Vlákno názorů k článku Domácí routery obchází nový strašák: chyba Misfortune Cookie od P_V - Ono to je zranitelné i po zakázání http...

Jo to by me taky zajimalo... Kdyz je zakazana administrace z wan jak to muze fungovat

Evidentně naivně předpokládáte, že administrace z WAN strany je zakázaná a případně je aspoň zaheslovaná?
Když se podívám kolem sebe, tak u řady ISPíků tak není a často je přihlášení v defualt nebo i úplně bez hesla. A to se bavím i o hodně velkých ISPích. Zkrátka tam, kde vychází uživatelům vstříc a ty jejich domácí TPlinky a spol mají pod správou a nastavují je. A aby to šlo dobře, tak to dělají přes WAN vzdáleně a často bez té změny hesla. Asi vychází z toho, že zákazníci jsou za NATem a nejde se zvenčí na router spojit. Což je pravda, ale dá se spojovat vzájemně mezi sebou. Což se občas hodí, že můžu přenastavit wifiny sousedů tak, aby nerušily tu moji...

Jak který router. Pokud bereme za Frantu i SPíka, který třeba pokrývá 3 kraje České republiky, tak ano.
Problém je jinde, popisovaná chyba (a řada dalších) je blbá. Ale v realitě jsou hromady routerů probvozovány tak, že i když se tato chyba odstraní, tak to na špatný stav nemá vliv. A to pomíjím, že kolikrát ISPíci u těchto routerů, co dávají lidem, mají schválně starý firmware, který jim umožňuje pohodlenější dálkové ovládání (protože novější firmware třeba komplikuje ovládání přes WAN stranu nebo ji má v základu vypnutou). Vysvětlovat, že je hezká představa, že to nejde zneužít, když je většina klientů za NATem je zbytečná. Pochopit, že jde dělat také útok z vnitřku sítě na ostantí zcela přesuhuje představivost subjektů. A to je řevu, že si tam dám vlastní router, který si nastavím jak chci já a jim do toho nic není a nepustím je do něj...
Je třeba si uvědomit, že laická veřejnost do toho nevidí a je za takový přístup ráda, že ISPík jim to dodá i s tím nejlevnějším routeremznaček nějak nastavneým (pokud vůbec mají router a ne, že router je realizován až něke dál na infrastuktuře ISP), človíček ocení, že při problému zavolá, ISPík na dálku něco postaví a zase mu to jede. To lidi oceňují.:-)
A mlůžu říci, že toto nní jen případ Česka, musím se potkávat s pěknou řadou subjketů, kdy připojujeme na dálkový monitoring/ma­nagement v rámci servisu nějakou technologii, co dodáváme, jaké exoty i v podobě velkých subjektů potkáváme

Funguje to cez TR-069 čo je protokol ktorý ISP používajú na správu CPE. Beží to defaultne na porte 7547. Takže ak je aj zakázaný port 80 z WAN je dosť dobrá šanca, že to bude fungovať tu pretože celé TR-69 je prenos XML cez HTTP a teda spravuje to ten istý webserver. A ako sa ukázalo niektoré routre aj keď sa vypne TR-69 z administrácie, nechajú to bežať.