Последние исследования сетевой безопасности выявили серьёзную
уязвимость более чем в 12 миллионах бытовых и офисных маршрутизаторах по
всему миру. Эта уязвимость позволяет любому достаточно
квалифицированному хакеру отслеживать пользовательских трафик или даже
полностью перехватывать контроль над устройством. Слабое место кроется в
модуле под названием «RomPager», разработанном компанией AllegroSoft и
присутствующим во многих бытовых моделях сетевых устройств —
маршрутизаторах, точках доступа и других. В самом программном
обеспечении нет ничего плохого, это важный компонент, обеспечивающий
устройство web-интерфейсом. По сути, RomPager
является всего лишь компактным web-сервером, который не занимает много
места в прошивке устройства, имеющей обычно серьёзные ограничения по
объёму.
Но версии RomPager до 4.34, как оказалось, содержат серьёзную
недоработку, которая позволяет атакующему использовать специальным
образом сформированный cookie-файл, который вызовет ошибку в памяти
устройства и позволит перехватить права администратора. В числе прочего,
взломанное устройство позволяет хакеру отслеживать в обычном текстовом
виде весь пользовательский трафик, что уже означает полную потерю
приватности. Возможны и другие вредоносные действия, к примеру,
изменение настроек DNS или удалённое управление веб-камерами и прочими
устройствами, подключенными к сети. Можно себе представить, что может
натворить злоумышленник, получивший полный доступ к системам «умного
дома». Нашедшие уязвимость исследователи нарекли её Misfortune Cookie (Несчастливое Печенье). Она получила официальный идентификатор CVE-2014-9222.
Точно определить, какие устройства подвержены этой атаке, довольно
сложно, поскольку они редко выдают информацию о версиях всего
используемого в прошивке программного обеспечения, а кроме того, ряд
производителей мог вручную закрыть уязвимость без обновления версии
RomPager. Но уже предварительное сканирование выявило, как минимум, 12
миллионов уникальных устройств, несущих в себе эту уязвимость. В этот
список вошло около 200 моделей различных производителей, включая
LinkSys, D-Link, Edimax, Huawei, TP-Link, ZTE и Zyxel. Исследователи из
компании Check Point
пока не обнаружили свидетельств, что данная уязвимость активно
используется злоумышленниками, но не исключено, что именно она является
причиной двух массивных серий взломов в 2014 году, когда пострадали
сотни тысячи маршрутизаторов и их владельцев. В первом случае речь шла
примерно о тысяче маршрутизаторов LinkSys, а во втором взломано было более 300 тысяч различных устройств разных производителей.
Сама проблема Misfortune Cookie была выявлена ещё в 2002 году,
соответствующая «заплатка» была выпущена тремя годами спустя, но, как
видно, разработчики и производители соответствующего оборудования либо
не обратили на это внимания, либо не придали проблеме должного значения —
в противном случае, первое же сканирование не показало бы 12 миллионов
потенциально уязвимых устройств. Гарантированный метод убедиться в том,
что вы не подвержены атаке по этому направлению — выяснить, какая версия
RomPager работает на вашем устройстве. Если она имеет номер 4.34 или
выше, то всё в порядке. Кроме того, следует проверить, не закрыл ли эту
уязвимость сам производитель устройства без обновления версии
интегрированного web-сервера. Дополнительную информацию можно найти в
опубликованной Check Point документации (на английском языке). И как обычно, мы рекомендуем не пренебрегать обычными мерами сетевой безопасности.
Первый случай массового взлома: пострадало более 1000 устройств LinkSys
Второй случай: более 300 тысяч устройств было затронуто
Комментариев нет:
Отправить комментарий