студия дизайна

Конференция Defcon раскрыла серьезные проблемы с безопасностью таких распространенных устройств, как роутеры для дома и офиса. Как выясняется, многие модели роутеров этого уровня подвержены уязвимости, получившей название RPEF (Router Post-Exploitation Framework). Это название можно перевести, как «технология использования роутера в произвольных целях после перехвата управления». Возможности, которые открывает эта уязвимость, поистине безграничны: от ложного DNS-сервиса и прослушки трафика до полномасштабных распределенных атак на отказ в обслуживании с централизованной координацией.

Описание уязвимости RPEF представил Майкл Коппола (Michael Coppola) из компании VSR (Virtual Security Research). По его данным, проблеме точно подвержены модели роутеров Netgear WGR614, WNDR3700 и WNR1000; Linksys WRT120N; TRENDnet TEW-651BR и TEW-652BRP; D-Link DIR-601 и Belkin F5D7230-4.

В дальнейшем этот список может сильно расшириться.

Само собой, чтобы превратить домашний или офисный роутер в управляемого «зомби», сначала нужно перехватить управление им и установить новую прошивку. Это можно сделать, если веб-интерфейс роутера открыт для доступа из Интернета (а не только из локальной сети). Как показывают исследования, таких роутеров по всему миру работает очень и очень немало.

Тем не менее, даже если ваш роутер правильно сконфигурирован, доступ к веб-интерфейсу из Интернета закрыт, вы все равно не можете чувствовать себя в безопасности. Фил Первайнс (Phil Purviance) и Джошуа Брашарс (Joshua Brashars) из компании AppSec Consulting показали, как с помощью современных технологий злоумышленники могут без ведома пользователя получить пароль к администраторскому интерфейсу роутера (через историю браузера и с использованием других методов), что в итоге дает потенциальный доступ к перепрошивке роутера.

Стоит заметить, что наиболее подвержены уязвимостям оказались популярные нестандартные прошивки роутеров на базе известного инструментария DD-WRT с открытым исходным кодом. Достаточно посетить веб-сайт с вредоносными JavaScript-сценариями через тот же браузер, через который вы управляете роутером: злоумышленник получит детальное описание модели роутера, внутренних настроек и другие сведения. Шансов заметить смену прошивки немного – многие современные роутеры позволяют сохранить все пользовательские настройки в отдельном чипе памяти NVRAM, которые остаются даже при полной перепрошивке. Доказана теоретическая возможность создания вредоносных прошивок, содержащих клиентские модули ботнета, причем вид веб-интерфейса будет неотличим от оригинального.

Стоит добавить, что ботнеты из роутеров являются не абстрактной опасностью. Еще в 2009 г. компания DroneBL обнаружила червя, заражавшего роутеры и DSL-модемы под управлением система Mipsel, одного из вариантов Linux на базе сборки Debian. В 2011 г. эксперты антивирусной компании Trend Micro нашли аналогичное вредоносное ПО в Латинской Америке – червь поражал роутеры D-Link и самоуничтожался при перезагрузке. С открытием новых уязвимостей такая угроза может стать постоянной – вредоносное ПО может стать частью прошивки и уже не будет исчезать при перезагрузках, так что обнаружить проблему будет очень нелегко.

Примечательно, что сам Майкл Коппола считает, что отсутствие масштабных устойчивых ботнет-сетей на базе роутеров сегодня объясняется лишь дефицитом инструментов для глубокого анализа прошивок на низком уровне. Как раз «вовремя», на той же конференции была представлена утилита FRAK (Firmware Reverse Engineering Konsole), которая значительно расширяет возможности такого анализа.

По материалам сайта NetworkWorld.