Reitittimet hyökkäyksen kohteeksi: Kuinka yritykset voivat suojata porttiaan Internetiin

Modeemit ja reitittimet eivät ole loistavimpia yhdistetyistä teknologioista. Itse asiassa niiden läsnäolo tarkoittaa sitä, että useimmat organisaatiot unohtavat olevansa siellä. Niillä on kuitenkin myös kriittinen tehtävä mahdollistaessaan verkkolaitteiden ja koneiden pääsyn julkiseen Internetiin. Ilman niitä useimpien yritysten olisi vaikea toimia.

Reitittimet ovat kuitenkin yhä suositumpi kohde, koska ne sijaitsevat verkon reunalla. Se ei auta, että monet ovat täynnä haavoittuvuuksia, eikä niitä välttämättä päivitetä yhtä usein kuin muita kriittisiä laitteita. A raportti Forescoutilta lokakuussa julkaistu varoittaa 14 uudesta laiteohjelmistovirheestä DrayTek-reitittimissä.

On aika ryhtyä vakavasti yritysten reitittimien suojaamiseen.

Mikä DrayTekissä on vikana?

Forescoutin mukaan kaksi 14 uudesta haavoittuvuudesta, jotka se löysi taiwanilaisen valmistajan reitittimistä, on luokiteltu kriittisiksi: CVE-2024-41592:n maksimi CVSS-pistemäärä on 10, kun taas CVE-2024-41585:n arvo on 9.1.

Edellinen on puskurin ylivuoto DrayTek VigorConnect -verkkokäyttöliittymän GetCGI()-funktiossa. Sen voi ilmeisesti laukaista erityisesti muotoiltu ja liian pitkä kyselymerkkijono mille tahansa Web-käyttöliittymän 40 CGI-sivulle. Tätä puolestaan ​​voidaan käyttää palvelujen kieltämiseen tai, jos se on ketjutettu käyttöjärjestelmän komentoinjektiovirheen CVE-2024-41585 kanssa, etäpääsyn saamiseksi taustalla olevaan isäntäkäyttöjärjestelmään.

Se on potentiaalisesti paljon vakavampaa, koska se antaisi hyökkääjälle "avaimet valtakuntaan" - mahdollistaisi kohteena olevan reitittimen täydellisen etähallinnan ja siirtämällä sivusuunnassa muita samassa verkossa olevia laitteita, Forescout sanoo.

DrayTek-reitittimien suosio maailmanlaajuisesti korostaa verkon puolustajien haasteita ja uhkatoimijoiden mahdollisuuksia. Forescoutin mukaan yli 704,000 425,000 reititintä oli alttiina Internetiin – ja siksi niitä voidaan hyödyntää – raporttia laadittaessa, joista XNUMX XNUMX Isossa-Britanniassa ja EU:ssa. Suurin osa on ilmeisesti tarkoitettu yrityskäyttöön.

DrayTek oli korjannut kaikki laiteohjelmiston haavoittuvuudet raportin julkaisemiseen mennessä. Ei kuitenkaan ole takeita siitä, että asiakkaat ottavat päivitykset käyttöön ennen mahdollisia yrityksiä hyödyntää niitä. Myyjä ei myöskään ole suinkaan ainoa valmistaja, jonka tuotteet ovat vaarassa. Syyskuussa yhteinen neuvonta useat Five Eyes -turvatoimistot paljastivat 260,000 XNUMX kaapatun laitteen massiivisen bottiverkon olemassaolon, mukaan lukien MikroTikin, Ubiquitin, Telesquaren, Telstran, Ciscon ja NetGearin reitittimet.

Miksi reitittimet?

Modeemit ja reitittimet ovat selvästi suosittuja uhkien kohteena. Tämä johtuu siitä, että he:

• Ne ovat usein täynnä korjaamattomia haavoittuvuuksia, joita voidaan hyödyntää
• Niitä käyttävät usein pk-yritykset, joilla on vähemmän tietoturvaresursseja ja osaamista, mikä voi jättää reitittimet näkyviin
• Hakkereiden on helppo skannata ne etänä
• Voidaan suojata vain tehtaan oletusarvoilla
• Tarjoaa yhdyskäytävän samassa verkossa oleville laitteille, ja sitä voitaisiin siksi käyttää kiristysohjelmien ja datavarkauksien alkupääsyvektorina
• Ne voidaan kaapata ja käyttää robotteina suuremmassa bottiverkossa käynnistämään DDoS-hyökkäyksiä muita vastaan ​​tai naamioimaan kehittyneempiä uhkakampanjoita.
• Voidaan käyttää uudelleen komento- ja ohjauspalvelimina (jos ne ovat tehokkaita reitittimiä)

EoL- tai End-of-Sale (EoS) -laitteet ovat erityisen vaarassa, koska korjaustiedostoja/päivityksiä ei välttämättä ole saatavana myyjältä. Forescout väittää, että sen tutkimuksessa luetelluista 11 DrayTek-mallista 24 oli joko EoL tai EoS. Vaikka laastarit voidaan kiinnittää, ne eivät usein ole. Forescoutin mukaan lähes kaksi viidesosaa (40 %) raportissa olevista on edelleen haavoittuvia vastaaville, kaksi vuotta aiemmin tunnistetuille puutteille.

”Reitittimet voivat antaa pääsyn organisaation verkon resursseihin tai jopa hallita niitä. Niiden muodostamien verkkojen ja aliverkkojen luurankoina ne ovat hyvä resurssi hyökkääjälle tartuttaa", Black Duck Softwaren tietoturvakonsultti Adam Brown kertoo ISMS.onlinelle.

"Lisäksi niitä hallinnoivat henkilöt, joilla on korkein turvallisuustaso, ja jos niitä rikotaan, pahat toimijat saavat avaimet valtakuntaan."

Tämä ei ole teoreettinen uhka. Yllä korostetun massiivisen Kiinan uhkakampanjan lisäksi voimme viitata seuraavaan:

Volt Typhoon: Kiinan valtion tukema APT-ryhmä, joka käytti hyväkseen nollapäivän haavoittuvuuksia Internetiin kytketyissä verkkolaitteissa, kuten reitittimissä, vaarantaakseen strategisesti tärkeitä kriittisiä infrastruktuuriverkkoja Yhdysvalloissa. Lopullisena tavoitteena, sanoo Cybersecurity and Infrastructure Security Agency (CISA), oli olla valmis ja valmis käynnistämään tuhoisia hyökkäyksiä sotilaallisen konfliktin sattuessa.

BlackTech: Toinen Kiinan osavaltion APT-ryhmä, joka kohdistui useisiin organisaatioihin Yhdysvalloissa ja Japanissa. Se kohdistui sivukonttoreiden huonosti suojattuihin reitittimiin, mikä antoi hyökkääjille mahdollisuuden sulautua tavalliseen liikenteeseen, kun he siirtyivät muihin laitteisiin yrityksen pääkonttorissa. Joissakin tapauksissa vastustajat saivat järjestelmänvalvojan oikeudet, joiden ansiosta he voivat vaihtaa reitittimien laiteohjelmiston ja/tai sulkea lokikirjauksen jäljiensä piilottamiseksi.

Cyclops Blink ja VPNFilter: Kaksi pitkälle kehitettyä monivuotista kampanjaa Venäjän Sandworm-ryhmältä, jotka kohdistuivat pieniin toimisto-/kotitoimistoihin (SOHO) reitittimiin ja muihin verkkolaitteisiin. Samannimisen haittaohjelman käyttöönotto kuvailtiin nimellä "miellyttävä ja laajalle levinnyt", mikä saa tarkkailijat spekuloimaan, että tarkoituksena oli luoda bottiverkkoja, jotka pystyvät käynnistämään uhkakampanjoita muita kohteita vastaan.

APT28/Fancy Bear: Tuottelias venäläinen uhkaryhmä kohdistui Ubiquiti EdgeRoutersiin osana laajempaa kampanjaa, jonka tarkoituksena oli "helpottaa haitallisia kyberoperaatioita maailmanlaajuisesti" – muun muassa isännöimällä keihään tietojenkalastelusivuja ja mukautettuja hyökkäystyökaluja.

Kuinka lieventää uhkaa

Jotkut Yhdysvaltain lainsäätäjät haluavat tutkia Kiinassa valmistettuja reitittimiä yrittääkseen lieventää Pekingin kybervakoilun uhkaa. Mutta tämä ei auta ratkaisemaan ongelmaa, jossa muualla valmistettuja reitittimiä kaapataan varastettujen/raaka pakotettujen tunnistetietojen tai haavoittuvuuden hyväksikäytön kautta. Miten organisaatiot voivat suojata reitittimiä paremmin? Jotkut parhaat käytännöt auttavat.

Loistava paikka aloittaa on testattu kyberhygienia, kuten:

• Laiteohjelmiston säännöllinen korjaus heti, kun päivityksiä on saatavilla, käyttämällä mahdollisuuksien mukaan automaattisia päivityskanavia
• Oletussalasanojen korvaaminen vahvoilla, ainutlaatuisilla tunnistetiedoilla
• Käyttämättömien palveluiden ja porttien, kuten UPnP, etähallinta, tiedostojen jakaminen jne
• EoL-sarjan nopea vaihtaminen varmistaaksesi parhaan mahdollisen suojan hyväksikäyttöä vastaan.

Black Duck Softwaren Brown lisää, että Zero Trust -tietoturvalähestymistavat auttaisivat myös organisaatioita vähentämään reitittimen tietoturvariskejä, kuten verkon valvontaa epätavallisten liikennemäärien varalta ja segmentointia vähiten käyttöoikeuskäytäntöjen ohella.

"Turvaarkkitehtuuri on otettava huomioon otettaessa käyttöön verkkoja ja siksi reitittimiä, ja on huolehdittava siitä, että reititinkonsoleihin pääsyssä on asianmukaiset suojaukset", hän lisää. "Verkon luottamusvyöhykkeet on otettava huomioon, ja Zero Trust -lähestymistapa arkkitehtuuriin kaikilla tasoilla auttaa rajoittamaan räjähdyksen sädettä, jos onnettomuus tapahtuu."

Kuten yllä olevissa esimerkeissä korostetaan, voimakkaat valtion tukemat ryhmät sekä kehittyneet kyberrikollisyhteisöt ovat valmiita hyödyntämään tietoturva-aukkoja kaapatakseen reitittimiä ja verkkoja, joissa ne sijaitsevat. Kun pk-yritykset ovat ristissä, on aika korjata tämä kriittinen tietoturvavaje.