Badacze odkryli bardzo poważny błąd w domowych ruterach wielu producentów, umożliwiający dowolnemu użytkownikowi zalogowanie się do urządzenia z uprawnieniami administratora. W sieci jest dostępnych około 12 milionów podatnych ruterów.
Wśród natłoku poważnych błędów odkrytych w roku 2014 ten będzie miał swoje miejsce w czołówce. Misfortune Cookie, bo tak swoje odkrycie nazwali badacze z firmy Check Point, zagraża milionom domowych użytkowników. Atakujący, który uzyska dostęp administracyjny do rutera, może dowolnie kontrolować cały ruch internetowy wszystkich domowych urządzeń.
Nieszczęśliwe ciasteczko
W trakcie swoich audytów badacze z firmy Check Point natrafili na błąd w sposobie przetwarzania ciasteczek w serwerze WWW RomPager firmy AllegroSoft (wersje wcześniejsze niż 4.34), który jest jednym z najpopularniejszych rozwiązań w domowych ruterach wielu producentów. Błąd istniał w oprogramowaniu od roku 2002. Choć producent oprogramowania omawianą lukę znalazł i załatał w roku 2005, to jest ona nadal obecna w milionach urządzeń podłączonych do internetu. Badacze znaleźli co najmniej 12 milionów podatnych ruterów na całym świecie. Opublikowali także listę około 200 modeli, w których z dużą dozą prawdopodobieństwa błąd występuje (przetestowali co najmniej jeden podatny egzemplarz każdego modelu). Dominują na niej rutery takich producentów jak:
- D-Link
- TP Link
- Zyxel
- Huawei
- ZTE
choć niewykluczone, że podatnych urządzeń jest znacznie więcej.
Odkryty błąd (CVE-2014-9222) polega na nieprawidłowym przetwarzaniu żądań klienta zawierających odpowiednio skonstruowane ciasteczko. Na skutek błędu serwera dochodzi do manipulacji pamięcią urządzenia, przez co można oszukać ruter, by uznał użytkownika za uprawnionego administratora. W ten sposób atakujący może zalogować się do rutera, nie znając hasła administratora. Należy także pamiętać, że na największe ryzyko wystawione są urządzenia dostępne w sieci publicznej.
Błąd ma oczywiście swoje logo i domenę
Możliwe skutki błędu dla użytkowników
Przejęcie uprawnień administratora na podatnym ruterze może mieć bardzo niebezpieczne skutki dla użytkowników. Atakujący może podmienić ustawienia serwerów DNS i przechwytywać ruch kierowany do wybranych domen na swoim serwerze. Nie jest to wcale nierealny scenariusz ataku – dokładnie w taki sposób okradziono już konta bankowości elektronicznej co najmniej kilkunastu Polaków. Atakujący mogą nie tylko okradać konta – posiadając kontrolę nad zapytaniami DNS mogą kontrolować ruch do dowolnie wybranych serwerów.
Inne możliwe scenariusze ataku to chociażby modyfikowanie w locie pobieranych z internetu plików wykonywalnych i infekowanie ich złośliwym oprogramowaniem – takie ataki również były już obserwowane w sieci.
Co robić?
Niestety w tej chwili brak jeszcze informacji o podatności konkretnych wersji oprogramowania a nawet informacja o podatności konkretnych modeli nie jest w 100% pewna – wiemy jedynie, że co najmniej jeden z egzemplarzy danego modelu z listy był podatny w trakcie testów. Jeśli zatem macie taką możliwość i jeszcze tego nie zrobiliście, to za wszelką cenę odetnijcie dostęp do panelu administracyjnego z internetu. Warto także rozważyć zainstalowanie alternatywnego oprogramowania na ruterze (żadne z rozwiązań tego typu nie znalazło się na liście podatnych). Może też być to dobra okazja do wymiany rutera, jeśli nie jest kompatybilny z oprogramowaniem alternatywnym.
Wkrótce spodziewamy się publikacji producentów na temat podatności poszczególnych modeli i dostępności aktualizacji oprogramowania.
Komentarze
Jak wykonać taki atak ? sprawdze mojego tplinka
Dołączam sie do pytania :)
Nie trzeba, pewnie ze 100 botów już „sprawdziło” ;-)
Ciekawi mnie jak sprawdzić czy mój router jest podatny? …ciekawe że proponują instalacje programu Zone alarm :)
Czyli o ile dobrze rozumiem problem dotyczy tylko routerów które mają włączony dostęp do panelu admina z internetu? A ta robiąca wrażenie liczba 12M to dotyczy urządzeń z wykrytą podatnością, czy urządzeń które potencjalnie miałyby tę podatność gdyby ktoś włączył w nich dostęp z internetu (która to opcja wydaje mi się jest domyślnie wyłączona prawie wszędzie)?
12 milionów adresów IP z podatnymi urządzeniami w sieci.
Zapomniano dodać że działa tylko po LAN chyba że ktoś wspaniałomyślnie wystawił panel logowania na WAN :)
No chyba, że router jest jeszcze podatny na np. CSRF + XSS (na stronach nie wymagających uwierzytelnienia) wówczas dowolna strona, która zna IP routera, może wstrzyknąć ciasteczko.
Jest juz na to update w metasploit, albo czy ktos juz zapuscil nmapa do tego na portach 8080?
DD-WRT nie gryzie
Jako rzecze starpolskie przyslowie: gowno kupisz, gowno masz.
Bylo kupic lepszy sprzet i wgrac alternatywny soft. Natura sama dba o geny i dobrze ze osobnicy przeznaczni do kasacji uzywaja takich sprzetow ;)
Tak jest, bo każdy, kto nie ma czasu/wiedzy/ochoty na przeczesywanie internetu w poszukiwaniu doniesien o dziurach w popularnym sprzęcie i pałowanie się z wgrywaniem alternatywnego softu, jest „ewolucyjnie nieprzystosowany” i nie powinien przedłużać gatunków.
Kocham takie komentarze. Nerd4Life, a reszta świata to lamerzy…
…Przedłużać naszego gatunku ofkoz ;). Sam się poprawię, zanim dopadnie mnie wszechobecna policja gramatyczna.
Jaki router polecacie z modemem pod dd-wrt lub openwrt
Jak coś taniego to TP-Link TL-WR1043ND v2 ;) Pełna obsługa hardwareu i całkiem przyzwoite bebechy jak za swoją cenę (ok. 160zł). Do pełni szczęścia brakuje tylko drugiej karty wifi. Jak masz więcej mamony to ASUS ;)
Ja używam WR841Nv9 pod openwrt i czułość (na tym mi najbardziej zależało) w trybie client jest porównywalna z Ubiquiti NS M2.
co to za moda z tymi nazwami
ruter… przez to słowo ciężko się to czytało (:
Amerykanki, najlepse ciastka :P
Ale czekoladowe smaczniejsze :D
Z listy wynika, że podatne sa tylko routery z uplinkiem RJ11. „Lanowcy” powinni spać spokojnie.
To nie żaden błąd tylko celowe działania.
śmierdzi to szczególnie że taki CVE nie istnieje
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9222
ściema jakaś albo zwykła reklama
Najprościej sprawdzić czy router jest na liście. Ja sprawdziłem, mojego asusa na całe szczęście nie ma.