A segurança começa com um roteador doméstico

O autor do artigo é o arquiteto de soluções de segurança do CERT

Recentemente, o VPNFilter atraiu muita atenção, especialmente após o anúncio público do FBI em 25 de maio e uma série de anúncios de fabricantes de dispositivos e empresas de segurança . Considere o malware VPNFilter: quais vulnerabilidades ele usa e como, vamos avaliar seu impacto na Internet. Também faço recomendações para fabricantes de dispositivos de Internet das Coisas (IoT), incluindo roteadores domésticos, que se tornaram o objetivo do VPNFilter. Como o artigo enfatiza a prioridade de várias vulnerabilidades críticas, repetirei as recomendações feitas no artigo de março de 2017 sobre a botnet Mirai .

Histórico de vulnerabilidades

Uma postagem do blog da Cisco no VPNFilter fornece detalhes sobre dispositivos vulneráveis ​​a essa vulnerabilidade que afeta "pelo menos 500.000 dispositivos de rede em todo o mundo". O VPNFilter é, de certa forma, semelhante ao Mirai, pois também visa dispositivos IoT, em particular roteadores domésticos. Além disso, agora é sabido que o botnet Mirai usou quatro explorações de 0 dias , além da seleção usual de pares de login e senha padrão para comprometer os dispositivos IoT. Recentemente, uma nova versão do botnet Mirai, também voltada para roteadores domésticos, foi descoberta.

Entre os fabricantes conhecidos de roteadores afetados pelo VPNFilter, a Linksys e a Netgear atraíram minha atenção porque, segundo a Statistica , seus modelos populares ocupam 77% do mercado de roteadores domésticos. Ao examinar vulnerabilidades típicas desses dispositivos populares, você pode identificar algumas recomendações gerais que reduzirão o risco de ataques a esses dispositivos mal controlados.

O CERT do Instituto de Engenharia de Software (SEI) colaborou com muitos fabricantes de roteadores domésticos para identificar e rastrear vulnerabilidades. Essa colaboração visa reduzir o impacto de tais vulnerabilidades na Internet como um todo.

No diagrama abaixo, observei e classifiquei as vulnerabilidades nesses dispositivos que provavelmente serão explorados. Em muitos casos, credenciais padrão também são usadas. Os hackers usam essas vulnerabilidades em suas ferramentas para expandir o banco de dados de dispositivos invadidos.



O banco de dados de vulnerabilidades do Ponto Focal CERT contém pelo menos duas vulnerabilidades graves nos roteadores que afetaram amplamente esses dois principais fabricantes:

• Várias vulnerabilidades de estouro de buffer em vários roteadores . Uma biblioteca popular usada por vários fabricantes de roteadores possui uma vulnerabilidade de estouro de buffer que pode ser usada para comprometer um roteador e instalar programas arbitrários nele.
• Vulnerabilidades na implementação de comandos remotos arbitrários no Netgear . Numerosos roteadores Netgear são vulneráveis ​​à execução remota de comandos arbitrários.

Essas vulnerabilidades podem ser rastreadas por várias explorações disponíveis publicamente no exploit-db.com . De certa forma, eles demonstram que o software nesses dispositivos contém vulnerabilidades que podem ser exploradas remotamente. Para evitar esses erros, é necessário aplicar práticas de programação seguras. Mas é claro que na produção em massa, quando os dispositivos são lançados rapidamente no mercado, essas vulnerabilidades são difíceis de evitar e quase impossíveis de eliminar. Acreditamos que a coordenação e a mitigação devido a essas deficiências são as medidas mais importantes para garantir a confiabilidade e a segurança da Internet. Mas medidas adicionais podem ser tomadas para evitar hackers em massa e abuso devido a esses bugs, como é agora.

O problema do tempo de atividade quase constante

Eu suspeito que, se eu pedir aos leitores deste artigo que digam a última vez que eles reiniciaram seu roteador doméstico, muitos vão parar de ler para reiniciá-lo. A operação contínua quase interminável de roteadores domésticos modernos oferece uma vantagem aos atacantes que podem manter acesso a longo prazo a um sistema comprometido, conforme descrito em detalhes no modelo popular dos cinco estágios do hacking .

Na realidade, o malware Mirai e o VPNFIlter estágio 2 são códigos maliciosos instáveis ​​que não sobrevivem a uma reinicialização. Este fato testemunha: os atacantes têm certeza de que os dispositivos não serão reinicializados por um longo tempo.

O papel do cuidado casual

O segundo fator que torna um roteador doméstico vulnerável é a falta de patches ou atualizações. A atualização de um roteador doméstico geralmente requer uma reinicialização e provavelmente uma curta interrupção no serviço. Muitos usuários domésticos nunca reinicializam seu roteador porque precisam de uma Internet diária ininterrupta para receber arquivos de mídia, assistir vídeos e até educação. Em muitos países em desenvolvimento nos quais os roteadores são fornecidos por um provedor de serviços da Internet, recomenda que os usuários não atualizem o dispositivo para evitar problemas de incompatibilidade. Em outros lugares onde BYOD é comum (usando o dispositivo), os fornecedores não conseguem controlar quais equipamentos os usuários instalaram ( CPE ).

Quando visitei recentemente a Costa do Marfim para uma palestra sobre DDoS e redes de bots, os provedores de serviços de Internet explicaram que os usuários têm roteadores baratos populares e até modelos desconhecidos que o provedor não pode atualizar. Aqui está outro motivo pelo qual esses dispositivos são mal mantidos e nunca recebem as atualizações ou patches de segurança necessários.

Apelo à ação

Em um artigo anterior sobre o Mirai, sugeri algumas recomendações práticas e disponíveis para roteadores domésticos e dispositivos de IoT. Espero que eles se tornem um impulso para fabricantes e provedores introduzirem soluções técnicas inovadoras para reduzir o risco de usar roteadores para fins maliciosos:

1. A instalação de sistemas de arquivos em roteadores domésticos e dispositivos de IoT é somente leitura, dificultando a instalação de malware.
2. Desativar qualquer modo de processamento em lote, falsificação ou "inaudibilidade" [no qual a placa de rede permite receber todos os pacotes, independentemente de quem eles são endereçados - aprox. por.] no nível do firmware para evitar o uso mal-intencionado de um recurso de rede nesses dispositivos.
3. Atualizações automáticas de firmware para eliminar proativamente as vulnerabilidades - com tempo de inatividade planejado ou sem tempo de inatividade.

A tarefa desses dispositivos simples e baratos é transferir dados através de uma rede ou transmitir um fluxo em tempo real (como câmeras IP), não há motivo específico para salvar qualquer software no dispositivo. De fato, alguns dos roteadores domésticos mais recentes suportam chroot e um sistema de arquivos somente leitura, o que dificulta a instalação de explorações. Mesmo que um invasor em potencial descubra ou adivinhe a senha do administrador, ele não poderá instalar malware como VPNFilter ou Mirai.

Nos dois casos, o malware tenta obter controle total sobre a pilha de rede, o que permite criar pacotes, falsificar e interceptar pacotes e definir o modo "inaudível" nos dispositivos infectados. Tais funções não são necessárias em roteadores simples e geralmente não são usadas. A remoção do modo "inaudível" eliminará completamente a possibilidade de usar sistemas comprometidos para fins maliciosos, como ataques DDoS , instalar malware, interceptar mensagens e alterar pacotes de rede.

Outras recomendações

Além das recomendações acima, existem outras recomendações práticas que podem ajudar os fabricantes e fornecedores de dispositivos. Agora, as atualizações automáticas são implementadas em muitos dispositivos - elas se tornaram parte integrante de smartphones, tablets e PCs. Algumas dessas atualizações são realizadas sem interromper a operação do dispositivo.

Nos casos em que é necessária uma interrupção do serviço (por exemplo, uma reinicialização), o usuário deve poder solicitar um período de tempo preferido, por exemplo, horário local da meia-noite ou um dia de folga, para garantir uma interrupção mínima do serviço. Esse tipo de atualização é necessário para dispositivos como roteadores domésticos e dispositivos de IoT.

Se fabricantes e provedores puderem implementar atualizações incrementais sem reinicializar e se puderem implementar novos métodos, como a instalação de patches em tempo real ( kpatch ) em sistemas vulneráveis, isso será ainda mais conveniente. Se uma reinicialização for necessária, os fabricantes e fornecedores podem oferecer a seus clientes a opção de uma atualização para oferecer um mínimo de inconveniência ao manter os dispositivos atualizados

Recomendações do usuário

A primeira e mais importante recomendação é alterar as credenciais padrão no roteador doméstico. Em seguida, atualize e reinicie seu roteador doméstico e outros dispositivos IoT em sua casa. Uma reinicialização semanal do roteador doméstico não é muito onerosa e pode até melhorar seu desempenho.

Se você gosta de uma casa bem protegida, não se esqueça de cuidar da segurança digital e ela começa com um roteador doméstico.