Menu

Популярні маршрутизатори уразливі для атак

Популярные маршрутизаторы уязвимы для атак

Конфуз виник минулого тижня, коли один відомий дослідник безпеки виявив ряд надзвичайно небезпечних вразливостей в маршрутизаторів Linksys, розроблених компанією Cisco Systems. Мережевий гігант майже відразу відреагував на претензії, стверджуючи, що уразливість була виправлена ще в апдейте місячної давності.

Дослідник і консультант з безпеки з консалтингової компанії AppSec Філ Пьюрвайнс (Phil Purviance) стверджував, що роутер Cisco Linksys EA2700 Network Manager N6000 Wireless-N, широко застосовуваний для малого бізнесу і домашніх мереж, був практично весь «дірявий». За твердженням Філа зловмисник легко міг отримати доступ до самого пристрою, його паролів і конфігурації, після чого міг змінити його налаштування і завантажити змінену і потенційно небезпечну прошивку. Після чого взяти захоплену мережу під свій контроль.

Є безліч експлойтів, починаючи від досить простих до дуже складних, які використовують такі уразливості і можуть бути розгорнуті на захоплених пристроях, як стверджує Пьюрвайнс. Один з найпростіших методів зараження полягає в простому «втягування» користувача-жертви мережі на експлойт-хостинг зараженого сайту. В іншому випадку зловмисникові необхідно набрати код з спеціальних символів в рядку адреси, щоб потрапити в адміністраторський режим роутера. В той час, як перший експлойт змінює пароль за замовчуванням на підроблений «пароль», інші варіанти набагато небезпечніше, так як вони втручаються у вихідний код пристрою. Тобто, зловмиснику надається доступ до коду, який керує роботою маршрутизатора.

«Те, що я знайшов, було досить страшно, жахливо, і абсолютно непробачно,» - написав Філ Пьюрвайнс у своєму блозі. «Треба було всього 30 хвилин, щоб прийти до висновку, що будь-яка мережа з маршрутизатором EA2700 - це незахищена мережу.» І продовжив: «Ця вразливість мені підказує, що програмне забезпечення маршрутизатора ніколи не проходило пен-тест на безпеку, тому що це занадто просто для них [компанії]».

Усі IT-компанії, що виробляють споживчу та іншу техніку, повинні порводить тести на проникнення та інші уразливості своїх продуктів, щоб переконатися, що ті не можуть бути використані зловмисниками.

Зі свого боку в Cisco швидко зреагували і уточнили, що всі проблеми були устанены в апдейте за червень 2012 року. І кожен, хто придбав або встановив EA2700 маршрутизатор у своїй мережі після цієї дати, застрахований від цієї проблеми.

Так у чому ж справа? Уразливості були виправлені і пристрої були оновлені. Відкрити і закрити справу, вірно? Не варто поспішати, так як технічний менеджер Rapid7 Тод Бердслі (Tod Beardsley) вказує, що встановлення цього оновлення не так проста (і зовсім не автоматизована), як установка звичайного програмного патча на комп'ютер, яке ви повинні регулярно встановлювати, незважаючи на проблеми, як в останньому патчі від Microsoft.

«Основна відмінність між цими уразливими і більш традиційними ПК-уразливостями (такими, як «дірки» в Java і Windows) в тому, що більшість користувачів так і не дізнається про оновлення. Так як немає автообносления, а також не встановлено антивірусне ПЗ, що може працювати на пристроях з малим об'ємом пам'яті і низьким енергоспоживанням, то виходить, що описані вразливості - довгожителі».

«Крім того, що зловмисник може отримати контроль над самим пристроєм, він ще має ефективний контроль над усіма пристроями, які зв'язуються з підконтрольним маршрутизатором. Він може підмінити DNS, він може перенаправити трафік на шкідливий сайт, він може вставити фішингові посилання HTTP-сесію, він може відключити всі правила брандмауера - кількість атак обмежений лише уявою», сказав Бердслі. «Це поширюється не тільки на комп'ютери у внутрішній мережі, але і телефони, підключені до бездротової мережі».

Варто відзначити, що роутери Cisco зовсім не є унікальними в частині уразливості. Раніше подібні проблеми були неодноразово виявлені в домашніх маршрутизаторах TP-Link, Zyxel, Netgear, D-Link, Asus, а також всіх пристроях на базі популярної відкритої платформи DD-WRT.

|