Sårbarheiter i Heimeruterar: Potensielle Truslar frå Hackarar

Sårbarheit i millionar av heimeruterar vart avslørt tidlegare denne månaden. Den 3. august oppdaga Tenable, eit selskap for cybereksponering, ein sårbarheit for autentiseringsomgåing som påverkar både heimeruterar og andre Internett-ting (IoT)-einingar som kan bli utnytta av cyberkriminelle. 

Juniper Threat Labs nemnde også at cyberkriminelle kan bruke ein variant av Mirai-malwaren for å utnytte sårbarheita i heimeroutarar. Det har allereie vore ein nyleg kapring av heimeroutarar frå minst 20 leverandørar, ettersom dei bruker Mirai-malwarevarianten for å utføre DDoS-angrep. Sårbarheita blei oppdaga å påverke heimeroutarleverandørar som ADB, Arcadyan, ASMAX, ASUS, Beeline, British Telecom, Buffalo, Deutsche Telekom, HughesNet, KPN, O2, Orange, Skinny, SparkNZ, Telecom [Argentina], TelMex, Telstra, Telus, Verizon, og Vodafone. Desse heimeroutarane bruker Arcadyan-firmwaren, som er sårbar for angrepet. 

Forskarar hos Tenable spora sikkerheitsfeilen som CVE-2021-20090. Eit proof of concept (POC) vart publisert av Tenable som viser at cyberangriparar kan infiltrere ein eining ved å aktivere Telnet på heimerutaren og få ein viss tilgang til eininga. Angriparen kan deretter starte eit DDoS-angrep på alle einingar kopla til heimerutaren. 

Ifølge Tenable, «Når eit utnyttings-POC [proof of concept] blir publisert, tek det ofte svært lite tid før dei integrerer det i plattforma si og startar åtak. Forskarane merka seg òg at dei fleste organisasjonar ikkje har retningslinjer for å lappe innan nokre få dagar, noko som av og til tek veker å reagere på. Men i tilfellet med IoT-einingar eller heimeportalar, er situasjonen mykje verre sidan dei fleste brukarane ikkje er teknisk kyndige og sjølv dei som er det blir ikkje informerte om potensielle sårbarheiter og lappar som må påførast.

Dei potensielle truslane gjennom Mirai-varianten 

Juniper Network oppdaga utnytting av heimeruterar gjennom Mirai-skadevaren. Cyberkriminelle kan endre IP-adressa si til ein i Kina og starte eit angrep på sårbare ruterar. 

Dei sa, «Vi har identifisert nokre angrepsmønster som prøver å utnytte denne sårbarheita i det fri, som kjem frå ein IP-adresse lokalisert i Wuhan, Hubei-provinsen, Kina. Angriparen ser ut til å prøve å distribuere ein Mirai-variant på dei påverka rutarene.»

Eit åtak på ein heimeruter kan utgjere fleire truslar mot ein person eller eit selskap. Jake Williams frå BreachQuest understreka effekten av åtaket. Han sa, «Ein trusselaktør som kompromitterer ein ruter kan køyre fullstendige mann-i-midten-åtak på all trafikk som går gjennom den, men det meir sannsynlege scenarioet er ein trusselaktør som brukar desse einingane som ein del av eit botnett, som kunne bli brukt for distribuert sårbarheitsskanning, utnytting, passordgjetting, eller i det mest sannsynlege tilfellet DDoS.»

Ifølgje Williams kan ein sårbarheit i brukargrensesnittet til ein heimeruter gje ein angripar tilgang til å logge inn på eininga, noko som potensielt kan tillate dei å endre innstillingar eller leggje til skadevare. Han la likevel til at dei fleste moderne ruterar ikkje eksponerer grensesnittet sitt til det offentlege internettet. 

Kva er Mirai-varianten

Mirai er eit botnet som rettar seg mot Internett-ting (IoT)-einingar—som heimeruterar, digitale videoopptakarar og internett-kamera—og gjer dei om til ting som hackar andre maskiner. Det sjølvreproduserande Mirai-botnetet blir trudd å vere ansvarleg for over ein halv million kompromitterte IoT-einingar som vart brukte til å gjennomføre massive DDoS-angrep på opptil 1 Tbps.

Mirai vart først lagt merke til i 2016 då hackarar sette i gang eit storskala åtak på Dyn sitt domenenamnsystem (DNS)-teneste. Det førte til at mange store nettstader var nede i fleire timar, inkludert Twitter, Amazon, Reddit og Netflix. Mirai-koden vart publisert i november det året, og sidan då har mange ulike variantar dukka opp.

Å motverke potensielle åtak

Ifølgje forskarar er sårbarheita i heimeruterar funnen i deira firmware. Dei er forårsaka av ein mangel på oppdateringspolitikk, lapping frå leverandørar av heimeruterar, samt avhengigheita av open kjeldekode-prosjekt for kode. Vanlegvis er desse tre kritiske komponentane i heimeruterar usikra, noko som gjer dei til eit lett mål for nettkriminelle. 

Nokre heimeruterar køyrer gammal programvare og har lite eller ingen oppdateringspolicy for å handtere tryggleiksrisikoar. Dei manglar òg lappar og oppdateringar for å rette opp identifiserte feil. Dette kan skyldast mangel på finansiering frå produsenten av heimerutaren, noko som òg gjer dei sårbare for angrep frå hackarar. 

Forskarar rådde leverandørar til å tilby automatiske oppdateringar for å redusere potensielle angrep. Juniper sa, «Den einaste sikre måten å løyse dette problemet på er å krevje at leverandørar tilbyr automatiske oppdateringar utan nedetid.»

Brukarar kan òg oppdatere fastvaren på heimerutaren sin og halde seg informerte om sårbarheiter for å unngå kompromittering av enhetene sine. Vidare kan bruk av ein VPN på ein heimerutar òg hjelpe til med å førebyggje cyberangrep. 

Konklusjon

Forskarar har oppdaga sårbarheiter i heimeruterar som kan utløyse DDOS-åtak frå cyberkriminelle. Sårbarheita er allereie funnen hos omtrent 20 leverandørar av heimeruterar. Cyberangriparar set i gang desse åtaka gjennom Mirai-varianten og påverkar alle einingar som er kopla til rutaren. Brukarar treng å oppdatere firmwaren sin og ta andre førehandsreglar for å førebyggje åtak.