Эти опасные роутеры: наиболее масштабные взломы сетевого оборудования последнего времени и способы защиты

    image

    Взлом сетевого оборудования домашних и корпоративных пользователей может стать причиной убытков десятки и сотни миллионов долларов США. Так, ботнет Mirai, который изначально распространялся путем заражения роутеров, нанес ущерб глобальной экономике в сотни миллионов долларов США.

    Вполне вероятно, что производители сетевых устройств, осознав проблему, закрыли «дыры» и сделали свои системы неуязвимыми для зловредов? На самом деле, не совсем так. Какие-то отдельные дыры были исправлены, но масштабные взломы все еще случаются. Один из ярких примеров — недавнее обнаружение в маршрутизаторах Cisco уязвимостей глобального масштаба.

    Что за проблему удалось обнаружить?


    В середине прошлого месяца группа исследователей из компании Red Ballon заявили про обнаружение в маршрутизаторах Cisco серии 1001-Х нескольких уязвимостей. Неизвестно, использовали ли проблемы в защите устройств злоумышленники, но дыры действительно представляют собой серьезную опасность.

    Одна из уязвимостей — баг в системе Cisco IOS, который позволяет злоумышленникам получить доступ к маршрутизаторам упомянутой выше серии. Закрыть ее достаточно просто — нужно просто обновить прошивку устройства (что, конечно, делают далеко не все компании).

    Вторая дыра гораздо опаснее и масштабнее первой. Именно она затрагивает работу сотен миллионов сетевых устройств компании, причем не только маршрутизаторов, но и коммутаторов, сетевых экранов и прочего оборудования. Исследователям по сетевой безопасности удалось обойти систему защиты, которая называется Trust Anchor. Это модуль проверки целостности оборудования компании, который изначально был добавлен для защиты от подделок, а затем его преобразовали в комплексную систему проверки целостности софта сетевых устройств Cisco. В настоящее время Trust Anchor устанавливается в любых активных сетевых устройствах компании.



    Как оказалось, проблема не решается лишь удаленным обновлением прошивки, после проведенного расследования компания Cisco пришла к выводу, что в большинство устройств можно обезопасить лишь в случае ручного перепрограммирования. Возможно, компании придется менять архитектуру «якоря», что потребует времени и денег. Все это время оборудование остается уязвимым. Правда, в Cisco заявили, что у компании нет данных о масштабном использовании уязвимости, так что срочные меры, которые потребуют значительных ресурсов, пока приниматься не будут.

    Не только Cisco


    Уязвимы не только маршрутизаторы Cisco, на самом деле, проблема актуальна для сетевых устройств подавляющего большинства производителей. Но максимально уязвимыми, насколько можно судить, являются роутеры — именно их чаще всего используют разработчики ботнетов.

    Роутеры Linksys

    Почти одновременно с информацией о проблемах с маршрутизаторами Cisco в сети появились новости об уязвимости тысяч умных роутеров Linksys. Дыра в защите этих устройств позволяла (и до сих пор позволяет) получить удаленный неавторизованный доступ к ним.

    Сканирование сети выявило 25,617 Linksys Smart Wi-Fi устройств, которые открыты для действий злоумышленников. Последним доступны не только MAC-адреса устройств, но и данные о модели, версии ОС, настройки WAN, версии прошивки, настройках, конфигурации DDNS.

    Злоумышленникам могут пригодиться как все эти данные, так и доступ к самим роутерам для формирования из них ботнетов. Уязвимы десятки моделей роутеров. Ниже показан список проблемных моделей с описанием уязвимости.



    Компания заявила о том, что не считает уязвимость масштабной, поэтому в ближайшее время проблема решена не будет. Правда, те устройства, для которых активировано автоматическое обновление прошивки участия пользователя и не требуют. Как только будет выпущен патч, он будет автоматически установлен. Но не стоит забывать о том, что у примерно 50% систем автоматическое обновление отключено, так что эти гаджеты будут стоять «открытыми» для внешнего вмешательства неделями, если не месяцами.

    Роутеры MikroTik



    В конце прошлого года стало известно о том, что неизвестные злоумышленники скомпрометировали тысячи роутеров MikroTik для создания ботнета. Несмотря на то, что уязвимость обнаружили в апреле 2018 года, она оставалась актуальной еще долгое время, поскольку далеко не все владельцы роутеров стали устанавливать обновление прошивки.

    Изначально проблема привела к тому, что многие тысячи роутеров были скомпрометированы. 240 тысяч роутеров были атакованы и превращены в SOCKS 4 прокси, используемые для своих нужд злоумышленниками. На момент конца прошлого года в сети работало несколько сотен тысяч роутеров, уязвимость в которых не была исправлена. Можно думать, что не исправлена она и до сих пор.

    Скомпрометированные роутеры тоже работают, перенаправляя сетевой трафик, включая FTP и e-mail. Исследователи по сетевой безопасности обнаружили и данные, которые характерны для процессов удаленного управления сетевыми устройствами. Пакеты данных отправляются на IP провайдера из Белиза — неизвестно, это лишь маскировка, или же злоумышленники физически находятся в этом регионе.

    Как бы там ни было, если кому-то из злоумышленников других групп киберпреступников придет в голову использовать роутеры компании для, например, формирования ботнета, это можно сделать без проблем.

    Роутеры D-link

    В тот же период времени, конец прошлого года, специалисты по кибербезопасности обнаружили активную атаку злоумышленников на роутеры Dlink. Как оказалось, в прошивке содержалась уязвимость, позволявшая без особых проблем взломать роутеры с тем, чтобы перенаправлять подключенных пользователей на сайты или сервисы, прописанные киберпреступниками. Уязвимость была актуальна для таких моделей устройств, как DLink DSL-2740R, DSL-2640B, DSL-2780B, DSL-2730B и DSL-526B.

    Проблему решили тем, что взломщикам прикрыли доступ к ресурсам, которые они использовали для управления роутерами. Но сами устройства в большинстве своем остались скомпрометированными. Еще большее число роутеров содержат в прошивке пока что незакрытую уязвимость. Вернее, компания D-link исправление выпустила, но его установила лишь малая толика владельцев устройств.

    Роутеры Huawei



    В самом конце 2017 года была зафиксирована массивная атака на роутеры китайской компании Huawei. Злоумышленники использовали уязвимость CVE-2017–17215 для получения доступа к устройствам Huawei HG532. Как оказалось, эту дыру активно использовали ботнеты Brickerbot и Satori. Специалисты по информационной безопасности, которые обнаружили проблему, сообщили о ней в компанию. Но, к сожалению, неизвестно, насколько оперативно эта дыра была прикрыта.

    В середине 2018 года всего за один день было заражено около 18 000 сетевых устройств Huawei, из которых злоумышленник сформировал ботнет. Как стало известно, киберпреступник воспользовался все той же уязвимостью CVE-2017-17215, о которой шла речь выше.

    Вполне может быть, что, как и в предыдущих случаях, в сети до сих пор работают десятки тысяч устройств, подверженные указанной уязвимости, что делает роутеры модельного ряда HG532 открытыми для внешних факторов.

    Роутеры Zyxel

    Да, проблема коснулась и нашей компании. Правда, мы постарались максимально быстро все исправить. Уязвимость, которая была актуальной, получила порядковый номер CVE-2019-9955. Подвержены ей были не роутеры, а аппаратные файрволлы.

    Для всех моделей уже выпущен хотфикс, так что если оборудование не настроено на автоматическое обновление, можно загрузить вручную вот здесь. Выпускаемые сейчас устройства уже идут с фиксом, так что обнаруженные ранее уязвимости не актуальны.

    И что теперь?


    Проблема в том, что все, что показано выше — лишь вершина айсберга. Уязвимо гораздо большее число моделей роутеров самых разных производителей. Ранее в сети появлялись новости о проблемах и с роутерами Realtek, ASUS, Dasan GPON и других.

    Вполне вероятно, что пока вы читаете эту статью, ваш собственный роутер работает в интересах злоумышленников — то ли работает в качестве элемента ботнета, то ли передает персональную информацию. Собственно, большинство пользователей Хабра это осознают, поскольку уязвимостей много, а времени или возможностей их закрыть нет.

    Но защититься все же можно, это не так и сложно. Методы простые, и вместе с тем действенные.

    Программные решения

    Самый простой рецепт, который помогает от большинства зловредов, формирующих ботнет — перезагрузить роутер прямо сейчас. Это несложно, а эффект будет, если заражение уже произошло. Правда, от нового проникновения зловреда это не защитит.

    Кроме того, обязательно нужно сменить дефолтные пароль и логин. Даже весьма продвинутые ИТ-специалисты ленятся это делать. Знают о проблеме многие, но в данном случае знание само по себе ничего не значит, его нужно применить

    Не убирать режим автоматического обновления прошивки — это может помочь во многих случаях. К слову, стоит проверять наличие нового firmware и вручную, даже в том случае, если автоматическое обновление активировано.

    Еще не помешает отключить те функции, что вы не используете. Например, веб-доступ или удаленное управление, плюс Universal Plug-and-Play (это далеко не всегда полезная фича).

    Аппаратные решения

    Для защиты всех своих умных устройств от внешнего вмешательства стоит использовать специализированные устройства.



    В качестве примера можно привести Bitdefender BOX 2. Этот девайс способен защитить от злоумышленников планшеты, ноутбуки, умные лампочки, телевизоры и все прочее, что подключается к беспроводной сети. Это беспроводный хаб, который является своеобразной службой кибербезопасности для дома или небольшого офиса.



    Если предыдущий девайс по какой-то причине не подходит, стоит обратить внимание на BullGuard. Принцип его действия практически тот же, плюс устройство способно отслеживать подозрительные действия в сети и сообщать о них.



    Более мощной защитой являются межсетевые экраны Zyxel VPN2S, USG20, VPN50. Они защищают VPN-каналы, которые используются, например, удаленным сотрудником для подключения к инфраструктуре корпорации, в которой он работает. Работает защита SPI, защита от DDoS, доступны функции, которые могут пригодиться частному и корпоративному пользователям.



    Ну и для бизнес-пользователей Zyxel предлагает nакие устройства, как шлюзы серий серий ATP, USG, плюс ZyWALL.

    А что для защиты своего дома или офиса используете вы? Поделитесь в комментариях, пожалуйста, с большой степенью вероятности эта информация будет очень полезной для всех читателей Хабра, кого беспокоит вопрос информационной безопасности.

    Техническая поддержка корпоративного и домашнего оборудования Zyxel в нашем телеграм-чате. Новости компании, анонсы новинок и разные объявления в телеграм-канале.
    • +14
    • 14,6k
    • 9
    ZYXEL в России
    81,75
    Производитель сетевых устройств для бизнеса
    Поделиться публикацией

    Комментарии 9

      +7

      Как-то всё в кучу. Намешаны домашние слушалки трафика и оборудование enterprise grade. Описана ошибка в платформе ASR (то, что вы назвали серией 1001-Х, на самом деле называется ASR1001-Х и это конкретная модель, а серия называется ASR1k), на картинке нарисована ASA.


      Микроты да, имели богатую историю уязвимостей, но всё равно, та же моргающая коробочка Bitdefender BOX 2 никак не защитит от уязвимостей в ПО роутеров.


      И если и можно сравнивать Zyxel USG (статья же о них?) с Cisco ASA, то только с самыми начальными моделями. И дело не в "хорошести", а в позиционируем рынке и сфере применения.

        0
        На моих обоих домашних роутерах (EA6300 Linksys и Archer C7 Tp-Link) установлена DD-WRT. К сожалению, ничего не сказано про упомянутые в статье роутеры с альтернативными прошивками.
        P.S. Обновляю прошивки вручную примерно раз в полгода.
          0
          На роутере для домашних нужд оставлять стоковую прошивку — это не к добру.

          Если я покупаю роутер то первым делом смотрю есть ли для него прошивка OpenWRT (если нет, то выбираю другой, для которого есть), и, купив, перепрошиваю не подключая его к сети.
            +1
            Насколько эти прошивки безопаснее?
              0
              На мой взгляд они как минимум централизованно обновляются а не когда производителю взбредёт в голову обновить прошивку конкретного устройства.
              С другой стороны — уязвимость будет сразу везде. :)

              А так, как показывает практика — наиболее уязвимые устройства, это те устройства что не были должным образом настроены, вот и всё.
                +1
                Там внутри стандартное ядро Linux и набор достаточно хорошо проверенных утилит.
                Пилит эти прошивки довольно приличное сообщество и баги там правятся достаточно оперативно.
                Сборки есть ежедневные — они, само собой, могут быть нестабильными.
                И есть стабильные релизы — тоже довольно регулярные.

                А теперь возьмем любую стоковую прошивку для «домашнего» роутера (SOHO) — для нее в лучшем случае будет выпущено пара-тройка обновлений после старта продажи железки (обычно с исправлением багов в интерфейсе). Найли обновление стоковой прошивки через пару лет после старта продаж — уже не реально.

                Но самое больное место стоковой прошивки — это все эти кастомизированные морды web-интрфейсов. Пилят их не самые профи и каждый производитель пилит свое. Дыр в этих мордах находят регулятно в количестве. У того же OpenWRT есть одна веб-морда и пилят и проверяют ее большой толпой. Шансов что там есть дыры — меньше.

                Ну и подход к настройкам: OpenWRT при первом входе затребует заменить пароль рута, и на роутере отключен wifi. Т.е. роутер надо настроить.
                А что у нас в стоковой прошивке? Воткнул и все работает — «настраивать не нужно». Крутотень же! Ага, только телнет наружу торчит и дефолтный пароль рута, вафля без пароля…
              0
              А список специально картинкой вставили чтобы нельзя было поиском по модели найти?
                0

                О дефолтных паролях: Даже весьма продвинутые ИТ-специалисты ленятся это делать.


                1. Это не спец, а мамкин админ.
                2. А слабо делать в железе отсутствие дефолтных паролей? Тут есть два варианта: отсутствие пароля, и требование придумать его при инициализации и тут же проверять его надёжность, и второй — рандомный дефолтный пароль на устройство написанный на маршрутизаторе.
                  Дальше о статье в общем:
                3. Статья проплаченная реклама не более
                4. То о чем писали выше: статья не систематизированная, все в кучу: soho, business.
                5. Автообновление прошивки, где вы такое видели? Это незапланированый даунтайм и риск не понятного окерпичивания что для soho что для business.
                6. UPnP это чистое soho и это не просто плохо: это бекдор который вы ОСОЗНАНО оставляете у себя в сети, поздравляю.
                7. Ваши решения — не решат ничего. Шлюз это уже пограничное устройство в сети — если вы его не умеете настраивать — обратитесь к системному администратору. Если уровень его безопасности или функционал вас не устраивает — замените его. А не городите 20 файрволов которые защищают другие файрволы. Это абсурд товарищи...
                  0
                  Дак все же какие zyxel оказались под атакой? Списка не дадите?

                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                  Самое читаемое