Исследование

Безопасность роутеров в 2021 году

Роутер — это ворота в любой дом или офис из любой точки интернета. И хотя задумывались они, наоборот, как ворота в интернет из дома и офиса, их ежедневно взламывают и заражают — и проникают через них в локальные сети. При этом держать эти ворота на замке, чтобы через них не ходил кто попало, — задача не из легких. Не всем и не всегда очевидно, как именно они запираются. Кроме того, нередко они оказываются дырявыми.

С начала пандемии вопросам безопасности роутеров стали уделять больше внимания. Сотрудники многих организаций ушли на удаленную работу, а некоторые так и не вернулись в офис. Если до пандемии из дома работали единицы, то теперь число таких сотрудников значительно выросло. В результате злоумышленники стали интересоваться домашними роутерами как воротами в корпоративные сети, а компании — как потенциальным вектором атаки. О повышенном внимании к сетевым устройствам говорит резкий рост числа найденных в них уязвимостей в последние годы.

Уязвимости в роутерах

Согласно данным сайта cve.mitre.org, в последние 10 лет число обнаруженных уязвимостей в разных роутерах, от мобильных до индустриальных, росло. Однако с массовым переходом на удаленную работу оно побило все рекорды. За 2020 и 2021 год суммарное количество обнаруженных уязвимостей в роутерах превысило 500 штук.

Количество уязвимостей в роутерах по данным cve.mitre.org, 2010 — май 2022 гг. (скачать)

Данные с сайта nvd.nist.gov отличаются, однако значительный рост количества уязвимостей, найденных в роутерах за 2020 и 2021 годы, в них тоже отражен.

Количество уязвимостей в роутерах по данным nvd.nist.gov, 2010 — май 2022 гг. (скачать)

Анализируя данные по уязвимостям в роутерах, опубликованным на сайте nvd.nist.gov, мы подсчитали, что 18% из них являются критическими, а еще более половины (53,5%) имеют высокий приоритет.

Распределение уязвимостей в роутерах по приоритету, 2021 г. (скачать)

Критические уязвимости — это и есть те самые дыры в воротах, через которые в домашнюю или корпоративную сеть может проникнуть посторонний. Они значительно облегчают взлом роутера: позволяют обойти защиту от подбора пароля, например капчу или лимит на количество попыток ввода, выполнить сторонний код, обойти аутентификацию, отправить роутеру удаленные команды или, к примеру, вывести его из строя. Так, в начале 2022 года исследователь безопасности фактически отключил от интернета всю Северную Корею, воспользовавшись непропатченными уязвимостями в критически важных роутерах и другом сетевом оборудовании.

При этом, к сожалению, не все вендоры спешат исправлять даже критические уязвимости. На момент написания статьи из 87 опубликованных в 2021 году критических уязвимостей более четверти — 29,9% — остается неисправленной и никак не прокомментированной вендором:

Реакция производителей роутеров на уязвимости, обнаруженные в их продуктах в 2021 г. (скачать)

Обратите внимание на третий столбик диаграммы: 26% всех критических уязвимостей в роутерах, опубликованных в 2021 году, получили комментарий от вендора (Vendor Advisory). Такие комментарии далеко не всегда содержат полноценный патч. В некоторых случаях в них приводится лишь совет обратиться в поддержку, если вы являетесь владельцем уязвимого устройства.

При этом если с защитой ноутбуков, настольных компьютеров и даже мобильных устройств пользователи уже более-менее освоились, то что делать с роутерами и нужно ли с ними что-то делать, ваши сотрудники могут не знать. По данным опроса британской компании Broadband Genie, 48% пользователей вообще не меняли никакие настройки своих роутеров, даже пароли от панели управления и сети Wi-Fi. При этом 73% из них не видят причин лезть в настройки, а 20% вообще не знают, как это делается. Впрочем, ситуация с настройками безопасности роутеров все же постепенно улучшается. Если летом прошлого года поиск умных устройств с паролем по умолчанию в сети shodan.io выдавал более 27 000 устройств, то аналогичный поиск в апреле 2022 года выдает только 851. Более того, большинство из этих роутеров имеют имя HACKED-ROUTER-HELP-SOS-DEFAULT-PASSWORD, что говорит о том, что они уже были скомпрометированы.

Результаты выдачи shodan.io по запросу default password в июне 2021 года

Результаты выдачи shodan.io по запросу default password в июне 2021 года

Результаты выдачи shodan.io по запросу default password в апреле 2022 года

Результаты выдачи shodan.io по запросу default password в апреле 2022 года

Вероятнее всего, таких результатов удалось добиться благодаря тому, что многие вендоры стали для каждого устройства делать уникальные случайные пароли вместо стандартных, которые использовались на всех девайсах и были доступны любому желающему.

Вредоносное ПО, атакующее роутеры

Если говорить о целях злоумышленников, атакующих роутеры, то в первую очередь стоит посмотреть на TOP 10 вредоносных программ, которые мы обнаружили в своих IoT-ловушках в 2021 году.

Verdict %*
1 Backdoor.Linux.Mirai.b 48.25
2 Trojan-Downloader.Linux.NyaDrop.b 13.57
3 Backdoor.Linux.Mirai.ba 6.54
4 Backdoor.Linux.Gafgyt.a 5.51
5 Backdoor.Linux.Agent.bc 4.48
6 Trojan-Downloader.Shell.Agent.p 2.54
7 Backdoor.Linux.Gafgyt.bj 1.85
8 Backdoor.Linux.Mirai.a 1.81
9 Backdoor.Linux.Mirai.cw 1.51
10 Trojan-Downloader.Shell.Agent.bc 1.36

* Доля атак данного зловреда от всех атак на IoT-ханипоты «Лаборатории Касперского» за 2021 г.

Как видно из таблицы, более половины всех вердиктов в TOP 10 относится к семейству Mirai. Оно было обнаружено еще в 2016 году и по сей день остается самым распространенным среди зловредов, заражающих IoT-устройства. Ботнет из роутеров, умных камер и других подключенных девайсов является самым долгоживущим, ведь зараженные устройства не лечатся никакими защитными технологиями, а пользователи часто не замечают, что с ними что-то не так.

Ботнет Mirai изначально был задуман для проведения масштабных DDoS-атак на серверы Minecraft, а впоследствии стал использоваться и для атак на другие ресурсы. После публикации исходного кода Mirai распространять его и проводить DDoS-атаки с помощью зараженных им устройств стали все кому не лень.

Mirai — не единственный DDoS-зловред, нацеленный на роутеры. В сентябре 2021 года российские компании Yandex, «Сбер» и ряд других подверглись крупнейшей за всю историю наблюдений DDoS-атаке с использованием нового ботнета из роутеров Mikrotik. Исследователи назвали ботнет Mēris. Предположительно он состоит из 200–250 тысяч устройств, зараженных новым вредоносным ПО.

Таким образом, одна из основных целей злоумышленников, атакующих роутеры, — включить их в ботнеты для проведения масштабных DDoS-атак.

Не стоит, однако, забывать и о главной функции роутера — быть воротами между интернетом и локальной сетью. Злоумышленники могут взламывать роутеры, чтобы попасть в сеть пользователя или компании. Такие атаки могут быть менее масштабными, чем создание DDoS-ботнетов, и по этой причине не попадать в списки самых распространенных угроз для роутеров. При этом для компании они значительно опаснее, чем Mirai.

Например, недавно стало известно об атаках APT-группировки Sandworm на сетевые устройства для дома и малого бизнеса (SOHO). Злоумышленники заражали устройства WatchGuard и Asus зловредом Cyclops Blink. Хотя нельзя сказать наверняка, что они собирались делать дальше, это вредоносное ПО способно оставаться в прошивке даже после отката к заводским настройкам и дает атакующим удаленный доступ к скомпрометированным сетям.

Заключение

Интерес к безопасности роутеров в последние годы растет, и объясняется это в первую очередь тем, что защита роутера считается задачей, практически недоступной простым пользователям. При этом удаленная работа позволяет проникать в инфраструктуру компании, воспользовавшись брешью в безопасности домашней сети сотрудника. Для злоумышленников это выглядит очень заманчиво, но и компании прекрасно понимают риски.

Если вы хотите защитить свой домашний роутер или разработать рекомендации по защите для удаленных сотрудников, то мы предлагаем следующие меры:

  1. Сменить пароль по умолчанию на надежный (длинный и сложный). Пароль к домашнему роутеру не стыдно и записать — используют его редко, а физический доступ к роутеру, очевидно, есть только у ограниченного круга лиц.
  2. Использовать правильное шифрование. На сегодня это WPA2.
  3. Отключить удаленный доступ. Нужно просто найти эту настройку в интерфейсе и снять галочку Remote access. Если удаленный доступ все-таки нужен, стоит отключать его, когда он не используется.
  4. Обязательно обновлять прошивку. Прежде чем приобрести роутер, стоит убедиться, что вендор регулярно обновляет прошивки производимых устройств, а затем следить за выпуском таких обновлений и устанавливать их на устройство.
  5. Для большей безопасности можно выбрать статический IP-адрес и отключить DHCP, а также защитить Wi-Fi с помощью МАС-фильтра. Все эти действия приведут к тому, что придется вручную настраивать подключение различных дополнительных устройств к роутеру, процесс станет более долгим и сложным. Тем не менее злоумышленнику будет значительно труднее внедриться в локальную сеть.

Безопасность роутеров в 2021 году

Ваш e-mail не будет опубликован.

 

Отчеты

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике