Keamanan dimulai dengan router rumah

Penulis artikel ini adalah Arsitek Solusi Keamanan di CERT

Baru-baru ini, VPNFilter telah menarik banyak perhatian, terutama setelah pengumuman publik FBI pada 25 Mei dan serangkaian iklan dari produsen perangkat dan perusahaan keamanan . Pertimbangkan malware VPNFilter: kerentanan apa yang digunakannya dan caranya, mari kita evaluasi dampaknya pada Internet. Saya juga membuat rekomendasi untuk produsen perangkat Internet of Things (IoT), termasuk router rumah, yang telah menjadi tujuan VPNFilter. Karena artikel ini menekankan prioritas beberapa kerentanan kritis, saya akan mengulangi rekomendasi yang dibuat dalam artikel Maret 2017 di botnet Mirai .

Riwayat kerentanan

Posting blog Cisco tentang VPNFilter memberikan perincian tentang perangkat yang rentan terhadap kerentanan ini yang memengaruhi "setidaknya 500.000 perangkat jaringan di seluruh dunia." VPNFilter dalam beberapa hal mirip dengan Mirai, karena ia juga menargetkan perangkat IoT, khususnya router rumah. Selain itu, sekarang diketahui bahwa botnet Mirai menggunakan empat eksploitasi 0 hari , di samping pilihan pasangan masuk-kata sandi standar untuk berkompromi dengan perangkat IoT. Baru- baru ini, versi baru dari botnet Mirai, yang juga menargetkan router rumah, telah ditemukan.

Di antara produsen router terkenal yang dipengaruhi oleh VPNFilter, Linksys dan Netgear telah menarik perhatian saya karena, menurut Statistica , model populer mereka menempati 77% dari pasar router rumah. Dengan memeriksa kerentanan tipikal untuk perangkat populer ini, Anda dapat mengidentifikasi beberapa rekomendasi umum yang akan mengurangi risiko serangan pada perangkat yang tidak dikontrol dengan baik.

CERT di Institute of Software Engineering (SEI) telah berkolaborasi dengan banyak produsen router rumah untuk mengidentifikasi dan melacak kerentanan. Kolaborasi ini bertujuan untuk mengurangi dampak kerentanan seperti itu di Internet secara keseluruhan.

Dalam diagram di bawah ini, saya mencatat dan mengklasifikasikan kerentanan pada perangkat ini yang cenderung dieksploitasi. Dalam banyak kasus, kredensial default juga digunakan. Peretas menggunakan kerentanan ini dalam alat mereka untuk memperluas basis data perangkat yang diretas.



Basis data kerentanan Titik Fokus CERT mengandung setidaknya dua kerentanan serius pada router yang secara luas memengaruhi kedua produsen utama ini:

• Beberapa kerentanan buffer overflow di beberapa router . Perpustakaan populer yang digunakan oleh beberapa produsen router memiliki kerentanan buffer overflow yang dapat digunakan untuk mengkompromikan router dan menginstal program sewenang-wenang di dalamnya.
• Kerentanan dalam implementasi perintah jarak jauh acak di Netgear . Banyak router Netgear rentan terhadap eksekusi perintah-perintah sewenang-wenang dari jarak jauh.

Kerentanan ini dapat dilacak oleh beberapa eksploitasi yang tersedia untuk umum di exploit-db.com . Di satu sisi, mereka menunjukkan bahwa perangkat lunak pada perangkat ini mengandung kerentanan yang dapat dieksploitasi dari jarak jauh. Untuk mencegah bug semacam itu, perlu menerapkan praktik pemrograman yang aman. Tetapi jelas bahwa dalam produksi massal, ketika perangkat dengan cepat dirilis ke pasar, kerentanan ini sulit untuk dihindari dan hampir tidak mungkin untuk dihilangkan. Kami percaya bahwa koordinasi dan mitigasi karena kekurangan ini adalah langkah paling penting untuk memastikan keandalan dan keamanan Internet. Tetapi langkah-langkah tambahan dapat diambil untuk mencegah peretasan massal dan penyalahgunaan karena bug ini, seperti sekarang.

Masalah uptime yang hampir konstan

Saya menduga bahwa jika saya meminta pembaca artikel ini untuk mengatakan terakhir kali mereka me-reboot router rumah mereka, banyak yang akan berhenti membaca untuk me-reboot-nya. Operasi terus menerus tanpa henti dari router rumah modern memberikan keuntungan bagi penyerang yang dapat mempertahankan akses jangka panjang ke sistem yang dikompromikan, seperti yang dijelaskan secara rinci dalam model populer dari lima tahap peretasan .

Pada kenyataannya, malware Mirai dan VPNFIlter stage-2 adalah kode berbahaya yang tidak stabil yang tidak dapat bertahan dari reboot. Fakta ini memberikan kesaksian: penyerang yakin bahwa perangkat tidak akan hidup ulang untuk waktu yang lama.

Peran perawatan kasual

Faktor kedua yang membuat router rumah rentan adalah kurangnya tambalan atau pembaruan. Memperbarui router rumah biasanya memerlukan reboot dan mungkin gangguan singkat dalam layanan. Banyak pengguna rumahan tidak pernah me-reboot router mereka karena mereka membutuhkan internet harian tanpa gangguan untuk menerima file media, menonton video, dan bahkan pendidikan. Di banyak negara berkembang di mana router disediakan oleh penyedia layanan Internet, direkomendasikan agar pengguna tidak memperbarui perangkat untuk menghindari masalah ketidakcocokan. Di tempat-tempat lain di mana BYOD umum (menggunakan perangkat Anda), penyedia tidak dapat mengontrol peralatan yang dipasang pengguna ( CPE ).

Ketika saya baru-baru ini mengunjungi Pantai Gading untuk kuliah tentang DDoS dan botnet, perwakilan penyedia internet menjelaskan bahwa router berbiaya rendah dan bahkan model yang tidak diketahui yang tidak dapat diperbarui oleh penyedia layanan populer dengan pengguna. Berikut adalah alasan lain mengapa perangkat ini tidak dirawat dengan baik dan tidak pernah menerima pembaruan atau tambalan keamanan yang diperlukan.

Ajakan untuk bertindak

Dalam artikel sebelumnya tentang Mirai, saya menyarankan beberapa rekomendasi yang praktis dan tersedia untuk router rumah dan perangkat IoT. Saya berharap mereka akan menjadi pendorong bagi produsen dan penyedia untuk memperkenalkan solusi teknis inovatif untuk mengurangi risiko menggunakan router untuk tujuan jahat:

1. Menginstal sistem file di router rumah dan perangkat IoT hanya-baca, sehingga sulit untuk menginstal malware.
2. Menonaktifkan mode pemrosesan batch, spoofing, atau "tidak terdengar" [di mana kartu jaringan memungkinkan Anda untuk menerima semua paket terlepas dari siapa mereka ditujukan - kira-kira. per.] pada tingkat firmware untuk menghindari penyalahgunaan sumber daya jaringan pada perangkat ini.
3. Pembaruan firmware otomatis untuk secara proaktif menghilangkan kerentanan - baik dengan downtime yang direncanakan atau tanpa downtime.

Tugas perangkat sederhana dan murah ini adalah untuk mentransfer data melalui jaringan atau menyiarkan streaming secara real time (seperti kamera IP), tidak ada alasan khusus untuk menyimpan perangkat lunak apa pun di perangkat. Bahkan, beberapa router rumahan yang lebih baru mendukung chroot dan sistem file read-only, yang membuat pemasangan eksploit menjadi sulit. Bahkan jika penyerang potensial mengetahui atau menebak kata sandi administrator, ia tidak akan dapat menginstal malware seperti VPNFilter atau Mirai.

Dalam kedua kasus, malware mencoba untuk mendapatkan kontrol penuh atas tumpukan jaringan, yang memungkinkan Anda untuk membuat paket, paket spoof dan paket intersepsi, dan mengatur mode "tidak terdengar" pada perangkat yang terinfeksi. Fungsi seperti itu tidak diperlukan pada router sederhana dan biasanya tidak digunakan. Menghapus mode "tidak terdengar" akan sepenuhnya menghilangkan kemungkinan menggunakan sistem yang dikompromikan untuk tujuan jahat, seperti serangan DDoS , menginstal malware, mencegat pesan dan mengubah paket jaringan.

Rekomendasi lainnya

Selain rekomendasi di atas, ada rekomendasi praktis lain yang dapat membantu produsen dan penyedia perangkat. Pembaruan otomatis sekarang diimplementasikan pada banyak perangkat - mereka telah menjadi bagian integral dari smartphone, tablet, dan PC. Beberapa pembaruan ini dilakukan tanpa mengganggu pengoperasian perangkat.

Dalam kasus di mana gangguan layanan diperlukan (misalnya, reboot), pengguna harus dapat meminta periode waktu yang disukai, misalnya, tengah malam waktu setempat atau hari libur, untuk memastikan gangguan minimum layanan. Jenis pembaruan ini diperlukan untuk perangkat seperti router rumah dan perangkat IoT.

Jika pabrikan dan penyedia dapat mengimplementasikan pembaruan tambahan tanpa me-reboot dan jika mereka dapat menerapkan metode baru, seperti menginstal tambalan waktu nyata ( kpatch ) pada sistem yang rentan, maka ini bahkan lebih nyaman. Jika reboot diperlukan, maka produsen dan penyedia dapat memberikan pelanggan mereka pilihan pembaruan untuk memberikan ketidaknyamanan minimum saat memperbarui perangkat.

Rekomendasi Pengguna

Rekomendasi pertama dan paling penting adalah mengubah kredensial default pada router rumah. Kemudian tingkatkan dan reboot router rumah Anda dan perangkat IOT lainnya di rumah Anda. Reboot mingguan router rumah tidak terlalu memberatkan dan bahkan dapat meningkatkan kinerjanya.

Jika Anda menyukai rumah yang terlindungi dengan baik, jangan lupa untuk menjaga keamanan digitalnya, dan itu dimulai dengan router rumah.