Biri modem ayarlarımı değiştiriyor

good · Eylül 22, 2022, 9:06ös

Merhaba,

Aşağıdaki linkteki problemin aynısı bir durumla karşı karşıyayız.

Modem: VMG8924-B10A

Biri modeme giriyor ve ayarları aşağıdaki gibi yapıyor. Düzeltiyorum tekrar oluyor.

Aşağıdaki linkte sorunu modem şifre değiştirme vs yöntemlerini denemişler ancak kapıya kilit tutmamış. Çözüme modemin uzaktan yönetim ekranına erişim IP kısıtını koyarak ulaşmışlar.

DNS’in değiştirilmiş olması tıklanan google sonuçlarının farklı virüs sitelerinin açılmasına sebep oluyor.

Modemin uzaktan erişime açık kalmasını istiyorum. Aynı zamanda modemdeki bu açığın da giderilmesini.

Konuyla ilgili bilgisi olan ve tecrübesi olan var mıdır? TurkNet’in bu konuıyu Zyxel ile görüşüp çözmesi gerekir diye düşünüyorum.

Edit: Statik IP mevcut.

KafaKonforu · Eylül 23, 2022, 6:13öö

Merhabalar,

Görünüşe göre modeminize web/telnet veya ssh üzerinden erişim sağlanıyor ve ayarlarınız manipule ediliyor. Modem loglarında, güvenlik kısmına tüm seçenekler aktif mi? Cihaza giriş hangi protokol üzerinden gerçekleşmiş görebiliyor musunuz?

Şifreniz tahmin edilebilir bir şifre ise ilk olarak şifrenizi güncelleyiniz. Ayrıca modem tarafında ek bir kullanıcı oluşturulmuş mu, onun da kontrolünü sağlamanız gerekiyor. Geçici olarak modemin telnet ve ssh servislerini kapatabilir, Web GUI portunu 80’dan farklı bir porta alabilirsiniz.

Eğer cihaz yazılımında bir açık varsa, bunun Zyxel tarafından yamalanması gerekiyor. Konu ISP’den bağımsız.

ckk · Eylül 23, 2022, 6:14öö

Güncel firmware yükleyerek denediniz mi?

Durumun TurkNet ile ilgisi olduğunu düşünmüyorum.

A.OZGUR · Eylül 23, 2022, 6:15öö

Merhaba bu sistemin birkaç adı var cwmp, acs, tr069 gibi hepsinin amacı uzaktan yönetim. Ben TT bu sistemi üzerinde biraz denemeler yaptım. Başka kullanıcılar tarafından hacklenmesi zor. Kullanıcılar izole. Büyük olasılıkla servis sağlayıcınız bunu yapıyor. Management istemcisini kapatmanız gerekli ama ona da izin vermiyorlar.

Ama sistem hacklenmiş ise durum kötü.

KafaKonforu · Eylül 23, 2022, 6:29öö

Statik ip sahibiyim. Modemi uzaktan erişime açtığım zaman değil farklı bir ISP, yurt dışındaki sunucum üzerinden de modeme erişim sağlayabiliyorum.

good · Eylül 23, 2022, 6:55öö

Güncellemesini görememiştim deneyeceğim. Modem sahibi TurkNet olduğu için modemin güvenliğinden de TurkNet dolaylı sorumlu.

ckk · Eylül 23, 2022, 10:17öö

Modem sahibi TurkNet demişsiniz ama TurkNet’e özel bir yazılımı yok sanırım. Yani uzaktan yönetim işini TurkNet yapmıyor gibi görünüyor.

KafaKonforu · Eylül 23, 2022, 1:54ös

Eğer TurkNet TurksatKablo gibi kendine özel modem/firmware ürettirseydi, güncellemeleri kendisi yönetip modemlere otomatik olarak dağıtsaydı (OTA) ve dağıttığı yazılımdaki açıktan ötürü dışarıdan modeminize erişilip ayarlarınız güncellenebilseydi haklı olabilirdiniz.

good · Eylül 24, 2022, 5:47ös

Modeme fiziksel erişimim kısıtılı olduğundan güncelleme imkanım olmadı. ama http erişimini kapatıp sadece https erişimi açık bıraktım. Birkaç gündür kurcalayan yok.

KafaKonforu · Eylül 24, 2022, 8:33ös

Ek olarak Maintenance → Log Settings’ten geçici bir süre için Account & Attack loglarını da açık bırakmakta fayda var. Sizi yönlendirdiği DNS sunucu: 185.18.55.75 söylediğiniz gibi pishing/malware yönlendirmeleri yapıyor görünüyor.

abdusauk · Eylül 25, 2022, 10:23öö

modem yazılımsal bir açık barındırıyor olabilir. firmware güncellemesi gelene kadar uzaktan erişime kapat.

SyK112 · Eylül 28, 2022, 10:44öö

Kullanıcıya kiralanan bir donanımın siber güvenliğinden mal sahibinin sorumlu olduğunu daha önce duymamıştım. Bu paylaştığınız bilginin kaynağını iletir misiniz?