рутери

Netgear обяви, че е отстранила две критични уязвимости, засягащи няколко модела от нейните Wi-Fi рутери. Компанията призова потребителите да актуализират устройствата си до най-новия фърмуер възможно най-скоро.

Пропуските в сигурността засягат множество WiFi 6 точки за достъп (WAX206, WAX214v2 и WAX220) и моделите Nighthawk Pro Gaming рутери (XR1000, XR1000v2, XR500). Потенциални нападатели биха могли да ги използват за отдалечено изпълнение на код при атаки с ниска сложност, които не изискват взаимодействие с потребителя.

Ето списък с всички уязвими модели и версиите на фърмуера с пачове за сигурност:

Vulnerable Netgear router	Patched firmware version
XR1000	Firmware version 1.0.0.74
XR1000v2	Firmware version 1.1.0.22
XR500	Firmware version 2.3.2.134
WAX206	Firmware version 1.0.5.3
WAX220	Firmware version 1.0.5.3
WAX214v2	Firmware version 1.0.2.5

 

За да изтеглите и инсталирате най-новата версия на фърмуера за вашия рутер Netgear:

• посетете сайта за поддръжка на NETGEAR;
• започнете да въвеждате номера на модела си в полето за търсене, след което го изберете от падащото меню веднага щом то се появи;
• ако не виждате падащо меню, уверете се, че сте въвели правилно номера на модела си, или изберете продуктова категория, за да потърсите;
• щракнете върху Downloads.
• в раздела Current Versions изберете първата възможност, чието заглавие започва с Firmware Version;
• изберете Release Notes;
• следвайте инструкциите, за да изтеглите и инсталирате новия фърмуер.

Неправилните конфигурации остават „ахилесова пета“ за киберсигурността на организациите – и рутерите са водещи в това отношение.

Според данни от скорошно проучване на Broadband Genie 86% от анкетираните никога не са променяли администраторската парола на рутера си. 52% никога не са променяли фабричните настройки.

Това поставя нападателите в перфектна позиция за компрометиране на корпоративните мрежи. Те няма смисъл да създават сложни фишинг кампании, след като ужким защитените устройства могат да бъдат достъпни с идентификационни данни „admin“ и „password“.

Нарастващи рискове, свързани с рутерите

Рутерите позволяват на множество устройства да използват една и съща интернет връзка. Те постигат тази цел, като насочват трафика – навън и навътре. Ако нападателите успеят да ги компрометират, те могат да контролират както това, което излиза, така и това, което влиза в мрежата ви.

Това води до дълъг списък с рискове:

• пренасочване на потребителите към злонамерени уебстраници;
• провеждане на Man-in-the-middle атаки за кражба на данни;
• провеждане на DDoS атаки като част от по-голяма ботнет мрежа;
• наблюдение на поведението на потребителите с помощта на IoT устройства.

Естеството на рутерните атаки ги прави трудни за откриване. При тях хакерите не се налага да заобиколят инструментите за сигурност. Те се възползват от пренебрегнати слаби места, за да получат директен достъп до тях, без да предизвикват реакция от системата.

Въпреки това сигурността на рутерите се влошава, вместо да се подобрява. Според изследване, цитирано от Security Inteligence, през 2022 48% от анкетираните са заявили, че не са коригирали настройките на рутера си, а 16 % никога не са променяли администраторската си парола. През 2024 над 50% от рутерите все още работят с фабрични настройки, а само 14% са сменили паролата си.

Ограничаване на риска

Изводът е, че много бизнеси инвестират в инструменти за сигурност, но не променят конфигурациите по подразбиране и не актуализират фърмуера на рутерите си. А това е все едно да заключите с пет ключалки вратите си, но да оставите прозорците широко отворени.

За да ограничите риска от кибератака през този вектор, редовно сменяйте паролите, актуализирайте фърмуера и се уверете, че рутерите ви не са оставени на фабрични настройки. Освен това:

• Създайте редовен график за актуализация. На всеки четири до шест месеца насрочвайте преглед на рутерите си. Включете този график в споделен календар и се уверете, че всички служители по сигурността знаят за него. Когато определеният ден настъпи, актуализирайте фърмуера, където е възможно, и променете данните за вход и парола.
• Заложете седмичен график за преглед на трафика на рутерите. Търсете странно поведение или неочаквани заявки за вход.
• Създайте план за реакция при инциденти. Нарастващият брой крайни точки означава, че е само въпрос на време нападателите да успеят да намерят незащитени рутери или да заобиколят съществуващите защити.

Сравнително нов ботнет, базиран на Mirai, става все по-усъвършенстван и вече използва Zero day експлойти за пробиви в сигурността на индустриални рутери и интелигентни домашни устройства.

Според Chainxin X Lab тази еволюция е започнала през ноември 2024.

Ботнетът е открит през февруари миналата година и в момента наброява 15 000 ежедневно активни бот възела. Те са разположени предимно в Китай, САЩ, Русия, Турция и Иран. Основната му цел е извършването на DDoS атаки, като ежедневно се насочва към стотици субекти. Неговата активност достига своя пик през октомври и ноември 2024 г.

Зловредният софтуер използва комбинация от публични и частни експлойти за повече от 20 уязвимости. По-конкретно той е насочен към:

• рутери ASUS, Huawei, Neterbit и LB-Linк;
• индустриални рутери Four-Faith;
• камери PZT;
• видеодекодери Kguard и Lilin;
• устройства за интелигентен дом Vimar;
• различни 5G/LTE устройства.

Според X Lab DDoS атаките на ботнета са кратки като времетраене, с продължителност между 10 и 30 секунди, но с висока интензивност. Техният трафик надхвърля 100 Gbps, което може да доведе до смущения дори в стабилни инфраструктури.

За да защитите своите устройства:

• винаги инсталирайте най-новите актуализации от производителя;
• деактивирайте отдалечения достъп, ако не е необходим;
• задължително променяйте идентификационните данни по подразбиране на администраторския акаунт.

Производителят на мрежово оборудване ASUS издаде критична препоръка за сигурност за няколко свои модела рутери.

Компанията е идентифицирала две уязвимости, които позволяват инжектиране и произволно изпълнение на код в някои серии фърмуер. Те дават дистанционен достъп на нападателите чрез функцията AiCloud.

Уязвимостите засягат рутерите на ASUS с версии на фърмуера 3.0.0.4_386, 3.0.0.4_388 и 3.0.0.6_102 и застрашават сигурността както на домашни, така и на бизнес мрежи.

За да се намали рискът, ASUS препоръчва следните стъпки:

• актуализирайте фърмуера на рутера си незабавно, когато новите версии станат достъпни. Потребителите могат да намерят най-новия фърмуер на страницата за поддръжка на ASUS или на специфичната страница на своя продукт на уебсайта на компанията;
• въведете силни, уникални пароли както за безжичната мрежа, така и за страницата за администриране на устройството. Паролите трябва да са дълги поне 10 символа и да включват комбинация от главни и малки букви, цифри и символи.
• активирайте защитата с парола в рамките на услугата AiCloud.

Потребителите, които използват излезли по-стари рутери, работещи с фърмуер 3.0.0.4_382, трябва:

– да се уверят, че паролите им за вход и за Wi-Fi са силни;

– да деактивират услуги, достъпни от интернет, като отдалечен достъп, пренасочване на портове, DDNS, VPN сървър, DMZ и FTP;

– да проверяват и актуализират процедурите за сигурност и оборудването си.

IoT устройствата стават все по-разпространени в домовете и предприятията. Затова поддържането на актуален фърмуер и силни конфигурации за сигурност е от съществено значение за защита срещу потенциални киберзаплахи.

Ботнет мрежи използват активно 5 по-стари модела рутери на D-Link, предупредиха от компанията.

Устройствата, достигнали края на жизнения си цикъл, са изложени на повишен риск да станат мишена на щамове на зловреден софтуер, известни като „Ficora“ и „Capsaicin“.

Засегнатите устройства включват следните модели:

• SIEM as a Service;
• DIR-645;
• DIR-806;
• GO-RT-AC750;
• DIR-845L;

Ботнет мрежите се насочват към остарелия им фърмуер и се възползват от пропуските в сигурността, тъй като те вече не получават актуализации и пачове. След като бъдат компрометирани, тези рутери се използват за DDoS атаки и кражба на данни.

Ако разчитате на някой от тези модели:

• заменете ги с актуални продукти, които получават актуализации на фърмуера;
• ако незабавната подмяна не е възможна, уверете се, че устройството работи с възможно най-новия фърмуер;
• променете паролите за достъп до уеб конфигурацията и активирайте Wi-Fi криптирането със силни, уникални пароли.