安全始于家用路由器

本文的作者是CERT的安全解决方案架构师

最近， VPNFilter吸引了很多关注，特别是在FBI 5月25日公开宣布以及设备制造商和安全公司发布的一系列广告之后 。 考虑一下VPNFilter恶意软件：它使用了哪些漏洞以及如何利用它们，来评估其对Internet的影响。 我还向物联网（IoT）设备（包括家用路由器）的制造商提出建议，这些设备已成为VPNFilter的目标。 由于本文强调了几个关键漏洞的优先级，因此我将在Mirai僵尸网络上重复2017年3月文章中的建议 。

漏洞历史

思科在VPNFilter上的博客文章提供了有关易受此漏洞影响的设备的详细信息，该漏洞影响“全球至少500,000个网络设备”。 VPNFilter在某些方面类似于Mirai，因为它也针对IoT设备，尤其是家用路由器。 此外，众所周知，除了通常选择的标准登录密码对来破坏物联网设备之外，Mirai僵尸网络还使用了四个0day漏洞 。 最近，发现了也针对家用路由器的 Mirai僵尸网络的新版本 。

在受VPNFilter影响的知名路由器制造商中，Linksys和Netgear引起了我的注意，因为据Statistica称 ，它们的流行型号占据了家用路由器市场的77％。 通过检查这些流行设备的典型漏洞，您可以确定一些一般建议，这些建议将减少对此类控制不良的设备进行攻击的风险。

软件工程研究所（SEI）的CERT与许多家用路由器制造商合作，以识别和跟踪漏洞。 此次合作旨在减少此类漏洞对整个Internet的影响。

在下图中，我注意到并分类了这些设备上可能被利用的漏洞。 在许多情况下，也会使用默认凭据 。 黑客利用其工具中的这些漏洞来扩展被黑客入侵的设备的数据库。



CERT联络点漏洞数据库至少包含两个严重影响这两个主要制造商的路由器中的严重漏洞：

• 多个路由器中的多个缓冲区溢出漏洞 。 多家路由器制造商使用的流行库具有缓冲区溢出漏洞，该漏洞可用于破坏路由器并在其上安装任意程序。
• Netgear中执行任意远程命令的漏洞 。 许多Netgear路由器容易受到远程执行任意命令的攻击。

这些漏洞可以通过exploit-db.com上公开的几种漏洞进行跟踪。 从某种程度上，他们证明了这些设备上的软件包含可以远程利用的漏洞。 为避免此类错误，有必要应用安全的编程实践。 但是很明显，在大规模生产中，当设备迅速投放市场时，这些漏洞很难避免，几乎无法消除。 我们认为，由于这些缺点而导致的协调和缓解是确保Internet可靠性和安全性的最重要措施。 但是，像现在这样，可以采取其他措施来防止由于这些错误而引起的大规模黑客入侵和滥用。

几乎恒定的正常运行时间问题

我怀疑如果我让本文的读者说上一次他们重新启动家庭路由器时，许多人将停止阅读以重新启动它。 现代家用路由器的近乎无休止的连续运行为攻击者提供了一个优势，他们可以保持对受感染系统的长期访问，这在黑客五个阶段的流行模型中进行了详细介绍。

实际上， Mirai和VPNFIlter阶段2恶意软件是不稳定的恶意代码，无法在重新启动后幸免。 这个事实证明：攻击者确信设备将长时间不重启。

休闲护理的作用

使家用路由器易受攻击的第二个因素是缺少补丁或更新。 更新家用路由器通常需要重新启动，并且可能会短暂中断服务。 许多家庭用户从未重启路由器，因为他们需要每天不间断的Internet来接收媒体文件，观看视频甚至进行教育。 在许多由Internet服务提供商提供路由器的发展中国家中，建议用户不要更新设备，以避免不兼容问题。 在BYOD常见的其他地方（使用您的设备），提供商无法控制用户安装了哪些设备（ CPE ）。

当我最近访问科特迪瓦参加有关DDoS和僵尸网络的演讲时，互联网提供商的代表解释说，低成本路由器甚至提供商无法更新的未知型号在用户中很受欢迎。 这是这些设备维护不善且从不接收必要的更新或安全补丁的另一个原因。

呼吁采取行动

在上一篇关于Mirai的文章中，我提出了一些实用的建议，适用于家用路由器和IoT设备。 我希望它们将成为制造商和提供商推动创新技术解决方案的动力，以减少将路由器用于恶意目的的风险：

1. 在家用路由器和IoT设备上安装文件系统是只读的，因此很难安装恶意软件。
2. 禁用任何批处理，欺骗或“听不清”模式[在这种模式下，网卡使您可以接收所有数据包，而不管它们寻址到的是谁。 固件级别），以避免恶意使用这些设备上的网络资源。
3. 自动固件更新可在计划内停机或无停机的情况下主动消除漏洞。

这些简单而廉价的设备的任务是通过网络传输数据或实时广播流（例如IP摄像机），没有特别的理由在设备上保存任何软件。 实际上，某些较新的家用路由器支持chroot和只读文件系统，这使得安装漏洞利用程序变得困难。 即使潜在的攻击者发现或猜测了管理员密码，他也将无法安装恶意软件，例如VPNFilter或Mirai。

在这两种情况下，恶意软件都试图完全控制网络堆栈，这使您可以创建数据包，欺骗和拦截数据包，并在受感染的设备上设置“听不清”模式 。 此类功能在简单路由器上不是必需的，通常不使用。 删除“听不清”模式将完全消除使用受到破坏的系统进行恶意攻击的可能性，例如DDoS攻击 ，安装恶意软件，拦截消息和更改网络数据包。

其他建议

除上述建议外，还有其他实用建议可对设备制造商和提供商提供帮助。 现在，自动更新已在许多设备上实现-它们已成为智能手机，平板电脑和PC不可或缺的一部分。 在不中断设备操作的情况下执行其中的一些更新。

在需要中断服务（例如重新启动）的情况下，用户应能够请求一个首选时间段，例如当地时间午夜或一天休息，以确保将服务中断降至最低。 家用路由器和IoT设备等设备需要这种类型的更新。

如果制造商和提供商可以在不重新启动的情况下实施增量更新，并且可以实施新方法（例如在易受攻击的系统上安装实时补丁（ kpatch ）），那么这将更加方便。 如果需要重新启动，则制造商和供应商可以为他们的客户提供更新选择，以在使设备保持最新状态时最大程度地减少不便

用户建议

第一项也是最重要的建议是更改家用路由器上的默认凭据 。 然后升级并重新启动家庭路由器和家庭中的其他IoT设备。 每周重新启动家用路由器不会带来太多负担，甚至可以提高其性能。

如果您喜欢一栋保护良好的房屋，请别忘了照顾它的数字安全性，它始于家用路由器。