Исследователи считают, что многие домашние маршрутизаторы, поставляемые интернет-провайдерами, могут быть взломаны в массовом порядке.

Специализированные серверы, используемые многими интернет-провайдерами для управления маршрутизаторами и другими шлюзовыми устройствами, предоставляемыми их клиентам, доступны из Интернета и могут быть легко захвачены злоумышленниками, предупреждают исследователи.

доступ к таким серверам, хакеры или спецслужбы потенциально могут поставить под угрозу миллионы маршрутизаторов и, неявно, домашние сети, которые они обслуживают, сказал Шахар Тал, исследователь безопасности в Check Point Software Technologies. В субботу Тал выступил с презентацией на конференции по безопасности DefCon в Лас-Вегасе.

В основе проблемы лежит все более широко используемый протокол, известный как TR-069 или CWMP (управление глобальной сетью оборудования на территории клиента протокол), который используется отделами технической поддержки многих интернет-провайдеров для удаленного устранения проблем с конфигурацией на маршрутизаторах, предоставленных клиентам.

Согласно статистическим данным за 2011 год, 147 миллионов устройств с TR-069 находятся в сети и По оценкам Талла, 70 процентов из них — это жилые шлюзы. По его словам, на основе сканирования адресного пространства Интернет-протокола версии 4 порт 7547, связанный с TR-069, является вторым по частоте встречаемости служебным портом после порта 80 (HTTP).

Устройства TR-069 настроены для подключения к серверам автоконфигурации (ACS), управляемым интернет-провайдерами. На этих серверах работает специализированное программное обеспечение ACS, разработанное сторонними компаниями, которое можно использовать для перенастройки клиентских устройств, отслеживания их сбоев и вредоносной активности, выполнения диагностики и даже незаметного обновления их прошивки.

Многие По словам Талла, клиенты, скорее всего, не знают, что их интернет-провайдеры имеют такой уровень контроля над своими маршрутизаторами, тем более, что на них запущена кастомная прошивка, которая часто скрывает страницу настроек TR-069 в интерфейсе администрирования маршрутизатора. По его словам, даже если владелец знает об этой службе удаленного управления, в большинстве случаев ее невозможно отключить.

Если злоумышленник взломает ACS, он может получить информацию от управляемых маршрутизаторов, например имена беспроводных сетей, MAC-адреса оборудования, учетные данные для передачи голоса по IP, имена пользователей и пароли администрирования. Он также мог настроить маршрутизатор на использование ложного DNS-сервера, пропускать весь Интернет-трафик через мошеннический туннель, настроить скрытую беспроводную сеть или удалить пароль безопасности из существующей сети. Хуже того, он мог обновить прошивку на устройствах с мошеннической версией, содержащей вредоносное ПО или бэкдор.

Спецификация TR-069 рекомендует использовать HTTPS (HTTP с шифрованием SSL) для соединений между управляемые устройства и ACS, но тесты, проведенные Талем и его коллегами, показали, что около 80 процентов реальных развертываний не используют зашифрованные соединения. Даже при использовании HTTPS в некоторых случаях возникают проблемы с проверкой сертификатов, когда оборудование клиента принимает самоподписанные сертификаты, представленные ACS. Это позволяет злоумышленнику-посреднику выдавать себя за сервер ACS..

Протокол также требует аутентификации от устройства к ACS, но имя пользователя и пароль обычно используются всеми устройствами и могут быть легко извлечены из взломанного устройства; например, изменив URL-адрес ACS в настройках клиента TR-069 на адрес, контролируемый злоумышленником, сказал Тал.

Исследователь и его коллеги протестировали несколько программных реализаций ACS, используемых интернет-провайдерами, и обнаружили критические уязвимости удаленного выполнения кода в них, которые позволили бы злоумышленникам захватить серверы управления, доступные через Интернет.

Один программный пакет ACS под названием GenieACS имел две уязвимости удаленного выполнения кода. Исследователи нашли интернет-провайдера в ближневосточной стране, который использовал это программное обеспечение для управления несколькими тысячами устройств.

Другой программный пакет ACS, название которого не разглашается, поскольку он используется основными интернет-провайдерами по всему миру, имел множественные уязвимости, которые могут позволить злоумышленникам поставить под угрозу работающие серверы. Тал сказал, что они протестировали развертывание этого программного обеспечения ACS у одного интернет-провайдера с разрешения компании и обнаружили, что они могут использовать более 500 000 устройств.

К сожалению, для конечных пользователей нет простого решения, поскольку в По словам Талла, в большинстве случаев они не могут отключить TR-069 на своих устройствах, не получив root-доступ каким-либо другим способом. По его словам, клиенты могут установить второй маршрутизатор за маршрутизатором, предоставленным интернет-провайдером, но это не снизит все риски.

TR-069 был разработан для работы в глобальной сети. , но интернет-провайдеры должны ограничить доступ к своим серверам автоконфигурации, запустив их в отдельных сегментах сети с ограниченным доступом или другими способами, сказал Тал. Кроме того, по его словам, поставщики программного обеспечения ACS должны применять методы безопасного кодирования и подвергать свои продукты оценке уязвимостей.

Пока Тал и его коллеги из Check Point исследовали уязвимости на стороне сервера, но они также планируют исследовать возможные векторы атак на клиентские реализации TR-069 на устройствах.

Количество крупномасштабных атак на домашние маршрутизаторы значительно увеличилось за последние двенадцать месяцев, при этом злоумышленники используют различные способы монетизировать доступ к таким устройствам, от перехвата трафика онлайн-банкинга до установки вредоносного ПО для майнинга криптовалюты и перехвата настроек DNS для мошенничества с кликами.

Примечание. Когда вы покупаете что-то после перехода по ссылкам в наших статьях, мы можем получить небольшую комиссию. Подробнее читайте в нашей политике партнерских ссылок.


Атака Mirai на домашние маршрутизаторы и предполагаемая уязвимость TR-069 | Кафе QA: развитие сетевого тестирования

Обновление: узнайте больше о том, как эту атаку можно использовать против устройств TR-069 здесь.

На неделе 28 ноября 2016 г. была совершена массовая атака на некоторые домашние маршрутизаторы, развернутые несколькими европейскими поставщиками услуг. Атака была основана на атаке Mirai Malware несколькими неделями ранее, которая затронула службы динамического DNS, предоставляемые Dyn, Inc. Атака была сосредоточена на отправке определенных команд SOAP на основе старого протокола TR-064, разработанного Broadband Forum, через порт 7547. Это обычно открытый TCP-порт на устройствах WAN, которые используют популярный протокол управления CPE WAN, более известный как TR-069.

Целью атаки было заставить эти маршрутизаторы выполнить произвольный код и загрузить вредоносное ПО Mirai, что делает их роботами для DDoS-атак.

Это привело к тому, что многие новостные агентства, не понимающие разницы между TR-064, TR-069 и характером этого открытого порта, назвали атака как уязвимость TR-069. Хотя это далеко от истины, в нем подчеркиваются определенные вещи, которые необходимо сделать для защиты развертываний TR-069 (включая те, которые мы здесь задокументировали).

Это не TR-069 уязвимость

Так что же на самом деле? На самом деле эта атака не имеет ничего общего с какой-либо уязвимостью TR-069, скорее, она эксплуатирует реализации, использующие службу на основе HTTP для удаленного управления.

Что такое TR. -069?

TR-069 — это технический отчет, подготовленный Форумом широкополосного доступа, который определяет протокол управления CPE WAN. Он был разработан, чтобы помочь поставщикам услуг развертывать абонентское CPE (маршрутизаторы, телеприставки, устройства VoIP и т. Д.) Для удаленной настройки, управления, мониторинга и устранения неполадок этих устройств с помощью сервера автоконфигурации (ACS). Он безопасен при правильной реализации и уже более десяти лет используется поставщиками услуг по всему миру. У QA Cafe есть целая серия обучающих программ по TR-069, если вы хотите узнать больше.

Почему порт 7547?

То, что эта атака нацелена на порт 7547, основано на совпадении на том, что этот порт открыт на многих домашних роутерах, использующих CWMP. Конечная точка CWMP (на CPE) всегда инициирует сеанс CWMP. Чтобы разрешить не всегда активное соединение, был включен механизм запроса соединения, который позволяет ACS «пнуть» CPE, чтобы инициировать сеанс. Он принимает форму простого HTTP GET для URL-адреса, установленного CPE — URL-адреса, который может быть произвольным и не требуется для использования порта 7547 (хотя это рекомендуемый порт). Позднее этот механизм был расширен и теперь включает способ выполнения запросов на соединение через XMPP.

Три вещи, которые следует отметить о механизме запроса HTTP-соединения в отношении этой атаки:

  1. Механизм запроса соединения CWMP предназначен только для того, чтобы CPE инициировал соединение с его известным ACS. Сообщения CWMP никогда не отправляются по этому URL-адресу или передаются через это соединение.
  2. Это исключительно механизм CWMP и не имеет никакого отношения к протоколу, который является фактическим объектом атаки (TR-064 ).
  3. Рекомендуется заносить в белый список только те системы, которые инициируют запрос соединения на CPE.

Фактически атака является атакой на старый протокол от Broadband Forum, названный «конфигурация DSL CPE на стороне LAN», определенный в TR-064. Это было сделано в те дни, когда провайдеры боролись с развертыванием и запуском CPE с простым взаимодействием с конечным пользователем, а не с отправкой техника. Это работало, позволяя программному обеспечению в локальной сети (например, через установочный компакт-диск или DVD-ROM) связываться с маршрутизатором для установки базовой связи. Он использует очень примитивно определенные сообщения SOAP для настройки и чтения ограниченного набора параметров на CPE.

TR-064 более старый и устарел

TR-064 устарел и заменен на TR-064, выпуск 2. В этом выпуске просто рекомендуется, чтобы те, кто интересуется конфигурацией стороны LAN, использовали UPnP-DM с моделями данных CWMP.

Из TR-064, выпуск 1:

Протокол и модель данных, определенные в TR-064, выпуск 1, УСТАРЕВШИЛИ. Их СЛЕДУЕТ использовать только на устаревших устройствах. Все новые устройства и обновления существующих устройств ДОЛЖНЫ использовать механизм, описанный в TR-064, выпуск 2 Это обеспечивает механизм использования TR-098 InternetGatewayDevice: 1 (УСТАРЕВШИЙ), TR-181 Issue 1 Device: 1 или TR-181 Issue 2 Device: 2 корневые модели данных с улучшенной безопасностью устройства.

Так в чем проблема? Проблема возникает из-за конкретных реализаций маршрутизаторов, которые содержали набор вариантов дизайна, которые создавали «идеальный шторм» для атаки. Вы можете увидеть код атаки здесь.

См. Захват этого типа атаки в CloudShark

  1. В реализациях использовались оба TR -069 и более старая устаревшая версия TR-064.
  2. Реализации обслуживали как запрос на соединение TR-069, так и общую службу TR-064 через один и тот же порт (7547)
  3. TR-064 никогда не предназначался для работы через WAN.
  4. Реализация отвечала на запросы TR-064 без какой-либо аутентификации (TR-064 рекомендует дайджест-аутентификацию HTTP)
  5. Реализация позволила выполнить произвольный код с помощью инъекции оболочки с использованием одного из возможных параметров конфигурации (в данном случае NewNTPServer1).

Все это легко уязвимость, которую можно использовать, но не TR-069.

Что с ней делается?

Если вы пользователь маршрутизатора, слыша об этой атаке, вы увидите многие статьи подразумевают, что открытие порта 7547 на вашем устройстве означает, что вы уязвимы для нападение — что не соответствует действительности. Провайдеры используют этот порт для настройки TR-069, который, вероятно, является неотъемлемой частью вашего сервиса. Если вы попытаетесь закрыть этот порт, это может вызвать проблемы! Уязвимы только очень конкретные устройства с конкретными реализациями. Поставщики устройств, уязвимых для этой атаки, выпускают исправление прошивки для его обновления (что потребует времени).

Если вы поставщик услуг

Похоже, эта атака была изолирована только для двух европейских поставщиков услуг, которые развернули именно эти устройства. Однако широкополосные устройства несовершенны, и многие из них содержат самые разные уязвимости. Сценарии тестирования CDRouter включают сканирование nmap, тесты безопасности ssl, тестирование брандмауэра и многое другое — запуск ваших устройств через тщательное тестирование безопасности. Кроме того, использование только устройств, сертифицированных BBF.069, может помочь вам уменьшить многие проблемы с реализациями TR-069.

Оцените статью
clickpad.ru
Добавить комментарий