Sådan fandt tre unge danskere verdensomspændende sikkerhedshul i modemmer: »Hvis vi kan verificere det her, så skal der øl på bordet!«

200 millioner modemmer er påvirket i EU alene, heraf er op mod 800.000 danske. Version2 har talt med de danske sikkerhedsfolk, der fandt sårbarheden.

Hundredvis af millioner af modemmer verden over er sårbare og kan overtages og misbruges på afstand, indtil de bliver patchet. Ingen vidste det, før danske Lyrebirds pippede om det.

»Hele efterforskningen ender med et øjeblik, hvor vi kigger hinanden i øjnene og siger: Ok, vi skal lige have verificeret det her, men så skal der også øl på bordet bagefter,« siger Kasper Terndrup, der er en af de tre medstiftere af it-sikkerhedsselskabet Lyrebirds, til Version2.

Sammen med de to andre medstiftere, Alexander Krog og Jens Stærmose, har han fundet en sårbarhed i en lang række kabel-modemmer, der kobler virksomheder og private op til internettet i hele verden gennem det såkaldte coax-kabelnet.

Læs også: Fynske robotter kan afpresses med ransomware

Det betyder, at 800.000 danske, coax-baserede internetforbindelser rundtomkring i landet har været sårbare i årevis.

Sårbarheden lader angribere bruge modemmet til at trænge ind i de enheder, der er koblet op til den med diverse exploits, overvåge trafikken eller lave såkaldte Man In The Middle-angreb (MITM).

Med MITM kan angriberen tiltvinge sig offerets kodeord, NemID-logins og så fremdeles.

En 'ondsindet' server sættes op og ringer til modemmet, der troligt svarer, fordi den ikke lytter til advarende tjek fra browseren Illustration: Kasper Terndrup

Pludselig gik internettet

De tre unge mænd opdagede fejlen, idet internettet pludselig gik ned hos Alexander Krog.

Almindelig teknisk nysgerrighed får ham til at tjekke modemmet for, hvad der er gået galt, og han åbner interfacet på det Stofa-modem, han har fået udleveret.

Der kommer nu et nyt interface op – udover det, man normalt vil se som almindelig internetbruger – fordi modemmet er gået i fejlfinder-mode. Lyrebirds antager, at dette interface er forbeholdt en tekniker, der er kommet ud for at undersøge problemet.

Gennem dette andet interface finder de ud af, at modemmet har to systemer: et system, der styrer internet-routingen, og et, der styrer alt andet.

Hvis der er én vej ind i denne anden del gennem det alternative interface, så er der nok flere, tænker de tre unge ingeniører

To af tre grundlæggere, Jens Stærmose og Kasper Terndrup, af Lyrebirds med de skrællede modemmer efter kyndig loddekolbe-behandling. Illustration: Mads Lorenzen

Graver løs i weekenderne

Derfor begynder de tre kammerater, der kender hinanden fra it-studierne på Aalborg Universitet, at grave rundt i modemmet i weekenderne.

Pludselig finder de første sårbarhed.

»Det viser sig, at det pågældende modems software er sårbar over for DNS re-bind. Det betyder konkret, at den ikke lytter til advarsler fra browseren om, at der er mistænkelige Java-scripts, der forsøger at køre,« siger Jens Stærmose til Version2.

Herefter begynder de at skille flere modemmer ad, og ved at koble komponenterne direkte til deres computere får de hevet store blokke grund-kode ud. Disse kodeblokke får de stille og roligt dechifreret, og det bliver mere og mere tydeligt, at modemmerne er fyldt med små og store huller.

Der findes passwords i kodeblokkene med diverse open source-værktøjer. Illustration: Kasper Terndrup

»Det starter som et kæmpe puslespil, hvor alle brikkerne er blanke, men hvor man lige så stille får tegnet et billede,« siger Kasper Terndrup.

I koden finder de tre whitehats blandt andet admin-passwords i klartekst. Men vigtigst af alt: Modemmerne er, over en bred kam, sårbare over for buffer overflows. Og med den fysiske reverse engineering kan de gennemskue præcis, hvordan overflowet kan udnyttes.

»Overflow udnytter, groft sagt, at systemet er en række kasser med data. Ved at fylde en kasse op med ‘skraldedata’, flyder den over til næste kasse, som man kan fylde op på samme måde,« forklarer Jens Stærmose og fortsætter:

»Indtil man når den kasse, man vil køre kode i, som man hælder sin egen kode ned i. Nu kører denne kasse koden uden at tjekke, hvad den kører. Og er dermed sårbar overfor såkaldt buffer overflow.«

Kæmpe sikkerhedsbrist

Nu har Lyrebirds altså fundet den største del af sårbarheden, som de har døbt Cable Haunt. Den sårbare del af softwaren er en funktion, mange moderne coax-bokse har indbygget, kaldet Spectrum Analyzer.

Funktionen er udviklet af den amerikanske softwaregigant Broadcom og har til opgave at sikre en optimal brug af det spektrum i coax-kablerne, internettet kører over, og som skal deles med blandt andet de digitale tv-kanaler.

Og så kan funktionen som sagt tvinges til at køre arbitrær kode med et klassisk buffer overflow-angreb.

Det betyder i praksis, at modemmet kan tvinges til at køre hvad som helst; også software, man kan overtage kontrollen over modemmet med. Den kontrol kan man som sagt enten bruge til at trænge ind i de enheder, der er koblet op til modemmet med diverse exploits, ligesom man kan overvåge trafikken eller lave Man In The Middle-angreb.

Ros fra TDC og CFCS

Hele processen har taget et år, fra den første mistanke vækkes, til sikkerhedsbristen bliver offentliggjort den 9. januar. I løbet af al den tid har Lyrebirds både været i kontakt med den danske it-sikkerhedsmyndighed Center for Cybersikkerhed (CFCS) samt TDC og Stofa, der har sendt sårbare modemmer ud til kunderne som en del af deres internet-produkter.

»Lyrebirds har givet god tid til, at producenterne og teleudbyderne har kunnet lukke sårbarhederne, og vi mener derfor, at der er tale om et rigtigt godt eksempel på responsible disclosure,« siger chef for CFCS Thomas Sørensen, der fortæller, at det er første gang, myndigheden er involveret i en sårbarhed, idet det er relativt sjældent, at danske sikkerhedsselskaber finder brister i den skala.

»Sårbarheden er ikke supernem at udnytte eller at finde, men den er ret universel, og derfor har vi også gjort, hvad vi kunne for at hjælpe med at udbrede kendskabet til den, blandt andet hos vores amerikanske samarbejdspartnere,« siger Thomas Sørensen.

Også TDC er begejstrede for Lyrebirds arbejde:

»TDC har været i tæt dialog med Lyrebirds undervejs i processen. Rent teknisk er det arbejde, som Lyrebirds har lavet, af særdeles høj kvalitet, og de har ageret professionelt og ansvarsfuldt igennem hele forløbet,« skriver TDC i en mail til Version2.

Hos Lyrebirds er man stolt over de pæne ord fra CFCS og TDC, men de danske sikkerhedsfolk er ikke helt enige i, at sårbarheden er svær at udnytte.

»På sin vis er det, CFCS siger, en validering af, at det, vi har lavet, ikke er noget, nogle hobbyister har lavet. Men omvendt kan man godt argumentere imod, at det er komplekst,« siger Kasper Terndrup.

»For eksempel kan de her sårbarheder crashe en internetforbindelse uden problemer, og man kan lave semi-automatiserede angrebs-kits mod de forskellige modem-modeller,« siger Kasper Terndrup.

TDC: Vi prioriterer vores kunder

TDC ønsker ikke at stille op til interview, men virksomhedens presseafdeling skriver i en mail til Version2:

»TDC prioriterer, at vores produkter til både privat- og erhvervskunder er så sikre som muligt. Konkret har vi en afdeling, som sikkerhedstester produkter, inden de frigives til brug hos kunder. Derudover arbejdes der med 3.-parts leverandører om at sikkerhedsteste produkterne.«

»Når det en sjælden gang imellem lykkes eksterne analytikere at finde en sårbarhed, før vi selv gør det, arbejder vi altid målrettet sammen med dem om hurtigt at rette fejlen og levere en løsning til kunden – inden sårbarheden bliver udnyttet.«

En fjerde medstuderende, Simon Sillesen, bidrog til den indledende undersøgelse af det første modem, inden det blev klart, hvor omfattende sårbarheden var. Han er ikke en del af virksomheden Lyrebirds.

Se Lyrebirds demonstrationsvideo af Cable Haunt her: