CERT Polska opublikował komunikat o podatnościach w oprogramowaniu jednego z routerów. Choć dotyczy to produktu rzadko stosownego przez małych i średnich operatorów telekomunikacyjnych, przypominamy co zrobić w takiej sytuacji.
– Poziom zagrożenia cyberatakami jest wysoki już od dłuższego czasu i z pewnością nie zmieni się w najbliższych miesiącach – stwierdza Artur Tomaszczyk z firmy ComNet Multimedia. – Choć nie słyszałem wcześnie o marce wskazanej w komunikacie CERT, sama podatność może być w praktyce bardzo problematyczne. Odpowiednio napisany botnet mógłby ubić masowo te routery, to znaczy wykonać atak DDoS i tak zapchać router, że przestałby przetwarzać pakiety.
Podatny router to Pix-Link LV-WR21Q. Zagrożenia, jakie zidentyfikowano w jego oprogramowaniu były dwa. Jak podaje CERT:
- endpoint
/goform/getHomePageInfow Pix-Link LV-WR21Q nie wymaga żadnej formy uwierzytelnienia. Zdalny, nieuwierzytelniony atakujący może wykorzystać ten endpoint, np. do uzyskania hasła do punktu dostępowego w postaci jawnego tekstu; - podatność w module językowym routera umożliwia zdalnemu atakującemu wywołanie ataku typu DoS poprzez wysłanie specjalnie spreparowanego żądania HTTP POST zawierającego nieistniejący parametr językowy. Powoduje to, że serwer nie jest w stanie poprawnie udostępnić pliku
lang.js, co skutkuje niedostępnością panelu administracyjnego i prowadzi do stanu DoS aż do momentu przywrócenia ustawień językowych do prawidłowej wartości. Odmowa usługi dotyczy wyłącznie panelu administracyjnego i nie wpływa na pozostałe funkcjonalności routera.
Jak podaje zespół producent sprzętu został już wcześniej poinformowany o tych podatnościach, jednak nie udzielił informacji na ich temat ani zakresu wersji podatnych na atak. Przetestowano i potwierdzono podatności jedynie w wersji V108_108 – inne wersje nie były testowane i również mogą być podatne.
– W historii swojej pracy pamiętam dwa poważne przypadki wykorzystania podatności routerów – wspomina Artur Tomaszczyk. – Około dziesięciu lat temu wirus o uroczej nazwie “Motherfucker” zaatakował anteny Ubiquiti. Później nastąpił jeszcze atak na routery firmy Huawei. Wówczas operacja była bardzo specjalistyczna i musiała przejść kilka etapów. Najpierw musiał zostać zainfekowany komputer ofiary, następnie routery z otwartym dostępem od strony LAN miały podmieniane adresy DNS, co powodowało podmianę niektórych stron internetowych.
Choć ostatni komunikat CERT nie jest szczególnie niepokojący, przypominamy, że warto stosować dobre praktyki z zakresu cyberbezpieczeństwa. Należy do nich zamykanie dostęp do routerów operatorskich (zarówno od LAN, jak i od WAN dla wszystkich usług) oraz regularny przegląd informacji dotyczących podatności szukając fraz kluczowych.
CERT ma też dwie usługi, z których korzystają operatorzy: n6 (skanuje sieć szukając podatności) oraz moje.cert.pl (skanuje nasze strony internetowe). Warto też korzystać ze strony shodan.io. Przed wieloma podatnościami można się także ochronić poprzez odpowiednią konfigurację firewalla.
Czytaj także:
