Sårbarheder i Hjemmeroutere: Potentielle Trusler fra Hackere

Sårbarhed i millioner af hjemmeroutere blev offentliggjort tidligere denne måned. Den 3. august opdagede Tenable, et firma inden for cybersikkerhedseksponering, en sårbarhed, der omgår autentifikation, som påvirker både hjemmeroutere og andre Internet of Things (IoT) enheder, der kan udnyttes af cyberkriminelle.

Juniper Threat Labs nævnte også, at cyberkriminelle kan bruge en variant af Mirai malwaren til at udnytte sårbarheder i hjemmeroutere. Der har allerede været en nylig kapring af hjemmeroutere fra mindst 20 leverandører, da de bruger Mirai malware-varianten til at udføre DDoS-angreb. Sårbarheden blev opdaget at påvirke hjemmerouterleverandører som ADB, Arcadyan, ASMAX, ASUS, Beeline, British Telecom, Buffalo, Deutsche Telekom, HughesNet, KPN, O2, Orange, Skinny, SparkNZ, Telecom [Argentina], TelMex, Telstra, Telus, Verizon og Vodafone. Disse hjemmeroutere bruger Arcadyan firmwaren, som er sårbar over for angrebet. 

Forskere hos Tenable sporede sikkerhedsfejlen som CVE-2021-20090. Et proof of concept (POC) blev offentliggjort af Tenable, hvilket indikerer, at cyberangribere kan infiltrere en enhed ved at aktivere Telnet på hjemmerouteren og opnå en vis adgang til enheden. Angriberen kan derefter iværksætte et DDoS-angreb på alle enheder, der er forbundet til hjemmerouteren.

Ifølge Tenable, “Når et exploit POC [proof of concept] offentliggøres, tager det ofte dem meget lidt tid at integrere det i deres platform og lancere angreb. Forskerne bemærkede også, at de fleste organisationer ikke har politikker for at lappe inden for få dage, nogle gange tager det uger at reagere. Men i tilfældet med IoT-enheder eller hjemmegateways er situationen meget værre, da de fleste brugere ikke er teknisk kyndige, og selv dem, der er, bliver ikke informeret om potentielle sårbarheder og patches, der skal anvendes.

De potentielle trusler gennem Mirai-varianten 

Juniper Network opdagede udnyttelse af hjemmeroutere gennem Mirai-malwaren. Cyberkriminelle kan ændre deres IP-adresse til en i Kina og lancere et angreb på sårbare routere.

De sagde, “Vi har identificeret nogle angrebsmønstre, der forsøger at udnytte denne sårbarhed i det fri, som kommer fra en IP-adresse beliggende i Wuhan, Hubei-provinsen, Kina. Angriberen ser ud til at forsøge at udrulle en Mirai-variant på de berørte routere.”

Et angreb på en hjemmerouter kan udgøre flere trusler mod en enkeltperson eller et firma. Jake Williams fra BreachQuest understregede angrebets effekt. Han sagde, “En trusselsaktør, der kompromitterer en router, kan udføre fulde man-in-the-middle angreb på al trafik, der passerer igennem den, men det mere sandsynlige scenarie er en trusselsaktør, der bruger disse enheder som en del af et botnet, hvilket kunne bruges til distribueret sårbarhedsscanning, udnyttelse, gætning af adgangskoder, eller i det mest sandsynlige tilfælde DDoS.”

Ifølge Williams kan en sårbarhed i brugergrænsefladen på en hjemmerouter give en angriber adgang til at logge ind på enheden, hvilket potentielt giver dem mulighed for at ændre indstillinger eller tilføje malware. Han tilføjede dog, at de fleste moderne routere ikke udsætter deres grænseflade for det offentlige internet.

Hvad er Mirai Varianten

Mirai er et botnet, der målretter sig mod Internet of Things (IoT)-enheder—som hjemmeroutere, digitale videobåndoptagere og internetkameraer—og omdanner dem til ting, der hacker andre maskiner. Det selvformerede Mirai botnet menes at være ansvarligt for over en halv million kompromitterede IoT-enheder, der blev brugt til at udføre massive DDoS-angreb på op til 1 Tbps.

Mirai blev først opdaget i 2016, da hackere udførte et stort angreb på Dyn domænenavnesystemet (DNS) tjenesten. Det forårsagede, at mange store sider var nede i flere timer, herunder Twitter, Amazon, Reddit og Netflix. Mirai-koden blev offentliggjort i november samme år, og siden da er mange forskellige varianter dukket op.

Forebyggelse af Potentielle Angreb

Ifølge forskere findes sårbarheden i hjemmeroutere i deres firmware. De skyldes en mangel på opdateringspolitikker, patching fra hjemmerouterproducenter, samt deres afhængighed af open source-projekter for kode. Typisk er disse tre kritiske komponenter i hjemmeroutere usikrede, hvilket gør dem til et let mål for cyberkriminelle. 

Nogle hjemmeroutere kører gammel software og har lille eller ingen opdateringspolitik for at adressere sikkerhedsrisici. De mangler også patches og opdateringer til at løse identificerede fejl. Dette kan skyldes mangel på finansiering fra producenten af hjemmerouteren, hvilket også gør dem sårbare over for angreb fra hackere.

Forskere rådede leverandører til at tilbyde automatiske opdateringer for at afbøde potentielle angreb. Juniper sagde, “Den eneste sikre måde at afhjælpe dette problem på er at kræve, at leverandører tilbyder automatiske opdateringer uden nedetid.”

Brugere kan også opdatere firmwaren på deres hjemmerouter og holde sig informeret om sårbarheder for at undgå kompromittering af deres enheder. Desuden kan brugen af en VPN på en hjemmerouter også hjælpe med at forhindre cyberangreb.

Konklusion

Forskere har opdaget sårbarheder i hjemmeroutere, som kan udløse DDOS-angreb fra cyberkriminelle. Sårbarheden er allerede fundet hos omkring 20 hjemmerouterproducenter. Cyberangribere iværksætter disse angreb gennem Mirai-varianten og påvirker alle enheder, der er forbundet til routeren. Brugere skal opdatere deres firmware og tage andre forholdsregler for at forhindre angreb.