Zeci de modele de routere Linksys sunt vulnerabile la atacuri care ar putea extrage informații confidențiale din configurațiile acestora, făcându-le să nu mai răspundă și chiar să le acapareze complet.
Vulnerabilitățile au fost descoperite de către consultantul de securitate senior Tao Sauvage de la IOActive și cercetătorul de securitate independent Antide Petit, în timp ce lucrau împreună pentru a analiza routerul wireless Linksys EA3500 Smart Wi-Fi.
Cei doi cercetători au descoperit un total de 10 vulnerabilități care afectează nu numai modelul EA3500, ci și două modele de router diferite din seriile Smart Wi-Fi, WRT și Wireless-AC ale celor de la Linksys. Chiar dacă aceste dispozitive sunt comercializate ca produse de larg consum, nu este neobișnuit să le găsim în medii de afaceri mici și în birouri.
Vulnerabilitățile variază de la severitate scăzută la ridicată și influențează în mod direct peste 7000 de routere care au interfețele administrative bazate pe web expuse la Internet. Numeroase alte dispozitive sunt vulnerabile la atacurile lansate prin rețelele locale de pe computere, telefoane sau alte dispozitive compromise.
Două vulnerabilități permit atacatorilor la distanță neautorizați să folosească un atac de tip DDoS pe routerele afectate, trimițând cereri special create pentru una dintre interfețele lor de programare a aplicațiilor (API). Acest lucru poate determina ca dispozitivele să nu răspundă și să împiedice accesul utilizatorilor la internet.
Alte deficiențe în interfețele web ale routerelor Linksys afectate permit atacatorilor să ignore autentificarea și să acceseze mai multe scripturi CGI care pot dezvălui informații sensibile despre dispozitive și configurațiile lor. Informațiile expuse includ codul Wi-Fi Protected Setup (WPS) care poate permite atacatorilor să acceseze rețeaua fără fir și să atace un router afectat din interior.
Aceste vulnerabilități pot fi de asemenea folosite pentru a obține versiunile de firmware și kernel ale routerului, o listă cu procesele în execuție, informații despre computerele conectate la routere, o listă de dispozitive USB și setările de configurare pentru serverele de distribuire a fișierelor FTP și SMB.
În cele din urmă, vulnerabilitatea cea mai gravă ar putea permite atacatorilor să injecteze și să execute comenzi shell cu privilegii de root pe routerele afectate. Acest lucru ar putea fi folosit pentru a configura un cont administrativ din backdoor care nu ar fi listat în interfața web.
Spre deosebire de celelalte defecte, vulnerabilitatea de injectarea a comenzilor necesită autentificare pentru a fi exploatată, ceea ce înseamnă că atacatorii trebuie să aibă acces la un cont existent. Din fericire, routerele Linksys au protecție împotriva atacurilor de tip „forgery” (CSRF) care, în caz contrar, ar permite atacatorilor să atace browser-ul administratorului de router și să-l redirecteze pe o sesiune activă de conectare pentru a exploata această vulnerabilitate.
Singura modalitate de a exploata acest defect este dacă numele de utilizator și parola de conectare implicite nu au fost modificate, ceea ce din păcate este încă o greșeală comună a securității pe routere. Cei doi cercetători au constatat că 11% din cele 7000 de routere Linksys expuse pe Internet pe care le-au identificat folosind motorul de căutare Shodan au folosit în continuare acreditări implicite.
Raportul dintre dispozitivele care utilizează parola implicită și care nu sunt accesibile pe internet este probabil mult mai mare. Asta pentru că oamenii sunt mai puțin conștienți de această problemă dacă nu intenționează să permită administrarea la distanță și nu își dau seama că routerele lor pot fi încă atacate prin intermediul rețelei locale.
În februarie, cercetătorii în domeniul securității au descoperit un program trojan de Windows care încearcă să acceseze routerele prin LAN utilizând acreditări standard implicite. Dacă reușește, instalează Mirai pe ele, un program malware care înrobește dispozitivele încorporate și le folosește pentru a lansa atacuri DDoS.
În decembrie, cercetătorii de la Kaspersky Lab au descoperit o aplicație rău intenționată pentru Android, care a fost, de asemenea, proiectată să intercepteze router-ele pe rețelele locale prin utilizarea acreditărilor implicite.
Amenințarea atacurilor locale este sporită, deoarece oamenii adesea lăsau prieteni și membri ai familiei să se conecteze la rețelele lor fără fir cu dispozitive proprii, ceea ce ar putea fi o breșă de securitate.
Linksys, o divizie a celor de la Belkin, lucrează la lansarea actualizărilor de firmware pentru a remedia aceste vulnerabilități. Între timp, compania îi sfătuiește pe utilizatori să dezactiveze funcția de guests Wi-Fi de pe routerele lor pentru a reduce probabilitatea unei activități malițioase și să schimbe parola de administrator.
Referințele Linksys listează toate modelele afectate și recomandă activarea funcției de actualizare automată pentru a primi pachetele de firmware atunci când acestea sunt disponibile.
Comentarii