere delle botnets ho fatto una ricerca che ha portato a solo a questo[2], ma che confermerebbe l'ipotesi di gateway zombie. Pare che una delle chat su cui girano IP degli zombies citati nel documento stia su questo server[3]. Non ho potuto verificare quanto scritto perche' non ho un gateway come quelli a disposizione, ma se e' confermato si pongono alcune questioni: I) e' possibile che grazie a questa leggerezza degli ISP che forniscono in commodato d'uso degli apparecchi mal configurati, venga compromessa la privacy di migliaia di utenti (gli attacker potrebbero accedere ai dati di connessione come minimo, se poi e' telecom questo equivale anche ai dati della bolletta online per quanto mi risulta)? II) e' poi possibile che i gateway vengano pure modificati per eseguire DDOS e/o altre attività illegali, all'insaputa degli utenti legittimi? Credo che questo sia un problema di notevole portata, chiederei le vostre impressioni, riferimenti a falle simili e i consigli che potrete dare (oltre a aggiornare i firmware, cambiare le password di default) per arginarlo. Scartando l'ipotesi che un worm abbia infettato la/e macchine dietro il router, ritengo ha senso analizzare cosa ci sarebbe a generare questo tipo di traffico dal router verso altri IP dello stesso ISP. Questo tipo di botnet dovrebbe essere anche piu' semplice da individuare non ci sono worm di mezzo.. L'idea di base e' che bisognerebbe avere una copia integrale del filesystem di un router appena flashato con firmware "originale" e una copia di quello che sta su uno di questi presunti gateway zombies. Verificare i file differenti e da li' risalire agli attaccanti. Qualcuno in lista ha interesse a portare avanti un'iniziativa del genere? Disclaimer: non ci si puo' riferire ad apparecchiature di proprieta' di Telecom Italia di altri ISP o terzi per i test. I test dovranno avvenire solo sul proprio hardware, o previa la dovuta autorizzazione, su quello di terzi. ciao, hush-now-or-then [1] D-Link DSL Routers "firmwarecfg" Authentication Bypass - http://secunia.com/advisories/15422/ http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-1680 D-Link DSL-G604T "var:category" Cross-Site Scripting Vulnerability - http://secunia.com/advisories/29530/ D-Link DSL-G624T Directory Traversal and Cross-Site Scripting - http://secunia.com/advisories/22524/ [2] Analisi di un attacco informatico - Parte 1 - http://maurs.wordpress.com/2008/07/14/analisi-di-un-attacco- informatico-parte-1/ Analisi di un attacco informatico - Parte 2 - http://maurs.wordpress.com/2008/09/21/analisi-di-un-attacco- informatico-parte-2/ [3] irc://82.211.36.17:6667 e c'e' piu' di una cosa anomala al riguardo.. -----BEGIN PGP SIGNATURE----- Charset: UTF8 Note: This signature can be verified at https://www.hushtools.com/verify Version: Hush 3.0 wpwEAQMCAAYFAkjY3z8ACgkQxcpfdCBapkdu5gQAhX6G7hLuToue1aCUy8qa6nUdy3WZ TZEGaHq6PrNjKS7D4DzhfdHphnL7pQqobGA3Gf+5tTNs7dfOUwSu26fvz96tUboBdWQJ L3Rn7IZjNr4suVoHxG9WgORuqIuWfVbEnTJdD17EQR6XV+nwMhmFArXTDMJUxqOy4O1K fzIulEY= =TFGp -----END PGP SIGNATURE----- -- Click here to become certified in medical billing and training at these schools. http://tagline.hushmail.com/fc/Ioyw6h4frUj1y1lB8cS5FBzrcaFT749sgKXTJzkv6NQz0nQBYZszTP/
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
