Open CWMP

Aprašymas:

„CWMP“ yra protokolas, skirtas valdyti kliento įrangą per internetą (t. y. ne vietiniame tinkle). CWMP yra frazės „CPE WAN management protocol“. Savo ruožtu „CPE“ yra „Customer Premises Equipment” sutrumpinimas, o „WAN“ - „Wide Area Network“ (pvz., 1-o miesto tinklas). Protokolas suteikia galimybę ryšio paslaugos teikėjui turėti vieną ar kelis ACS (angl. Auto Configuration Server) ir per juos atlikti įvairius nuotolinius veiksmus: naujinti vidinę programinę įrangą (angl. firmware), pasiekti įrenginio žurnalo (angl. log) failus, vykdyti diagnostiką. Minėtus veiksmus galima atlikti: su 1 įrenginiu, su 1 modelio įrenginiais, su visais konkretaus gamintojo įrenginiais. „CWMP“ sinonimas yra „TR-069“ specifikacija, kurioje aprašytas protokolas.

Ryšio saugumui užtikrinti naudojamas SSL/TLS protokolas, o specifikacijoje siunčiamų parametrų sąrašas yra aiškiai apibrėžtas. Nepaisant to, dauguma gamintojų ne visiškai įgyvendina standartą, todėl atsiranda spragų. Užvaldžius ACS įrenginį arba perėmus kanalą tarp ACS ir klientų įrenginių, piktavaliai gali gauti neteisėtą prieigą prie visų įrenginių, palaikančių „TR-069“. Tokiu atveju pavojingiausias dalykas, kuri gali atlikti piktavaliai, yra įrenginių „firmware“ pakeitimas, vėliau – jų naudojimas paslaugos trikdymo atakoms (angl. DDoS) vykdyti.

Pagal Shodan.io duomenis, visame pasaulyje 2016 m. lapkričio pabaigoje buvo 41 milijonas įrenginių, kurių prievadas 7547 yra atviras. Anaiptol ne visi šie įrenginiai yra pažeidžiami, bet piktavaliai visus juos tikrina, panaudodami net 600 000 IP adresų, iš kurių skenuoja kitus IP adresus.

Rekomenduojama vartotojams:

  • visada (ne tik namų elektronikos įrenginiams) pakeisti gamyklinį slaptažodį saugiu: bent 10 simbolių ilgio, sudaryti iš mažųjų ir didžiųjų raidžių, turėti skaičių ir spec. simbolių;
  • reguliariai keisti slaptažodžius;
  • jei yra galimybė, naujinti vidinę įrenginio programinę įrangą;
  • įrenginyje išjungti nereikalingas paslaugas;
  • jei įrenginys naudojamas tik vietiniame tinkle, uždrausti prieigą prie įrenginio iš interneto pusės arba apskritai, arba pagal prievadus (pvz.: 22, 23, 80, 443, 7547);
  • jei įrenginys turi būti pasiekiamas iš interneto pusės, apriboti jo pasiekiamumą pagal IP adresus, IP tinklus bei šalis;
  • patikrinti įrenginio pasiekiamumą iš interneto pusės (žr. įrankius).


Įrankiai patikrinimui:

Išorinį IP adresą galima sužinoti, į „Google“ paieškos lauką įvedus „my ip“. Pažeidžiamumai tikrinami šiomis nuorodomis:

 

Informacijos šaltiniai:

https://en.wikipedia.org/wiki/TR-069
http://routersecurity.org/bugs.php
https://isc.sans.edu/forums/diary/TR069+NewNTPServer+Exploits+What+we+know+so+far/21763

RSA konferencijos skaidrė (2014 m. lapkričio duomenys): https://www.rsaconference.com/writable/presentations/file_upload/hta-r04-the-internet-of-tr-069-things-one-exploit-to-rule-them-all_final_copy1.pdf

Visos rekomendacijos