Kwetsbaarheden in Thuisrouters: Potentiële Dreigingen van Hackers

Een kwetsbaarheid in miljoenen thuisrouters is eerder deze maand bekendgemaakt. Op 3 augustus ontdekte Tenable, een bedrijf gespecialiseerd in cyberblootstelling, een authenticatie-omzeilingskwetsbaarheid die zowel thuisrouters als andere Internet of Things (IoT)-apparaten treft en die door cybercriminelen kan worden uitgebuit.

Juniper Threat Labs heeft ook aangegeven dat cybercriminelen een variant van de Mirai malware kunnen gebruiken om te profiteren van de kwetsbaarheid van de thuisrouter. Er is al een recente kaping van thuisrouters van ten minste 20 leveranciers geweest, aangezien ze de Mirai malware variant gebruiken om DDoS-aanvallen uit te voeren. De kwetsbaarheid bleek thuisrouterleveranciers zoals ADB, Arcadyan, ASMAX, ASUS, Beeline, British Telecom, Buffalo, Deutsche Telekom, HughesNet, KPN, O2, Orange, Skinny, SparkNZ, Telecom [Argentinië], TelMex, Telstra, Telus, Verizon en Vodafone te beïnvloeden. Deze thuisrouters gebruiken de Arcadyan firmware, die kwetsbaar is voor de aanval. 

Onderzoekers bij Tenable hebben de beveiligingsfout gevolgd als CVE-2021-20090. Een proof of concept (POC) werd gepubliceerd door Tenable waarin wordt aangegeven dat cyberaanvallers een apparaat kunnen infiltreren door Telnet op de thuisrouter te activeren en enige toegang tot het apparaat te krijgen. De aanvaller kan vervolgens een DDoS-aanval lanceren op alle apparaten die zijn verbonden met de thuisrouter.

Volgens Tenable: “Wanneer een exploit POC (proof of concept) wordt gepubliceerd, kost het hen vaak heel weinig tijd om het in hun platform te integreren en aanvallen te lanceren. De onderzoekers merkten ook op dat de meeste organisaties geen beleid hebben om binnen een paar dagen te patchen, soms duurt het weken om te reageren. Maar in het geval van IoT-apparaten of thuisgateways is de situatie veel erger omdat de meeste gebruikers niet technisch onderlegd zijn en zelfs degenen die dat wel zijn niet worden geïnformeerd over potentiële kwetsbaarheden en de te toepassen patches.

De Potentiële Dreigingen via Mirai Variant 

Juniper Network ontdekte misbruik van thuisrouters door de Mirai-malware. Cybercriminelen kunnen hun IP-adres veranderen naar een in China en een aanval uitvoeren op kwetsbare routers.

Ze zeiden: “We hebben enkele aanvalspatronen geïdentificeerd die proberen deze kwetsbaarheid in het wild te misbruiken, afkomstig van een IP-adres gelegen in Wuhan, provincie Hubei, China. De aanvaller lijkt te proberen een Mirai-variant te implementeren op de getroffen routers.”

Een aanval op een thuisrouter kan meerdere bedreigingen vormen voor een individu of bedrijf. Jake Williams van BreachQuest benadrukte het effect van de aanval. Hij zei: “Een dreigingsactor die een router compromitteert, kan volledige man-in-the-middle-aanvallen uitvoeren op al het verkeer dat erdoorheen gaat, maar het waarschijnlijkere scenario is een dreigingsactor die deze apparaten gebruikt als onderdeel van een botnet, dat gebruikt kan worden voor gedistribueerde kwetsbaarheidsscanning, exploitatie, wachtwoord raden, of in het meest waarschijnlijke geval DDoS.”

Volgens Williams kan een kwetsbaarheid in de gebruikersinterface van een thuisrouter een aanvaller toegang geven tot het inloggen op het apparaat, waardoor ze mogelijk instellingen kunnen wijzigen of malware kunnen toevoegen. Hij voegde er echter aan toe dat de meeste moderne routers hun interface niet blootstellen aan het openbare internet.

Wat is de Mirai Variant

Mirai is een botnet dat zich richt op Internet of Things (IoT)-apparaten—zoals thuisrouters, digitale videorecorders en internetcamera’s—en ze verandert in dingen die andere machines hacken. Het zichzelf voortplantende Mirai botnet wordt verantwoordelijk geacht voor meer dan een half miljoen gecompromitteerde IoT-apparaten die werden gebruikt om massale DDoS-aanvallen uit te voeren met een omvang tot 1 Tbps.

Mirai werd voor het eerst opgemerkt in 2016 toen hackers een grootschalige aanval uitvoerden op de Dyn domeinnaam systeem (DNS) service. Het zorgde ervoor dat tal van grote sites urenlang niet bereikbaar waren, waaronder Twitter, Amazon, Reddit en Netflix. De Mirai-code werd in november van dat jaar gepubliceerd, en sindsdien zijn er vele verschillende varianten opgedoken.

Potentiële Aanvallen Mitigeren

Volgens onderzoekers wordt de kwetsbaarheid in thuisrouters gevonden in hun firmware. Ze worden veroorzaakt door een tekortkoming in updatebeleid, patching van thuisrouterleveranciers, evenals de afhankelijkheid van open-sourceprojecten voor code. Typisch zijn deze drie cruciale componenten van thuisrouters onbeveiligd, waardoor ze een gemakkelijk doelwit worden voor cybercriminelen.

Sommige thuisrouters draaien op oude software en hebben weinig tot geen updatebeleid om beveiligingsrisico’s aan te pakken. Ze missen ook patches en updates om geïdentificeerde fouten op te lossen. Dit kan te wijten zijn aan een gebrek aan financiering van de kant van de fabrikant van de thuisrouter, wat ze ook vatbaar maakt voor aanvallen van hackers. 

Onderzoekers adviseerden leveranciers om automatische updates aan te bieden om potentiële aanvallen te verminderen. Juniper zei: “De enige zekere manier om dit probleem op te lossen is om leveranciers te verplichten tot het aanbieden van automatische updates zonder downtime.”

Gebruikers kunnen ook de firmware van hun thuisrouter bijwerken en op de hoogte blijven van kwetsbaarheden om compromittering van hun apparaten te voorkomen. Bovendien kan het gebruik van een VPN op een thuisrouter ook helpen om cyberaanvallen te voorkomen. 

Conclusie

Onderzoekers hebben kwetsbaarheden ontdekt in thuisrouters die DDOS-aanvallen van cybercriminelen kunnen ontketenen. De kwetsbaarheid is al gevonden bij ongeveer 20 leveranciers van thuisrouters. Cyberaanvallers lanceren deze aanvallen via de Mirai-variant en beïnvloeden alle apparaten die op de router zijn aangesloten. Gebruikers moeten hun firmware updaten en andere voorzorgsmaatregelen nemen om aanvallen te voorkomen.