[GTER] RES: Falhas em roteadores tp-link
Renato Frederick
renato at frederick.eti.br
Sat Jul 18 04:12:45 -03 2020
Boa Colocação Gondim.
Eu estou em uma cidade menor de MG a trabalho, pedi para colocar fibra em
casa, me colocam um huawei hg8245h, legal, PPPoE, VLAN, tem até preparado
para ativar VOIP em breve. Considerando que nesta mesma cidade a uns anos
atrás neste mesmo local existia só Wifi e não dava IP válido, apenas NAT,
é um avanço muito bom..
Porém:
WAN configurada sem IPv6;
Como pedi IP Púlico, por padrão, estava gerência da WAN habilitada na porta
80;
Login padrão de Fábrica permitido pela WAN.
Como antes deu um pequeno problema e não colocaram meu perfil com IP
Público, estava com CGNAT, tive que ser atendido pelos técnicos e bati um
papo sobre estas coisas:
Sobre IPV6, informaram que desabilitam "porque dá muito problema", ele
aproveitou pra lembrar que na hora de instalar o pessoal de campo viu na
minha casa um PS4 e provavelmente eu teria problemas na PSN se ativasse
IPv6(!!!!)
Sobre o login padrão, informaram que iriam alterar automaticamente assim
que liberasse o IP Público(até hj está assim).
Sobre gerenciar por padrão, falaram que devia ser só o meu que foi assim....
Conversei sobre o IPv6 e no final ele me pediu o link do material da GTER.
Eu vejo muito disso, tem gente até esforçada, mas tem um gap muito grande
em conhecimento, aí cria estes "mitos": IPv6 dá problema em PSN... etc.
Sendo que o cabeçalho enxuto melhora peformance.
Infelizmente o restante não dá para engolir, a sorte é que a maioria de
cliente tem GCNAT, pois eu fui em um cliente que também usa este provedor,
com IP 100.x e resolvi abrir um IP qualquer da subrede que recebi e.. Login
padrão novamente pela WAN.
Internamente dá até problema, pois mesmo o hg8245h encriptando a senha, dá
para salvar a conf e aplicar no outro modem, usando login de terceiros no
modem da gente para aumentar velocidade(pois não bloqueia login
simultâneo). Mas eu creio que existe algum treinamento do fornecedor, mas
podemos estender este assunto para muitas vertentes, normalmente não tem
tempo para treinar, algumas empresas não investem em treinamento, o
funcionário é exigido em demasia e não tem direito a estudar on-line, etc..
Em sex., 17 de jul. de 2020 às 12:33, Gondim <gondim at linuxinfo.com.br>
escreveu:
> Opa Márcio,
>
> Infelizmente tem muito "ISP" que ainda acha que a Internet é só plugar e
> se funcionar está OK. Querem colocar logo muitos assinantes em sua
> carteira para faturar e não procuram seguir o mínimo das boas práticas.
>
> Lógico que vão existir casos onde o próprio assinante, com acesso ao seu
> router, vai conseguir deixá-lo inseguro em algum momento. Mas coisas
> absurdas como router com as credenciais padrões de fábrica e acesso
> remoto liberado são coisas que os técnicos já deveriam intervir no
> momento da instalação e orientar o assinante. Nós aqui usamos firmwares
> baseadas em OpenWRT da Anlix, o flashbox e estamos muito satisfeitos
> pelos resultados e segurança. Sem falar que já vai configurado pra Dual
> Stack (IPv4/IPv6).
>
> Eu ainda bato na tecla que todo AS deveria seguir as boa práticas, ter
> registros atualizados no PeeringDB (Facebook do AS), IPv6, IRR, RPKI,
> procurar ingressar no MANRS ou pelo menos tentar implementar as
> orientações deles, etc. Mas a desculpa, que não considero desculpa é:
> são ASes tão pequenos e não tem gente qualificada pra executar. Não tem
> gente mas pode contratar uma consultoria e fazer a coisa certa. O
> problema é que muitos querem ganhar dinheiro mas não se importam em
> fazer a coisa certa e aí fazem de qualquer maneira. São esses muitos que
> acabam transformando sua rede de assinantes em enormes botnets, trazendo
> grandes prejuízos pra comunidade e insatisfação pra o seu cliente.
>
> Enquanto não acordarmos e começarmos à fazer melhor o que já fazemos,
> não seremos melhores... seremos só mais um no meio de muitos.
>
> Em 13/07/2020 19:00, Márcio Elias Hahn do Nascimento escreveu:
> > Então Elizandro. Utilizamos massivamente modelos da tp-link, e não
> > tivemos relatos ainda. Detalhe, portas de acesso fechadas ao mundo
> > exterior...
> >
> > Em uma pesquisa rápida esse final de semana achei muitos AS's vizinhos
> > ao meu com grande parte dos acessos a CPE's expostos, e pior, muitos com
> > credenciais padrões ou facilmente quebráveis, ai complica a segurança
> > mesmo.
> >
> > Vale a pena o pessoal rever as regras de acesso a gerência desses
> > equipamentos.
> >
> > Em 2020-07-13 18:25, Elizandro Pacheco escreveu:
> >
> >> Eu estou com um C6 propositalmente exposto pra tentar pegar um
> infectado para uma análise melhor.
> >>
> >> Mas tá demorando hehe
> >>
> >> Elizandro Pacheco
> >>
> >> -----Mensagem original-----
> >> De: gter <gter-bounces at eng.registro.br> Em nome de Lucas Willian Bocchi
> >> Enviada em: segunda-feira, 13 de julho de 2020 18:23
> >> Para: Grupo de Trabalho de Engenharia e Operacao de Redes <
> gter at eng.registro.br>
> >> Assunto: Re: [GTER] Falhas em roteadores tp-link
> >>
> >> Pelo que identificamos são todos os que possuem aquele recurso cloud da
> tp-link.
> >> A maioria são roteadores que estão dentro da infra. Os nossos clientes
> quase todos utilizam uma solução de firmware aberta com OpenWRT
> customizado, então só conseguimos notar ou nos que trocaram os roteadores
> fornecidos pelo provedor por outros (não temos como negar ao cliente o
> direito de mudar) e que possuem versão cloud. Estes da linha WR-849N são os
> preferidos para jogar esta firmware alterada e notamos que os mais afetados
> seriam os da linha ARCHER.
> >>
> >> Em seg., 13 de jul. de 2020 às 18:12, Andre Almeida <andre at bnet.com.br>
> >> escreveu:
> >>
> >> Isso eu também queria saber.... qual o tipo do ataque.
> >>
> >> Em seg., 13 de jul. de 2020 às 17:58, Bruno Cabral
> >> <bruno at openline.com.br>
> >> escreveu:
> >>
> >> Ataque externo motivado por acesso wan sem gerência, ataque externo
> >> mesmo com medidas protetivas de wan, backdoor da nsa ou ataque
> >> interno, estilo javascript?
> >> ________________________________
> >> De: gter <gter-bounces at eng.registro.br> em nome de Carlos Wander <
> >> carlos.wander at gmail.com>
> >> Enviado: segunda-feira, 13 de julho de 2020 17:37
> >> Para: Grupo de Trabalho de Engenharia e Operacao de Redes <
> >> gter at eng.registro.br>
> >> Assunto: Re: [GTER] Falhas em roteadores tp-link
> >>
> >> Prezado Lucas,
> >>
> >> Há muitos comentários no grupos de WhatsAPP do "Loucos por Telecom",
> "UBNT OFICIAL", etc.
> >>
> >> O pessoal postou exemplos de como o ataque ocorre, comentários sobre
> >> a TP-link ainda não ter se manifestado e dicas de como recuperar os
> >> equipamentos.
> >>
> >> Há casos de provedores com mais de 2000 equipamentos afetados.
> >>
> >> At.te.,
> >>
> >> C. Wander
> >>
> >> Em seg., 13 de jul. de 2020 às 17:12, Lucas Willian Bocchi <
> >> lucas.bocchi at gmail.com> escreveu:
> >>
> >> Boa tarde senhores.
> >>
> >> Estamos enfrentando problemas em alguns clientes com roteadores
> >> tp-link que simplesmente pararam de funcionar ou não estão funcionando
> direito.
> >> Procuramos por alguma notícia em sites nacionais sobre o problema
> >> mas
> > não
> >
> >>> vimos nada de notícia sobre esse problema ser uma falha de
> >>> segurança ou algum ataque.
> >>> Os senhores tiveram este problema em suas infras? Tem alguma
> >>> notícia oficial do assunto?
> >>> --
> >>> gter list https://eng.registro.br/mailman/listinfo/gter
> >> --
> >> gter list https://eng.registro.br/mailman/listinfo/gter
> >> --
> >> gter list https://eng.registro.br/mailman/listinfo/gter
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> >
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> >
> --
> ⢀⣴⠾⠻⢶⣦⠀ Marcelo Gondim
> ⣾⠁⢠⠒⠀⣿⡁ Sysadmin - https://www.linuxinfo.com.br
> ⢿⡄⠘⠷⠚⠋ DA04 922E 78B3 44A5 3C8D 23D0 8DB5 571E E151 4E19
> ⠈⠳⣄⠀⠀⠀⠀ Logic will get you from A to B. Imagination will take you
> everywhere. (Albert Einstein)
>
>
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list