A routerek biztonsági kérdései gyakorta foglalkoztatják a sebezhetőségek iránt érdeklődőket. Ez persze nem véletlen, hiszen a hálózati útválasztók sikeres támadása komoly kockázatot jelent már csak azért is, mert a hálózati adatforgalmat teljes mértékben kiszolgáltatottá tudja tenni. Ezt támasztja alá az az új eszköz is, amely kifejezetten a routerek manipulálására alkalmas.
Michael Coppola, a Virtual Security Research (VSR) biztonsági tanácsadója egy konferencián számolt be a legutóbbi felfedezéséről, szerzeményéről, és egyúttal ismertette azokat a veszélyeket, illetve támadási módokat, amelyek révén a hálózati útválasztók védtelenné válhatnak. A szakember egy olyan kódot fejlesztett ki, amely egy hátsó kaput nyit az otthoni és kisvállalati környezetekhez tervezett routereken, illetve azokat akár egy botnetbe is képes bevonni. Tulajdonképpen úgy lehet vele károkat okozni, hogy abból a felhasználó nagy valószínűséggel nem vesz észre semmit.
Miközben a szakértő a routereket érő fenyegetettségeket ecsetelte, aközben demonstrálta is a veszélyeket egy saját fejlesztésű, Router Post-Exploitation Framework (rpef) névre keresztelt megoldás segítségével. Ez a keretrendszer népszerű, kis hálózatokban használatos routerekkel kompatibilis, így például az alábbiakkal is:
- Netgear WGR614, WNDR3700, WNR1000
- Linksys WRT120N
- TRENDnet TEW-651BR, TEW-652BRP
- D-Link DIR-601
- Belkin F5D7230-4.
Az rpef segítségével a támogatott routerek firmware szintű manipulációjára adódhat lehetőség. A keretrendszerhez olyan modulok, payloadok tartoznak, amelyek többek között lehetőséget adnak a hálózati adatforgalom folyamatos monitorozására, megfigyelésére, parancssori hozzáférésre, illetve egy botnethez való kapcsolódásra. Ez utóbbi esetben a szoftver egy előre meghatározott IRC szerverrel képes kommunikálni, és arról parancsokat fogadni. A parancsok között pedig olyanok is megtalálhatóak lehetnek, amelyekkel elosztott szolgáltatásmegtagadási támadásokba lehet bevonni a kompromittált hálózati eszközöket.
Miként jut el a kártékony kód a routerre?
Coppola szerint a routerek firmware manipulációjában az igazán érdekes kérdés, hogy a nemkívánatos kódokat miként lehet feljuttatni a hálózati eszközökre. A kutató erre is több megoldással szolgált. Először is a legkézenfekvőbb lehetőség, amikor a routerek webes adminisztrációs felülete az internet felöl is elérhető. Ekkor a támadók megpróbálhatják megfejteni a bejelentkezési adatokat, ami sok esetben egyáltalán nem jelent különösebb kihívást, hiszen a routerek esetében a felhasználók nagyon gyakran nem változtatják meg az alapértelmezett felhasználónevet és jelszót. A szakember elmondta, hogy a kutatása során rengeteg routert vizsgált, és több ezer olyan - internet felől is elérhető - útválasztót fedezett fel, amelyek a gyári, alapértelmezett jelszóval működtek.
Amikor a hacker fizikailag is hozzáfér a routerhez - Forrás: Michael Coppola
Mivel azonban a legtöbb gyártó az adminisztrációs felületek külső hálózatokból történő elérését már alapértelmezetten tiltja, ezért az előbbi trükközés nem mindig válik be a támadók számára. Mindez viszont korántsem jelenti azt, hogy ne lehetne a kártékony firmware módosítást kivitelezni. Éppen a nemrégen megrendezett Black Hat konferencián láthatott a közönség egy olyan bemutatót, amelynek során az előadók (Phil Purviance és Joshua Brashars) JavaScriptek és a HTML5-ben rejlő egyes lehetőségek kihasználásával módosítottak egy routeren firmware-t csupán azáltal, hogy meglátogattak egy speciálisan szerkesztett weboldalt. (Igaz ugyan, hogy a belső IP-címek kiderítéséhez egyéb bővítményekre vagy a Java-ra is szükség lehet.) Az előadók CSRF (cross-site request forgery) sebezhetőséget használtak ki, miközben elmondták, hogy ilyen jellegű biztonsági résekre főleg a nem megfelelően frissített, régebbi útválasztók esetében lehet akadni.
Nem újdonság a routerek támadása
A hálózati eszközöket célba vevő kártékony kódok már korábban is okoztak problémákat. 2009-ben a DroneBL szakemberei fedeztek fel egy olyan férget, amely DSL-modemeket fertőzött meg. 2011-ben pedig a Trend Micro számolt be egy olyan károkozóról, amely elsősorban Dél-Amerikában terjedt, és D-Link routereket állított célkeresztbe.
A védekezés szempontjából fontos, hogy a routereken mindig a legújabb, megbízható forrásból beszerzett firmware kapjon helyet, és az adminisztrációs felületeket megfelelő erősségű jelszó védje.
