Sicherheit beginnt mit einem Heimrouter

Der Autor des Artikels ist der Security Solutions Architect bei CERT

Vor kurzem hat VPNFilter viel Aufmerksamkeit auf sich gezogen, insbesondere nach der öffentlichen Ankündigung des FBI am 25. Mai und einer Reihe von Anzeigen von Geräteherstellern und Sicherheitsunternehmen . Betrachten Sie die VPNFilter-Malware: Welche Schwachstellen werden verwendet und wie lassen Sie uns die Auswirkungen auf das Internet bewerten. Ich gebe auch Empfehlungen für Hersteller von IoT-Geräten (Internet of Things), einschließlich Heimroutern, die zum Ziel von VPNFilter geworden sind. Da der Artikel die Priorität mehrerer kritischer Schwachstellen hervorhebt, werde ich die Empfehlungen wiederholen, die im Artikel vom März 2017 über das Mirai-Botnetz gegeben wurden .

Sicherheitsanfälligkeitshistorie

Ein Cisco-Blogbeitrag auf VPNFilter enthält Details zu Geräten, die für diese Sicherheitsanfälligkeit anfällig sind, von der „mindestens 500.000 Netzwerkgeräte weltweit“ betroffen sind. VPNFilter ähnelt in gewisser Weise Mirai, da es auch auf IoT-Geräte abzielt, insbesondere auf Heimrouter. Darüber hinaus ist jetzt bekannt, dass das Mirai-Botnetz zusätzlich zur üblichen Auswahl von Standard-Login-Passwort-Paaren vier 0-Tage-Exploits verwendet hat , um IoT-Geräte zu gefährden. Kürzlich wurde eine neue Version des Mirai-Botnetzes entdeckt, die auch auf Heimrouter abzielt.

Unter den bekannten Routerherstellern, die von VPNFilter betroffen sind, haben Linksys und Netgear meine Aufmerksamkeit erregt, da laut Statistica ihre beliebten Modelle 77% des Marktes für Heimrouter ausmachen. Indem Sie typische Schwachstellen für diese beliebten Geräte untersuchen, können Sie einige allgemeine Empfehlungen ermitteln, die das Risiko von Angriffen auf solche schlecht kontrollierten Geräte verringern.

Das CERT am Institute of Software Engineering (SEI) hat mit vielen Herstellern von Heimroutern zusammengearbeitet, um Schwachstellen zu identifizieren und zu verfolgen. Diese Zusammenarbeit zielt darauf ab, die Auswirkungen solcher Sicherheitslücken auf das Internet insgesamt zu verringern.

In der folgenden Abbildung habe ich Schwachstellen auf diesen Geräten festgestellt und klassifiziert, die wahrscheinlich ausgenutzt werden. In vielen Fällen werden auch Standardanmeldeinformationen verwendet. Hacker verwenden diese Sicherheitsanfälligkeiten in ihren Tools, um die Datenbank der gehackten Geräte zu erweitern.



Die CERT Focal Point- Schwachstellendatenbank enthält mindestens zwei schwerwiegende Schwachstellen in Routern, von denen diese beiden großen Hersteller weitgehend betroffen sind:

• Sicherheitslücken bei mehreren Pufferüberläufen in mehreren Routern . Eine beliebte Bibliothek, die von mehreren Routerherstellern verwendet wird, weist eine Sicherheitsanfälligkeit bezüglich Pufferüberlauf auf, mit der ein Router kompromittiert und beliebige Programme darauf installiert werden können.
• Sicherheitslücken bei der Implementierung beliebiger Remote-Befehle in Netgear . Zahlreiche Netgear-Router sind anfällig für die Remote-Ausführung beliebiger Befehle.

Diese Sicherheitsanfälligkeiten können durch mehrere Exploits verfolgt werden, die auf Exploit-db.com öffentlich verfügbar sind. In gewisser Weise zeigen sie, dass die Software auf diesen Geräten Schwachstellen enthält, die remote ausgenutzt werden können. Um solche Fehler zu vermeiden, müssen sichere Programmierpraktiken angewendet werden. Es ist jedoch klar, dass in der Massenproduktion, wenn Geräte schnell auf den Markt gebracht werden, diese Schwachstellen schwer zu vermeiden und fast unmöglich zu beseitigen sind. Wir glauben, dass die Koordinierung und Minderung aufgrund dieser Mängel die wichtigsten Maßnahmen sind, um die Zuverlässigkeit und Sicherheit des Internets zu gewährleisten. Es können jedoch zusätzliche Maßnahmen ergriffen werden, um Massenhacking und Missbrauch aufgrund dieser Fehler zu verhindern, wie dies derzeit der Fall ist.

Das Problem der nahezu konstanten Betriebszeit

Ich vermute, dass wenn ich die Leser dieses Artikels auffordere, beim letzten Neustart ihres Heimrouters zu sagen, dass viele aufhören werden zu lesen, um ihn neu zu starten. Der nahezu endlose Dauerbetrieb moderner Heimrouter bietet Angreifern einen Vorteil, die langfristig auf ein kompromittiertes System zugreifen können, wie im beliebten Modell der fünf Hacking-Phasen ausführlich beschrieben.

In Wirklichkeit handelt es sich bei Mirai und VPNFIlter Stage-2-Malware um instabilen Schadcode, der einen Neustart nicht überlebt. Diese Tatsache bezeugt: Angreifer sind sich sicher, dass Geräte für längere Zeit nicht neu gestartet werden.

Die Rolle der Freizeitpflege

Der zweite Faktor, der einen Heimrouter anfällig macht, ist das Fehlen von Patches oder Updates. Das Aktualisieren eines Heimrouters erfordert normalerweise einen Neustart und wahrscheinlich eine kurze Betriebsunterbrechung. Viele Heimanwender starten ihren Router nie neu, da sie täglich ein ununterbrochenes Internet benötigen, um Mediendateien zu empfangen, Videos anzusehen und sogar Informationen zu erhalten. In vielen Entwicklungsländern, in denen Router von einem Internetdienstanbieter bereitgestellt werden, wird empfohlen, dass Benutzer das Gerät nicht aktualisieren, um Inkompatibilitätsprobleme zu vermeiden. An anderen Orten, an denen BYOD üblich ist (mit Ihrem Gerät), können Anbieter nicht steuern, welche Geräte Benutzer installiert haben ( CPE ).

Als ich kürzlich Côte d'Ivoire für einen Vortrag über DDoS und Botnets besuchte, erklärten Internetdienstanbieter, dass Benutzer beliebte billige Router und sogar unbekannte Modelle haben, die der Anbieter nicht aktualisieren kann. Dies ist ein weiterer Grund, warum diese Geräte schlecht gewartet werden und niemals die erforderlichen Updates oder Sicherheitspatches erhalten.

Aufruf zum Handeln

In einem früheren Artikel über Mirai habe ich einige Empfehlungen vorgeschlagen, die praktisch und für Heimrouter und IoT-Geräte verfügbar sind. Ich hoffe, dass sie Hersteller und Anbieter dazu anregen werden, innovative technische Lösungen einzuführen, um das Risiko der Verwendung von Routern für böswillige Zwecke zu verringern:

1. Die Installation von Dateisystemen auf Heimroutern und IoT-Geräten ist schreibgeschützt, was die Installation von Malware erschwert.
2. Deaktivieren des Stapelverarbeitungs-, Spoofing- oder "unhörbaren" Modus [in dem Sie mit der Netzwerkkarte alle Pakete empfangen können, unabhängig davon, an wen sie gerichtet sind - ca. per.] auf Firmware-Ebene, um die böswillige Verwendung einer Netzwerkressource auf diesen Geräten zu vermeiden.
3. Automatische Firmware-Updates zur proaktiven Beseitigung von Schwachstellen - entweder mit geplanten Ausfallzeiten oder ohne Ausfallzeiten.

Die Aufgabe dieser einfachen und kostengünstigen Geräte besteht darin, Daten über ein Netzwerk zu übertragen oder einen Stream in Echtzeit zu senden (wie IP-Kameras). Es gibt keinen besonderen Grund, Software auf dem Gerät zu speichern. Tatsächlich unterstützen einige der neueren Heimrouter Chroot und ein schreibgeschütztes Dateisystem, was die Installation von Exploits schwierig macht. Selbst wenn ein potenzieller Angreifer das Administratorkennwort herausfindet oder errät, kann er keine Malware wie VPNFilter oder Mirai installieren.

In beiden Fällen versucht die Malware, die vollständige Kontrolle über den Netzwerkstapel zu erlangen. Auf diese Weise können Sie Pakete erstellen, Pakete fälschen und abfangen und den Modus "Unhörbar" auf infizierten Geräten festlegen. Solche Funktionen sind auf einfachen Routern nicht erforderlich und werden normalerweise nicht verwendet. Durch das Entfernen des "unhörbaren" Modus wird die Möglichkeit, kompromittierte Systeme für böswillige Zwecke wie DDoS-Angriffe , die Installation von Malware, das Abfangen von Nachrichten und das Ändern von Netzwerkpaketen zu verwenden, vollständig ausgeschlossen.

Andere Empfehlungen

Zusätzlich zu den obigen Empfehlungen gibt es weitere praktische Empfehlungen, die sowohl Geräteherstellern als auch Anbietern helfen können. Automatische Updates sind jetzt auf vielen Geräten implementiert - sie sind ein wesentlicher Bestandteil von Smartphones, Tablets und PCs geworden. Einige dieser Aktualisierungen werden durchgeführt, ohne den Betrieb des Geräts zu unterbrechen.

In Fällen, in denen eine Dienstunterbrechung erforderlich ist (z. B. ein Neustart), sollte der Benutzer in der Lage sein, einen bevorzugten Zeitraum anzufordern, z. B. Mitternacht Ortszeit oder einen freien Tag, um eine minimale Unterbrechung des Dienstes sicherzustellen. Diese Art der Aktualisierung ist für Geräte wie Heimrouter und IoT-Geräte erforderlich.

Wenn Hersteller und Anbieter in der Lage sind, inkrementelle Updates ohne Neustart zu implementieren, und wenn sie neue Methoden implementieren können, z. B. die Installation von Echtzeit-Patches ( kpatch ) auf anfälligen Systemen, ist dies noch praktischer. Wenn ein Neustart erforderlich ist, können Hersteller und Anbieter ihren Kunden die Wahl eines Updates geben, um ein Minimum an Unannehmlichkeiten bei der Aktualisierung der Geräte zu erzielen

Benutzerempfehlungen

Die erste und wichtigste Empfehlung besteht darin , die Standardanmeldeinformationen auf dem Heimrouter zu ändern . Aktualisieren Sie anschließend Ihren Heimrouter und andere IoT-Geräte in Ihrem Heim und starten Sie ihn neu. Ein wöchentlicher Neustart des Heimrouters ist nicht zu aufwändig und kann sogar die Leistung verbessern.

Wenn Sie ein gut geschütztes Haus mögen, vergessen Sie nicht, auf seine digitale Sicherheit zu achten, und es beginnt mit einem Heimrouter.