Как закрыть порт 7547 на роутере

Обновлено: 10.05.2024

Последняя проблема с безопасностью маршрутизатора, впервые возникшая неделю назад в Германии, с тех пор подтвердилась и в других странах.

То, что это новый вариант Mirai, привлекает внимание заголовков, но не имеет значения. То, что пять миллионов устройств могут быть уязвимы, тоже не важно. И совершенно неважно, что неисправные маршрутизаторы были произведены Acadyan и Zyxel.

Самая важная проблема в этой последней атаке на маршрутизатор заключается в том, что большая часть вины ложится на интернет-провайдеров (ISP).

Маршрутизаторы были атакованы через TCP-порт 7547, который используется протоколом TR-069 (также известным как CWMP или CPE WAN Management Protocol). Оставить порт 7547 открытым не было бы проблемой, если бы интернет-провайдеры приняли более взвешенное решение.

ПОЛНОСТЬЮ ОТКРЫТЫЙ ПОРТ

Например, общеизвестно, что открытые порты TCP/IP опасны. Когда интернет-провайдер хочет получить доступ к своим клиентским устройствам через открытый порт, он должен предпринять шаги, чтобы гарантировать, что только он может это сделать. Вместо этого мы видели, как интернет-провайдеры неправильно настраивали как маршрутизаторы, так и свои внутренние сети, так что любой злоумышленник из любой точки мира мог получить доступ к маршрутизаторам через порт 7547.

Это сетевой эквивалент отказа от ремней безопасности. Неудивительно, что клиентов в конечном итоге выбрасывало через лобовое окно.

Эксперт по безопасности Грэм Клули также был раздражен этим, написав

Атаки . используют функциональные возможности, которые позволяют интернет-провайдерам удаленно управлять широкополосными маршрутизаторами своих клиентов. Я могу полностью понять, почему интернет-провайдеры хотят иметь такую ​​​​возможность, чтобы уменьшить нагрузку на поддержку, но, конечно, было бы лучше, если бы соединения разрешались только из собственной управляемой сети интернет-провайдера, а не из любого Тома, Дика или Гарри, базирующихся где-либо в мире?

Тод Бердсли и Боб Рудис из Rapid7 также недовольны этим:

Для интернет-провайдеров плохая идея предоставлять услуги TR-069 или TR-064 произвольным источникам в Интернете; хотя интернет-провайдерам может потребоваться доступ к этому порту для выполнения планового обслуживания конфигурации клиентского оборудования, локальные и пограничные правила брандмауэра должны позволять ограничивать доступ к этому порту только IP-адресами, исходящими из сети управления интернет-провайдера.

< /цитата>

Используемая ошибка маршрутизатора была впервые обнаружена в начале ноября кем-то под ником «kenzo2017». Он нашел брешь в модеме D1000 от ирландского интернет-провайдера Eir и отчитал их, написав:

В те времена, когда Eir была Eircom и использовала модемы Netopia, порт 7547 был заблокирован для всех IP-адресов, кроме тех, которые назначены серверам управления Eir. Это означало, что хотя в модемах Netopia были ошибки, их нельзя было использовать. По необъяснимым причинам Eir не делает этого для своих новых модемов. Если бы они это сделали, эти ошибки нельзя было бы использовать.

Не придираться к Eir, то же самое можно сказать и о Deutsche Telekom. Давайте разберем пару предложений в их публичном заявлении.

<блочная цитата>

. маршрутизаторы клиентов Deutsche Telekom подверглись атаке извне.

Другими словами, их сетевая конфигурация по умолчанию позволяла любому человеку в мире взламывать маршрутизаторы своих клиентов через открытый порт и то есть на них.

Мы внедрили ряд фильтров в нашу сеть.

Сетевые фильтры, которые должны были быть там всегда.

По иронии судьбы, Deutsche Telekom хвастается тем, что их Центр киберзащиты делает упор на "хорошие превентивные стратегии".

Другой пострадавший интернет-провайдер, TalkTalk, заявил, что он также «развернул дополнительные элементы управления на сетевом уровне для дополнительной защиты наших клиентов». Британский интернет-провайдер KCOM также «принял меры, чтобы предотвратить будущие атаки, чтобы они не повлияли на наших клиентов».

Ни один из интернет-провайдеров не предпринял очевидный защитный шаг, пока их не пристыдили.

К сожалению, в этих четырех интернет-провайдерах нет ничего особенного. В отчетах говорится, что Shodan обнаружил в Интернете 41 миллион устройств с открытым портом 7547. Если бы интернет-провайдеры ограничивали доступ к этому порту только своими серверами, которым он нужен, то Shodan не смог бы обнаружить, что порт открыт.

НЕПРАВИЛЬНО НАСТРОЕННЫЕ МАРШРУТИЗАТОРЫ

Еще одна распространенная ошибка безопасности интернет-провайдеров – предоставление клиентам неоптимальных маршрутизаторов.

В взломанных на этой неделе маршрутизаторах были ошибки, что не так уж и необычно.

Похоже, проблема связана с очень старым протоколом TR-064. Согласно документу Технической рабочей группы DSLHome от 2004 года, этот протокол также известен как «Конфигурация CPE DSL на стороне LAN» (CPE — это оборудование в помещении клиента). Важным моментом является то, что протокол был разработан для работы в локальной сети, то есть внутри вашего дома. Он не был разработан и не предназначен для использования в Интернете.

Тем не менее именно это и делали уязвимые маршрутизаторы: они отвечали на команды TR-064, отправленные на порт 7547.

Это похоже на операцию врача не на той ноге пациента. Какая компетентность требуется для того, чтобы протоколы, предназначенные для использования на стороне LAN, не использовались в Интернете? Очевидно, слишком много.

По словам Дэна Гудина, поисковая система Shodan сообщает, что "около пяти миллионов [устройств] предоставляют услуги TR-064 внешнему миру".

То же самое произошло в 2013 году с UPnP, еще одним протоколом, предназначенным только для использования в локальной сети. Тогда Rapid7 обнаружил 80 миллионов устройств, которые отвечали на запросы UPnP через Интернет.

МАШИНОСТНЫЕ МАРШРУТИЗАТОРЫ

К тому моменту, когда сервер TR-064 становится доступным для Интернета, уже были допущены две ошибки. Кроме того, была ошибка в реализации протокола TR-064.

Как указал Kenzo в статье о том, что все это началось в начале ноября, уязвимость в функции SetNTPServers может быть использована для запуска команд на устройстве. Это позволяет злоумышленнику отключить брандмауэр и удаленно управлять маршрутизатором. Злоумышленник может получить полный контроль над уязвимыми устройствами.

Кроме того, существует проблема раскрытия информации. Злоумышленники могут узнать различную информацию о маршрутизаторе, не используя уязвимость, просто выполнив несколько команд TR-064. Конкретная информация, которую привел Kenzo, включала серийный номер, версию прошивки, пароль Wi-Fi, SSID и MAC-адрес.

ПЛОХИЕ МАРШРУТИЗАТОРЫ

В данном случае злоумышленники не собирались отключать людей от Интернета. Вредоносное ПО должно было скомпрометировать маршрутизаторы, чтобы впоследствии их можно было использовать для получения дохода.

Что пошло не так? Оказывается, некоторые маршрутизаторы перестают работать, когда их просят сделать слишком много реальной маршрутизации.

Поскольку вредоносная программа пытается заразить другие маршрутизаторы, она создает сетевой трафик. Так много трафика, что некоторые маршрутизаторы зависли.

Йоханнес Ульрих из Технологического института SANS сообщил Брайану Кребсу, что чрезмерный сетевой трафик привел к сбою некоторых маршрутизаторов, которые даже не были уязвимы для вредоносного ПО. Эти другие маршрутизаторы просто не могли обработать все входящие попытки подключения через порт 7547 от зараженных маршрутизаторов.

Охранная компания Comsecuris самостоятельно взломала маршрутизатор Arcadyan и подтвердила, что из-за чрезмерного количества входящих подключений маршрутизатор зависает. Они написали

<блочная цитата>

. простое заполнение маршрутизатора указанными выше запросами (TCP/UDP) показало, однако, что устройство сначала становится намного медленнее при приеме TCP-соединений на внешнем IP-адресе. Наконец, он вообще перестал принимать TCP-соединения на этом интерфейсе. Это согласуется с отчетами клиентов DTAG [Deutsche Telekom AG], в которых указано, что проблема временно устранена путем перезапуска устройства. Из-за продолжающейся активной активности ботнета Mirai ошибочное поведение быстро повторилось на практике. Мы пришли к выводу, что это явление стало причиной отключения электроэнергии у некоторых клиентов DTAG в эти выходные. различные новостные агентства определенно опубликовали отчеты, основанные на информации предварительного расследования, которая была неверной.

Лоренцо Франчески-Биккьераи из Motherboard утверждал, что в этом случае контактировал с одним из нападавших. Злоумышленник извинился за влияние, которое вредоносное ПО оказало на британского интернет-провайдера, но добавил: «Они должны предоставить своим клиентам лучшее оборудование. Слишком много запросов замораживают дерьмовые маршрутизаторы».

Это говорит все как есть.

ЗАЩИТНЫЕ КОМПЬЮТЕРЫ

Урок защитных вычислений здесь ясен. Интернет-провайдерам нельзя доверять безопасность.

Этот случай показал, что они неправильно настроили свои внутренние сети, неправильно настроили маршрутизаторы, которые они предоставили клиентам, и выбрали маршрутизаторы, которые выходят из строя в условиях стресса. Три страйка, вы выбыли.

Четвертое предупреждение исходит от компании Comsecuris, которая в ходе расследования обнаружила другие уязвимости в маршрутизаторах. С учетом этого они написали

Это неудивительно, учитывая общее состояние оборудования маршрутизатора конечного пользователя, которое уже много лет является проблемой.

Говоря как человек, который следит за безопасностью маршрутизатора, я тоже не удивляюсь этому.

Вместо использования оборудования, предоставленного вашим интернет-провайдером, я предлагаю приобрести собственное.

ОБНОВЛЕНИЕ: 5 декабря 2016 г. Добавлена ​​цитата из Rapid7. Также добавлена ​​информация о программной уязвимости и раскрытии информации.

ОТЗЫВЫ

Теперь, когда Computerworld и все веб-сайты материнской компании IDG убрали комментарии пользователей, вы по-прежнему можете оставлять мне отзывы двумя способами. В частном порядке напишите мне на мое полное имя в Gmail. Публичные комментарии можно направлять мне в Твиттере по адресу @defensivecomput.

Майкл Горовиц — независимый консультант, давно занимающийся оборонными вычислениями.

Если ваш маршрутизатор/шлюз NAT держит этот порт открытым и вы уверены, что хотите его отфильтровать (возможные помехи для интернет-провайдеров, загружающих обновления прошивки), попробуйте следующее. Перейдите в интерфейс администратора вашего маршрутизатора и отключите TR-069. Если это не сработает, найдите раздел «Переадресация портов» или «Виртуальные серверы» и перенаправьте порт на неиспользуемый локальный IP-адрес, например (192.168.1.252)

Модем Eir D1000 не ограничивает должным образом протокол TR-064, что позволяет удаленным злоумышленникам выполнять произвольные команды через TCP-порт 7547, о чем свидетельствует открытие доступа к глобальной сети через TCP-порт 80 и получение пароля для входа в систему (по умолчанию это пароль Wi-Fi) и с помощью функции NewNTPServer.
Ссылки: [CVE-2016-10372], [XFDB-126658]

Связанные порты: 30005

Примечания:
Номера портов в компьютерных сетях представляют конечные точки связи. Порты — это 16-битные целые числа без знака (0-65535), которые идентифицируют конкретный процесс или сетевую службу. IANA отвечает за ресурсы интернет-протокола, включая регистрацию часто используемых номеров портов для известных интернет-сервисов.
Общеизвестные порты: с 0 по 1023.
Зарегистрированные порты: с 1024 по 49151.
Динамический/частный: с 49152 по 65535.

Порты TCP используют протокол управления передачей, наиболее часто используемый протокол в Интернете и любой сети TCP/IP. TCP позволяет двум хостам устанавливать соединение и обмениваться потоками данных. TCP гарантирует доставку данных и то, что пакеты будут доставлены в том же порядке, в котором они были отправлены. Гарантированная связь/доставка — ключевое различие между TCP и UDP.

Порты UDP используют протокол дейтаграмм. Как и TCP, UDP используется в сочетании с IP (Интернет-протокол) и облегчает передачу дейтаграмм с одного компьютера в приложения на другом компьютере, но, в отличие от TCP, UDP не требует установления соединения и не гарантирует надежной связи; приложение, получившее сообщение, должно обработать любые ошибки и проверить правильность доставки. UDP часто используется с чувствительными ко времени приложениями, такими как потоковое аудио/видео и игры в реальном времени, где отбрасывание некоторых пакетов предпочтительнее, чем ожидание задержанных данных.

При устранении неполадок с неизвестными открытыми портами полезно выяснить, какие именно службы/процессы их прослушивают. Это можно сделать как в командной строке Windows, так и в вариантах Linux с помощью команды «netstat -aon». Мы также рекомендуем запустить несколько антивирусных/антивредоносных программ, чтобы исключить возможность активного вредоносного программного обеспечения. Для получения более подробной и индивидуальной помощи воспользуйтесь нашими форумами.

First Comment
< img class="lazyload" data-src="https://us.v-cdn.net/6031733/uploads/badges/YTTLUT5V38B8.jpg" alt="Фотогеничный" />

Привет всем, будем ОЧЕНЬ признательны за любые советы по этому поводу. Отчет об уязвимостях моего домашнего маршрутизатора в Fingbox показывает, что порт 7547 (TCP) был открыт вручную в течение последнего года или около того. Мой интернет-провайдер мало чем помогает (скорее из-за отсутствия знаний, чем из-за чего-либо еще), и мне не удается закрыть его вручную. Кто-нибудь сталкивался с чем-то подобным с этим портом или знает, для чего он вообще используется? Гугл мало чем помог. Я полагаю, что могу неправильно настроить брандмауэр, но я так не думаю. Это единственный порт, который отображается как открытый. Сканирование подтвердило, что переадресация портов отключена. Заранее спасибо за любую помощь!!

Ответы

rooted< бр />

250 Likes
< img class="lazyload" data-src="https://us.v-cdn.net/6031733/uploads/badges/GYGR7UN90I2T.jpg" alt="500 комментариев" />
50 ответов
Вторая годовщина

Да, похоже, это проблема, если что-то беспокоит, возможно, оно используется для взлома устройства.

Ваше устройство произведено Zyxel или возможно называется Speedport?

Как потребитель, если вы подозреваете, что ваш модем уязвим или, что еще хуже, эксплуатируется: перезагрузите модем и проверьте наличие обновлений прошивки. Для некоторых интернет-провайдеров, таких как Deutsche Telekom, доступны обновления прошивки. Но обычно вы получаете прошивку от своего интернет-провайдера, а не от производителя модема. Интернет-провайдеры настраивают прошивку, например, путем включения TR-069, и прошивка, предоставленная производителем по умолчанию, может вам не подойти.

Провайдеры Интернета должны (и, как правило, будут) ограничивать доступ к портам 7547 и 5555, если они используются для удаленной настройки.Модем должен принимать соединения только с определенных серверов конфигурации. Реализации TR-069 имели уязвимости в прошлом, и весьма вероятно, что в будущем будут обнаружены дополнительные проблемы. Ограничение доступа к порту необходимо для защиты модема от эксплойтов с незакрытыми уязвимостями.

nozero
< /p>

First Comment
< img class="lazyload" data-src="https://us.v-cdn.net/6031733/uploads/badges/YTTLUT5V38B8.jpg" alt="Фотогеничный" />

Большое спасибо Rooted за то, что нашли время ответить. Я сделаю так, как вы посоветовали. Перезагрузите модем и попытайтесь получить обновление прошивки от моего интернет-провайдера (Spectrum).

Тем временем, не могли бы вы сказать мне, как именно, по вашему мнению, мне следует настроить брандмауэр, чтобы специально закрывать/блокировать этот порт? Спасибо

rooted< бр />

250 Likes
< img class="lazyload" data-src="https://us.v-cdn.net/6031733/uploads/badges/GYGR7UN90I2T.jpg" alt="500 комментариев" />
50 ответов
Вторая годовщина

К сожалению, я не верю, что вы можете закрыть порт самостоятельно, поскольку он открыт шлюзом.

Какая марка и модель вашего шлюза/маршрутизатора?

nozero
< /p>

Фотогеничный
First Comment

Возможно, в качестве временной меры можно настроить правило маршрутизации для перенаправления трафика этого порта на неиспользуемый IP-адрес. или, возможно, камера, обращенная к стене. тогда они так быстро не разберутся. хотя уже поздно. ты никогда не избавляешься от ощущения, что они все еще каким-то образом таятся. пора начинать форматировать все свое дерьмо. Другая вещь, которую вы можете попробовать, это если ваш маршрутизатор имеет доступ к SSH, вы можете войти и использовать команду kill для всего, что происходит вокруг этого порта. следите за ним с помощью команды top.

Учитывая последние новости о вредоносном ПО, нацеленном на этот порт, я хочу узнать, как его отключить.

Этот порт по умолчанию открыт для глобальной сети на многих коммерческих маршрутизаторах ZyXel. Он предназначен для использования с протоколом управления глобальной сетью клиентского оборудования, также известным как CWMP. Он стал склонен к легкой эксплуатации. К сожалению, в веб-интерфейсе управления отсутствует какой-либо намек на то, что эта служба включена, не говоря уже о способе ее отключения.

Есть ли у кого-нибудь пошаговое руководство по отключению порта 7547 на Zywall 110?

28 ноября 2016 г., 18:29

просто для справки:

но мне не удалось найти список затрагиваемых устройств Zyxel.

Чтобы заблокировать трафик на этом порту, вы можете попробовать добавить правило брандмауэра из WAN->WAN, которое блокирует входящие попытки на этом порту из любого источника. Основная проблема заключается в том, чтобы узнать, сработает ли это правило брандмауэра до того, как сработает служба. Так и должно быть, но Zyxel мог жестко запрограммировать обход всех правил брандмауэра для этой службы.

Следующим шагом было бы найти эту службу и отключить ее (после перезагрузки) и оставить устройство Zyxel на резервном питании от батареи, пока вы не получите правильное исправление прошивки. Есть сценарий запуска, в который можно добавить команды выключения, но я забыл, где это находится и как сделать его постоянным.

Возможно, вы сможете использовать интернет-сканер, чтобы проверить, открыт ли этот порт в первую очередь, или вы можете использовать второй маршрутизатор между модемом вашего интернет-провайдера и вашим устройством Zyxel и посмотреть, сможете ли вы самостоятельно использовать/просканировать этот порт как открытый.

29 ноября 2016 г., 00:32

29 ноября 2016 г., 9:00

Ахххх. мои плохие парни. Я использовал VPN, и он показал, что порт открыт. Когда я только что проверил свой IP-адрес, это был «Скрытый».

29 ноября 2016 г., 11:21

В журнале USG 50 я вижу, что сообщение для этого номера порта отбрасывается каждые пару секунд. Думаю, Интернет вещей полностью готов к таким атакам.

У меня сложилось впечатление, что уязвимые маршрутизаторы ZyXEL поставляются интернет-провайдерами, желающими удаленно с ними связываться.

29 ноября 2016 г., 11:45

Я бы предположил две вещи.
a.нет правила NAT по умолчанию, разрешающего подключение к этому порту любому устройству
b. нет правила брандмауэра по умолчанию, разрешающего подключение к этому порту на любом устройстве.

Чтобы возникла проблема, нужно иметь и то, и другое, верно?

Даже если настройка маршрутизатора по умолчанию включает правило WAN-LAN из любого источника в любое место назначения, для любого пользователя, для любой службы, без правила NAT оно не пройдет.

29 ноября 2016 г., 11:59

нет необходимости в правиле NAT - предполагается, что оно подключается к устройству WAN, которое, я думаю, предшествует NAT.

Хотелось бы думать, что вы правы в остальном, что должно быть видимое правило брандмауэра, чтобы эти пакеты могли достигать WAN-стороны устройства, но, по крайней мере, у других производителей есть скрытые правила обхода брандмауэра, жестко запрограммированные в прошивке.

Кроме того, все, что я вижу, указывает на то, что эта проблема ограничена устройствами, предоставленными интернет-провайдером (и, предположительно, их пользовательской прошивкой).

29 ноября 2016 г., 16:21

В моем журнале Zywall USG 100 множественные попытки подключения к 7547 блокируются правилом брандмауэра по умолчанию.

Поэтому не похоже, что есть какие-либо скрытые правила NAT или брандмауэра, которые оставляют этот порт открытым.

29 ноября 2016 г., 17:11

приятно слушать, он блокирует этот порт, но у меня есть USG60, так что будет то же самое. Конечно, плохие новости о «неоднократных попытках 7547».

Вы все из Германии?

29 ноября 2016 г., 20:12

Проблема, связанная с портом 7547, связана с ошибкой SDK от поставщика набора микросхем. Этот SDK не используется в ZyWALL, он используется в DSL-оборудовании более низкого уровня. Я знаю некоторые модели от Huawei, TP-Link и ZyXEL, которые используют этот поставщик чипов и затронутый SDK, но, вероятно, есть и другие поставщики.

Порт 7547 обычно используется для защищенной связи TR069 между CPE и ACS.

30 ноября 2016 г., 00:32

В Германии участвовали только устройства Telekom производства Arcadyan.
Маршрутизаторы Telekom обычно имеют опцию «EasySupport». Возможно, это откроет и закроет порт 7547.
Я не могу протестировать такое устройство и не знаю, какое значение по умолчанию для этой опции.

30 ноября 2016 г., 3:41

1 декабря 2016 г., 6:36 утра

Миф об открытом интерфейсе . --- Я бы сказал: если злоумышленник может им воспользоваться, он должен быть открыт.

6 декабря 2016 г., 16:30

Это был хороший взмах руки. Для DT это не проблема, потому что оооооочень блестяще

Насколько я понимаю, эта атака имеет несколько уровней.


  1. Хреновая безопасность со стороны интернет-провайдера, не ограничивающая доступ к порту.
  2. Дерьмовая безопасность поставщика оборудования/устройства, позволяющая любому хосту отдавать "команды" через порт.
  3. Отвратительная безопасность производителя оборудования/устройства, где входные данные не дезинфицированы, и вы можете получить доступ к оболочке с помощью простого ; в принципе.

Если у вас есть все 3 из них, Mirai может установить на ваше устройство кое-что интересное и превратить ваш маршрутизатор в узел DDoS.

Теперь полезная нагрузка вредоносного ПО не работала на устройствах DT (согласно DT), но это была скорее удача со стороны DT или некачественная работа злоумышленника.

Как я упоминал ранее в этой ветке, проблема связана с SDK от определенного поставщика чипов. Но, присмотревшись к этому более внимательно, я подозреваю, что проблема существует уже давно. Проблема, вероятно, возникла, когда поставщик чипов купил другую компанию и начал использовать код этой компании в качестве своего SDK. И я действительно верю, что это можно отследить до того места, где приобретенная компания лицензировала свой код.

Если я прав, этой ошибке уже более 15 лет, к счастью для нас, большинство устройств, которые, вероятно, поставлялись с этой ошибкой, уже заменены более новыми моделями. С другой стороны, некоторые из этих новых моделей фактически используют те же компоненты, в которых обнаружена ошибка. Так что в любом случае не повезло.

Я не специалист по информационной безопасности, но забавно видеть, как люди бегают по этому поводу кругами.
Люди из информационной безопасности с одной стороны, в своем информационном пузыре, пытаются собрать все воедино. И поставщики услуг Интернета - поставщики устройств - поставщики SDK / чипов обвиняют другую сторону.

Это на самом деле хорошее развлечение с того места, где я сижу *ем попкорн*

Читайте также: