Menu principale

DSL-2740R A1: Router ADSL2+ Wireless N 300

Aperto da Carciofone, 06 Novembre 2009, 12:40:54

vgf62

Citazione di: Pondera il 23 Luglio 2014, 19:31:06Grazie a vgf62 & devidah per la segnalazione.

Dalle vostre stesse fonti indicate le prime notizie risalgono a ben 3 mesi fa. Se ci fosse stata una reale situazione di emergenza D-Link Europa si sarebbe attivata per tempo.

Pondera, la vulnerabilità di cui sto parlando è presente di sicuro sul firmware 1.15EU che è quella originale di questo modello ed è stata verificata sia in LAN che da WAN.
Se qualcuno con il modem in oggetto vuole provare quanto sostengo basta che nel proprio browser digiti:
192.168.1.1/rom-0
verrà scaricato il file rom-0 da 16k contiene la vostra pwd e in due secondi è possibile decifrarla (ci sono anche servizi online!).
Tutto questo (a meno che non abbiate inibito l'accesso da WAN tramite la pagina nascosta (sigh!) del Remote management) è ovviamente fattibile anche da una persona esterna alla vostra rete locale.
A me basta il vostro IP pubblico per dirvi se siete vulnerabili a questo attacco.
E non si tratta di visitare un sito malevolo che esegue uno script come descritto in questa pagina.

Secondo me qualcuno ha scoperto che la stessa falla rom-0 dei TP-Link si può utilizzare anche su alcuni "vecchi" modem D-Link (peraltro molto diffusi nel nostro paese) e la sta utilizzando per cambiare il DNS primario con lo scopo di far puntare al sito incriminato.
Infatti i link segnalati da Dedidah risalgono tutti agli scorsi giorni tranne quello di Felice Balsamo che però cita DNS diversi dal 94.249.192.105.

mara76

Citazione di: fbellant il 23 Luglio 2014, 20:49:05
Citazione di: Pondera il 23 Luglio 2014, 19:31:06Grazie a vgf62 & devidah per la segnalazione.

Dalle vostre stesse fonti indicate le prime notizie risalgono a ben 3 mesi fa. Se ci fosse stata una reale situazione di emergenza D-Link Europa si sarebbe attivata per tempo.

Resettate i vostri dispositivi.
Aggiornate all'ultima versione firmware consigliata nel 1° messaggio di questa discussione.
Cambiate la password di amministrazione dei vostri dispositivi.
Impostate la chiave di rete senza fili con modalità WPA2 e cifratura AES.
In questo forum vi sconsigliamo di salvare il file di configurazione per il semplice motivo che la maggior parte delle volte può dare incompatibilità dopo gli aggiornamenti, piuttosto meglio conservare su carta quella manciata di impostazioni da selezionare come promemoria. Se proprio avete bisogno del file di configurazione allora comprimetelo con password se proprio volete stare al sicuro.
I DNS conviene impostarli manualmente nel modem (da fornitori diversi, ad esempio 208.67.222.222 di OpenDNS & 8.8.8.8 di Google) e anche nella scheda di rete e/o adattatore wireless dato che questi ultimi hanno la precedenza.
Inoltre scegliete un buon antivirus e mantenetelo aggiornato: non esiste la possibilità che un malware qualsiasi resti in memoria di un modem router con tecnologia attuale e precedente quindi l'eventuale manipolazione dei DNS può avvenire solo da codice malevolo memorizzato su uno dei PC della rete domestica.

Citazione di: devidah il 23 Luglio 2014, 18:21:52il router DSL-2740R (versione EU) non esiste nel loro sito

Sul sito c'è la pagina prodotto riguardante la revisione hardware B. Per la precedente revisione hardware A vai qui.
Intervengo per portare la mia recente esperienza. Posseggo un 2740R aggiornato alla 1.17 scaricata da qui ad inizio anno (che però non trovo nel supporto D-Link, qualcuno sa dirmi la provenienza di questo firmware?)
Ebbene da qualche giorno ho iniziato a navigare con difficoltà, ho pensato ai DNS e li ho cambiati da automatici a fissi (Google). Il tutto è ripartito. Il giorno dopo mi appare su tutti i dispositivi il virus Polizia, credo sappiate di che si tratta. Data la contemporaneità ho intuito che non era un malware in esecuzione locale (ho NOD32 di Eset sui vari dispositivi che non ha mai fatto passare nulla) e quindi sono andato ai DNS del router: il primario era diventato 94.249.192.105 ed il primario di Google 8.8.8.8 era slittato sotto. Rimesso le cose a posto, ma dopo una giornata stessa situazione. Sto risolvendo impostando sulla scheda di rete i DNS fissi, credo che così facendo vengano ignorati quelli configurati sul router. Da quello che ho potuto leggere nei vari forum pare si tratti di una falla nella gestione da remoto di questo come di altri router di marchi anche famosi. Qualcuno sa se è possibile disabilitare tale gestione? Grazie per l'attenzione e occhio ai DNS ...

E' lo stesso virus!!!!! Ma non capisco come dal telefono mi si sia incollato al modem....

Per Pondera:
il link che mi hai dato l'avevo già trovato... E' giapponese o cinese?

devidah

Scusate, non per essere puntiglioso, ma valutiamo la differente serietà di aziende concorrenti:
- DLINK praticamente nasconde o rende molto difficile ogni contatto con l'assistenza tecnica
- DLINK ha un modello di router vulnerabile ad attacchi (pensate che io non abbia provato ad impostare una password particolarmente complicata?)
- DLINK ha eliminato tale router dal proprio sito.
- Netgear ha un supporto tecnico decente, con veri operatori umani, via email e via telefono.
- Netgear ha TUTTI i modelli di hardware presenti nel sito.

A casa mia, un DLINK non entrerà mai.

vgf62

Citazione di: fbellant il 23 Luglio 2014, 20:49:05Intervengo per portare la mia recente esperienza. Posseggo un 2740R aggiornato alla 1.17 scaricata da qui ad inizio anno (che però non trovo nel supporto D-Link, qualcuno sa dirmi la provenienza di questo firmware?)
Ebbene da qualche giorno ho iniziato a navigare con difficoltà, ho pensato ai DNS e li ho cambiati da automatici a fissi (Google). Il tutto è ripartito. Il giorno dopo mi appare su tutti i dispositivi il virus Polizia, credo sappiate di che si tratta. Data la contemporaneità ho intuito che non era un malware in esecuzione locale (ho NOD32 di Eset sui vari dispositivi che non ha mai fatto passare nulla) e quindi sono andato ai DNS del router: il primario era diventato 94.249.192.105 ed il primario di Google 8.8.8.8 era slittato sotto. Rimesso le cose a posto, ma dopo una giornata stessa situazione. Sto risolvendo impostando sulla scheda di rete i DNS fissi, credo che così facendo vengano ignorati quelli configurati sul router. Da quello che ho potuto leggere nei vari forum pare si tratti di una falla nella gestione da remoto di questo come di altri router di marchi anche famosi. Qualcuno sa se è possibile disabilitare tale gestione? Grazie per l'attenzione e occhio ai DNS ...

Grazie fbellant, con questo intervento mi confermi che questa falla è presente anche sulla 1.17EU.
La soluzione di mettere i DNS fissi sui PC è sufficiente ma io ho preferito una soluzione più radicale impedendo a chiunque di intromettersi nel mio modem bloccando dalla pagina del remote management ogni accesso sia da WAN che da LAN (si lo so che mi sono "tagliato" fuori ma se voglio di nuovo accedere posso sempre fare un reset hw e ora sfido chiunque a modificarmi ancora il DNS primario!).

fbellant

Citazione di: mara76 il 23 Luglio 2014, 21:43:48E' lo stesso virus!!!!! Ma non capisco come dal telefono mi si sia incollato al modem....
Non è un virus, non troverai nulla se fai le scansioni con antivirus ed antimalware. E' un attacco al tuo router tramite IP pubblico che sfrutta una vulnerabilità accertata del router e che ti cambia il DNS, cioè indirizza le tue richieste di navigazione verso server di malintenzionati da cui partono poi truffe e phishing vari.

Citazione di: vgf62 il 23 Luglio 2014, 21:49:43io ho preferito una soluzione più radicale impedendo a chiunque di intromettersi nel mio modem bloccando dalla pagina del remote management ogni accesso sia da WAN che da LAN
Saresti così gentile da darmi qualche dritta per eseguire la cosa?
Grazie molte

vgf62

Citazione di: fbellant il 23 Luglio 2014, 23:12:06Saresti così gentile da darmi qualche dritta per eseguire la cosa?
Grazie molte

Volentieri. Esistono diverse soluzioni:
1. La prima è quella di fare un bel port forwarding quanto meno della porta 80 a un indirizzo IP fasullo che non esiste nella tua rete (ad esempio 192.168.1.250)
2. La seconda è quella di inserire a manina i DNS primario e secondario nelle proprietà delle connessioni di rete dei dispositivi connessi al tuo modem.
3. La terza (molto radicale) è quella di chiudersi fuori dalla pagina nascosta  http://192.168.1.1/scsrvcntr.html del remote management dove attivi e imposti un bel Deny All. Non potrai quindi più accedere anche tu se non con bel un reset hardware.

Per chi volesse farsi il test di questa vulnerabilità da solo, basta andare a questo link:
http://rom-0.cz/index/

Pondera

Citazione di: mara76 il 23 Luglio 2014, 21:43:48il link che mi hai dato l'avevo già trovato... E' giapponese o cinese?

Il sito ha dominio taiwanese ed è in scritto in inglese. Si tratta del supporto tecnico mondiale di scaricamento della documentazione e dei firmware di tutti i modelli distribuiti nel mondo attuali e obsoleti. Ogni consociata locale fa riferimento a questo sito.
Il link che ti ho dato è diretto.
La guida installazione è multilingua e la pagina che ti ho indicato è in italiano.

m4ss1

Citazione di: vgf62 il 24 Luglio 2014, 00:07:583. La terza (molto radicale) è quella di chiudersi fuori dalla pagina nascosta  http://192.168.1.1/scsrvcntr.html del remote management dove attivi e imposti un bel Deny All. Non potrai quindi più accedere anche tu se non con bel un reset hardware.

E' sufficiente bloccare solo lato WAN, molti produttori (è un problema di moltissimi router) consigliano questa soluzione.
Puoi inserire qualche immagine cosi la mettiamo nel primo messaggio della discussione?

Grazie ;)

braga

Stesso problema nella rete ho sia il pc ce il tablet dei figli, se ho capito basta il reset del modem, cambiare password , e mettere i dns di Google tutto sul router? Grazie

nedd

Citazione di: vgf62 il 24 Luglio 2014, 00:07:58
Citazione di: fbellant il 23 Luglio 2014, 23:12:06Saresti così gentile da darmi qualche dritta per eseguire la cosa?
Grazie molte

Volentieri. Esistono diverse soluzioni:
1. La prima è quella di fare un bel port forwarding quanto meno della porta 80 a un indirizzo IP fasullo che non esiste nella tua rete (ad esempio 192.168.1.250)
2. La seconda è quella di inserire a manina i DNS primario e secondario nelle proprietà delle connessioni di rete dei dispositivi connessi al tuo modem.
3. La terza (molto radicale) è quella di chiudersi fuori dalla pagina nascosta  http://192.168.1.1/scsrvcntr.html del remote management dove attivi e imposti un bel Deny All. Non potrai quindi più accedere anche tu se non con bel un reset hardware.

Per chi volesse farsi il test di questa vulnerabilità da solo, basta andare a questo link:
http://rom-0.cz/index/

anch'io ho lo stesso problema.con lo stesso router.per ora mi son limitato a cambiare l'indirizzo ip del router, modificare manualmente i dns nel router e sui dispositivi connessi, disabilitare gli accessi WAN da "Remote Access Control"

l'unica cosa che non so fare (e non comprendo l'utilità di tale operazione) è il port forwarding della porta 80 a un indirizzo IP fasullo. saresti così gentile da spiegarmi come si fa e il motivo per cui si fa?
grazie in anticipo

braga

Citazioneanch'io ho lo stesso problema.con lo stesso router.per ora mi son limitato a cambiare l'indirizzo ip del router, modificare manualmente i dns nel router e sui dispositivi connessi, disabilitare gli accessi WAN da "Remote Access Control"
come si a disabilitare gli accessi wan non trovo remote access control

nedd

Citazione di: braga il 25 Luglio 2014, 17:28:21
Citazioneanch'io ho lo stesso problema.con lo stesso router.per ora mi son limitato a cambiare l'indirizzo ip del router, modificare manualmente i dns nel router e sui dispositivi connessi, disabilitare gli accessi WAN da "Remote Access Control"
come si a disabilitare gli accessi wan non trovo remote access control

http://192.168.1.1/scsrvcntr.html

c'era scritto nelle indicazioni poco sopra.eventualmente sostituisci 192.168.1.1 con l'indirizzo ip del tuo router ma dovrebbe essere identico

vgf62

Citazione di: m4ss1 il 24 Luglio 2014, 16:15:06E' sufficiente bloccare solo lato WAN, molti produttori (è un problema di moltissimi router) consigliano questa soluzione.
Puoi inserire qualche immagine cosi la mettiamo nel primo messaggio della discussione?

Grazie ;)

Sì, infatti l'ho detto che la mia soluzione era molto radicale.

Per bloccare solo lato WAN si deve accedere alla pagina nascosta http://192.168.1.1/scsrvcntr.html:



spuntare la voce "Enable Remote Management" quindi selezionare "Deny All" in "Remote Admin Inbound Filter". Nella tabella sottostante "Remote Access Control" la casella HTTP per la WAN sarà disabilitata di default. Salvare quindi le impostazioni con "Apply Settings".



Da notare che, lasciando "Allow All" non è possibile deselezionare la casella HTTP per la WAN che rimane spuntata:



Il test su http://rom-0.cz/index/ conferma che in questo modo non dovreste essere vulnerabili.

vgf62

Citazione di: nedd il 25 Luglio 2014, 15:06:19l'unica cosa che non so fare (e non comprendo l'utilità di tale operazione) è il port forwarding della porta 80 a un indirizzo IP fasullo. saresti così gentile da spiegarmi come si fa e il motivo per cui si fa?
grazie in anticipo

Certamente, allora per il come si fa' è semplicissimo. Nella tab ADVANCED la prima voce a sinistra in alto è appunto Port Forwarding, seleziona il pulsante Add e ti apparirà questa schermata:



Ti basta inserire come Private IP un indirizzo fasullo tipo 192.168.1.250 (nel senso che non ci deve essere un dispositivo sulla tua LAN con quell'indirizzo) e poi metti 80 come Public Start Port e anche come Public End Port. Salva il tutto tramite il pulsante Apply e avrai questa schermata:



Il motivo è quello di reindirizzare eventuali sessioni esterne da browser (la porta 80 viene appunto usata per l'HTTP) all'indirizzo fantasma e quindi evitare che malintenzionati accedano al nostro file di configurazione. Il test al link http://rom-0.cz/index/ lo conferma.

Volendo poi divertirsi alle loro spalle e avendo un server http sulla vostra LAN potreste mettere un file "rom-0" fasullo (salvandolo dalla pagina di manutenzione con una password diversa da quella che poi viene effettivamente usata) nella root del server e inoltrando sempre la porta 80 all'indirizzo IP del server http sulla LAN. >:-)

twista

Ciao a tutti non riesco a far connettere il mio telefonino (nokia 630) con la mia linea wi-fi (Router Modem ADSL2+ Wireless N 300 D-Link DSL-2740R A1).Cioè il telefono riconosce  la linea wi-fi, ma sotto il nome esce scritto nessun accesso a internet. ???

Pondera

Che versione firmware c'è installata sul tuo DSL-2740R A1?

twista

Firmware Version: EU_1.15 Hardware Version: A1

Pondera

Aggiorna all'ultima versione consigliata nel 1° messaggio di questa discussione.

Alby

@vgf62: ma allora in base alla tua esperienza e ai workaround che suggerisci, si tratta di un vero e proprio bug del sorgente del firmware, oppure è una configurazione errata di default che è lasciata così nel firmware quando viene caricato ed eseguito?

twista

Arggiornato all'ultimo firmware.Tutto a posto,anche con il telefonino (nokia 630) si conette.:)Grazie molto pondera

Licenza Creative Commons
Il contenuto dei messaggi del forum è distribuito con
Licenza Creative Commons Attribuzione Non commerciale 4.0
Tutti i marchi registrati citati appartengono ai legittimi proprietari