Ďalšie zraniteľnosti opäť ukazujú na katastrofálnu bezpečnosť WiFi routerov

Značky: Wi-Firouterybezpečnosť

DSL.sk, 11.9.2017

Je samozrejme viac rokov známe, že stav bezpečnosti WiFi routerov určených pre domácnosti a iných menších používateľov je priam katastrofálny.

A to nielen počtom objavovaných závažných zraniteľností bežne umožňujúcich útočníkom z Internetu získať kontrolu nad týmito routermi ale vo viacerých prípadoch aj typom chýb, ktoré ukazujú na veľké zanedbanie bezpečnosti a prístup ďaleko za súčasnými štandardami bezpečnosti.

D-Link DIR-850L

Stav zlej bezpečnosti WiFi routerov aktuálne opäť potvrdzuje oznámenie identifikovaných zraniteľností v jednom takomto routeri, tentokrát D-Link DIR-850L.

Tento model je stále v predaji a podľa stránok D-Linku evidentne aj podporovaný, keď na jeho stránkach podpory na rozdiel od niektorých iných modelov nie je poznámka o vyradení routeru z ponuky respektíve ukončení podpory.

Juhokórejský bezpečnostný expert Pierre Kim v piatok zverejnil ale upozornenie, kde popísal hneď desať zrejme nových bezpečnostných zraniteľností týkajúcich sa tohto routera a to vo forme full disclosure, teda prakticky so všetkými informáciami postačujúcimi technicky znalým užívateľom na zneužitie. Tentokrát tak spravil bez spolupráce s D-Linkom a to podľa neho z dôvodu zlého prístupu D-Linku pri predchádzajúcom nahlasovaní zraniteľností vo februári.

D-Link DIR-850L, kliknite pre zväčšenie (foto: D-Link)

D-Link je od začiatku tohto roka okrem iného aj terčom žaloby americkej federálnej vládnej agentúry FTC, Federal Trade Commission, ako sme informovali v tomto článku. FTC ho zažalovala kvôli nedostatočnému zabezpečeniu jeho produktov, WiFi routerov a kamier. Podľa FTC boli bezpečnostné opatrenia spoločnosti nedostatočné a spoločnosť nespravila primerané kroky, aby odstránila ľahko odstrániteľné bezpečnostné zraniteľnosti, z ktorých viaceré minimálne principiálne popisuje.

WiFi router DIR-850L má dve hardvérové revízie, pričom niektoré zraniteľnosti identifikované Kimom sa týkajú oboch, niektoré len jednej. Popis všetkých zraniteľností nie je dostatočne detailný najmä čo sa týka analýzy scenárov zneužitia a prípadne predpokladov pre zneužitie a medzi zraniteľnosťami sú viac aj menej závažné zraniteľnosti.

Medzi zraniteľnosťami je napríklad samostatne aj skutočnosť, že firmvéry nemajú kryptografickú ochranu a útočník tak vie vytvoriť modifikovaný firmvér inštalovateľný štandardným spôsobom cez webové rozhranie. To samozrejme ale nie je zraniteľnosť, ktorá by otvárala dvere útočníkom, a je to len absencia ochranného mechanizmu, ktorá by mohla zabrániť vážnejším dopadom po zneužití inej zraniteľnosti.

V každom prípade jedna z popísaných zraniteľností prítomná v oboch revíziách má evidentne fatálne následky a útočníkovi z Internetu umožňuje získať heslo administrátora a zároveň pristupovať do webového rozhrania umožňujúceho správu. Tam môže okrem zmien konfigurácie už nahrať svoj upravený infikovaný firmvér a z infekcie spraviť trvalú infekciu.

Na rozdiel od zraniteľností takéhoto typu v iných routeroch tu nejde o priamočiare zneužitie chýb iba v routeri, na ktoré sa chce útočník dostať. Popísaný prístup umožňuje získať pomerne komplikovaný postup. Útočník môže najskôr z Internetu bez autentifikácie podľa Kima cez webové rozhranie routera pripojiť tento k novému cloudovému účtu služby mydlink a následne pri prístupe k tomuto účtu na stránkach služby je prehliadaču nepochopiteľne v pozadí sprístupnené nešifrované administrátorské heslo k routeru.

Použitím tohoto hesla sa môže útočník následne cez túto cloudovú službu pripojiť na webové rozhranie routera ako administrátor a meniť nastavenia routera vrátane získania plnej kontroly.

Či tento útok má nejaké predpoklady Kim neuvádza. Dalo by sa očakávať, že tejto chybe by sa mohlo dať zabrániť zakázaním pripájania sa k mydlink službe. Či je táto možnosť ale k dispozícii nie je jasné, keď sa spoločnosť D-Link zrejme k zverejneným informáciám ešte nevyjadrila.

V každom prípade Kim odporúča predmetný router okamžite odpojiť od Internetu. Ide pritom o router radiaci sa medzi drahšie routery pre domácnosti, keď jeho cena je viac ako 70 eur.

LEDE / OpenWrt

Vzhľadom na katastrofálny stav bezpečnosti domácich WiFi routerov môže byť pre užívateľov vhodným riešením využívanie routera, na ktorý sa dá nahrať linuxový open source firmvér LEDE / OpenWrt. Záruku bezpečnosti užívatelia samozrejme nedostanú ani s týmto firmvérom, najmä v prípade LEDE je tento ale pravidelne aktualizovaný, vyvíjaný a do nejakej miery preverovaný komunitou a okrem webového rozhrania je postavený na štandardných linuxových softvéroch.

Inštalovať LEDE je ale odporúčané len technicky zdatným užívateľom, keď najmä u modelov nepodporujúcich možnosť nahrať LEDE firmvér cez webové rozhranie môžu komplikovanejšie postupy vyústiť do zablokovania alebo prakticky trvalého poškodenia routera a užívatelia konajú na vlastnú zodpovednosť.

V prípade, že je zákazník pripojený cez DSL, káblovým pripojením alebo optikou, LEDE / OpenWrt sú dostupné len pre málo routerov s takýmito technológiami pripojenia k Internetu. V prípade DSL sú to spomedzi u nás dostupných modelov zrejme len vyššie modely TP-Link TD-Wxx70 a TD-Wxx80.

V takýchto prípadoch je teda možné voliť buď takéto routery alebo použiť router / modem s bežným firmvérom iba v bridge režime a zaň zapojiť na Internet vystavený už LEDE / OpenWrt router. Ani v takomto scenári zrejme nie je technicky garantované, že sa stopercentne nebudú dať zneužiť nejaké chyby v žiadnom bežnom routeri, riziko je ale výrazne eliminované.

Pre router D-Link DIR-850L bohužial LEDE / OpenWrt k dispozícii nie sú a tento router nemá zmysel ani používať v bridge režime, keď jeho WAN rozhraním je Ethernet.




Najnovšie články:



Diskusia:

skladacky Od reg.: Zapredaný | Pridané: 11.9.2017 14:51 Clovek aby si staval uz pomaly routre sam ked nechce aby mal totalnu sracku. Alebo priplatit za nejaky Turis Omnia. Odpovedať Známka: 8.0 Hodnotiť:

Re: skladacky Od: Adolf Kernel | Pridané: 11.9.2017 15:27 za tu cenu Omnie si ten router upajkujem aj sam ... Odpovedať Známka: 0.0 Hodnotiť:

Re: skladacky Od reg.: TeleKomunista | Pridané: 11.9.2017 16:31 Turris nie je zlý, len drahý. Ale na druhú stranu je to malý projekt s veľkými nákladmi. Fandím im. Podľa mňa do budúcna ceny klesnú. Lepšia možnosť je kúpiť si HW na pfsense. Vychádza to lacnejšie a skúsený používatelia si spravia bezpečnejší systém. Prípadne si kúpiť HW na LEDE/openWRT/tomato/dd-wrt/... To je tiež možnosť. Tu stačí aj ARM krabička ako napríklad Marvell ESPRESSOBin. Odpovedať Známka: 6.7 Hodnotiť:

Re: skladacky Od: noone | Pridané: 12.9.2017 20:17 Turris bezi na forku OpenWRT/LEDE so vsetkymi problemami - ath10k (QCA opensource WiFi AC driver) je nestabilny, bugovy.. zial. To si mozem rovno kupit Netgear R7800 (QCA IPQ8065 platforma, dual core Krait 1,7 GHz, 512 MB RAM, 4x4 MIMO WiFi AC radio) ci nejaky podobny.. OpenWRT/LEDE je skvely projekt, len ma velke problemy s WiFi drivermi (a binarne bloby neakceptuje, takze napr. Broadcom je mimo hry). Odpovedať Známka: -6.7 Hodnotiť:

Re: skladacky Od: qwertyuiop1 | Pridané: 13.9.2017 11:39 Binarne bloby neakceptuje, ale treba povedat aj preco. V minulosti s nimi boli obrovske problemy, podporovali len historicke jadra a boli tiez nestabilne, plus kazdy z nich si robil mac802 vrstvu aku chcel namiesto pouzivania systemovej. Preto v ramci zachovania dusevneho zdravia developerov aj userov sa preslo iba na open drivery. Na druhu stranu, ath10k presiel nejakym vyvojom, cz.nic prestal experimentovat s alternativnymi forkami a posledne mesiace uz ide celkom pekne a stabilne. Lepsi by bol uz len QCA9984 :) Odpovedať Známka: 6.0 Hodnotiť:

Re: skladacky Od reg.: TeleKomunista | Pridané: 18.9.2017 15:48 Netgear, ktorý si pridal mal zhodou okolností už pár prehreškov čo sa týka bezpečnosti. Osobne by som ho domov nepustil. Môžeš ma bohate mínuskovať, môžeš pridávať akýkoľvek bežný SOHO (áno ten čo si pridal je bežný SOHO router), vždy sa tam na bezpečnosť bude kašlať ako to len pôjde. Ath10k vieš vymeniť za binary blob. Turris má Ath10k len na 2,4Ghz. 5Ghz je binary blob pokiaľ viem. Odpovedať Známka: 10.0 Hodnotiť:

Re: skladacky Od: dsadasda | Pridané: 11.9.2017 19:35 tak teda do toho... aj ja som bol skepticky voci omnii ale ten vykon to je nieco neskutocne a tie moznosti ani nehovorim Odpovedať Známka: 5.0 Hodnotiť:

Re: skladsracky Od: syntaxterrorX XX | Pridané: 11.9.2017 17:00 Vzhladom k nastupu ipv6 nie je nad mnozstvom o nevyhnutnosti nasadzovania routera v segmente domacich sieti erudovanymi bezpecnostnymi expertami formulovanych nazorov objektivne mozne pocitovat vyssiu uroven udivu nez nad ich priekaznou kvalitou. Odpovedať Známka: -5.5 Hodnotiť:

Re: skladacky Od: openopenopen | Pridané: 11.9.2017 22:44 Alebo taky pfSense/OPNsense, ktory bezi na beznom x86 HW. Ja ho mam v HP microserveri ako VM popri NAS. Nemozem sa stazovat Odpovedať Známka: 3.3 Hodnotiť:

Routre Od reg.: Peterkal | Pridané: 11.9.2017 14:53 Hacknut routery, mnoho modelov, sa daju do 30 sekund (aj WPA2) (ak maju zapnute WPS).... staci pouzit pixiedust utok... link na github: https://goo.gl/jrYXkW na githube najdete vsetko potrebne a aj zosit so zoznamov zranitelnych routerov.... staci vypnut WPS.... Odpovedať Známka: 5.0 Hodnotiť:

Re: Routre Od: stopRasizmu | Pridané: 11.9.2017 15:20 Ty odmietas druhym ludom dat pristup do svojho routera? To si myslis ze si viac nez oni? Uz nie je 19-te storocie tak sa zobud ty xenofob... tvoj router je tu pre vsetkych. Odpovedať Známka: 5.7 Hodnotiť:

Re: Routre Od: Edi | Pridané: 11.9.2017 15:50 Komunisticke zmyslanie facebookovej generacie, no to je este lepsie ako: „Květinová alternativa v rodině důstojníka lidové armády!". Odpovedať Známka: 2.7 Hodnotiť:

Re: Routre Od: strejda | Pridané: 12.9.2017 9:04 A komu tim prospejete co?! Odpovedať Známka: 10.0 Hodnotiť:

Postreh Od: čitateľ | Pridané: 11.9.2017 17:38 Zaujímavé, že otvorené telekom rútre to doteraz prežili bez ujmy. Odpovedať Známka: 6.7 Hodnotiť:

Re: Postreh Od reg.: Redakcia DSL.sk | Pridané: 11.9.2017 18:40 Kontaktujte nás prosím na redakcia at dsl.sk Odpovedať Známka: 5.0 Hodnotiť:

Re: Postreh Od: zltasek | Pridané: 11.9.2017 23:46 Napr. tuto dieru som osobne overil, otrstoval a router odlozil do krabice svojho casu.. https://goo.gl/Rn4fSd Odpovedať Známka: 6.0 Hodnotiť:

Rouer Od: Wick0 | Pridané: 11.9.2017 17:50 Postaci mikrotik, este som necital ze by mali nejaky problem. Napr RB962 RB2011 RB951g a pod... Odpovedať Známka: 7.5 Hodnotiť:

Re: Rouer Od: ... | Pridané: 11.9.2017 17:57 suhlasim, akurat je problem ze ten mikrotik nekupis za par drobnych... Odpovedať Známka: 5.0 Hodnotiť:

Re: Rouer Od: Wick0 | Pridané: 11.9.2017 18:09 Ale kupis, pozri ceny, do 100 eciek sa zvycajne clovek zmesti, napr taka rb952 sa na domace pouzivanie hodi skvelo a cenou niekde okolo 40 co je fajn.. No 962 je drahsia uznavam cca 110 euro sle aj 952 spravi co ma, pri adsl spravit z povodneho routra bridge a zan mikrotik a mas vystarane, nastavis co len chces, k tomu par AP na pokrytie vacsich priestorov poschodi a pod. Odpovedať Známka: 7.1 Hodnotiť:

Re: Rouer Od: qwertyuiop1 | Pridané: 11.9.2017 18:37 Vacsina ludi ma router a wifi AP v jednom, preto samostatne zariadenia su pomerne nepriechodne, a samozrejme drahsie. Aj 962 je iba n-kova wifi. Na device za 100+ EUR je to ubohe, v tej cenovej kategorii sa uz ocakava 802.11ac. Odpovedať Známka: 5.0 Hodnotiť:

Re: Rouer Od: eletrotechnik | Pridané: 11.9.2017 18:42 ja necem ac ani dc. Odpovedať Známka: -5.0 Hodnotiť:

Re: Rouer Od: Wick0 | Pridané: 11.9.2017 19:55 Asi zle citas RB962UiGS-5HacT2HnT Hap ac https://mikrotik.com/product/RB962UiGS-5HacT2HnT Odpovedať Známka: 10.0 Hodnotiť:

Re: Rouer Od: qwertyuiop1 | Pridané: 12.9.2017 10:57 Ano, pozeral som zle, beriem spat. Odpovedať Známka: 3.3 Hodnotiť:

Re: Rouer Od: Miro37 | Pridané: 12.9.2017 7:12 Za 40 Eur je hAP ac lite a má 802.11ac. Mám ich 7 kusov a pokrývajú internát. Nie sú s nimi žiadne problémy na rozdiel od iných routerov v tejto cenovej kategórii čo tam boli predtým a nezvládali mnoho súčasne pripojených klientov. Mám ešte iný Mikrotik router 6 rokov starý a aj ten má aktualizácie a funguje bez problémov. https://mikrotik.com/product/RB952Ui-5ac2nD-TC Odpovedať Známka: 10.0 Hodnotiť:

mikrotik Od: asd11 | Pridané: 12.9.2017 9:43 mikrotik je veľmi dobrá voľba ako pomerne lacno vyriešiť spoľahlivú wifi sieť , a pri použití rýchleho nastavenia quick setup to zvládne aj amatér a aj základne nastavenie firewalu mikrotiku je oveľa bezpečesnešie ako u mnohých lacných tp-linkov a d-linkov . odmednou za použitie mikrotiku je obrovská stabilita neprekonateľný uptime a pravidelná podpodpora . Pri zložitešich nastavenich treba trochu googliť ale komunita je obrovská a obsahuje skoro na všetko podrobný návod ako to nastaviť mojej mame som nainštaval mikrotik (pôvodný router prepnutý do bridge predtím výpadky spojenia adsl ale ako náhle pracuje len ako bridge ide ako píla)cca pred 5 rokmi za 5 rokov ani jeden výpadok cca raz ročne urobím upgrade na novú verziu routerOS inak netreba nič Odpovedať Známka: 10.0 Hodnotiť:

Re: mikrotik Od: Wick0 | Pridané: 12.9.2017 10:36 Suhlas - Hap AC Lite je uz predavany aj v ciernej farbe ak by niekomu vadila farba https://mikrotik.com/product/RB952Ui-5ac2nD-TC Odpovedať Známka: 10.0 Hodnotiť:

bezpecnost wifi routerov Od reg.: Sheep | Pridané: 12.9.2017 18:00 V sucasnosti tuto situaciu dost zhorsuje nahodne generovanie externych IP adries u niektorych ISP pre beznych uzivatelov v domacnostiach a kancelariach. Radovy uzivatel ani nema tusenia ze ho 'vydno' z internetu. Utocnik nemusi byt ani nejaky hacker, jednoducho si tieto veci vyhlada trebarz cez shodan a je dnu aj bez toho aby sa niekde ozaj musel naburat alebo vyuzivat nejaku bezpecnostnu dieru. Odpovedať Hodnotiť:

Pridať komentár