Nyitott kapukkal fogadják a támadókat az otthoni routerek

Egyre több probléma kerül napvilágra az otthoni hálózati eszközök, különösen a routerek biztonságával kapcsolatban. Ez pedig a kiberbűnözés figyelmét sem kerüli el.
 

Az elmúlt hónapokban a szokásosnál jóval több biztonsági aggály merült fel az otthoni routerek kapcsán. Ezért a Tripwire biztonsági kutatói úgy gondolták, hogy felmérik a valós helyzetet, és meggyőződnek a kockázatok valódi nagyságáról. Ehhez 50 hálózati útválasztót vizsgáltak meg, amelyeket az Amazonon legkelendőbb készülékek közül választottak ki. Az ilyen módon górcső alá vett "TOP 50"-es lista elég információval szolgált a szakemberek számára, hogy levonják a következtetéseiket.

A vizsgálatok során kiderült, hogy az egyéni felhasználók igényeire szabott routerek többsége szoftveres hibák és biztonsági szempontból nem megfelelő beállítások miatt sebezhető. A felmérésbe bevont eszközök háromnegyede tartalmaz legalább egy biztonsági rést, amelyek harmada dokumentált az interneten. Vagyis ezek kihasználása nem okoz különösebb bonyodalmat a támadók számára. Különösen gyakoriak az adminisztrációs felülettel és a nem kellően alapos hitelesítésekkel kapcsolatos problémák.

A Tripwire kutatói azt is szemügyre vették, hogy az otthoni felhasználók miként üzemeltetik a routereket. Ahogy azt már korábban is sejteni lehetett nagyon sokszor előfordul, hogy a hálózati eszközökön a gyári, alapértelmezett bejelentkezési adatok maradnak érvényben, illetve az IP címtartomány megváltoztatására sem sokszor kerül sor, ami a támadók szempontjából nagyobb kiszámíthatóságot biztosít. A legnagyobb probléma azonban az, hogy a routerek firmware frissítése – amivel a biztonsági javításokat lehetne telepíteni – szintén nagyon gyakran háttérbe szorul.

Craig Young, a biztonsági cég kutatója szerint a felhasználók nem változtatják meg a gyári jelszavakat, illetve az alapértelmezett IP-címeket. Ha pedig ehhez hozzáadjuk a sebezhetőségeket, akkor kijelenthető, hogy a támadók sokszor nyitott kapukkal találják magukat szemben.

A Tripwire szerint a széles körű támadások elé leginkább csak az állít korlátot, hogy a routerek, illetve az azokon futó szoftverek meglehetősen heterogén környezetet teremtenek, hiszen sok gyártó, sokféle típusú eszköze van forgalomban. Ez pedig szerencsére az automatizált támadásokat megnehezíti. Ugyanakkor az könnyen elképzelhető, hogy egy-egy gyártó készülékei, vagy akár egy adott szolgáltató által biztosított routerek ellen nagyobb kiterjedésű támadás indul.

Az elmúlt egy hónap fontosabb esetei

Nemrégen a lengyel CERT Polska csapata számolt be arról, hogy a támadók újabban több lépcsős módszereket alkalmaznak annak érdekében, hogy bizalmas adatokhoz férjenek hozzá. Ennek során routerek sérülékenységeit is felhasználják ahhoz, hogy a hálózatokban megváltoztassák a névszerverek címeit, és ilyen módon hamis weboldalakra irányíthassák a felhasználókat, vagy közbeékelődéses támadásokat kezdeményezhessenek. Az érintett routerek között lehetnek ZyXEL, TP-Link, ZTE, D-Link eszközök is.

Nem sokkal később jött a hír a SANS-tól, hogy a Moon nevű féreg egyes Linksys E-szériás útválasztókon terjed. A jelenlegi variánsa ugyan a routerekben és a hálózatokban nem okoz közvetlen kárt, de jól rávilágít arra, hogy ártalmas programok nemcsak számítógépeken lapulhatnak. A Moon elleni védekezés leghatásosabb módja a távoli menedzsment érintett routerekben való letiltása.

A múlt héten pedig az ASUS RT-sorozatú útválasztói kapcsán látott napvilágot két – amúgy már több hónapja ismert – sebezhetőség. Ezek elsősorban HTTP-alapú rendellenességekre, biztonsági szempontból gyenge FTP-beállításokra, valamint az AiCloudhoz tartozó felhasználónevek és jelszavak nem megfelelő tárolására vezethetők vissza. A javításokat az ASUS időközben kiadta, így ezeket a routereket is érdemes frissíteni.

Hogyan védekezzünk?

Az otthoni routereket célzó támadások elleni védekezés során a legfontosabb, hogy változtassuk meg a hálózati eszköz alapértelmezett jelszavát. Ezt követően rendszeresen meg kell győződni arról, hogy a gyártó adott-e ki frissítéseket (újabb firmware verziókat), amelyeket érdemes mihamarabb telepíteni. Mindezek mellett pedig le kell tiltani a routerek adminisztrációs felületének internet felöli elérését.