Авторы
Роутер — это ворота в любой дом или офис из любой точки интернета. И хотя задумывались они, наоборот, как ворота в интернет из дома и офиса, их ежедневно взламывают и заражают — и проникают через них в локальные сети. При этом держать эти ворота на замке, чтобы через них не ходил кто попало, — задача не из легких. Не всем и не всегда очевидно, как именно они запираются. Кроме того, нередко они оказываются дырявыми.
С начала пандемии вопросам безопасности роутеров стали уделять больше внимания. Сотрудники многих организаций ушли на удаленную работу, а некоторые так и не вернулись в офис. Если до пандемии из дома работали единицы, то теперь число таких сотрудников значительно выросло. В результате злоумышленники стали интересоваться домашними роутерами как воротами в корпоративные сети, а компании — как потенциальным вектором атаки. О повышенном внимании к сетевым устройствам говорит резкий рост числа найденных в них уязвимостей в последние годы.
Уязвимости в роутерах
Согласно данным сайта cve.mitre.org, в последние 10 лет число обнаруженных уязвимостей в разных роутерах, от мобильных до индустриальных, росло. Однако с массовым переходом на удаленную работу оно побило все рекорды. За 2020 и 2021 год суммарное количество обнаруженных уязвимостей в роутерах превысило 500 штук.
Количество уязвимостей в роутерах по данным cve.mitre.org, 2010 — май 2022 гг. (скачать)
Количество уязвимостей в роутерах по данным nvd.nist.gov, 2010 — май 2022 гг. (скачать)
Распределение уязвимостей в роутерах по приоритету, 2021 г. (скачать)
При этом, к сожалению, не все вендоры спешат исправлять даже критические уязвимости. На момент написания статьи из 87 опубликованных в 2021 году критических уязвимостей более четверти — 29,9% — остается неисправленной и никак не прокомментированной вендором:
Реакция производителей роутеров на уязвимости, обнаруженные в их продуктах в 2021 г. (скачать)
При этом если с защитой ноутбуков, настольных компьютеров и даже мобильных устройств пользователи уже более-менее освоились, то что делать с роутерами и нужно ли с ними что-то делать, ваши сотрудники могут не знать. По данным опроса британской компании Broadband Genie, 48% пользователей вообще не меняли никакие настройки своих роутеров, даже пароли от панели управления и сети Wi-Fi. При этом 73% из них не видят причин лезть в настройки, а 20% вообще не знают, как это делается. Впрочем, ситуация с настройками безопасности роутеров все же постепенно улучшается. Если летом прошлого года поиск умных устройств с паролем по умолчанию в сети shodan.io выдавал более 27 000 устройств, то аналогичный поиск в апреле 2022 года выдает только 851. Более того, большинство из этих роутеров имеют имя HACKED-ROUTER-HELP-SOS-DEFAULT-PASSWORD, что говорит о том, что они уже были скомпрометированы.
Результаты выдачи shodan.io по запросу default password в июне 2021 года
Результаты выдачи shodan.io по запросу default password в апреле 2022 года
Вероятнее всего, таких результатов удалось добиться благодаря тому, что многие вендоры стали для каждого устройства делать уникальные случайные пароли вместо стандартных, которые использовались на всех девайсах и были доступны любому желающему.
Вредоносное ПО, атакующее роутеры
Если говорить о целях злоумышленников, атакующих роутеры, то в первую очередь стоит посмотреть на TOP 10 вредоносных программ, которые мы обнаружили в своих IoT-ловушках в 2021 году.
| Verdict | %* | |
| 1 | Backdoor.Linux.Mirai.b | 48.25 |
| 2 | Trojan-Downloader.Linux.NyaDrop.b | 13.57 |
| 3 | Backdoor.Linux.Mirai.ba | 6.54 |
| 4 | Backdoor.Linux.Gafgyt.a | 5.51 |
| 5 | Backdoor.Linux.Agent.bc | 4.48 |
| 6 | Trojan-Downloader.Shell.Agent.p | 2.54 |
| 7 | Backdoor.Linux.Gafgyt.bj | 1.85 |
| 8 | Backdoor.Linux.Mirai.a | 1.81 |
| 9 | Backdoor.Linux.Mirai.cw | 1.51 |
| 10 | Trojan-Downloader.Shell.Agent.bc | 1.36 |
* Доля атак данного зловреда от всех атак на IoT-ханипоты «Лаборатории Касперского» за 2021 г.
Как видно из таблицы, более половины всех вердиктов в TOP 10 относится к семейству Mirai. Оно было обнаружено еще в 2016 году и по сей день остается самым распространенным среди зловредов, заражающих IoT-устройства. Ботнет из роутеров, умных камер и других подключенных девайсов является самым долгоживущим, ведь зараженные устройства не лечатся никакими защитными технологиями, а пользователи часто не замечают, что с ними что-то не так.
Ботнет Mirai изначально был задуман для проведения масштабных DDoS-атак на серверы Minecraft, а впоследствии стал использоваться и для атак на другие ресурсы. После публикации исходного кода Mirai распространять его и проводить DDoS-атаки с помощью зараженных им устройств стали все кому не лень.
Mirai — не единственный DDoS-зловред, нацеленный на роутеры. В сентябре 2021 года российские компании Yandex, «Сбер» и ряд других подверглись крупнейшей за всю историю наблюдений DDoS-атаке с использованием нового ботнета из роутеров Mikrotik. Исследователи назвали ботнет Mēris. Предположительно он состоит из 200–250 тысяч устройств, зараженных новым вредоносным ПО.
Таким образом, одна из основных целей злоумышленников, атакующих роутеры, — включить их в ботнеты для проведения масштабных DDoS-атак.
Не стоит, однако, забывать и о главной функции роутера — быть воротами между интернетом и локальной сетью. Злоумышленники могут взламывать роутеры, чтобы попасть в сеть пользователя или компании. Такие атаки могут быть менее масштабными, чем создание DDoS-ботнетов, и по этой причине не попадать в списки самых распространенных угроз для роутеров. При этом для компании они значительно опаснее, чем Mirai.
Например, недавно стало известно об атаках APT-группировки Sandworm на сетевые устройства для дома и малого бизнеса (SOHO). Злоумышленники заражали устройства WatchGuard и Asus зловредом Cyclops Blink. Хотя нельзя сказать наверняка, что они собирались делать дальше, это вредоносное ПО способно оставаться в прошивке даже после отката к заводским настройкам и дает атакующим удаленный доступ к скомпрометированным сетям.
Заключение
Интерес к безопасности роутеров в последние годы растет, и объясняется это в первую очередь тем, что защита роутера считается задачей, практически недоступной простым пользователям. При этом удаленная работа позволяет проникать в инфраструктуру компании, воспользовавшись брешью в безопасности домашней сети сотрудника. Для злоумышленников это выглядит очень заманчиво, но и компании прекрасно понимают риски.
Если вы хотите защитить свой домашний роутер или разработать рекомендации по защите для удаленных сотрудников, то мы предлагаем следующие меры:
- Сменить пароль по умолчанию на надежный (длинный и сложный). Пароль к домашнему роутеру не стыдно и записать — используют его редко, а физический доступ к роутеру, очевидно, есть только у ограниченного круга лиц.
- Использовать правильное шифрование. На сегодня это WPA2.
- Отключить удаленный доступ. Нужно просто найти эту настройку в интерфейсе и снять галочку Remote access. Если удаленный доступ все-таки нужен, стоит отключать его, когда он не используется.
- Обязательно обновлять прошивку. Прежде чем приобрести роутер, стоит убедиться, что вендор регулярно обновляет прошивки производимых устройств, а затем следить за выпуском таких обновлений и устанавливать их на устройство.
- Для большей безопасности можно выбрать статический IP-адрес и отключить DHCP, а также защитить Wi-Fi с помощью МАС-фильтра. Все эти действия приведут к тому, что придется вручную настраивать подключение различных дополнительных устройств к роутеру, процесс станет более долгим и сложным. Тем не менее злоумышленнику будет значительно труднее внедриться в локальную сеть.
Авторы
От тех же авторов
В той же категории
Безопасность роутеров в 2021 году