Bulan lalu beberapa komputer di kantor Bandung mengalami masalah ketika ingin membuka situs di internet, selain itu ketika membuka Google.com selalu muncul peringatan untuk mengupdate Flash Player dan bahkan setelah dilakukan update Flash Player dari situs Adobe secara langsung pun masih muncul peringatan tersebut.
Awalnya saya merasa ada masalah dengan komputer, namun ketika saya lakukan ping ke Google.com ternyata alamatnya berbeda dengan yang biasanya.
Hasilnya, seting DNS masing-masing komputer saya ganti ke 8.8.8.8 dan 8.8.4.4 ( DNS dari Google) dan koneksi ke internet pun bisa berjalan kembali seperti semula.
Yang membuat saya bertanya-tanya, adalah password untuk bisa login ke modem Speedy juga telah berubah. Dan langsung saja saya tanya ke teman yang tinggal di kantor Bandung apakah ada orang dari Telkom yang datang dan melakukan “sesuatu”? Atau bahkan ada teman di kantor yang melakukan “sesuatu” pada modem?
Karena jawabannya semuanya “Tidak”, maka saya mulai mencari informasi di Google. Dan berikut adalah hasilnya :
- Pertama, saya cari password yang umum dipakai, namun semuanya tidak cocok.
- Kedua, saya mencari IP publik modem speedy, namun tidak muncul di daftar hasil hacking.
- Ketiga, saya mencari dengan keyword “TD-8840T hacked” serta “TP-Link dns changed to malicious ip”, dan hasilnya tercantum di situs thehackernews mengenai hacking secara massal pada router TP-Link, D-Link, Zenos, dkk.
Perasaan, beberapa waktu lalu saya bahkan pernah share mengenai exploit yang juga diposting di thehackernews, namun waktu itu sepertinya modem masih belum terserang.
Jadi, masalahnya adalah Modem TP-Link memiliki exploit yang memungkinkan file firmware dapat didownload secara langsung meskipun tidak login/tidak memiliki akses user/password ke modem.
Untuk mencoba exploit ini, silakan coba mendownload firmware Modem dengan alamat seperti berikut :
1 2 3 4 |
http://192.168.1.1/rom-0 http://192.168.1.1/rpFWUpload.html http://public.ip.address.modem/rom-0 http://public.ip.address.modem/rpFWUpload.html |
Jika ternyata kita berhasil mendownload file rom-0 yang merupakan firmware dari Modem, maka bersiap-siaplah melakukan pengamanan terhadap modem sebelum modem kita dihack.
Untuk pengujian, saya juga mencoba melakukan dekompresi terhadap firmware Modem untuk mengambil passwordnya memakai program Huawei Decompression tool yang bisa didownload dari sini, atau mengikuti tutorial.
File rom-0 yang berisi password Modem dan password speedy berhasil dibuka, dan passwordnya berubah jadi “PortablePwned“.
Jadi jika tiba-tiba Anda tidak bisa mengakses modem, dan passwordnya ditolak, coba login memakai user “admin” dan password “PortablePwned”, lalu periksa seting DNSnya. Berikut adalah contoh DNS dari modem yang telah kehack, dan berubah ke 23.249.173.88 dan 103.247.218.111
Langkah pengamanan modem
- Masuklah ke pengaturan Virtual Server
- Dan arahkan request ke port 8080 ke IP yang tidak terpakai di jaringan.
Secara default setelah seting ini dilakukan, kita hanya bisa mengakses modem melalui port 8080.
Namun hal ini masih menjadi celah keamanan, karena modem masih bisa diakses dari http://public.ip.address.modem:8080 - Seting ACL / Access Control Setup agar hanya IP lokal yang bisa mengakses modem melalui port 8080, dan memblokir akses dari Internet/luar ke modem
- Setelah selesai, Save dan reboot modem.
Selanjutnya akses untuk download firmware hanya dapat dilakukan dari IP lokal.
Celah keamanan untuk mendownload file firmware/rom-0 dari internet telah ditutup, namun jika ada orang iseng yang masuk ke internet kita melalui LAN atau Wifi maka kemungkinan hacking masih tetap ada.
Pengamanan selanjutnya adalah dengan menerapkan limit Whitelist terhadap MAC address dari masing-masing perangkat yang diberikan hak untuk memakai internet di network kita.
Gan mau nanya. Midem aku diseting acl nya sama org telkom shg hanya hpnya aja yg bisa akses port 80 dan 23. Gimana ya gan utk bypass acl shg kita juga bisa seting sendiri modem kuta. Thanks
Coba loginnya pakai user admin dan passwordnya admin gan.
Biasanya kan dikasih usernya user dan password user1234