Podatności w domowych routerach: Potencjalne zagrożenia ze strony hakerów

Na początku tego miesiąca ujawniono lukę w zabezpieczeniach milionów domowych routerów. 3 sierpnia firma Tenable, zajmująca się cyberbezpieczeństwem, odkryła lukę w uwierzytelnianiu, która dotyczy zarówno domowych routerów, jak i innych urządzeń Internetu Rzeczy (IoT), którą mogą wykorzystać cyberprzestępcy.

Juniper Threat Labs również wspomniało, że cyberprzestępcy mogą wykorzystać wariant złośliwego oprogramowania Mirai, aby wykorzystać podatność domowych routerów. Doszło już do niedawnego przejęcia routerów domowych od co najmniej 20 dostawców, ponieważ używają oni wariantu złośliwego oprogramowania Mirai do przeprowadzania ataków DDoS. Odkryto, że podatność dotyczy dostawców routerów domowych takich jak ADB, Arcadyan, ASMAX, ASUS, Beeline, British Telecom, Buffalo, Deutsche Telekom, HughesNet, KPN, O2, Orange, Skinny, SparkNZ, Telecom [Argentina], TelMex, Telstra, Telus, Verizon i Vodafone. Te domowe routery używają oprogramowania Arcadyan, które jest podatne na atak. 

Badacze z Tenable śledzili lukę bezpieczeństwa jako CVE-2021-20090. Dowód koncepcji (POC) został opublikowany przez Tenable, wskazując, że cyberprzestępcy mogą infiltrować urządzenie, aktywując Telnet na domowym routerze i uzyskać pewien dostęp do urządzenia. Następnie atakujący może przeprowadzić atak DDoS na wszystkie urządzenia podłączone do domowego routera.

Według Tenable, “Kiedykolwiek zostanie opublikowany POC [proof of concept] wykorzystania, często zajmuje im to bardzo mało czasu, aby zintegrować go z ich platformą i rozpocząć ataki. Badacze zauważyli również, że większość organizacji nie ma polityk pozwalających na załatanie luk w ciągu kilku dni, czasami reakcja zajmuje tygodnie. Ale w przypadku urządzeń IoT lub domowych bramek sytuacja jest znacznie gorsza, ponieważ większość użytkowników nie jest obeznana z technologią, a nawet ci, którzy są, nie są informowani o potencjalnych podatnościach i łatkach, które należy zastosować.

## Potencjalne zagrożenia przez wariant Mirai

Juniper Network odkryła wykorzystywanie domowych routerów przez złośliwe oprogramowanie Mirai. Cyberprzestępcy mogą zmienić swój adres IP na adres w Chinach i przeprowadzić atak na podatne routery.

Powiedzieli, „Zidentyfikowaliśmy pewne wzorce ataków, które próbują wykorzystać tę podatność w środowisku naturalnym, pochodzące z adresu IP zlokalizowanego w Wuhan, prowincja Hubei, Chiny. Wydaje się, że atakujący próbuje zainstalować wariant Mirai na dotkniętych routerach.”

Atak na domowy router może stanowić wiele zagrożeń dla jednostki lub firmy. Jake Williams z BreachQuest podkreślił skutki ataku. Powiedział: „Aktor zagrożenia, który przejmuje kontrolę nad routerem, może przeprowadzać pełne ataki typu man-in-the-middle na cały przesyłany przez niego ruch, ale bardziej prawdopodobnym scenariuszem jest wykorzystanie tych urządzeń przez aktora zagrożenia jako części botnetu, który może być używany do rozproszonego skanowania podatności, eksploatacji, zgadywania haseł, lub w najbardziej prawdopodobnym przypadku ataków DDoS.”

Według Williamsa, podatność w interfejsie użytkownika domowego routera może dać atakującemu dostęp do logowania do urządzenia, potencjalnie pozwalając mu zmienić ustawienia lub dodać złośliwe oprogramowanie. Dodał jednak, że większość nowoczesnych routerów nie udostępnia swojego interfejsu publicznemu internetowi.

## Co to jest wariant Mirai

Mirai to botnet, który atakuje urządzenia Internetu Rzeczy (IoT) — takie jak domowe routery, cyfrowe rejestratory wideo i kamery internetowe — i przekształca je w narzędzia do hakowania innych maszyn. Samoreplikujący się botnet Mirai jest uważany za odpowiedzialny za kompromitację ponad pół miliona urządzeń IoT, które zostały wykorzystane do przeprowadzenia masowych ataków DDoS sięgających do 1 Tbps.

Mirai został po raz pierwszy zauważony w 2016 roku, kiedy hakerzy przeprowadzili szeroko zakrojony atak na usługę systemu nazw domen (DNS) Dyn. Spowodowało to, że wiele dużych stron było niedostępnych przez kilka godzin, w tym Twitter, Amazon, Reddit i Netflix. Kod Mirai został opublikowany w listopadzie tego roku, i od tego czasu pojawiło się wiele różnych wariantów.

## Zapobieganie Potencjalnym Atakom

Według badaczy, podatność w domowych routerach znajduje się w ich oprogramowaniu układowym. Jest spowodowana brakiem w polityce aktualizacji, łataniu przez producentów domowych routerów, jak również ich zależnością od projektów open source dla kodu. Zazwyczaj te trzy kluczowe składniki domowych routerów są niezabezpieczone, co czyni je łatwym celem dla cyberprzestępców.

Niektóre domowe routery działają na starym oprogramowaniu i mają niewielką lub żadną politykę aktualizacji, aby zaradzić ryzyku związanemu z bezpieczeństwem. Brakuje im również łatek i aktualizacji do rozwiązania zidentyfikowanych wad. Może to być spowodowane brakiem funduszy ze strony producenta routerów domowych, co również czyni je podatnymi na ataki hakerów.

Badacze zalecili dostawcom oferowanie automatycznych aktualizacji, aby złagodzić potencjalne ataki. Juniper stwierdził: „Jedynym pewnym sposobem na rozwiązanie tego problemu jest wymaganie od dostawców oferowania automatycznych aktualizacji bez przestojów.”

Użytkownicy mogą również aktualizować oprogramowanie swojego domowego routera i być na bieżąco z informacjami na temat podatności, aby uniknąć zagrożeń dla swoich urządzeń. Ponadto, używanie VPN na domowym routerze może również pomóc w zapobieganiu cyberataków.

## Podsumowanie

Badacze odkryli luki w domowych routerach, które mogą umożliwić ataki DDOS ze strony cyberprzestępców. Podatność została już znaleziona u około 20 dostawców domowych routerów. Cyberprzestępcy przeprowadzają te ataki za pomocą wariantu Mirai i wpływają na wszystkie urządzenia podłączone do routera. Użytkownicy muszą zaktualizować oprogramowanie układowe i podjąć inne środki ostrożności, aby zapobiec atakom.