Серьёзная уязвимость найдена в 12 миллионах маршрутизаторов
Последние исследования сетевой безопасности выявили серьёзную уязвимость более чем в 12 миллионах бытовых и офисных маршрутизаторах по всему миру. Эта уязвимость позволяет любому достаточно квалифицированному хакеру отслеживать пользовательских трафик или даже полностью перехватывать контроль над устройством. Слабое место кроется в модуле под названием «RomPager», разработанном компанией AllegroSoft и присутствующим во многих бытовых моделях сетевых устройств — маршрутизаторах, точках доступа и других. В самом программном обеспечении нет ничего плохого, это важный компонент, обеспечивающий устройство web-интерфейсом. По сути, RomPager является всего лишь компактным web-сервером, который не занимает много места в прошивке устройства, имеющей обычно серьёзные ограничения по объёму.
Но версии RomPager до 4.34, как оказалось, содержат серьёзную недоработку, которая позволяет атакующему использовать специальным образом сформированный cookie-файл, который вызовет ошибку в памяти устройства и позволит перехватить права администратора. В числе прочего, взломанное устройство позволяет хакеру отслеживать в обычном текстовом виде весь пользовательский трафик, что уже означает полную потерю приватности. Возможны и другие вредоносные действия, к примеру, изменение настроек DNS или удалённое управление веб-камерами и прочими устройствами, подключенными к сети. Можно себе представить, что может натворить злоумышленник, получивший полный доступ к системам «умного дома». Нашедшие уязвимость исследователи нарекли её Misfortune Cookie (Несчастливое Печенье). Она получила официальный идентификатор CVE-2014-9222.
Точно определить, какие устройства подвержены этой атаке, довольно сложно, поскольку они редко выдают информацию о версиях всего используемого в прошивке программного обеспечения, а кроме того, ряд производителей мог вручную закрыть уязвимость без обновления версии RomPager. Но уже предварительное сканирование выявило, как минимум, 12 миллионов уникальных устройств, несущих в себе эту уязвимость. В этот список вошло около 200 моделей различных производителей, включая LinkSys, D-Link, Edimax, Huawei, TP-Link, ZTE и Zyxel. Исследователи из компании Check Point пока не обнаружили свидетельств, что данная уязвимость активно используется злоумышленниками, но не исключено, что именно она является причиной двух массивных серий взломов в 2014 году, когда пострадали сотни тысячи маршрутизаторов и их владельцев. В первом случае речь шла примерно о тысяче маршрутизаторов LinkSys, а во втором взломано было более 300 тысяч различных устройств разных производителей.
Сама проблема Misfortune Cookie была выявлена ещё в 2002 году, соответствующая «заплатка» была выпущена тремя годами спустя, но, как видно, разработчики и производители соответствующего оборудования либо не обратили на это внимания, либо не придали проблеме должного значения — в противном случае, первое же сканирование не показало бы 12 миллионов потенциально уязвимых устройств. Гарантированный метод убедиться в том, что вы не подвержены атаке по этому направлению — выяснить, какая версия RomPager работает на вашем устройстве. Если она имеет номер 4.34 или выше, то всё в порядке. Кроме того, следует проверить, не закрыл ли эту уязвимость сам производитель устройства без обновления версии интегрированного web-сервера. Дополнительную информацию можно найти в опубликованной Check Point документации (на английском языке). И как обычно, мы рекомендуем не пренебрегать обычными мерами сетевой безопасности.
Но версии RomPager до 4.34, как оказалось, содержат серьёзную недоработку, которая позволяет атакующему использовать специальным образом сформированный cookie-файл, который вызовет ошибку в памяти устройства и позволит перехватить права администратора. В числе прочего, взломанное устройство позволяет хакеру отслеживать в обычном текстовом виде весь пользовательский трафик, что уже означает полную потерю приватности. Возможны и другие вредоносные действия, к примеру, изменение настроек DNS или удалённое управление веб-камерами и прочими устройствами, подключенными к сети. Можно себе представить, что может натворить злоумышленник, получивший полный доступ к системам «умного дома». Нашедшие уязвимость исследователи нарекли её Misfortune Cookie (Несчастливое Печенье). Она получила официальный идентификатор CVE-2014-9222.
Точно определить, какие устройства подвержены этой атаке, довольно сложно, поскольку они редко выдают информацию о версиях всего используемого в прошивке программного обеспечения, а кроме того, ряд производителей мог вручную закрыть уязвимость без обновления версии RomPager. Но уже предварительное сканирование выявило, как минимум, 12 миллионов уникальных устройств, несущих в себе эту уязвимость. В этот список вошло около 200 моделей различных производителей, включая LinkSys, D-Link, Edimax, Huawei, TP-Link, ZTE и Zyxel. Исследователи из компании Check Point пока не обнаружили свидетельств, что данная уязвимость активно используется злоумышленниками, но не исключено, что именно она является причиной двух массивных серий взломов в 2014 году, когда пострадали сотни тысячи маршрутизаторов и их владельцев. В первом случае речь шла примерно о тысяче маршрутизаторов LinkSys, а во втором взломано было более 300 тысяч различных устройств разных производителей.
Сама проблема Misfortune Cookie была выявлена ещё в 2002 году, соответствующая «заплатка» была выпущена тремя годами спустя, но, как видно, разработчики и производители соответствующего оборудования либо не обратили на это внимания, либо не придали проблеме должного значения — в противном случае, первое же сканирование не показало бы 12 миллионов потенциально уязвимых устройств. Гарантированный метод убедиться в том, что вы не подвержены атаке по этому направлению — выяснить, какая версия RomPager работает на вашем устройстве. Если она имеет номер 4.34 или выше, то всё в порядке. Кроме того, следует проверить, не закрыл ли эту уязвимость сам производитель устройства без обновления версии интегрированного web-сервера. Дополнительную информацию можно найти в опубликованной Check Point документации (на английском языке). И как обычно, мы рекомендуем не пренебрегать обычными мерами сетевой безопасности.
Дата публикации: 28-01-2015