Устойчивые ботнеты из роутеров – пугающие перспективы технического прогресса

Тема в разделе "Новости информационной безопасности", создана пользователем Severnyj, 1 авг 2012.

  1. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Конференция Defcon раскрыла серьезные проблемы с безопасностью таких распространенных устройств, как роутеры для дома и офиса. Как выясняется, многие модели роутеров этого уровня подвержены уязвимости, получившей название RPEF (Router Post-Exploitation Framework). Это название можно перевести, как «технология использования роутера в произвольных целях после перехвата управления». Возможности, которая открывает эта уязвимость, поистине безграничны: от ложного DNS-сервиса и прослушки трафика до полномасштабных распределенных атак на отказ в обслуживании с централизованной координацией.

    [​IMG]

    Описание уязвимости RPEF представил Майкл Коппола (Michael Coppola) из компании VSR (Virtual Security Research). По его данным, проблеме точно подвержены модели роутеров Netgear WGR614, WNDR3700 и WNR1000; Linksys WRT120N; TRENDnet TEW-651BR и TEW-652BRP; D-Link DIR-601 и Belkin F5D7230-4. В дальнейшем этот список может сильно расшириться.

    Само собой, чтобы превратить домашний или офисный роутер в управляемого «зомби», сначала нужно перехватить управление им и установить новую прошивку. Это можно сделать, если веб-интерфейс роутера открыт для доступа из Интернета (а не только из локальной сети). Как показывают исследования, таких роутеров по всему миру работает очень и очень немало.

    Тем не менее, даже если ваш роутер правильно сконфигурирован, доступ к веб-интерфейсу из Интернета закрыт, вы все равно не можете чувствовать себя в безопасности. Фил Первайнс (Phil Purviance) и Джошуа Брашарс (Joshua Brashars) из компании AppSec Consulting показали, как с помощью современных технологий злоумышленники могут без ведома пользователя получить пароль к администраторскому интерфейсу роутера (через историю браузера и с использованием других методов), что в итоге дает потенциальный доступ к перепрошивке роутера.

    Стоит заметить, что наиболее подвержены уязвимостям оказались популярные нестандартные прошивки роутеров на базе известного инструментария DD-WRT с открытым исходным кодом. Достаточно посетить веб-сайт с вредоносными JavaScript-сценариями через тот же браузер, через который вы управляете роутером: злоумышленник получит детальное описание модели роутера, внутренних настроек и другие сведения. Шансов заметить смену прошивки немного – многие современные роутеры позволяют сохранить все пользовательские настройки в отдельном чипе памяти NVRAM, которые остаются даже при полной перепрошивке. Доказана теоретическая возможность создания вредоносных прошивок, содержащих клиентские модули ботнета, причем вид веб-интерфейса будет неотличим от оригинального.

    Стоит добавить, что ботнеты из роутеров являются не абстрактной опасностью. Еще в 2009 г. компания DroneBL обнаружила червя, заражавшего роутеры и DSL-модемы под управлением система Mipsel, одного из вариантов Linux на базе сборки Debian. В 2011 г. эксперты антивирусной компании Trend Micro нашли аналогичное вредоносное ПО в Латинской Америке – червь поражал роутеры D-Link и самоуничтожался при перезагрузке. С открытием новых уязвимостей такая угроза может стать постоянной – вредоносное ПО может стать частью прошивки и уже не будет исчезать при перезагрузках, так что обнаружить проблему будет очень нелегко.

    Примечательно, что сам Майкл Коппола считает, что отсутствие масштабных устойчивых ботнет-сетей на базе роутеров сегодня объясняется лишь дефицитом инструментов для глубокого анализа прошивок на низком уровне. Как раз «вовремя», на той же конференции была представлена утилита FRAK (Firmware Reverse Engineering Konsole), которая значительно расширяет возможности такого анализа.

    Источник
     
    5 пользователям это понравилось.
  2. Rins
    Оффлайн

    Rins Активный пользователь

    Сообщения:
    370
    Симпатии:
    50
    Как оказалось, в ряде моделей пароль можно получить из бекапа конфигурационного файла.
    Пароль может находится в тривиальной секции авторизации, если взглянуть на конфиг через блокнот и зашифрован всего лишь в Base-64.
    Такой файл как правило есть на компьютере у тех, кто сам настраивал оборудование, в том числе и для повышения безопасности.
    Хранится может такой бекап будучи сохраненным из браузера, в пределах досягаемости браузера.
    Если делается бекап, не помешает его дополнительно зашифровать и спрятать в укромное место.
     
    2 пользователям это понравилось.

Поделиться этой страницей