Kotireitittimien haavoittuvuudet: Mahdolliset uhat hakkerien toimesta

Miljoonien kotireitittimien haavoittuvuus paljastettiin aiemmin tässä kuussa. Elokuun 3. päivänä Tenable, kyberaltistumisen yritys, löysi todennuksen ohittavan haavoittuvuuden, joka vaikuttaa sekä kotireitittimiin että muihin Internet of Things (IoT) -laitteisiin, joita kyberrikolliset voivat hyväksikäyttää.

Juniper Threat Labs mainitsi myös, että kyberrikolliset voivat käyttää Mirai-malwaren varianttia hyödyntääkseen kotireitittimien haavoittuvuutta. Kotireitittimien kaappaamisia on jo tapahtunut vähintään 20 valmistajalta, kun he käyttävät Mirai-malwaren varianttia suorittaakseen DDoS-hyökkäyksiä. Haavoittuvuuden havaittiin vaikuttavan kotireititinvalmistajiin kuten ADB, Arcadyan, ASMAX, ASUS, Beeline, British Telecom, Buffalo, Deutsche Telekom, HughesNet, KPN, O2, Orange, Skinny, SparkNZ, Telecom [Argentina], TelMex, Telstra, Telus, Verizon ja Vodafone. Nämä kotireitittimet käyttävät Arcadyanin firmwarea, joka on altis hyökkäykselle. 

Tutkijat Tenablessa seurasivat turvallisuuspuutetta, joka tunnetaan nimellä CVE-2021-20090. Tenable julkaisi käsitteen todisteen (POC), joka osoittaa, että kyberhyökkääjät voivat tunkeutua laitteeseen aktivoimalla Telnetin kotireitittimessä ja saada jonkin verran pääsyä laitteeseen. Hyökkääjä voi sitten käynnistää DDoS-hyökkäyksen kaikkiin kotireitittimeen kytkettyihin laitteisiin.

Tenablen mukaan, ”Aina kun hyödyntämisen POC (proof of concept) julkaistaan, heiltä vie usein hyvin vähän aikaa integroida se alustalleen ja aloittaa hyökkäykset. Tutkijat huomasivat myös, että useimmilla organisaatioilla ei ole käytäntöjä paikata haavoittuvuuksia muutamassa päivässä, joskus reagointiin voi mennä viikkoja. Mutta IoT-laitteiden tai kotiverkkoporttien tapauksessa tilanne on paljon pahempi, sillä useimmat käyttäjät eivät ole teknisesti osaavia ja jopa ne, jotka ovat, eivät saa tietoa mahdollisista haavoittuvuuksista ja sovellettavista paikkauksista.

## Mahdolliset uhat Mirai-variantin kautta

Juniper Network havaitsi kotireitittimien hyväksikäytön Mirai-haittaohjelman kautta. Kyberrikolliset voivat vaihtaa IP-osoitteensa Kiinassa sijaitsevaksi ja hyökätä haavoittuvien reitittimien kimppuun.

He sanoivat, ”Olemme tunnistaneet joitakin hyökkäysmalleja, jotka yrittävät hyödyntää tätä haavoittuvuutta villissä luonnossa tulevina IP-osoitteesta, joka sijaitsee Wuhanissa, Hubein maakunnassa, Kiinassa. Hyökkääjä näyttää yrittävän asentaa Mirai-variantin vaikutuksen alaisiin reitittimiin.”

Kotireitittimeen kohdistuva hyökkäys voi aiheuttaa useita uhkia yksilölle tai yritykselle. BreachQuestin Jake Williams korosti hyökkäyksen vaikutusta. Hän sanoi, ”Uhkaaja, joka kompromissoi reitittimen, voi suorittaa täydellisiä miehen keskellä -hyökkäyksiä kaikelle sen kautta kulkevalle liikenteelle, mutta todennäköisempi skenaario on uhkaajan käyttävän näitä laitteita osana bottiverkkoa, jota voitaisiin käyttää hajautettuun haavoittuvuusskannaukseen, hyväksikäyttöön, salasanojen arvailuun tai todennäköisimmissä tapauksissa DDoS-hyökkäyksiin.”

According to Williams, a vulnerability in the user interface of a home router could give an attacker login access to the device, potentially allowing them to change settings or add malware. He, however, added that most modern routers do not expose their interface to the public internet. 

## Mikä on Mirai Variantti

Mirai on botnet, joka kohdistuu Internet of Things (IoT) -laitteisiin—kuten kotireitittimiin, digitaalisiin videonauhureihin ja internet-kameroihin—ja muuttaa ne laitteiksi, jotka hakkeroida muita koneita. Itsestään leviävän Mirai-botnetin uskotaan olevan vastuussa yli puolesta miljoonasta kompromissoidusta IoT-laitteesta, joita on käytetty suorittamaan massiivisia DDoS-hyökkäyksiä, joiden laajuus on jopa 1 Tbps.

Mirai havaittiin ensimmäisen kerran vuonna 2016, kun hakkerit käynnistivät laajamittaisen hyökkäyksen Dynin verkkotunnuksen nimipalvelua (DNS) vastaan. Se aiheutti useiden suurten sivustojen, kuten Twitterin, Amazonin, Redditin ja Netflixin, kaatumisen tuntikausiksi. Mirain koodi julkaistiin marraskuussa samana vuonna, ja siitä lähtien on ilmestynyt monia eri versioita.

## Mahdollisten hyökkäysten torjuminen

Tutkijoiden mukaan haavoittuvuus kotireitittimissä löytyy niiden firmwaresta. Ne johtuvat puutteista päivityskäytännöissä, kotireitittimien toimittajien paikkausprosesseissa sekä riippuvuudesta avoimen lähdekoodin projekteista koodin osalta. Tyypillisesti nämä kolme kriittistä komponenttia kotireitittimissä ovat turvattomia, mikä tekee niistä helpon kohteen kyberrikollisille.

Jotkut kotireitittimet käyttävät vanhaa ohjelmistoa ja niillä on vähän tai ei lainkaan päivityskäytäntöä turvallisuusriskeihin puuttumiseksi. Niiltä puuttuvat myös korjaustiedostot ja päivitykset tunnistettujen puutteiden korjaamiseksi. Tämä voi johtua kotireitittimien valmistajien rahoituksen puutteesta, mikä tekee niistä myös alttiita hakkerien hyökkäyksille. 

Tutkijat neuvovat toimittajia tarjoamaan automaattisia päivityksiä mahdollisten hyökkäysten lieventämiseksi. Juniper sanoi, ”Ainoa varma tapa korjata tämä ongelma on vaatia toimittajia tarjoamaan nolla-käyttökatkoksen automaattisia päivityksiä.”

Käyttäjät voivat myös päivittää kotireitittimensä firmwaren ja pysyä ajan tasalla haavoittuvuuksista välttääkseen laitteidensa komprometointia. Lisäksi VPN:n käyttäminen kotireitittimessä voi auttaa estämään kyberhyökkäyksiä.

## Yhteenveto

Tutkijat ovat löytäneet haavoittuvuuksia kotireitittimissä, jotka voivat laukaista DDOS-hyökkäyksiä kyberrikollisilta. Haavoittuvuus on jo löydetty noin 20 kotireitittimen valmistajalta. Kyberhyökkääjät käynnistävät nämä hyökkäykset Mirai-variantin kautta ja vaikuttavat kaikkiin reitittimeen yhdistettyihin laitteisiin. Käyttäjien on päivitettävä laiteohjelmistonsa ja ryhdyttävä muihin varotoimiin hyökkäysten estämiseksi.