Компьютерное «железо» открыто для хакеров

Так уж повелось, что специалисты по информационной безопасности традиционно большее внимание уделяют определенным категориям софта – операционным системам, бизнес-приложениям, любому ПО, взаимодействующему с интернетом и т. д. Ну или системам ограничения доступа – как программным, так и аппаратным. При этом за пределами их внимания нередко остаются «второстепенные» устройства (модемы, роутеры, NAS) и бытовая техника, радикально «поумневшая» за последние годы (например, Smart-телевизоры). Однако хакерские атаки, проведенные через них, могут оказаться особенно разрушительными.

Digital Security (крупная российская консалтинговая компания в области аудита информационной безопасности) представила свой собственный отчет на тему безопасности роутеров и USB-модемов – «Безопасность абонентского оборудования телекоммуникационных сетей». Он подписан Олегом Купреевым и Глебом Чербовым.

Исследователи Digital Security изучили безопасность трех видов устройств: 3G/4G USB-модемов, роутеров домашнего класса (SOHO) и 3G/4G-роутеров. Эксперты компании по результатам исследования засвидетельствовали: сейчас быстро растет число уязвимостей в этих категориях устройств, тогда как надежные инструменты для борьбы с ними пока отсутствуют. По мнению Digital Security, безопасность 3G/4G-модемов и домашних роутеров уже можно называть критической. 3G/4G-роутеры подвержены проблемам безопасности, свойственным как мобильным модемам, так и SOHO-роутерам.

Говоря о USB-модемах, эксперты описали возможности заражения кроссплатформенным руткитом ПК под управлением основных используемых ОС: Windows, Linux и OS X. Этот сценарий атаки имеет большой потенциал, пишут авторы отчета, поскольку позволяет зараженному устройству совершить атаку даже там, «где доступ в интернет не положен по уставу».

Распространенные дыры в ПО 3G/4G-модемов позволяют киберпреступникам читать трафик без авторизации, например, через реализацию атаки MiTM, применять различные мошеннические схемы посредством фишинга, а также подменять настройки оператора, чтобы воровать средства со счета пользователя. Самым опасным признано использование 3G/4G-модемов в общественных местах, особенно если через них осуществляется доступ к корпоративным ресурсам. В результате, используя зараженные вирусом USB-модемы, можно попасть даже в закрытую корпоративную сеть и осуществить таргетированную атаку на компанию.

В данном случае вообще можно говорить о появлении отдельного класса компьютерных атак. Ведь классический хакинг предусматривает, как правило, использование не только чистых технологий, но и человеческого фактора. Более того, очень многие атаки направлены именно на пользователя, как на самое слабое звено компьютерных и коммуникационных систем. Но в данном случае речь идет об атаках, которые заведомо направлены не на пользователей, не на ПК/серверы и не на прикладной софт. Это атаки на низкоуровневое ПО компьютерных устройств, обеспечивающих передачу данных. Во многом именно по этой причине на рынке средств IT-защиты в сегменте роутеров «наблюдается некоторая пустота», замечают авторы отчета. Проще говоря, антивирусных продуктов для лечения зараженных роутеров пока попросту не существует. Более того, само по себе зараженное устройство, если хакер оказался достаточно предусмотрителен, может запретить доступ к серверам обновлений антивирусных компаний по IP и по DNS.

В последнее время очень широко распространились SOHO-роутеры (Small office, home office, устройства для дома и малого офиса). Сегодня такой роутер все чаще является ключевым устройством для целой локальной сети, так как работает в качестве шлюза и DNS-сервера одновременно для ПК, мобильных гаджетов, телевизоров, игровых приставок, спутниковых ресиверов, принтеров и т. д. Соответственно, последствия компрометации роутера сказываются на всех этих устройствах. Тем не менее, большинство пользователей недооценивают опасность атаки, а потому не следят за безопасностью своих роутеров и не обновляют их прошивку, хотя в ней существует множество уязвимостей.

Как сообщают в своем отчете эксперты Digital Security, они обнаружили в базе данных уязвимостей Exploit DB более 270 уязвимостей в роутерах компаний, популярных в России и странах СНГ, таких как Cisco, D-Link, Linksys, Netgear, TP-Link, Zyxel, Huawei. При этом наличие либо отсутствие уязвимостей не зависит от стоимости, «навороченности» или «престижности» устройства. Неудивительно, что после обнаружения уязвимостей вскоре появились и первые вирусы, которые их эксплуатируют. Хотя, конечно, «вирус для роутера» – это пока звучит непривычно.

В докладе описано несколько распространенных типов уязвимостей в роутерах. Это «дыры» в WPS/QSS (протокол для облегченного подключения устройств к Wi-Fi-сети); уязвимости, связанные с обходом авторизации; внедрение команд; атаки с помощью межсайтовой подделки запросов; классические атаки с использованием переполнения буфера и с помощью уязвимости в библиотеке OpenSSL. Отдельная проблема – то, что «забывчивые» разработчики устройств иногда оставляют в прошивке отладочные записи и скрипты. Благодаря им хакер может подобрать и протестировать эксплойты, гарантированно работающие на соответствующей версии роутера, и далее атаковать со стопроцентным успехом.

Как утверждают авторы отчета, самый лучший способ защиты – использование свободно распространяемой прошивки OpenWRT для роутеров. (Если, конечно, данная конкретная модель роутера поддерживает OpenWRT.) Если не поддерживает, то стоит просто обновить прошивку до последней версии. А вот антивирусных программ для роутеров практически не существует. Более того, создать их крайне сложно – во-первых, из-за большого разнообразия чипсетов, которое должно учитываться потенциальными разработчиками, а во-вторых – из-за ограниченного аппаратного ресурса самих роутеров. Так что экспертам по инфобезу остается немногое – регулярно информировать своих клиентов об угрозах безопасности и способах их предотвращения, а во-вторых – продолжать исследовать уязвимости в абонентских устройствах, передавая информацию о найденных багах производителям.

Публикация отчета Digital Security как раз совпала с сообщением исследователей из компании Trend Micro. Им удалось обнаружить ряд опасных и легко эксплуатируемых уязвимостей в популярных маршрутизаторах китайского производителя Netis Systems. Netis Systems – дочерняя компания Netcore Group, штаб-квартира которой расположена городе Шэньчжэнь. В Китае их продукция продается под торговой маркой Netcore, в других странах компания известна под брендом Netis. По данным экспертов, маршрутизаторы как от Netis, так и от Netcore содержат бэкдор, использование которого не составляет труда для злоумышленников.

Удаленному злоумышленнику достаточно узнать внешний IP-адрес устройства, чтобы предпринять попытку получения доступа через UDP порт 53413. Запрашиваемый при этой процедуре пароль по умолчанию является одинаковым на всех моделях маршрутизаторов и не может быть изменен. По словам исследователя Trend Micro Тима Еа, при помощи сетевого сканера ZMap ему удалось обнаружить порядка двух миллионов подключенных к Сети уязвимых устройств. Подавляющее большинство из них находилось в Китае.

В свою очередь, «Лаборатория Касперского» провела поиск уязвимостей в потребительских гаджетах – тех, что используются в современных домах. Уязвимости обнаружились в телевизоре Smart TV, а также в роутере и сетевых устройствах хранения данных (сетевых накопителях, NAS). Соответствующим исследованием руководил антивирусный эксперт «Лаборатории Касперского» Дэвид Джейкоби. По его словам, в домашних роутерах обнаружилось несколько потенциально опасных скрытых функций удаленного управления, а в NAS-ах – вообще сразу 14 уязвимостей.

Так, использовав обнаруженную в одном из сетевых накопителей уязвимость, Дэвид Джейкоби смог загрузить файл в память хранилища, которая недоступна обычному пользователю. Если бы этот файл был вредоносным, сетевой накопитель данных стал бы источником заражения всех других устройств, подключенных к домашней сети, или ботом, участвующим в совершении DDoS-атак. Более того, поскольку файл был закачан в служебный сектор памяти через уязвимость, то и удален из системы он может быть только через эту же уязвимость.

Телевизоры, оснащенные функцией Smart TV, потенциально дают возможность проведения атаки типа man-in-the-middle. Например, в случаях, когда пользователь пытается приобрести медиаконтент через телевизор. В ходе эксперимента эксперт заменил графический значок интерфейса Smart TV на другое изображение просто по той причине, что при передаче данных не применялось шифрование. Аналогично могут поступить злоумышленники – в результате пользователь вместо покупки контента отправит свои деньги на счет мошенников.

Что же касается домашних роутеров, то в них обнаружился ряд скрытых функций, доступных только интернет-провайдерам, но не владельцам гаджетов. Например, некоторыми секциями веб-интерфейса (контролем доступа, обновлениями, веб-камерами и т. д.) можно управлять только через универсальную уязвимость – а это недоступно рядовому пользователю. Зато провайдер или злоумышленник может получить полный контроль над устройством.

По мнению экспертов «ЛК», основные проблемы информационной безопасности в домашних устройствах связаны с отсутствием шифрования при передаче данных от пользователя к серверу производителя, а также слабыми паролями доступа, которые устанавливаются производителем по умолчанию и редко меняются пользователем.

«Мы не должны заблуждаться, будто бы наши домашние гаджеты в безопасности только потому, что мы установили на них замысловатый пароль. Есть много вещей, которые пользователь не может контролировать. Меньше чем за 20 минут я нашел ряд серьезных уязвимостей в устройстве, которое, на первый взгляд, казалось совершенно безопасным. В связи с этим вопрос защиты домашних систем развлечения, хранения данных и доступа к интернету должен решаться совместно производителями устройств и разработчиками защитных решений в самом ближайшем будущем», – пишет Дэвид Джейкоби в конце своего отчета.

«Лаборатория Касперского» сразу после выхода отчета Дэвида Джейкоби уведомила всех производителей исследовавшихся устройств об обнаруженных уязвимостях. Но остается только догадываться, сколько их еще остается в устройствах, которые нас окружают в повседневной жизни.