[GTER] RES: Falhas em roteadores tp-link

Gondim gondim at linuxinfo.com.br
Fri Jul 17 12:33:12 -03 2020 

Opa Márcio,

Infelizmente tem muito "ISP" que ainda acha que a Internet é só plugar e
se funcionar está OK. Querem colocar logo muitos assinantes em sua
carteira para faturar e não procuram seguir o mínimo das boas práticas.

Lógico que vão existir casos onde o próprio assinante, com acesso ao seu
router, vai conseguir deixá-lo inseguro em algum momento. Mas coisas
absurdas como router com as credenciais padrões de fábrica e acesso
remoto liberado são coisas que os técnicos já deveriam intervir no
momento da instalação e orientar o assinante. Nós aqui usamos firmwares
baseadas em OpenWRT da Anlix, o flashbox e estamos muito satisfeitos
pelos resultados e segurança. Sem falar que já vai configurado pra Dual
Stack (IPv4/IPv6).

Eu ainda bato na tecla que todo AS deveria seguir as boa práticas, ter
registros atualizados no PeeringDB (Facebook do AS), IPv6, IRR, RPKI,
procurar ingressar no MANRS ou pelo menos tentar implementar as
orientações deles, etc. Mas a desculpa, que não considero desculpa é:
são ASes tão pequenos e não tem gente qualificada pra executar. Não tem
gente mas pode contratar uma consultoria e fazer a coisa certa. O
problema é que muitos querem ganhar dinheiro mas não se importam em
fazer a coisa certa e aí fazem de qualquer maneira. São esses muitos que
acabam transformando sua rede de assinantes em enormes botnets, trazendo
grandes prejuízos pra comunidade e insatisfação pra o seu cliente.

Enquanto não acordarmos e começarmos à fazer melhor o que já fazemos,
não seremos melhores... seremos só mais um no meio de muitos.

Em 13/07/2020 19:00, Márcio Elias Hahn do Nascimento escreveu:
> Então Elizandro. Utilizamos massivamente modelos da tp-link, e não
> tivemos relatos ainda. Detalhe, portas de acesso fechadas ao mundo
> exterior... 
>
> Em uma pesquisa rápida esse final de semana achei muitos AS's vizinhos
> ao meu com grande parte dos acessos a CPE's expostos, e pior, muitos com
> credenciais padrões ou facilmente quebráveis, ai complica a segurança
> mesmo. 
>
> Vale a pena o pessoal rever as regras de acesso a gerência desses
> equipamentos. 
>
> Em 2020-07-13 18:25, Elizandro Pacheco escreveu:
>
>> Eu estou com um C6 propositalmente exposto pra tentar pegar um infectado para uma análise melhor.
>>
>> Mas tá demorando hehe
>>
>> Elizandro Pacheco
>>
>> -----Mensagem original-----
>> De: gter <gter-bounces at eng.registro.br> Em nome de Lucas Willian Bocchi
>> Enviada em: segunda-feira, 13 de julho de 2020 18:23
>> Para: Grupo de Trabalho de Engenharia e Operacao de Redes <gter at eng.registro.br>
>> Assunto: Re: [GTER] Falhas em roteadores tp-link
>>
>> Pelo que identificamos são todos os que possuem aquele recurso cloud da tp-link.
>> A maioria são roteadores que estão dentro da infra. Os nossos clientes quase todos utilizam uma solução de firmware aberta com OpenWRT customizado, então só conseguimos notar ou nos que trocaram os roteadores fornecidos pelo provedor por outros (não temos como negar ao cliente o direito de mudar) e que possuem versão cloud. Estes da linha WR-849N são os preferidos para jogar esta firmware alterada e notamos que os mais afetados seriam os da linha ARCHER.
>>
>> Em seg., 13 de jul. de 2020 às 18:12, Andre Almeida <andre at bnet.com.br>
>> escreveu:
>>
>> Isso eu também queria saber.... qual o tipo do ataque.
>>
>> Em seg., 13 de jul. de 2020 às 17:58, Bruno Cabral 
>> <bruno at openline.com.br>
>> escreveu:
>>
>> Ataque externo motivado por acesso wan sem gerência, ataque externo 
>> mesmo com medidas protetivas de wan, backdoor da nsa ou ataque 
>> interno, estilo javascript?
>> ________________________________
>> De: gter <gter-bounces at eng.registro.br> em nome de Carlos Wander < 
>> carlos.wander at gmail.com>
>> Enviado: segunda-feira, 13 de julho de 2020 17:37
>> Para: Grupo de Trabalho de Engenharia e Operacao de Redes < 
>> gter at eng.registro.br>
>> Assunto: Re: [GTER] Falhas em roteadores tp-link
>>
>> Prezado Lucas,
>>
>> Há muitos comentários no grupos de WhatsAPP do "Loucos por Telecom", "UBNT OFICIAL", etc.
>>
>> O pessoal postou exemplos de como o ataque ocorre, comentários sobre 
>> a TP-link ainda não ter se manifestado e dicas de como recuperar os 
>> equipamentos.
>>
>> Há casos de provedores com mais de 2000 equipamentos afetados.
>>
>> At.te.,
>>
>> C. Wander
>>
>> Em seg., 13 de jul. de 2020 às 17:12, Lucas Willian Bocchi < 
>> lucas.bocchi at gmail.com> escreveu:
>>
>> Boa tarde senhores.
>>
>> Estamos enfrentando problemas em alguns clientes com roteadores 
>> tp-link que simplesmente pararam de funcionar ou não estão funcionando direito.
>> Procuramos por alguma notícia em sites nacionais sobre o problema 
>> mas
>  não 
>
>>> vimos nada de notícia sobre esse problema ser uma falha de 
>>> segurança ou algum ataque.
>>> Os senhores tiveram este problema em suas infras? Tem alguma 
>>> notícia oficial do assunto?
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>  --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>  --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter 
>
-- 
  ⢀⣴⠾⠻⢶⣦⠀  Marcelo Gondim 
  ⣾⠁⢠⠒⠀⣿⡁  Sysadmin - https://www.linuxinfo.com.br
  ⢿⡄⠘⠷⠚⠋   DA04 922E 78B3 44A5 3C8D 23D0 8DB5 571E E151 4E19
  ⠈⠳⣄⠀⠀⠀⠀  Logic will get you from A to B. Imagination will take you everywhere. (Albert Einstein)

More information about the gter mailing list