Vulnerabilidades em Roteadores Domésticos: Ameaças Potenciais de Hackers
Uma vulnerabilidade em milhões de roteadores domésticos foi divulgada no início deste mês. Em 3 de agosto, a Tenable, uma empresa de exposição cibernética, descobriu uma vulnerabilidade de bypass de autenticação afetando tanto roteadores domésticos quanto outros dispositivos da Internet das Coisas (IoT) que podem ser explorados por cibercriminosos.
Juniper Threat Labs também citou que cibercriminosos podem usar uma variante do malware Mirai para se aproveitar da vulnerabilidade de roteadores domésticos. Já houve um recente sequestro de roteadores domésticos de pelo menos 20 fabricantes, pois eles utilizam a variante do malware Mirai para realizar ataques DDoS. A vulnerabilidade foi descoberta afetando fabricantes de roteadores domésticos como ADB, Arcadyan, ASMAX, ASUS, Beeline, British Telecom, Buffalo, Deutsche Telekom, HughesNet, KPN, O2, Orange, Skinny, SparkNZ, Telecom [Argentina], TelMex, Telstra, Telus, Verizon e Vodafone. Esses roteadores domésticos usam o firmware da Arcadyan, que é vulnerável ao ataque.
Pesquisadores da Tenable rastrearam a falha de segurança como CVE-2021-20090. Uma prova de conceito (POC) foi publicada pela Tenable indicando que cibercriminosos podem infiltrar-se em um dispositivo ativando o Telnet no roteador doméstico e ganhar algum acesso ao dispositivo. O atacante pode então iniciar um ataque DDoS em todos os dispositivos conectados ao roteador doméstico.
De acordo com a Tenable, “Sempre que um POC [prova de conceito] de exploração é publicado, geralmente leva muito pouco tempo para integrá-lo à sua plataforma e lançar ataques. Os pesquisadores também observaram que a maioria das organizações não possui políticas para aplicar correções em poucos dias, às vezes levando semanas para reagir. Mas, no caso de dispositivos IoT ou gateways domésticos, a situação é muito pior, pois a maioria dos usuários não tem conhecimento técnico e mesmo aqueles que têm não são informados sobre vulnerabilidades potenciais e correções a serem aplicadas.
As Ameaças Potenciais Através da Variante Mirai
A Juniper Network descobriu a exploração de roteadores domésticos através do malware Mirai. Os cibercriminosos podem mudar seu endereço IP para um na China e lançar um ataque em roteadores vulneráveis.
Eles disseram, “Identificamos alguns padrões de ataque que tentam explorar essa vulnerabilidade em atividade real, vindos de um endereço IP localizado em Wuhan, província de Hubei, China. O atacante parece estar tentando implantar uma variante do Mirai nos roteadores afetados.”
Um ataque a um roteador doméstico pode representar múltiplas ameaças para um indivíduo ou empresa. Jake Williams, da BreachQuest, enfatizou o efeito do ataque. Ele disse: “Um ator de ameaça que compromete um roteador pode executar ataques completos de man-in-the-middle em todo o tráfego que passa por ele, mas o cenário mais provável é um ator de ameaça usando esses dispositivos como parte de uma botnet, que poderia ser usada para varredura de vulnerabilidades distribuídas, exploração, adivinhação de senhas ou, no caso mais provável, DDoS.”
De acordo com Williams, uma vulnerabilidade na interface do usuário de um roteador doméstico poderia dar a um atacante acesso de login ao dispositivo, permitindo potencialmente que eles alterassem configurações ou adicionassem malware. Ele, no entanto, acrescentou que a maioria dos roteadores modernos não expõe sua interface à internet pública.
O que é a Variante Mirai
Mirai é um botnet que tem como alvo dispositivos da Internet das Coisas (IoT) — como roteadores domésticos, gravadores de vídeo digital e câmeras de internet — e os transforma em coisas que hackeiam outras máquinas. Acredita-se que o botnet Mirai, que se propaga automaticamente, seja responsável por mais de meio milhão de dispositivos IoT comprometidos que foram usados para conduzir ataques massivos de DDoS que chegaram a 1 Tbps.
Mirai foi detectado pela primeira vez em 2016, quando hackers lançaram um ataque em larga escala ao serviço de sistema de nomes de domínio (DNS) da Dyn. Isso causou a queda de diversos grandes sites por horas, incluindo Twitter, Amazon, Reddit e Netflix. O código do Mirai foi publicado em novembro daquele ano, e desde então, muitas variantes diferentes surgiram.
Mitigando Ataques Potenciais
De acordo com pesquisadores, a vulnerabilidade em roteadores domésticos é encontrada em seu firmware. Elas são causadas por uma deficiência nas políticas de atualização, correção por parte dos fornecedores de roteadores domésticos, bem como sua dependência de projetos de código aberto para código. Tipicamente, esses três componentes críticos dos roteadores domésticos não são seguros, tornando-os um alvo fácil para cibercriminosos.
Alguns roteadores domésticos utilizam softwares antigos e possuem pouca ou nenhuma política de atualização para lidar com riscos de segurança. Eles também carecem de patches e atualizações para resolver falhas identificadas. Isso pode ser devido à falta de financiamento por parte do fabricante do roteador doméstico, o que também os torna suscetíveis a ataques de hackers.
Pesquisadores aconselharam fornecedores a oferecer atualizações automáticas para mitigar possíveis ataques. A Juniper disse, “A única maneira certa de remediar esse problema é exigir que os fornecedores ofereçam atualizações automáticas sem tempo de inatividade.”
Os usuários também podem atualizar o firmware do roteador de casa e se manter informados sobre vulnerabilidades para evitar comprometimentos em seus dispositivos. Além disso, usar uma VPN em um roteador doméstico também pode ajudar a prevenir ataques cibernéticos.
Conclusão
Pesquisadores descobriram vulnerabilidades em roteadores domésticos que podem desencadear ataques DDOS por parte de cibercriminosos. A vulnerabilidade já foi encontrada em cerca de 20 fabricantes de roteadores domésticos. Os ciberatacantes lançam esses ataques por meio da variante Mirai e afetam todos os dispositivos conectados ao roteador. Os usuários precisam atualizar o firmware e tomar outras precauções para prevenir ataques.