За рутери

Идентифицирани са 226 потенциални уязвимости в девет популярни WiFi рутера, дори при работа с най-новия фърмуер. Изследването е проведено от IoT Inspector.

Начело на списъка е TP-Link Archer AX6000 (с 32 уязвимости), следва Synology RT-2600ac (с 30 грешки в сигурността). Тествани са още рутери, произведени от Asus, AVM, D-Link, Netgear, Edimax и Linksys – всички те се използват от милиони хора.

Специалистите са открили и някои общи проблеми, които се отнасят до повечето тествани модели:

• Остаряло Linux ядро във фърмуера
• Остарели мултимедийни и VPN функции
• Използване на по-стари версии на BusyBox
• Използване на слаби пароли по подразбиране (напр. „admin“)
• Кодирани идентификационни данни под формата на текст

Всички засегнати производители пуснаха пачове на фърмуера, които елиминират голяма част от откритите уязвимости, но не всички.

Препоръка:

Ако използвате някой от споменатите модели, препоръчваме:

• Да приложите наличните актуализации на защитата
• Да активирате „автоматичните актуализации“
• Да промените фабричната парола по подразбиране с уникална и силна парола

Внимание! Прилагайте тези правила при първо стартиране на всяко IoT устройство – у дома или в корпоративната мрежа.

Последен ъпдейт на 12 ноември 2018 в 11:10 ч.

Поне 100 хил. рутери са част от бот мрежа, която използва петгодишна уязвимост в утройства с чип на BroadCom. Анализатори на 360Netlab, които са открили бот мрежата, твърдят, че тя може да засегне около 400 хил. уязвими устройства, включително и такива в България.

Активността на бот мрежата е засечена за пръв път през септември, но е продължила и през октомври. Тя е кръстена BCMUPnP_Hunter – от името на протокола UPnP. Анализът на 360Netlab показва, че в мрежата участват около 100 хил. инфектирани устройства, но броят на уязвимите рутери е в пъти по-голям.

Уязвимите устройства са с банер Server: Custom/1.0 UPnP/1.0 Proc/Ver. Справка в Shodan показва, че към момента по света има над 405 хил. такива устройства. Локализирана справка само за България връща като резултат над 60 уязвими устройства.

Бот мрежата експлоатира уязвимост в протокола UPnP (Universal Plug and Play) в чиповете на BroadCom, които се използват от редица производители на рутери. Уязвимостта е била открита през 2013 г. от компанията за информационна сигурност DefenseCode, но за нея беше съобщено едва през 2017 г., тъй като засяга огромно количество рутери – поне 15 млн. устройства. Тогава от DefenseCode изказаха предположението, че голяма част от тези рутери все още са уязвими, защото фърмуеърът им не е обновен.

Според 360Netlab до момента са инфектирани над 100 различни вида рутери на популярни производители като Asus, D-link, Zyxel, Netgear и други. Веднъж инфектирани, те се превръщат в една голяма прокси мрежа. „Злонамерено лице може да изгради прокси мрежа и да я използва, за да изпраща спам, да генерира кликове и т.н.“, коментират от компанията.

Ако мислите, че рутерът ви може да е инфектиран (списък на заразените модели има в блога на 360Netlab), универсалното решение е да обновите фърмуеъра на устройството.

 

Последен ъпдейт на 13 октомври 2018 в 08:31 ч.

Позната уязвимост в рутерите MikroTik позволява пълен достъп до устройството, показват резултатите от анализ на компанията за инфромационна сигурност Tenable.

Уязвимостта, известна като CVE-2018-14847, е докладвана още през пролетта на 2018 г. и пачната. Но сега анализаторът на Tenable Research Джейкъб Бейнс e открил нов начин тя да бъде експлоатирана. Новият метод позволява да се прескочи автентикацията и така да се получат администраторски права върху устройството. От своя страна това дава възможност да се инжектира незабелязано малуер, твърди още Бейнс, който е публикувал доказателства за ефективността на атаката.

Уязвимостта засяга Winbox – графичен интерфейс за управление на RouterOS, операционната система на рутерите MikroTik. „Първоначалният проблем с Winbox, идентифициран като CVE-2018-14847, затова призоваваме потребителите да инсталират най0новите версии на RouterOS. Като превантивна мярка е добре и да сменят паролата си за рутера и да проверят за неоторизирани влизания в устройството“, посочват от MikroTik.

Tenable е открила и други уязвимости, но тази се посочва като най-сериозната, именно защото дава възможност за отдалечен достъп с пълни права върху рутерите. „Анализ с Shodan (търсачка за свързани към интернет устройства) показва, че по света има стотици хиляди устройства на MikroTik. Най-голяма е концентрацията им в страни като Бразилия, Индонезия, Китай, Русия и Индия. Към 3 октомври само около 35-40 хил. устройства имат обновена и пачната операционна система“, коментират от Tenable.

Последен ъпдейт на 28 юни 2018 в 01:17 ч.

Критични уязвимости в 17 модела рутери на Netgear откри изследователят Мартин Рахманов от Trustwave. Притесняващото при тях е, че позволяват на атакуващите да получат достъп до мрежата с минимално усилие. Става въпрос за атака от тип „remote authentication bypass”, която засяга всички рутери с позволена отдалечена конфигурация. Експлоатирането на уязвимостта е тривиално – всичко, което трябва да направите, за да добиете достъп е да добавите “&genie=1” към URL заявка.

Вече са пуснати патчове за уязвимостта от Netgear, но всички, които не са обновили фърмуеъра си все още подлежат на атаки. Затова, обновете фърмуеъра си, преди да продължите да четете тази статия.

Всичко се дължи на един несигурен скрипт

Уязвимият скрипт е част от потребителския back-end и се казва genie_restoring.cgi. Експлоатацията му може да позволи различни видове атаки като DNS подмяна (пренасочване към злонамерени сайтове), както и достъп до файловата система на рутера (кражба на пароли и подмяна на настройки).

Още една уязвимост е открита при шест от моделите. При установяване на връзка чрез WPS, в периода за свързване всеки атакуващ може да изпълнява команди с root привилегии.

Засегнати модели и версия на фирмения софтуер

Тук можете да видите уязвимите модели рутери и последната уязвима версия на фирмения им софтуер. Ако използвате рутер, който е в таблицата и използва тази или предишна версия на фърмуеъра, назабавно го обновете!

Модел	Последна уязвима версия
D6220	1.0.0.26
D6400	1.0.0.60
D8500	1.0.3.29
R6250	1.0.4.12
R6400	1.01.24
R6400v2	1.0.2.30
R6700	1.0.1.22
R6900	1.0.1.22
R6900P	1.0.0.56
R7000	1.0.9.4
R7000P	1.0.0.56
R7100LG	1.0.0.32
R7300DST	1.0.0.54
R7900	1.0.1.18
R8000	1.0.3.44
R8300	1.0.2.100_1.0.82
R8500	1.0.2.100_1.0.82

*по данни на Netgear – публикацията можете да видите тук.

Съвети за системни администратори

Винаги е добре да използвате последните версии на фирмен софтуер. В случая на Netgear, можете да намерите нужните ви файлове на страницата за сваляния.

Проверете настройките си и изключете всички функции, които не се използват. Тук разглеждаме уязвимост, която може да се експлоатира само при разрешено отдалечено конфигуриране. Един отбелязан checkbox може да е всичко, което ви дели от критични опасности.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 01:19 ч.

Можете ли да си представите живота без безжичен интернет? Не? И ние. Без значение дали сте вкъщи или на работа, на кафе или на разходка в парка, най-вероятно някъде близо до вас се намира WiFi рутер. Ако рутерът, през който ползвате интернет, не е защитен правилно, може да си навлечете доста неприятности – част от които са да бъдете подслушвани, да ви бъдат откраднати пароли за достъп и т.н.

Самите рутери разполагат с вградени системи за защита. От вас (независимо дали сте системен администратор или просто домашен потребител) се очаква просто да ги включите и конфигурирате. След това остава забавлението от един по-сигурен интернет. Ето какво да направите:

1. Не можете да имате доверие на фабричните настройки

Вероятно от момента, в който сте получили рутера си – било то от магазина или от интернет доставчика, вие не сте променяли настройките му. Знаете ли, че липсата на сигурни настройки е една от най-големите уязвимости на домашните мрежи?

Запомнете: Фабричните пароли не са уникални и само за вас и вашето устройство.

Всяко устройство излиза от производство с фабрично настроени имена и пароли за достъп. Те са познати на всички, които могат да търсят в Google – включително съседа, който иска да си поиграе с мрежата ви. Ако не искате тя да крещи „Добре дошли!“ на всички желаещи да се упражняват върху нея, е важно да смените тези пароли със сложни и дълги фрази. Освен това е препоръчително и да използвате по-стабилен метод за сигурност като WPA2-PSK AES (задава се от менюто за парола на безжичната връзка).

Друг проблем на фабричните настройки са отворените портове – крайната точка на онлайн комуникацията от ваша страна, на която рутерът ви очаква връзка. Повечето от тях са за специфични услуги, като FTP (порт 21), SSH (22), Telnet (23), HTTP (80), HTTPS (443) или SMB (139, 445). Проверете настройките си и забранете всички портове, които не използвате. Ако не сте сигурни как да го направите, потърсете в наръчника за употреба на вашето устройство или онлайн.

2. Непознатите свързани устройства могат да бъдат забранени

Всички рутери позволяват да видите колко и какви устройства са свързани с тях. Когато видите непознати такива, може би някой вече се е сетил да се възползва от несигурните ви настройки.

За ваш късмет, всички рутери ви позволяват да разрешите или забраните само определени устройства, най-често използвайки техния MAC адрес. Ако мрежата ви е малка (например – вкъщи), можете ръчно да ограничавате достъпа само до вашите устройства.

3. Обновленията ви досаждат, но и държат опасностите на разстояние

Вероятно ежедневно някое приложение ви „мрънка“, че има нова версия. Същото е и с фирмения софтуер на рутерите (firmware). И в двата случая не трябва да отказвате или отлагате инсталацията – тя може да ви спести много главоболия. Инсталирайте новите версии на софтуера за рутера си и всички устройства в мрежата, за да сте сигурни, че производствени грешки не ви поставят в опасност.

Добра причина за това са скорошни атаки като KRACK (Key Reinstallation AttacCK). Този вектор за атака се възползва не толкова от самите уязвимости на рутера ви, колкото от начина, по който устройствата в мрежата комуникират с него.

4. Допълнителни настройки ви дават още начини да се защитите

Разделите „Advanced” или „More” в менюто вероятно крият различни ценни функции като защита срещу различни типове DoS (Denial of Service) атаки. Прегледайте внимателно какви възможности ви дават и потърсете всички допълнителни защитни функции на рутера си в потребителското ръководство или онлайн.

Няма да ви отнеме нищо повече от един-два клика, за да ги конфигурирате, а те могат да ви спестят часове изгубен труд и недостъпни услуги.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.