Roeteerders onder aanval: hoe maatskappye hul poort na die internet kan beskerm

Modems en routers is nie die mees glansryke van gekoppelde tegnologieë nie. Trouens, hul alomteenwoordigheid beteken dat die meeste organisasies vergeet dat hulle selfs daar is. Hulle verrig egter ook 'n kritieke funksie om netwerktoestelle en masjiene in staat te stel om die publieke internet te bereik. Sonder hulle sou die meeste besighede sukkel om te werk.

Maar vanweë hul ligging aan die rand van die netwerk, is routers ook 'n toenemend gewilde teiken. Dit help nie dat baie deurspek is met kwesbaarhede en dalk nie so gereeld opgedateer word soos ander kritieke toestelle nie. A verslag van Forescout wat in Oktober vrygestel is, waarsku teen 14 nuwe firmwarefoute in DrayTek-routers.

Dit is tyd om ernstig te raak oor die beskerming van korporatiewe routers.

Wat is fout met DrayTek?

Volgens Forescout word twee van die 14 nuwe kwesbaarhede wat dit in routers van die Taiwanese vervaardiger ontdek het, krities gegradeer: CVE-2024-41592 het 'n maksimum CVSS-telling van 10, terwyl CVE-2024-41585 'n 9.1 kry.

Eersgenoemde is 'n bufferoorloop in die GetCGI()-funksie van die DrayTek VigorConnect Web UI. Dit kan blykbaar veroorsaak word deur 'n spesiaal vervaardigde en buitensporige lang navraagstring na enige van die 40 CGI-bladsye van die Web UI. Dit kan op sy beurt gebruik word om ontkenning van dienste te bewerkstellig of, indien geketting met OS-opdrag-inspuitingsfout CVE-2024-41585, om afgeleë worteltoegang tot die onderliggende gasheerbedryfstelsel te verkry.

Dit is moontlik baie ernstiger, aangesien dit 'n aanvaller van die "sleutels tot die koninkryk" sal voorsien – wat volledige afstandbeheer van die geteikende roeteerder moontlik maak en, deur sywaarts te beweeg, ander toestelle op dieselfde netwerk, sê Forescout.

Die gewildheid van DrayTek-roeteerders wêreldwyd beklemtoon netwerkverdedigers se uitdagings en die geleentheid vir bedreigingsakteurs. Volgens Forescout was meer as 704,000 425,000 routers aan die internet blootgestel – en dus oop vir uitbuiting – toe die verslag saamgestel is, insluitend XNUMX XNUMX in die VK en die EU. Die meeste is glo vir besigheidsgebruik bedoel.

DrayTek het al die firmware-kwesbaarhede opgelos teen die tyd dat die verslag gepubliseer is. Tog is daar geen waarborg dat kliënte die opdaterings sal toepas voor moontlike pogings om dit te ontgin nie. Die verkoper is ook geensins die enigste vervaardiger wie se produkte gevaar loop om in gedrang te kom nie. In September, 'n gesamentlike advies van verskeie Five Eyes-sekuriteitsagentskappe het die bestaan ​​van 'n massiewe botnet van 260,000 XNUMX gekaapte toestelle onthul, insluitend routers van MikroTik, Ubiquiti, Telesquare, Telstra, Cisco en NetGear.

Hoekom routers?

Modems en routers is duidelik 'n gewilde teiken vir bedreigingsakteurs. Dit is omdat hulle:

• Is dikwels deurspek met onaangepasde kwesbaarhede wat uitgebuit kan word
• Hulle word dikwels gebruik deur KMO's met minder sekuriteitshulpbronne en kundigheid, wat routers bloot kan laat
• Is maklik vir hackers om op afstand te skandeer
• Mag slegs deur fabrieksstandaardbewyse beskerm word
• Verskaf 'n poort na ander toestelle op dieselfde netwerk en kan dus as 'n aanvanklike toegangsvektor vir losprysware en datadiefstal gebruik word
• Hulle kan gekaap en as bots in 'n groter botnet gebruik word om DDoS-aanvalle op ander te loods of meer gesofistikeerde bedreigingsveldtogte te verdoesel
• Kan hergebruik word as opdrag-en-beheer-bedieners (as dit hoëprestasie-roeteerders is)

Einde-van-lewe (EoL) of einde-van-verkoop (EoS) toestelle is veral in gevaar aangesien pleisters/opdaterings dalk nie by die verkoper beskikbaar is nie. Forescout beweer dat 11 van die 24 geraakte DrayTek-modelle wat in sy navorsing gelys is óf EoL óf EoS was. Selfs al kan kolle aangebring word, is dit dikwels nie. Byna twee-vyfdes (40%) van dié in die verslag is steeds kwesbaar vir soortgelyke foute wat twee jaar tevore geïdentifiseer is, volgens Forescout.

“Roeteerders kan toegang tot, of selfs beheer van, bates binne 'n organisasie se netwerk gee. As die geraamtes van die netwerke en subnetwerke wat hulle vorm, is dit 'n wonderlike hulpbron vir 'n aanvaller om te besmet,” sê Adam Brown, besturende sekuriteitskonsultant van Black Duck Software aan ISMS.online.

“Verder word hulle geadministreer deur individue met die hoogste vlakke van sekuriteitsbewyse, wat, indien dit oortree word, slegte akteurs die sleutels tot die koninkryk gee.”

Dit is nie 'n teoretiese bedreiging nie. Sowel as die massiewe Chinese bedreigingsveldtog wat hierbo uitgelig is, kan ons na die volgende wys:

Volt tifoon: 'n Chinese staatsondersteunde APT-groep wat nul-dag kwesbaarhede in internetgekoppelde netwerktoestelle soos routers uitgebuit het om strategies belangrike kritieke infrastruktuurnetwerke in die VSA te kompromitteer. Die einddoel, sê die Cybersecurity and Infrastructure Security Agency (CISA), was om voorbereid en gereed te wees om vernietigende aanvalle te loods in die geval van 'n militêre konflik.

BlackTech: Nog 'n Chinese staat APT-groep wat verskeie organisasies in die VSA en Japan geteiken het. Dit het swak beskermde routers in takkantore geteiken, wat aanvallers in staat gestel het om by gereelde verkeer in te meng terwyl hulle na ander toestelle in korporatiewe hoofkwartiere draai. In sommige gevalle het die teëstanders admin regte verkry, wat hulle in staat gestel het om die firmware op die routers te vervang en/of aanteken af ​​te skakel om hul spore te versteek.

Cyclops Blink en VPNFilter: Twee gesofistikeerde meerjarige veldtogte van Rusland se Sandwurm-groep, wat klein kantoor/tuiskantoor (SOHO)-roeteerders en ander netwerktoestelle geteiken het. Ontplooiing van die gelyknamige wanware beskryf is as "onoordeelkundig en wydverspreid", wat waarnemers laat spekuleer dat die doel was om botnets te skep wat bedreigingsveldtogte op ander teikens kan loods.

APT28/Fancy Bear: ’n Produktiewe Russiese bedreigingsgroep het Ubiquiti EdgeRouters geteiken as deel van ’n breër veldtog om “kwaadwillige kuberbedrywighede wêreldwyd te fasiliteer” – insluitend deur spiesvissingbladsye en pasgemaakte aanvalnutsmiddels aan te bied.

Hoe om die bedreiging te versag

Sommige Amerikaanse wetgewers wil Chinese vervaardigde routers ondersoek in 'n poging om Beijing se kuberspioenasiebedreiging te versag. Maar dit sal niks doen om die probleem van routers wat elders gemaak word, gekaap word deur gesteelde/brute-gedwonge geloofsbriewe of kwesbaarheidsuitbuiting aan te pak nie. So, hoe kan organisasies hul routers beter beskerm? Sommige beste praktyke sal help.

'n Uitstekende plek om te begin is beproefde kuberhigiëne soos:

• Gereelde herstel van firmware sodra opdaterings beskikbaar is, met geoutomatiseerde opdateringskanale waar moontlik
• Vervang verstekwagwoorde met sterk, unieke geloofsbriewe
• Skakel ongebruikte dienste en poorte soos UPnP, afstandbestuur, lêerdeling, ens
• Vervang EoL-stel onmiddellik om maksimum beskerming teen uitbuiting te verseker.

Black Duck Software se Brown voeg by dat Zero Trust-sekuriteitsbenaderings ook organisasies sal help om router-sekuriteitsrisiko's te versag, soos netwerkmonitering vir ongewone verkeersvolumes en segmentering langs die minste-voorregtoegangsbeleide.

"Sekuriteitsargitektuur moet in ag geneem word wanneer netwerke, en dus roeteerders, ontplooi word, met sorg om te verseker dat toegang tot roeteerderkonsoles toepaslike sekuriteitskontroles het," voeg hy by. "Netwerktrustsones moet oorweeg word, en 'n Zero Trust-benadering tot argitektuur by alle lae sal help om die ontploffingsradius te beperk indien 'n voorval plaasvind."

Soos die voorbeelde hierbo beklemtoon, is magtige staatsgesteunde groepe sowel as gesofistikeerde kubermisdaadentiteite op soek na gereed om voordeel te trek uit sekuriteitsgapings om routers en die netwerke wat hulle oorbrug te kaap. Met SMB's in die visier, is dit tyd om hierdie kritieke sekuriteitsgaping te sluit.