Ďalšie zraniteľnosti ukazujú na katastrofálnu bezpečnosť WiFi routerov

Značky: Wi-Firouterybezpečnosť

DSL.sk, 15.9.2017

Je samozrejme viac rokov známe, že stav bezpečnosti WiFi routerov určených pre domácnosti a iných menších používateľov je priam katastrofálny.

A to nielen počtom objavovaných závažných zraniteľností bežne umožňujúcich útočníkom z Internetu získať kontrolu nad týmito routermi ale vo viacerých prípadoch aj typom chýb, ktoré ukazujú na veľké zanedbanie bezpečnosti a prístup ďaleko za súčasnými štandardami bezpečnosti.

D-Link DIR-89xL a DIR-885L

Stav zlej bezpečnosti WiFi routerov aktuálne opäť potvrdzuje oznámenie identifikovaných zraniteľností v modelom rade domácich routerov tej najvyššej triedy, D-Link DIR-89xL a DIR-885L.

Zraniteľnosti boli zverejnené tento týždeň bezpečnostnou spoločnosťou Embedi len niekoľko dní po zverejnení iných zraniteľností v routeri D-Link DIR-850L juhokórejským bezpečnostným expertom Pierrom Kimom.

V oboch prípadoch boli zraniteľnosti zverejnené ich objaviteľmi predtým ako boli opravené, podľa bezpečnostných expertov kvôli zlému prístupu D-Linku k bezpečnosti.

D-Link je od začiatku tohto roka okrem iného aj terčom žaloby americkej federálnej vládnej agentúry FTC, Federal Trade Commission, ako sme informovali v tomto článku. FTC ho zažalovala kvôli nedostatočnému zabezpečeniu jeho produktov, WiFi routerov a kamier. Podľa FTC boli bezpečnostné opatrenia spoločnosti nedostatočné a spoločnosť nespravila primerané kroky, aby odstránila ľahko odstrániteľné bezpečnostné zraniteľnosti, z ktorých viaceré minimálne principiálne popisuje.

Kým Kim v prípade DIR-850L po zlých skúsenostiach z predchádzajúceho nahlasovania chýb na začiatku roka vopred zraniteľnosti už D-Linku ani vôbec nehlásil, Embedi nahlásila tri vážne bezpečnostné zraniteľnosti ešte na prelome apríla a mája.

D-Link DIR-895L, kliknite pre zväčšenie (foto: D-Link)

Do augusta spoločnosť opravila podľa Embedi len jednu z troch zraniteľností a to len na jednom z postihnutých modelov DIR-890L. Zraniteľnosti sú prítomné ale minimálne aj v DIR-885L a DIR-895L a podľa spoločnosti možno aj v iných DIR-8xxL modeloch. Zvyšné dve zraniteľnosti opravené neboli.

Jedna zo zraniteľností umožňuje získať útočníkovi pre chybu vo webovom rozhraní prístupové meno a heslo, ďalšia pre chybu pretečenia zásobníka v implementácii webového protokolu HNAP umožňuje spustiť kód s oprávneniami roota a tretia umožňuje krátko po štarte routera bez akejkoľvek autentifikácie nahrať naň nový firmvér. Opravená v DIR-890L bola zrejme prvá zo zraniteľností.

Tretia z chýb vyžaduje prístup k routeru cez ethernetovú LAN, u prvých dvoch Embedi neuvádza či sú zneužiteľné z Internetu vždy keď je prístupné webové rozhranie routerov.

Odporúčania

Embedi zverejnila kompletný detailný popis chýb aj zdrojové kódy exploitov, ktoré ich dokážu zneužiť. Vzhľadom na chýbajúce jasné informácie, čo je predpokladom zneužitia chýb, nie je definitívne stopercentne jasné ako zneužitiu v súčasnosti zabrániť.

Ak chce mať užívateľ router ale naďalej pripojený k Internetu, v prípade prvých dvoch chýb je zrejme minimálne vhodné zneprístupniť webové rozhranie z Internetu a v prípade tretej je potrebné zabezpečiť aby potenciálne nedôveryhodní užívatelia nemali prístup k ethernetovej LAN pripojenej k routeru.

Zraniteľnosti objavené Kimom v DIR-850L sme popisovali v tomto článku, D-Link na konci týždňa avizoval ich plánované opravenie na 19. septembra. Či budú opravené ale všetky nie je jasné.

LEDE / OpenWrt

Vzhľadom na katastrofálny stav bezpečnosti domácich WiFi routerov môže byť pre užívateľov vhodným riešením využívanie routera, na ktorý sa dá nahrať linuxový open source firmvér LEDE / OpenWrt. Záruku bezpečnosti užívatelia samozrejme nedostanú ani s týmto firmvérom, najmä v prípade LEDE je tento ale pravidelne aktualizovaný, vyvíjaný a do nejakej miery preverovaný komunitou a okrem webového rozhrania je postavený na štandardných linuxových softvéroch.

Inštalovať LEDE je ale odporúčané len technicky zdatným užívateľom, keď najmä u modelov nepodporujúcich možnosť nahrať LEDE firmvér cez webové rozhranie môžu komplikovanejšie postupy vyústiť do zablokovania alebo prakticky trvalého poškodenia routera a užívatelia konajú na vlastnú zodpovednosť.

V prípade, že je zákazník pripojený cez DSL, káblovým pripojením alebo optikou, LEDE / OpenWrt sú dostupné len pre málo routerov s takýmito technológiami pripojenia k Internetu. V prípade DSL sú to spomedzi u nás dostupných modelov zrejme len vyššie modely TP-Link TD-Wxx70 a TD-Wxx80.

V takýchto prípadoch je teda možné voliť buď takéto routery alebo použiť router / modem s bežným firmvérom iba v bridge režime a zaň zapojiť na Internet vystavený už LEDE / OpenWrt router. Ani v takomto scenári zrejme nie je technicky garantované, že sa stopercentne nebudú dať zneužiť nejaké chyby v žiadnom bežnom routeri, riziko je ale výrazne eliminované.

Kým pre router D-Link DIR-850L bohužial LEDE / OpenWrt k dispozícii nie sú, z najvyšších modelov je LEDE k dispozícii aspoň pre DIR-885L.




Najnovšie články:



inzercia



Diskusia:

apple, help! Od: jsomto | Pridané: 15.9.2017 7:40 kym aj do tohoto segmentu routerov nepríde apple, nikdy to nebude urobene poriadne... je to škoda že tu nie je jeden další výrobca ktorý by si dal aspon trochu záležať na tom čo vypusti. Odpovedať Známka: -7.4 Hodnotiť:

Re: apple, help! Od: dawda | Pridané: 15.9.2017 8:36 apple je v tomto segmente uz hrozne dlho, vid airport express a airport extreme Odpovedať Známka: 6.0 Hodnotiť:

Re: apple, help! Od: syntaxterrorX XX | Pridané: 15.9.2017 9:03 Segment s vlastnym os ale priekazne "uz hrozne dlho" nie je zhodny so segmentom fw vyuzivajucich "domácich routerov tej najvyššej triedy". Odpovedať Známka: -3.3 Hodnotiť:

Re: apple, help! Od: genocik | Pridané: 15.9.2017 12:10 Príspevok bol zmazaný pre nevhodný a/alebo vulgárny obsah. Odpovedať Známka: -6.0 Hodnotiť:

Re: apple, help! Od: olol | Pridané: 15.9.2017 12:52 a zaclony pouzivas ked nemas co skryvat? Odpovedať Známka: 10.0 Hodnotiť:

Re: apple, help! Od reg.: raketa | Pridané: 15.9.2017 13:21 Kazdu chvilu clovek cita o novoobjavenych fatalnych bezpecnostnych hrozbach, uz to nie je ani zaujimave, pretoze bezpecnostne diery boli, su a aj nadalej budu... Odpovedať Známka: 2.0 Hodnotiť:

Re: apple, help! Od: Hamster | Pridané: 16.9.2017 9:15 Tu ani tak nejde či sú a boli a čo bude, ale ako to riešiť a spoľahlivo poriešiť tie najvážnejšie zistené. Dnes je málo dobrých programátorov, ktorý majú čas a nevykapal im zdravý sedliacky rozum.- Ale aj tak, inak uvažujú kórejci, inak čínania, úplne inak američania či východ a západ Európy. Odpovedať Známka: 10.0 Hodnotiť:

Re: apple, help! Od: qwertyuiop1 | Pridané: 18.9.2017 11:31 Dnesny problem nie je v programatoroch. Ti, ktori maju zdravy sedliacky rozum existuju a je ich dost, bohuzial ho nemozu pouzit. Problem hladaj dalej - v zakaznikoch, ich poziadavkach a v peniazoch, ktore su ochotni zaplatit. Rychlo, lacno, kvalitne - vyber si dve. Hadaj, ktore dve si vybera 99,999% zakaznikov a potom do coho tlaci sefstvo programatorov. Odpovedať Hodnotiť:

Re: apple, help! Od: Cpt.Granko | Pridané: 15.9.2017 13:20 chodis nahy po ulici? preco nie? ved nemas co skryvat? alebo ano ? Odpovedať Známka: 6.0 Hodnotiť:

Si mimo. Od: Muad'Dib | Pridané: 16.9.2017 18:47 Pretože by to mohlo byť považované za výtržníctvo. Či ty sa obliekaš preto, aby ťa to chránilo pred útokom? Odpovedať Hodnotiť:

Re: Si mimo. Od: syntaxterrorX XX | Pridané: 16.9.2017 19:03 Obliect si kazajku sam je taka uroven odbornosti, na ktoru sa strach neodvazi vstupit. Odpovedať Známka: 10.0 Hodnotiť:

Re: apple, help! Od: jsomto | Pridané: 15.9.2017 9:13 sám ho mám (time capsule) pokial ale viem napr na windows je airport utility len základná administracia a de facto airport extreme/express od 2012 prestali updatovat... :( vlastnosti ako koľko gigabit portov, vpn, torrenty, nas, pripojenie extended unit... nesťažujem sa na apple, len hovorím mohol by tu byt aj další výrobca ktorý by si fakt dával záležať na kvalite (hw + sw) pretože to čo tu existuje je na plač a apple zase nemôže vyrábať všetko a zaplniť každú dieru na trhu lebo ostatni sú nemohuci Odpovedať Známka: -4.5 Hodnotiť:

Re: apple, help! Od: autobus | Pridané: 15.9.2017 9:18 myslim, ze rok dozadu niekto nasiel exploit a hned na to bol vonku novy FW. Odpovedať Hodnotiť:

Re: apple, help! Od: ...... | Pridané: 15.9.2017 9:25 Čo taký Mikrotik? Odpovedať Známka: 4.8 Hodnotiť:

Re: apple, help! Od: Klon M5 | Pridané: 15.9.2017 17:26 Nič. Máme Cisco. Odpovedať Hodnotiť:

Re: apple, help! Od: syntaxterrorX XX | Pridané: 15.9.2017 12:10 Apple svojou pritomnostou na trhu iba umoznuje pouzivatelom svojich produktov vyuzivat i na vedlajsie cinnosti zariadenia zodpovedajucej kvalitativnej kategorie namiesto roznych pofidernych nahraziek. Odpovedať Známka: -3.3 Hodnotiť:

Re: apple, help! Od: mnEr1 | Pridané: 15.9.2017 9:43 a routre HUAWEI nemaju aktualizacie cely cas to je tiez super , Odpovedať Známka: 10.0 Hodnotiť:

Re: apple, help! Od: Cpt.Granko | Pridané: 15.9.2017 13:19 dufam ze si len troll lebo tak hlupucky nemozes priekazne byt teda asi ano Cpt.Granko Odpovedať Známka: 3.3 Hodnotiť:

web rozhranie prístupné zvonku Od: meno nepoviem | Pridané: 15.9.2017 8:00 Web rozhranie prístupné zvonku je riziko samo o sebe. Prečo by som ho mal mať takto nastavený? Odpovedať Známka: 6.5 Hodnotiť:

Re: web rozhranie prístupné zvonku Od: jolanaaa | Pridané: 15.9.2017 8:33 To je sice pravda, ale nechápem akým spôsobom tam to riziko môže byť. Máš proste httpd, na ňom login page úplne rovnako ako aj na bežných weboch. V čom je rozdiel? Odpovedať Známka: 3.3 Hodnotiť:

Re: web rozhranie prístupné zvonku Od reg.: t€rist | Pridané: 15.9.2017 13:06 LEDE/*WRT spravujem z WAN cez SSH, kde mám zakázané prihlásenie heslom, iba min. 2K RSA kľúčom. HTTPs je prístupné výlučne z LAN (prípadne cez VPN), aj to iba z vybraných IP najlepšie z úplne iného rozsahu adries, ako je prideľovaná DHCP. Router je zvlášť kritické miesto, hlavne ak rieši DNS, prideľuje adresy cez DHCP a umožňuje vytvárať VPN tunely, preto by k nemu nemal mať NIKTO ľahký prístup. Odpovedať Známka: 10.0 Hodnotiť:

Re: web rozhranie prístupné zvonku Od: autobus | Pridané: 15.9.2017 9:15 to je stale iba router, z ktoreho vela nemas. mna to teraz celkom strasi ked mam WD MyCloud pripojeny na internet so 4TB dat. toto ked niekto prelomi ta fasa. Odpovedať Známka: 6.0 Hodnotiť:

Re: web rozhranie prístupné zvonku Od: syntaxterrorX XX | Pridané: 15.9.2017 9:41 Zrovna tu otazku maju patentom chranenu klastorne think tanky na vedlajsej adrese, kde ale pre istotu nemaju prelepene kamery. Odpovedať Hodnotiť:

Prispievajte Od: hulvat2 | Pridané: 15.9.2017 9:10 Kupte si radsej hocijaky lacny Mikrotik. Nastavit to nie je take tazke ako by sa mohlo zdat. K dispozicii aktualizacie a milion funkcii. Kazdy cinsky *-link je dnes sracka. Odpovedať Známka: 5.3 Hodnotiť:

Re: Prispievajte Od: janozlesa | Pridané: 15.9.2017 9:19 ale mikrotik nevie ADSL Odpovedať Známka: 3.3 Hodnotiť:

Re: Prispievajte Od: dziny1 | Pridané: 15.9.2017 10:23 Ja som velky fanusik LEDE openwrt, aj na slovensku sa daju kupit routeri kde fici LEDE a podporuju ADSL/VDSL. Druha moznost je zatat zuby a oddelit router or DSL modemu, na dodanom DSL zariadeni vsetko povypinat a nechat ho bezat v bridge mode ak je to len troch mozne. Potom si za to mozes pripojit akykolvek router. Odpovedať Známka: 5.0 Hodnotiť:

Re: Prispievajte Od: qweq | Pridané: 15.9.2017 17:18 dsl router v bridge mode a na mikrotiku PPPoE WAN Odpovedať Známka: 10.0 Hodnotiť:

Upravene LEDE/OpenWRT Od: Viki SK | Pridané: 15.9.2017 11:01 Co prosim odpornici z DSL.sk poviete na toto naprogramovanie? http://dopice.sk/kcP Dakujem. Odpovedať Známka: 2.0 Hodnotiť:

Re: Upravene LEDE/OpenWRT Od: zxcvbn | Pridané: 15.9.2017 11:06 Netahaj tu svoje domace ulohy. Odpovedať Známka: 6.7 Hodnotiť:

Re: Upravene LEDE/OpenWRT Od: syntaxterrorX XX | Pridané: 15.9.2017 11:09 Ze ked uz vysledkom kliknutia na ikonku XHTML1.0 v zavere stranky je: Result: 158 Errors, 18 warning(s)" , tak su dalsie slova priekazne zbytocne. Neni zac. Odpovedať Známka: 5.0 Hodnotiť:

Re: Upravene LEDE/OpenWRT Od: Viki SK | Pridané: 16.9.2017 21:36 Ich web neriesim, chcel som odborny nazor na to naprogramovanie routra. Dakujem. Odpovedať Hodnotiť:

Small business Od: Tunelar | Pridané: 15.9.2017 11:11 Moj Cisco RV320, small business router, napriklad podporuje OpenVPN, ale musim pouzit pre server a klientov certifikaty, ktore su vystavene routrom. Pri vystavovani certifikatov router pouziva pre podpis archaicky algoritmus MD5. To v praxi znamena, ze sa na tu vpn nepripojim z masin, ktore overuju certifikaty cez OpenSSL1.1. Takze co sa tyka bezpecnosti, Cisco = sklamanie. Az mi to prislo ako naschval :D Odpovedať Hodnotiť:

Re: Small business Od: Snake.. | Pridané: 15.9.2017 13:57 Na rvcku radsej pouzivaj cisco ipsec a mas pokoj, openvpn si kludne pusti na masine za routrom Odpovedať Hodnotiť:

Re: Small business Od: qwertyuiop1 | Pridané: 15.9.2017 15:45 Problem IPSec je, ze ti nemusi fungovat, hlavne ked si v nejakom hoteli alebo konferencnom centre. Ti radi blokuju vsetko co ich napadne, najaktivnejsi z nich ti nechaju volne len porty 80 a 443. Preto je vacsia sanca, ze ti bude fungovat OpenVPN, ako IPSec. OpenVPN na porte 443 ti bude fungovat vzdy. Odpovedať Hodnotiť:

Re: Small business Od: ajtacka | Pridané: 15.9.2017 15:53 Napriklad v jednej nemenovanej Azijskej krajine vyjdem z izby hotela na ranajky/obed/veceru a ked sa vratim, tak mam infikovany vypnuty notebook. Odpovedať Hodnotiť:

Re: Small business Od: ajtacka | Pridané: 15.9.2017 15:54 Esteze mam aspon prelepenu kameru :D Odpovedať Hodnotiť:

Re: Small business Od: čitateľ | Pridané: 16.9.2017 8:06 Zaujímavé. Odpovedať Hodnotiť:

Re: Small business Od: Klávesnice | Pridané: 17.9.2017 9:51 To máš z toho tlačenia sa vo velkom kancli! Odpovedať Hodnotiť:

hmm.... Od reg.: shapira | Pridané: 15.9.2017 12:09 Vidim ze bezpecnost wifi routrov je uz vela rokov problem... Preto to radsej riesim mikrotikom ako router, bez wifi, nakonfeny hotspot a radius server, dalej su ( ak zakaznik nema lóva, alebo je žgralvý ) tplinky s ddwrt, alebo openwrt, ktore su na inej sieti, bez dns, bez brány a sluzia len ako wifiny... zial moc AP roamingu sa tam neda porobit... ale tí co maju viac lóva, je tu UBNT s roamingom, tiez tento isty system, ina siet,bez dns, brany, vypnuty ( obmedzeny pristup do webrozhrania, bind na konkretnu IP ) a funguje.. Odpovedať Známka: 3.3 Hodnotiť:

Re: hmm.... Od reg.: shapira | Pridané: 15.9.2017 12:13 Pristup do sieti je rieseny MAC filtrom na wifi siet 1 - WPA2 + meno a heslo uzivatela. pripad č.2 je "navstevnik - navsteva, frajerka, frajer bla bla... " uzivatel dostava od "domaceho" heslo na wifi siet 2 + WPA heslo, dalej univerzalne meno a heslo pre hotspot ktore je obmedzene na cas/rychlost/iná siet oddelena alebo cokolvek ine :-) Odpovedať Hodnotiť:

Re: hmm.... Od: syntaxterrorX XX | Pridané: 15.9.2017 12:29 Este chyba minimalne pripad, kedy navstevnik dostava v balicku i rolku alobalu s navodom na zostrojenie ciapky, predplatne casopisu Zem a vek, mapu pokrytia a cez wifi vytlacene tlacivo so suhlasom na spracovanie osobnych udajov, pokial, samozrejme, uz balicek nie je sucastou vyssich balickov. Odpovedať Známka: 6.7 Hodnotiť:

omnia Od: Cpt.Granko | Pridané: 15.9.2017 13:20 turris omnia / nema chybu, vysoky vykon, dorobite si tam co chcete Odpovedať Známka: 10.0 Hodnotiť:

Re: omnia Od: e1. | Pridané: 16.9.2017 7:14 Dobrá hračka ak na to máš čas. Žiaľ, ako router ktorý len zapneš a on sa bude sám aktualizovať a o nič sa nemusíš starať to neuspelo. Ale bola to pekná myšlienka. P.s.: Ak má niekto záujem, mám na predaj 2GB verziu s wifi, a s montážnou sadou pre upevnenie na stenu. Ešte ostáva cca. 2 ročná záruka. Odpovedať Hodnotiť:

Re: omnia Od: p12 | Pridané: 17.9.2017 10:43 cena? Odpovedať Hodnotiť:

vieteco? Od: dnes má meniny Jolana | Pridané: 15.9.2017 15:03 A co bezpecnost ludi ako takych. Vedeli ste ze spatne slova kazia dobre sposoby? Co tak hodit sem daky vyskum. A teraz takyto: kej potrebem stahnut z gitU konkretnu verziu lede nie trunk , ta ako to mam napisat.Toto mi stahnu trunk git clone git://git.lede-project.org/source.git,ale ta jako stahnem master 15.01? Idem vyberat zemaky,nevadi ze je poprsane. Odpovedať Hodnotiť:

Re: vieteco? Od: ajtacka | Pridané: 15.9.2017 15:32 O tie open source diabolske vynalezy sa treba starat ako o tamagotchi, ak to nejaky sikovny clovek nenastavi a aj tak to potom moze blbnut alebo vobec to nemusi ist. Su niektori telekomunikacni operatori, ktori sa o taketo veci staraju namiesto zakaznika. Nebudem robit reklamu. Stalo sa mi, ze mi to dokonca blokovalo pristup do banky alebo chcelo ukradnut heslo do banky, lebo antivir zistil, ze router a cesta medzi bankou a mnou je infikovana. Niektore antiviry to chrania, nebudem znova robit reklamu. Odpovedať Hodnotiť:

Re: vieteco? Od: Dušan Goga | Pridané: 15.9.2017 16:02 Všade kde sa dalo som nainštaloval OpenWrt, nastavil a o nič viac sa nestarám. Lepšia stabilita, lepší výkon. LEDE asi to isté ale na 4MB routre by mi to nedalo s web rozhraním, takže stačí OpenWrt. Odpovedať Hodnotiť:

Re: vieteco? Od: .dnes má meniny Jolana | Pridané: 15.9.2017 17:06 no ja to hlavne potrebem hlavne aby som sa vzdialene dostal so svojej siete.no aj volakedy ked daco robis sa stane toto:znicoho nic ni vystrelia z tvojho oblubeneho LEDE openvr-ako to moja zena vola ked hlada moznost pripojit sa na vifi. vystrelia balicek oblubeny a ja cakam rok dva a nic .tak som sa isiel nasrat a skompilujem si ho sam. ta a namiesto aby som teraz zemaky vyberal-kompilujem chaos calmer a sprostu nahrazku vpnka.JA poviem tej skatuli co ma robit! a nebe mi rozkazovat aku distribuciu mam pouzivat. a tak . Odpovedať Hodnotiť:

Re: vieteco? Od: čitateľ | Pridané: 16.9.2017 8:09 Dúfam, že nosíš aspoň reklamné tričko. Odpovedať Hodnotiť:

Republic of China Od: Kolotocar | Pridané: 15.9.2017 18:39 Kto si uz len moze kupit router od Cinanov? Odpovedať Známka: -2.0 Hodnotiť:

Re: Republic of China Od reg.: maninshadow | Pridané: 15.9.2017 20:34 90% populacie Odpovedať Známka: 6.0 Hodnotiť:

Re: Republic of China Od: .má meniny Jolana | Pridané: 15.9.2017 22:03 ja som objednal teraz z lotyska.uvidime co to buje. Odpovedať Hodnotiť:

Re: Republic of China Od: Hamster | Pridané: 16.9.2017 9:26 Od číňanov takmer nikto, ale neviem či pri toľkom objeme výroby a uponáhľanosti stíhajú v materskej firme riešiť softvér do nich s najzákladnejšou bezpečnosťou. To kde sa to vyrobí by malo byť takmer jedno... Aj autá robáme na Slovensku a bojkotujú nás kupujúci vo svete? Neviem, asi ani neriešia, či je auto vyrobené v USA, v Nemecku alebo na Slovensku. Však Ferrari tu nevyrábame a ostatné zvládne aj naša lacná pracovná sila ako poskok robotov... Odpovedať Hodnotiť:

Pridať komentár