Vlákno názorů ke zprávičce Nebezpečné zranitelnosti WiFi routerů Asus od RedMaX - Mám RT-AX55, ale když nemám povolený přístup z...
-
Mám RT-AX55, ale když nemám povolený přístup z internetu, tak snad útočník nemá co obcházet, když se tam nemá jak dostat.
Jestli vydají nový firmware, tak klidně aktualizuji.
Jen by mě zajímalo, jak je technicky tato zranitelnost nebezpečná, když se útočník nějak musí dostat do lokální sítě, ale nemá jak.
A heslo jaké mám, je snad jedno, když ho to má umět obejít? -
Zdálo se mi divné, že by čtenář rootu měl takto velmi omezené znalosti bezpečnosti. Koukám kdo to je. Aha. RedMaX si tady založil účet. (Na DIITu už se odvařil dávno)
Prosím Vás RedMaxi. Nepište bludy.Zakázání přihlášení z internetu samozřejmě nestačí. Může se objevit zranitelnost, která to umí obejít. Takové případy už byli. Jestli to je tento případ není z článku jasné.
Ale když si výrobce začne sypat popel na hlavu, tak to nejspíš bude velký problém. -
Popis od assus je tak vagni, ze muzete mit pravdu oba. A muze byt tak vagni, protoze chce Assus prodat novy routery.
A ano, zakazat vsechny sluzby na venkovnim rozhranni routeru je nekdy dostatecne (zvlast kdyz si pak treba nmap-em overite, ze fakt dostupne nejsou). Sluzbu, ktera nebezi a neni z pohledu utocnika dostupna, nejde napadnout. Vetsina routeru ma bohuzel v defaultu spoustu sluzeb zapnutych i na venkovnim rozhranni.
Ikdyz wifi je dostupne jen ve stovkach metru od routeru, pokud na nem bezi sluzby, problem to byt muze (protoze autentizaci lokalni wifi obvykle prolomit lze), a protoze v tech stovkach metru mohou byt jine napadene routery.
-
Vágní popis má svůj důvod. Opravdu nechcete dávat návod na hacknutí.
Prodat nové chtějí. Ale tímto je spíš pošlou za konkurencí.
S tou WiFi dost nadsazujete?
Dosah je 50 metrů. 100 metrů jen přímá viditelnost (ve vakuu). Stovky metrů? Všesměrovou anténou ani náhodou.
WPA2 se mi podařilo bruteforcem prolomit jen jednou (8 číslic). WPA3 ani jednou a to je už docela rozšířená.
No teď mám nějaký nový HW, takže bych ho mohl otestovat v hashcat. Hodně lidí má méně než10 znaků.. Sousedi těšte se. Test bezpečnosti zdarma :-)Zranitelnost měl WEP, ale ten už jsem dlouho nepotkal. Bohužel :-( Co mám neomezený data v mobilu, to už moc neřeším)
-
Pokud jde o blbě nastavená hesla k wifině, tak to asi jen tak nevymizí. Blbý je, ža pak se útočník ocitá na vnitřní straně toho routeru...
Já tu mám na první scan ve 2.4 GHz pásmu 26 wifin, přičemž tři jsou zcela bez hesla, dvě mají kombinaci typu admin/admin (tedy výchozí heslo) a asi tak čtyři uhádl můj tehdy desetiletý synek - včetně APČápovi
se suberbezpečným heslemAfr1ka!
.; oD -
26 wifin... Kolik jich má SSID v defaultu? Skoro všechny.
S největší pravděpodobností budou mít i heslo v defaultu. Když nikdo nevyrobi průšvih jako UPC, kde se podle SSID(Nebo mac) dalo odhadnout heslo. Tak ty hesla mají 10 znaků a víc v kombinaci čísel a písemen. Což je na mém starém HW neprolomitelny. Na novém to furt budou týdny práce. Možná dny protože O a 0 se nepoužívají kvůli záměně, atd...
Ty bez hesla budou chtít login a certifikát.
Tam se taky nedostanete.
A ty co si změnili SSID tomu trochu rozumí a dali si i silné heslo.
Kombinaci admin/admin a heslo Afr1ka Vám nevěřím. Minimální délka WiFi hesla je 8 znaků.Jó čási, kdy jsem prolomil každou druhou wifi, jsou už pryč. Ale poslední dobou to nesleduju. Když potřebuji data, tak si zapnu hotspot na mobilu. Takže možná se objevily nějaké nové zranitelnosti.
-
Tak, je to už dva roky...
Každopádně: ty tři bez hesla stále fungují (před chvílí vyzkoušeno).
S tou Afrikou máte pravdu, na konci byly tři vykřičníky - každopádně tohle jsem pomáhal změnit.
Výchozích hesel tu asi bude stále dost.
Ti co si změnili SSID mají hodně často odvozené heslo podle nějaké logiky (máme tu případ, kdy jde o rodné příjmení manželky, takže k SSIDnovakovi
by bylo hesloDvorakovi
, atd...)
Osmi sousedům jsem pomáhal nastavit bezpečné heslo (včetně Afriky) - a vygeneroval a vytiskl QR-kód pro přístup (což dneska umí i některé routery).
Jedno je moje, to taky nebude úplně slabé.
Takže zbývá odhadem 10 přístupů, na kterých by šlo vyzkoušet hrubou sílu.
Nicméně si troufnu odhadnout, že tady na sídlišti bude tak pětina hesel slabých.
Především proto, že uživatelé mají pocit, že když je k tomu připojená jen ta televize a pár mobilů, není potřeba to chránit - vždyť nemají žádný počítač, který by někdo mohl napadnout, zašifrovat či smazat. -
Co je silné heslo?
"Dvorakovi" považuji za silné heslo.
Ve slovníku nebude. (Český slovník jsem nenašel, a když, tak v něm bude "Dvořákovi")
Má 9 znaků, takže na průměrném NTB ho nedáte.
Nevím jak se jmenovala sousedka za svobodna.
Takže tuhle wifi bych neprolomil.
Nebo by mě to stálo tolik úsilí, že je jednodušší zazvonit a zeptat se na heslo.QR je fajn. Ale TV ani NTB ho neumí přečíst. I když mají kameru.
Už jste někdy zadával silné heslo na ovladači od televize? Já ano, a od té doby speciální znaky do hesla na WiFi nedávám.Afrika je špatný heslo. Ve slovníku bude v ruském i v anglickém. No a 8 znaků je prostě málo.
-
DannyStříbrný podporovatelProhnat pres iconv/translit slovnik s hacky je to nejmensi :-) Co je to prumerny NTB? Dneska jsou bezne (a i levne) mnohojadrove Ryzeny... doba s dvemi upocenymi core je minulost. Mozna nejake vybehove typy z vyprodeje :D
Televize nema co delat v segmentu, kde jsou bezne stanice. A unikatni per-device heslo zvladne dnes i openwrt... popravde, ja treba neodolal moznosti a TV mam na kabelu, kdyz uz mi tam predchozi uzivatel tak pekne nachystal kabelaz ;-) A u rodicu to mam stejne (lista se tam od modemu delat stejne musela, tak tam hodit dva kable misto jednoho byla uz malickost). -
msmucrBronzový podporovatel
A unikatni per-device heslo zvladne dnes i openwrt...
Čistě ze zvědavosti, tohle prosím děláte jak? Máte běžící RADIUS server, nebo to nějak manuálně vpravíte do konfigurace hostapd?
Přiznám se, že mi to na doma přijde trochu overkill pro většinu použití, ale slyším to poprvé, tak jsem zvědavý :) -
Odstranit diakritiku je to nejmenší. Ostatně tuším, že důvodem bylo to, aby to šlo zadat na ovladači k televizi. (A na schránce mají stále její jméno za svobodna, jen přeškrtnuté - brali se až poté, co tu pár let bydleli.)
Jinak: moje heslo má 63 znaků, včetně několika speciálních - a potvrzuji, že zadat to ovladačem je fakt zábavné, zvlášť, pokud na to máte časová limit jedné minuty. Je mnohem jednodušší zapnout bluetooth a připojit si klávesnici. ;oD
Na průměrném notebooku jsme před cca pěti lety lámali desetiznaková hesla během několika hodin - byť připouštím, že to nebyla hesla k wifině (kde to zpomaluje ta komunikace okolo), nebyla příliš komplexní, a louskali jsme je off-line. -
Ve zdrojovém článku se píše že se má utěsnit:
Port forward, DDNS, VPN, DMZ, port tigger.
Takže všechny služby, které mohou otevřít FW.
Takže opravdu asi z venku útok není možné provést. Ale stačí UPnP (v defaultu často povolené) a ona se nějaká legitimní aplikace najde, co si otevře vrátka. Nejčastěji hry. -
msmucrBronzový podporovatel
Jestli myslíte tohle https://www.asus.com/support/faq/1039292/,
tak to je přeci obecný článek, jak utáhnout zabezpečení routerů ASUS, víceméně se ten výčet dá aplikovat na téměř jakýkoliv Wi-Fi router. Nesouvisí to přímo ze zmíněnými zranitelnostmi ze zprávičky.To z toho jen bleepingcomputers udělal kompilát "ASUS doporučuje", aby v článku bylo víc než odkaz na ty CVE.
Jedna zranitelnost je obejití ověření do webového rozhraní, druhá pak upload podvrženého firmware. Jako blbý, závažné chyby, co je to pořeba opravit, ale zas bych z toho nedělal úplnou kovbojku.
Žádný z těch routerů s ASUSWRT nemá ve výchozím nastavení otevřenou web administraci zvenku, ani z guest Wi-Fi (pokud ji povolíte). Pokud už se vám někdo dostane do vnitřní Wi-Fi, resp. LAN sítě, tak stejně může udělat x dalších věcí a je to průšvih tak jako tak.A stran toho UPnP, pokud by někdo udělal škodlivý program, co si uživatel spustí, nebo infikoval nějaký existující software, který udělá port mapping na routeru přes NAT-PMP, UPnP IGD, tak to také přímo nesouvisí se zmíněnými zranitelnostmi. To může udělat na jakémkoliv routeru, kde je tohle povoleno.
-
Nemít povolené přihlášení zvenčí stačí. Teoreticky. Protože:
- máte problém, pokud někdo napadne třebas phishingem někoho uvnitř sítě
- objeví se jiná chyba, kterou vám to někdo zresetuje do továrního nastavení. A některá zařízení to mají by default povolené, kolikrát i s účtem a heslem admin/adminOboje se bohužel děje. Takže nespoléhat jen na to, že je přihlášení zvenčí disabled.
