Девять Wi-Fi-маршрутизаторов, которыми пользуются миллионы людей, были подвержены 226 недостаткам

Ошибка KCodes NetUSB делает миллионы маршрутизаторов уязвимыми для RCE-атак

Исследователи безопасности проанализировали девять популярных маршрутизаторов WiFi и обнаружили в них в общей сложности 226 потенциальных уязвимостей, даже при использовании последней прошивки.

Протестированные маршрутизаторы производятся Asus, AVM, D-Link, Netgear, Edimax, TP-Link, Synology и Linksys и используются миллионами людей.

Лидерами по количеству уязвимостей являются TP-Link Archer AX6000 с 32 недостатками и Synology RT-2600ac с 30 ошибками безопасности.

Процесс тестирования

Исследователи из IoT Inspector провели тесты безопасности в сотрудничестве с журналом CHIP, уделяя особое внимание моделям, используемым в основном небольшими фирмами и домашними пользователями.

«Для оценки маршрутизатора Chip поставщики предоставили им текущие модели, которые были обновлены до последней версии прошивки», — сообщил BleepingComputer по электронной почте Флориан Лукавски, технический директор и основатель IoT Inspector.

«Версии прошивки были автоматически проанализированы IoT Inspector и проверили более 5000 CVE и других проблем безопасности».

Их результаты показали, что многие маршрутизаторы по-прежнему уязвимы для публично раскрытых уязвимостей даже при использовании последней версии встроенного ПО.

Хотя не все недостатки связаны с одинаковым риском, команда обнаружила некоторые общие проблемы, которые повлияли на большинство протестированных моделей:

  • Устаревшее ядро ​​Linux в прошивке
  • Устаревшие функции мультимедиа и VPN
  • Чрезмерное использование старых версий BusyBox
  • Использование слабых паролей по умолчанию, таких как «admin»
  • Наличие жестко запрограммированных учетных данных в текстовой форме

Ян Венденбург, генеральный директор IoT Inspector, отметил, что одним из наиболее важных способов защиты маршрутизатора является изменение пароля по умолчанию при первой настройке устройства.

«Смена паролей при первом использовании и включение функции автоматического обновления должны быть стандартной практикой для всех устройств IoT, независимо от того, используется ли устройство дома или в корпоративной сети». объяснил Венденбург.

«Наибольшую опасность, помимо уязвимостей, вносимых производителями, представляет использование устройства IoT в соответствии с девизом« подключи, играй и забудь»».

Извлечение ключа шифрования

Исследователи не публиковали много технических подробностей о своих выводах, за исключением одного случая, связанного с извлечением ключа шифрования для образов прошивки маршрутизатора D-Link.

Команда нашла способ получить локальные привилегии на D-Link DIR-X1560 и получить доступ к оболочке через физический интерфейс отладки UART.

Затем они сбросили всю файловую систему с помощью встроенных команд BusyBox, а затем обнаружили двоичный файл, отвечающий за процедуру дешифрования.

Анализируя соответствующие переменные и функции, исследователи в конечном итоге извлекли ключ AES, используемый для шифрования прошивки.

Используя этот ключ, злоумышленник может отправлять обновления образов вредоносной прошивки для прохождения проверочных проверок на устройстве, потенциально заражая маршрутизатор вредоносным ПО.

Такие проблемы можно решить с помощью шифрования всего диска, которое защищает локально хранящиеся образы, но такая практика встречается нечасто.

Производители отреагировали быстро

Все затронутые производители отреагировали на выводы исследователей и выпустили исправления для прошивки.

Автор CHIP Йорг Гейгер прокомментировал, что поставщики маршрутизаторов устранили большинство недостатков безопасности, выявленных рабочей группой, но не все из них.

Исследователи сообщили Bleeping Computer, что неисправленные недостатки в основном относятся к менее важным уязвимостям. Однако они пояснили, что никаких дополнительных тестов для подтверждения того, что обновления безопасности устранили обнаруженные проблемы, не проводилось.

Ответы поставщиков на CHIP (переведенные) были следующими:

  • Asus : Asus изучила каждую точку анализа и представила нам подробный ответ. Asus исправила устаревшую версию BusyBox, а также есть обновления для curl и веб-сервера. Они указали, что проблемы с паролем были временными файлами, которые процесс удаляет при завершении. Они не представляют опасности.
  • D-Link : D-Link вкратце поблагодарила нас за информацию и опубликовала обновление прошивки, которое устраняет упомянутые проблемы.
  • Edimax : Похоже, что Edimax не потратил слишком много времени на проверку проблем, но в конце было обновление прошивки, которое устранило некоторые пробелы.
  • Linksys : Linksys заняла позицию по всем вопросам, которые классифицируются как «высокие» и «средние». В будущем мы не будем использовать пароли по умолчанию; есть обновление прошивки для оставшихся проблем.
  • Netgear : В Netgear они много работали и внимательно изучали все проблемы. Netgear считает некоторые «высокие» проблемы меньшей проблемой. Существуют обновления для DNSmasq и iPerf, другие проблемы, о которых сообщают, должны быть рассмотрены в первую очередь.
  • Synology : Synology решает упомянутые проблемы с помощью крупного обновления ядра Linux. BusyBox и PHP будут обновлены до новых версий, и Synology скоро очистит сертификаты. Кстати, от этого выигрывают не только роутеры, но и другие устройства Synology.
  • TP-Link : с обновлениями из BusyBox, CURL и DNSmasq TP-Link устраняет многие проблемы. Нового ядра нет, но для операционной системы планируется более 50 исправлений.

Если вы используете любую из моделей, упомянутых в отчете, рекомендуется применить доступные обновления безопасности, включить «автоматические обновления» и изменить пароль по умолчанию на уникальный и надежный.

Кроме того, вам следует отключить удаленный доступ, функции UPnP (Universal Plug and Play) и WPS (Wi-Fi Protected Setup), если вы не используете их активно.

Bleeping Computer связался со всеми затронутыми производителями с просьбой прокомментировать вышеуказанное, и мы обновим эту часть, как только получим их ответ.

Последнее обновление 05.01.2023