Nye ruterangrep oppdaget

Nye ruterangrep oppdaget

300 000 rutere for småbedrifter og hjemmekontor skal være berørt.

En gruppe forskere hos sikkerhetsanalyse-organisasjonen Team Cymru har oppdaget angrep som har endret DNS-innstilingene på 300 000 SOHO-rutere, det vil si rutere myntet på småbedrifter og hjemmekontor (Small Office/Home Office).

I januar oppdaget Team Cymru de første TP-Link-ruterne som hadde fått konfigurasjonen endret til å bruke andre DNS-tjenere enn det opprinnelig var konfigurert for.

En analyse av DNS-tjenerne som var tatt i bruk, avslørte et massivt angrep mot bredbåndsrutere for konsumentmarkedet og småbedrifter.

I løpet av én uke sendte over 300 000 unike ip-adresser forespørsler til DNS-tjenerne som var satt opp, ifølge rapporten Team Cymru har publisert. Forespørslene kom ikke bare fra TP-Link-rutere, men også enheter fra selskaper som D-Lnk, Micronet, Tenda og flere andre.

Sender brukerne til falsk nettbank

DNS – Domain Name Service – er en tjeneste som foretar koblinger mellom domeneadresser og ip-adresser. Gjennom å sette opp en falsk DNS-tjener for en bruker kan man sende brukeren til andre websider enn brukeren har forespurt. For eksempel kan man da sette opp falske websider for en nettbank.

Et lignende angrep ble oppdaget for noen uker siden i Polen, hvor DNS-innstillinger ble endret for nettopp å sende brukerne til falske nettbanksider. Også på en rekke Linksys-rutere har man sett at DNS-innstilinger er blitt endret tidligere i år.

Ifølge rapporten fra Team Cymru har flere teknikker blitt brukt for å endre konfigurasjonen på ruterne. Blant annet er mange rutere satt opp med administrasjonstilgang via internett – enten via webgrensesnitt eller andre tjenester for fjernadministrasjon – blant annet for at nettleverandører som leverer ruterne til sine kunder, enklere skal kunne kjøre ut oppdateringer eller konfigurasjonsendringer, samt forenkle kundestøtte.

Selv om tjenestene er passordbeskyttet, er det mange tilfeller der standard passord benyttes, samme passordet for et større antall rutere hos en nettleverandør eller at passordene er såpass dårlig at man kan gjette seg fram til dem i løpet av relativt kort tid. På flere rutere er det også kjent at det finnes svakheter for å komme seg forbi innloggingen.

Ifølge rapporten til Team Cymru befinner de fleste berørte ruterne seg i Asia, Øst-Europa og Sør-Amerika.

LES OGSÅ:

Homeland Security advarer mot UPnP

ZynOS sårbart

Et større antall enheter fortsetter å være sårbar for en sikkerhetsfeil rapportert for ZynOS i januar. ZynOS er styringsprogramvaren Zyxel benytter i sine rutere – og ut i fra det vi forstår selger videre til andre aktører.

Sårbarheten gir muligheter for å laste ned en fil som inneholder konfigurasjonsinnstillingene for ruteren – dette kan gjøres uten noen form for autorisasjon. Ut fra denne filen kan man blant annet hente ut passordet for fjernadministrasjon av ruteren.

For TP-Link sine rutere benyttes også en sårbarhet som har vært kjent en god stund. Her plasseres skript på websider som brukeren besøker – for eksempel gjennom å sende en e-post med en oppfordring til å besøke siden av en eller annen grunn.

Ettersom eksekveringen av skriptet skjer på klienten tilkoblet ruteren, vil man kunne angripe rutere der administrasjonsgrensesnittet ikke er tilgjengelig via internet. For eksempel kan administrasjonsgrensesnittet gjøres tilgjengelig via nettet og passordet settes til det man ønsker – eller slettes helt.

LES OGSÅ:

Orm angriper Linksys-rutere

Oppdater firmware

Det første steget for mange rutere vil være å sjekke om produsenten har kommet med firmware-oppdateringer. Når firmware-oppdateringen kjøres, kan man med fordel også kjøre en tilbakestilling til fabrikksinnstillinger.

Ved oppsett av ruteren på nytt bør man også gjøre en full gjennomgang av innstillingene – ikke stole på at standardinnstillingene er sikre. Vi anbefaler også at man leser denne guiden:

Slik får du sikrere hjemmenettverk

Et problem er imidlertid at mange produsenter ikke har tatt kjente sårbarheter alvorlig. Det er også en begrenset tid hvor de aktivt oppdaterer styringsprogramvaren for et produkt. Dette er et problem man nå håper det skal bli mer fokus på etter at det de siste månedene er blitt avdekket en lang rekke problemer med mye brukte rutermodeller.

Der man har sårbarheter og det ikke finnes oppdateringer, blir det en vurdering om det er mulig å endre konfigurasjonen på ruteren for å unngå sårbarheten eller om ruteren bør byttes ut.

Ifølge flere sikkerhetsanalyseselskaper forventer man at mengden angrep mot SOHO-rutere vil øke og at man nå bare har sett starten - eller i hvert fall starten på kjente angrep. Ifølge sikkerhetsanalyseselskapet Tripwire finnes det kjente sårbarheter i 80 prosent av 25 mest solgte modellene på det amerikanske markedet.

LES OGSÅ:

Sjekk Asus-ruteren din nå!

Les om:

Nettverk