18.12.2014 | 18:27

Adam Haertle

Krytyczny błąd w setkach domowych ruterów umożliwia przejęcie kontroli

Badacze odkryli bardzo poważny błąd w domowych ruterach wielu producentów, umożliwiający dowolnemu użytkownikowi zalogowanie się do urządzenia z uprawnieniami administratora. W sieci jest dostępnych około 12 milionów podatnych ruterów.

Wśród natłoku poważnych błędów odkrytych w roku 2014 ten będzie miał swoje miejsce w czołówce. Misfortune Cookie, bo tak swoje odkrycie nazwali badacze z firmy Check Point, zagraża milionom domowych użytkowników. Atakujący, który uzyska dostęp administracyjny do rutera, może dowolnie kontrolować cały ruch internetowy wszystkich domowych urządzeń.

Nieszczęśliwe ciasteczko

W trakcie swoich audytów badacze z firmy Check Point natrafili na błąd w sposobie przetwarzania ciasteczek w serwerze WWW RomPager firmy AllegroSoft (wersje wcześniejsze niż 4.34), który jest jednym z najpopularniejszych rozwiązań w domowych ruterach wielu producentów. Błąd istniał w oprogramowaniu od roku 2002. Choć producent oprogramowania omawianą lukę znalazł i załatał w roku 2005, to jest ona nadal obecna w milionach urządzeń podłączonych do internetu. Badacze znaleźli co najmniej 12 milionów podatnych ruterów na całym świecie. Opublikowali także listę około 200 modeli, w których z dużą dozą prawdopodobieństwa błąd występuje (przetestowali co najmniej jeden podatny egzemplarz każdego modelu). Dominują na niej rutery takich producentów jak:

  • D-Link
  • TP Link
  • Zyxel
  • Huawei
  • ZTE

choć niewykluczone, że podatnych urządzeń jest znacznie więcej.

Odkryty błąd (CVE-2014-9222) polega na nieprawidłowym przetwarzaniu żądań klienta zawierających odpowiednio skonstruowane ciasteczko. Na skutek błędu serwera dochodzi do manipulacji pamięcią urządzenia, przez co można oszukać ruter, by uznał użytkownika za uprawnionego administratora. W ten sposób atakujący może zalogować się do rutera, nie znając hasła administratora. Należy także pamiętać, że na największe ryzyko wystawione są urządzenia dostępne w sieci publicznej.

Błąd ma oczywiście swoje logo i domenę

Błąd ma oczywiście swoje logo i domenę

Możliwe skutki błędu dla użytkowników

Przejęcie uprawnień administratora na podatnym ruterze może mieć bardzo niebezpieczne skutki dla użytkowników. Atakujący może podmienić ustawienia serwerów DNS i przechwytywać ruch kierowany do wybranych domen na swoim serwerze. Nie jest to wcale nierealny scenariusz ataku – dokładnie w taki sposób okradziono już konta bankowości elektronicznej co najmniej kilkunastu Polaków. Atakujący mogą nie tylko okradać konta – posiadając kontrolę nad zapytaniami DNS mogą kontrolować ruch do dowolnie wybranych serwerów.

Inne możliwe scenariusze ataku to chociażby modyfikowanie w locie pobieranych z internetu plików wykonywalnych i infekowanie ich złośliwym oprogramowaniem – takie ataki również były już obserwowane w sieci.

Co robić?

Niestety w tej chwili brak jeszcze informacji o podatności konkretnych wersji oprogramowania a nawet informacja o podatności konkretnych modeli nie jest w 100% pewna – wiemy jedynie, że co najmniej jeden z egzemplarzy danego modelu z listy był podatny w trakcie testów. Jeśli zatem macie taką możliwość i jeszcze tego nie zrobiliście, to za wszelką cenę odetnijcie dostęp do panelu administracyjnego z internetu. Warto także rozważyć zainstalowanie alternatywnego oprogramowania na ruterze (żadne z rozwiązań tego typu nie znalazło się na liście podatnych). Może też być to dobra okazja do wymiany rutera, jeśli nie jest kompatybilny z oprogramowaniem alternatywnym.

Wkrótce spodziewamy się publikacji producentów na temat podatności poszczególnych modeli i dostępności aktualizacji oprogramowania.

Powrót

Komentarze

  • 2014.12.18 18:33 wujek

    Jak wykonać taki atak ? sprawdze mojego tplinka

    Odpowiedz
    • 2014.12.18 18:36 kruczyslaw

      Dołączam sie do pytania :)

      Odpowiedz
    • 2014.12.18 18:51 600bor

      Nie trzeba, pewnie ze 100 botów już „sprawdziło” ;-)

      Odpowiedz
  • 2014.12.18 19:17 user

    Ciekawi mnie jak sprawdzić czy mój router jest podatny? …ciekawe że proponują instalacje programu Zone alarm :)

    Odpowiedz
  • 2014.12.18 19:26 desf

    Czyli o ile dobrze rozumiem problem dotyczy tylko routerów które mają włączony dostęp do panelu admina z internetu? A ta robiąca wrażenie liczba 12M to dotyczy urządzeń z wykrytą podatnością, czy urządzeń które potencjalnie miałyby tę podatność gdyby ktoś włączył w nich dostęp z internetu (która to opcja wydaje mi się jest domyślnie wyłączona prawie wszędzie)?

    Odpowiedz
    • 2014.12.18 21:06 Adam

      12 milionów adresów IP z podatnymi urządzeniami w sieci.

      Odpowiedz
  • 2014.12.18 19:54 bre

    Zapomniano dodać że działa tylko po LAN chyba że ktoś wspaniałomyślnie wystawił panel logowania na WAN :)

    Odpowiedz
    • 2014.12.18 21:40 darek

      No chyba, że router jest jeszcze podatny na np. CSRF + XSS (na stronach nie wymagających uwierzytelnienia) wówczas dowolna strona, która zna IP routera, może wstrzyknąć ciasteczko.

      Odpowiedz
  • 2014.12.18 20:17 InfoSecOne

    Jest juz na to update w metasploit, albo czy ktos juz zapuscil nmapa do tego na portach 8080?

    Odpowiedz
  • 2014.12.18 20:27 Linuxxx:)

    DD-WRT nie gryzie

    Odpowiedz
  • 2014.12.18 20:48 tomek

    Jako rzecze starpolskie przyslowie: gowno kupisz, gowno masz.
    Bylo kupic lepszy sprzet i wgrac alternatywny soft. Natura sama dba o geny i dobrze ze osobnicy przeznaczni do kasacji uzywaja takich sprzetow ;)

    Odpowiedz
    • 2014.12.23 16:56 hadouken

      Tak jest, bo każdy, kto nie ma czasu/wiedzy/ochoty na przeczesywanie internetu w poszukiwaniu doniesien o dziurach w popularnym sprzęcie i pałowanie się z wgrywaniem alternatywnego softu, jest „ewolucyjnie nieprzystosowany” i nie powinien przedłużać gatunków.

      Kocham takie komentarze. Nerd4Life, a reszta świata to lamerzy…

      Odpowiedz
      • 2014.12.23 17:01 hadouken

        …Przedłużać naszego gatunku ofkoz ;). Sam się poprawię, zanim dopadnie mnie wszechobecna policja gramatyczna.

        Odpowiedz
  • 2014.12.18 21:18 BuM

    Jaki router polecacie z modemem pod dd-wrt lub openwrt

    Odpowiedz
    • 2014.12.18 23:17 Kacper

      Jak coś taniego to TP-Link TL-WR1043ND v2 ;) Pełna obsługa hardwareu i całkiem przyzwoite bebechy jak za swoją cenę (ok. 160zł). Do pełni szczęścia brakuje tylko drugiej karty wifi. Jak masz więcej mamony to ASUS ;)

      Odpowiedz
    • 2014.12.19 07:35 Jur

      Ja używam WR841Nv9 pod openwrt i czułość (na tym mi najbardziej zależało) w trybie client jest porównywalna z Ubiquiti NS M2.

      Odpowiedz
  • 2014.12.18 21:32 Grzechooo

    co to za moda z tymi nazwami

    Odpowiedz
  • 2014.12.18 21:47 kkr

    ruter… przez to słowo ciężko się to czytało (:

    Odpowiedz
  • 2014.12.18 21:52 greku

    Amerykanki, najlepse ciastka :P
    Ale czekoladowe smaczniejsze :D

    Odpowiedz
  • 2014.12.19 09:51 kyob

    Z listy wynika, że podatne sa tylko routery z uplinkiem RJ11. „Lanowcy” powinni spać spokojnie.

    Odpowiedz
  • 2014.12.19 10:13 ted

    To nie żaden błąd tylko celowe działania.

    Odpowiedz
  • 2014.12.19 18:00 ta

    śmierdzi to szczególnie że taki CVE nie istnieje

    http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9222

    ściema jakaś albo zwykła reklama

    Odpowiedz
  • 2014.12.20 00:01 Karlos

    Najprościej sprawdzić czy router jest na liście. Ja sprawdziłem, mojego asusa na całe szczęście nie ma.

    Odpowiedz

Zostaw odpowiedź do bre

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Krytyczny błąd w setkach domowych ruterów umożliwia przejęcie kontroli

Komentarze