Новости про безопасность и сетевые устройства

Хакеры воспользовались уязвимостью домашних сетей для контроля над телевизорами

Шведский видеоблогер PewDiePie, известный обзорами видеоигр, получил небольшую помощь от группы хакеров, которые вывели его канал на домашние устройства с поддержкой Chromecast.

Атака CastHack была проведена двумя хакерами HackerGiraffe и j3ws3r. Первый из них через Twitter пояснил, что CastHack пользуется доступом у тех пользователей, которые включили сервис UPnP (Universal Plug'n'Play) в своих роутерах, пробросив специфичные порты из внутренней сети в Интернет.

Заставка-предупреждение о CastHack
Заставка-предупреждение о CastHack

Порты с номерами 8008, 8009 и 8443 обычно используются смарт ТВ, Chromcasts и Google Home для обеспечения различного функционала. Через эти порты пользователи могут отправлять команды со своих смартфонов на эти устройства для удалённого конфигурирования. Однако при неверной настройке эти порты становятся доступны всем.

Вебсайт, стоящий за атакой, подсчитал количество открытых телевизоров. Их количество перевалило за 3000, и все они посмотрели сообщение PewDiePie. Хакеры рекомендовали пользователям отключить UPnP в роутерах или запретить проброс портов 8008, 8009 и 8443.

Хакеры отметили, что таким образом «хотели помочь вам, а также любимым влогерам, в основном PewDiePie», — добавив, «Мы только пытаемся защитить и проинформировать вас об этой уязвимости до того, как кто-то реально воспользуется ею».

VPNFilter проникла в роутеры многих производителей

Вредоносное ПО для роутеров, известное как VPNFilter, как оказалось, имеет очень широкое распространение, намного больше, чем считалось раньше.

Ботнет, который связывают с российскими хакерами, стал известен после сообщений ФБР с рекомендацией о перезагрузке роутера, которая должна предотвратить распространение угрозы.

Исследователи из Cisco, впервые выявившие проблему, сейчас уверяют, что она намного шире, чем считалась изначально, поскольку заражению подвержено большое число моделей роутеров от разных производителей. Сейчас установлено, что в группе риска находятся маршрутизаторы ASUS, D-Link, Huawei, Linksys, Microtik, Netgear, QNAP, TP-Link, ZTE и ряда других.

Исследование VPNFilter
Исследование VPNFilter

Первоначальной целью зловреда считают инфраструктуру Украины, но ведь это Интернет, где никто не может быть в безопасности. В результате вирус распространился на десятки стран. Он опасен тем, что представляет собой классическую атаку «человек-посредине», позволяя перехватывать и даже подменять трафик.

Чтобы выявить инфекцию нужно проанализировать файловую структуру роутера, ведь зловреду где-то нужно хранить данные для подмены. Если заражение выявлено нужно немедленно перезагрузить устройство и найти на него свежую прошивку. К сожалению, далеко не все производители озадачились опасностью VPNFilter, а потому тянут с выпуском обновлений. С полным исследованием зловреда можно ознакомиться в блоге Cisco Talos.

ФБР рекомендует перезагружать роутер для очистки от зловредов

В вычислительных сетях для дома и малого бизнеса безопасность обычно находится не на самом высоком уровне. Поэтому различные зловреды могут мониторить трафик, что крайне опасно.

На фоне последней угрозы, называемой VPNFilter, которая позволяет удалённо управлять устройствами, риски сетевой безопасности становятся всё ощутимее.

Учитывая эти угрозы, Федеральное бюро расследований сделало необычный шаг, выпустив рекомендации. Согласно совету ФБР домашним пользователям и владельцам малого бизнеса стоит перезагружать роутеры. Идея заключается в очистке памяти от всякого вредоносного ПО.

ФБР
ФБР

На самом деле, рекомендация не совсем ясна. Возможно, имелся ввиду сброс роутера до заводского состояния. Ведь именно тогда удалятся все изменения, а состояние устройства вернётся к таковому после покупки.

Большинство провайдеров рекомендует не выключать сетевые устройства для обеспечения стабильной работы, однако если само ФБР даёт такие рекомендации, то, возможно, к ним стоит прислушаться.

Исследователи рассказали, как можно украсть данные с помощью светодиода роутера

Каждые полгода исследователи из Израиля демонстрируют нам разные способы кражи информации через «воздушный зазор», то есть, не подключаясь к компьютерам. Часто эти схемы малоэффективны и неудобны, однако это вовсе не значит, что их использование исключено, особенно когда дело касается спецслужб.

На этот раз учёные из Университета Бен-Гуриона рассказали миру о том, как можно превратить обычный роутер в устройство шпионажа. Для этого они использовали вредоносный код xLED, который может управлять светодиодами передачи данных.

Университет Бен-Гуриона

Эта инфекция перехватывает проходящие данные определённого типа, проходящие через роутер, превращая их в свой бинарный формат. После чего используется роутер, который светодиодом передаёт эти данные на ближайший приёмник. Как нетрудно догадаться, включённый светодиод означает бинарную единицу, а выключенный — 0.

Таким образом, атакующий с прямым видением роутера, оснащённый записывающим оборудованием, может собирать данные с мерцающих индикаторов. Этим атакующим может быть камера безопасности, шпион, камера, установленная на дроне, и прочие системы подсматривания, которые позволяют увидеть маршрутизатор напрямую.

Norton обеспечит безопасность IoT

Если вы вдруг беспокоитесь, что хакеры взломают ваш смарт-холодильник, то компания Symantec хочет вас успокоить. Для этого фирма подготовила роутер со специальными средствами безопасности в IoT.

Устройство, названное Norton Core, представляет собой роутер с установленными приложениями, который предлагает встроенные функции защиты всего дома. В компании Symantec отмечают, что устройство способно обезопасить в реальном времени до 20 подключённых к нему устройств, включая Windows компьютеры, Mac, телефоны, планшеты и любые устройства интернета вещей.

Роутер получает информацию о киберпреступности и механизмах защиты в реальном времени, позволяя обезопасить каждое подключённое устройство. В случае подключения инфицированного устройства, роутер может изолировать его от остальной сети, для предотвращения распространения инфекции.

Symantec Norton Core

Конечно, обеспечение безопасности на уровне роутера не является чем-то новым, однако на бытовом уровне это довольно редкое явление.

Наблюдать за сетью и онлайн угрозами можно посредством специального приложения, которое даже демонстрирует уровне безопасности вашей домашней Сети.

Что касается аппаратной части, то Norton Core представляет собой устройство размером 115x15x13 см. Он оснащён двухъядерным процессором частотой 1,7 ГГц, 1 МБ ОЗУ и 4 ГБ флеш-памяти. Роутер поддерживает стандарт связи 4x4 AC2600 Wi-Fi. Площадь покрытия сигналом роутера составляет 280—460 кв. м. Кроме Wi-Fi роутер предлагает 4 LAN порта.

Цена на Norton Core составляет 280 долларов США включая годовую подписку на средства безопасности Norton Core Security Plus. Далее за неё вам придётся выложить по 100 долларов в год.

Вредоносное ПО для роутера вставляет на страницы нежелательную рекламу

Аналитики в области безопасности выявили новый вариант вредоносного ПО для роутера, которое вставляет произвольную рекламу и порнографию на вебсайты, модифицируя настройки DNS роутера.

Данное ПО может пробраться практически на каждый сайт в Сети, но наиболее часто используется для распространения порносайтов.

Раскрытое Ara Labs вредоносное ПО для роутера перехватывает код Google Analytics, имеющийся на большинстве сайтов, и перенаправляет запрос на сервер хакеров, который в ответ отправляет рекламу и порнографию. А поскольку для сбора статистики Google Analytics используется на огромном количестве интернет сайтов, то они становятся прекрасной целью для проведения атаки на DNS такого типа. Если хакерам удастся заразить много роутеров, этот эксплоит может принести создателям немало денег.

Порты Ethernet

Хакеры устанавливают вредоносное ПО, используя тот факт, что многие люди не меняют настройки по умолчанию своих маршрутизаторов. Таким образом, удаётся с лёгкостью отправлять неавторизованные запросы конфигурации на роутер.

Исследователи не стали уточнять, какие же именно роутеры могут подвергнуться атаке, но порекомендовали регулярно обновлять прошивку и не использовать для авторизации роутера стандартные имена и пароли.

Также отмечается, что традиционные антивирусы не работают с изменениями на уровне роутеров, поскольку в вашем компьютере не проводятся какие-либо изменения.

В общем, теперь, если вдруг на работе вас застал шеф за просмотром всякого непотребства — можете смело всю вину валить на роутер.

В сетевой операционной системе ZyNOS от Zyxel выявлен бэкдор

Исследователи в области безопасности обнаружили в системе ZyNOS от Zyxel очередную проблему безопасности, которая позволяет угонять трафик и подменять DNS.

Ошибка была обнаружена в системе ZynOS, которая была разработана ZyXEL и применяется как в продуктах самой ZyXEL, так и устанавливается на свой страх и риск энтузиастами на изделия от других производителей, включая TP-Link, ZTE и D-Link.

Для подтверждения выявленной проблемы был продемонстрирован взлом роутера D-Link DSL2740R, который провела болгарская группа «белых» хакеров под названием Ethical Hacking.

Роутер D-Link DSL2740R

Ошибка в программе приводит к тому, что для внесения изменений в настройки не требуется даже соответствующий уровень доступа. Хакеры просто получили доступ к странице удалённой настройки роутера, также можно получить и доступ к локальной сети. Вредоносный код, исправленный прямо в браузере пользователя, можно использовать для проведения атаки через интерфейс и отправлять сообщения определенному IP адресу.

Это звучит как просто невозможный факт, но ведь раньше уже похожая проблема с роутером выявлялась, причём произошло это чуть больше года назад, в октябре 2013. Также в марте 2014 года была проведена атака по схеме мажсайтовой подделке запроса. Тогда Team Cymru выявила данную проблему на примере целой «зомби сети».

p.s. Прошивки от сторонних производителей действительно могут быть установлены в некоторые устройства D-Link (как в случае с установкой ZynOS на роутер), но при этом компания D-Link не несет ответственности за работоспособность модифицированного таким образом устройста, и более того, такое устройство снимается с гарантии, о чем указано на официальном сайте компании. И хотя это обычная практика гарантийного сопровождения устройств, энтузиастам не лишне будет об этом помнить, приступая к модификации (перепрошивке) устройств.

Wi-Fi Alliance вводит поддержку авторизации с помощью NFC

Сетевые устройства, не имеющие привычного пользовательского интерфейса являются ограничением для построения Интернета Вещей. И чтобы немного уменьшить эту преграду, Wi-Fi Alliance добавил поддержку технологии NFC в свой стандарт безопасности WPS.

Теперь, чтобы добавить новое устройство, вам больше не потребуется вводить пароль вручную или нажимать кнопки на неудобно расположенном роутере, достаточно будет просто прикоснуться смартфоном с поддержкой NFC к этому сетевому устройству.

Wi-Fi Alliance

Сейчас NFC всё активнее набирает популярность, и Wi-Fi Alliance ожидает, что этот стандарт будет всё чаще появляться в более простых устройствах. Это также позволит упростить подключение новых устройств к сети. К примеру, вы не сможете коснуться холодильником с Wi-Fi и NFC роутера, но можно легко прикоснуться к холодильнику телефоном, уже добавленным в эту сеть.

Сейчас NFC является третьей опцией настройки безопасности в арсенале WPS. Первые два включают ввод PIN-кодов и нажатие аппаратной кнопки. Чипсеты, поддерживающие новый тип авторизации уже готовят компании Broadcom, Marvell, Mediatek и Qualcomm. Что касается нынешних смартфонов, то им для работы с новыми методами авторизации потребуется лишь обновить прошивку.

Интернет вещей имеет большие проблемы с безопасностью

Исследователи в области безопасности предупреждают, что интернет вещей является новой площадкой для разработчиков вредоносного ПО.

Недавно была выявлена целая масса уязвимостей в бытовых роутерах, а теперь эта тенденция распространяется и на видеорекордеры. Так, ARS Technica написала, что исследователи раскрыли вредоносное ПО, которое заражает их видеорекордеры Bitcoin трояном.

Взлом

Исследователи из института оценки безопасности Sans выявили троян, добывающий Bitcoin и заразивший DVR. Исследователи выявили инфекцию во время поиска источника автоматизированных скриптов, которые сканируют интернет в поисках устройств хранения данных выпущенных Synology. Они случайно обнаружили, что бот также работает и на DVR с процессорами ARM, но не узнали чего-либо ещё. Позже они установили, что он был частью сборщика Bitcoin, который берёт контроль над DVR, используемых для записи с камер безопасности, в большинстве случаев используя порт Telnet с паролем по умолчанию «12345». Они сообщили, что образцы вредоносного ПО уже добыты, а пароль для доступа к бинарному файлу — «infected».

Позже исследователи из Sans также отметили, что этот код также инфицирует роутеры, даже настроенные в режиме NAT, который обычно помогает повысить безопасность устройств.

TP-Link решила проблему безопасности роутеров

В субботу мы сообщали, что эксперт в вопросах IT безопасности Якоб Лелль в роутерах под брендом TP-Link, а также в других роутерах, основанных на аппаратном обеспечении этой компании, обнаружил уязвимость, которая может привести к атаке по схеме «человек-в-середине».

Вчера с нами связался представитель компании TP-Link и сообщил, что данные проблемы известны компании, и что в большинстве случаев они уже решены.

Поддержка TP-Link распространила следующее заявление: «Компания TP-LINK устранила уязвимость, обнаруженную в безопасности нескольких моделей устройств, при которой потенциальный злоумышленник получал возможность менять вышестоящий DNS-сервер пользовательского маршрутизатора, вследствие чего, при посещении пользователем подверженного риску веб-сайта он перенаправлялся на контролируемый злоумышленником IP-адрес. Данная уязвимость могла позволить злоумышленникам совершать атаки на пользовательские сети».

TP-Link

Компания решила проблему потенциально уязвимых устройств посредством выпуска нового программного обеспечения, уменьшающего возможность вероятного влияния на работу маршрутизаторов со стороны хакеров. Был применён новый механизм безопасности, который проверяет поле реферера для предотвращения атаки с поддельными межсайтовыми запросами.

Нынешнее состояние дел таково:

  • Для TL-WR741ND проблема была решена в апрельской прошивке, когда незадолго до этого была выявлена схожая уязвимость. Версии прошивок 130325 и 130419 не имеют уязвимостей.
  • TP-LINK WR1043ND V1 вплоть до прошивки версии 3.3.12 build 120405 уязвим (версия 3.3.13 build 130325 и поздние неуязвимы)
  • TP-LINK TL-MR3020 прошивки версии 3.14.2 Build 120817 Rel.55520n и 3.15.2 Build 130326 Rel.58517n уязвимы (но не подвержены риску в конфигурации эксплоита по умолчанию). Новая версия build 130929 неуязвима.
  • TL-WDR3600 прошивки версии 3.13.26 Build 130129 Rel.59449n и 3.13.31 Build 130320 Rel.55761n уязвимы (но не подвержены риску в конфигурации эксплоита по умолчанию). Новая версия build 130909 неуязвима.

Для предотвращения возможного проведения сетевых атак компания TP-Link рекомендует обновить прошивки для своих маршрутизаторов, что можно сделать по следующим ссылкам:

TL-WDR3600: http://www.tp-link.com/en/support/download/?model=TL-WDR3600&version=V1#tbl_j

TL-MR3020: http://www.tp-link.com/en/support/download/?model=TL-MR3020&version=V1#tbl_j

TL-WR1043ND V1 http://www.tp-link.com/en/support/download/?model=TL-WR1043ND&version=V1#tbl_j .

В роутерах TP-Link найдена уязвимость

Месяц назад в бытовых маршрутизаторах D-Link была обнаружена уязвимость, открывающая доступ к веб-интерфейсу устройства. Теперь же Якоб Лелль, эксперт в области безопасности, установил, что проблемы безопасности есть и у роутеров TP-Link.

Роутеры, подверженные опасности, имеют так называемую уязвимость межстайтовых запросов. Так, когда пользователь заходит на страницу интерфейса роутера, браузер запрашивает, сохранять ли пароль. Даже если пользователь ответит отказом, браузер всё равно временно сохранит пароль и логин. Затем, когда пользователь посещает заражённый сайт, которых уже найдено 5 штук, сайт пытается подменить DNS сервер в роутере для отправляемого трафика на контролируемый атакующим IP адрес, который далее может быть использован для атаки типа «человек-в-середине».

TP-Link

Уязвимыми оказались следующие модели маршрутизаторов:

  • TP-Link WR1043ND V1 вплоть до версии 3.3.12 build 120405;
  • TP-Link TL-MR3020, версии прошивки 3.14.2 Build 120817 Rel.55520n и 3.15.2 Build 130326 Rel.58517n (не подвержены уязвимости в конфигурации эксплоита по умолчанию);
  • TL-WDR3600, версии прошивок 3.13.26 Build 130129 Rel.59449n и .13.31 Build 130320 Rel.55761n (не подвержены уязвимости в конфигурации эксплоита по умолчанию).

Кроме того, уязвимыми могут оказаться и другие устройства, на которых не проводилось тестирование. Проверить, подвержен ли ваш роутер уязвимости, можно по инструкции на этом сайте.

Тем не менее, даже если ваш маршрутизатор не подвержен уязвимости, аналитик рекомендует сменить логин и пароль к устройству по умолчанию, а перед входом в веб-интерфейс и после выхода из него перезапускать браузер.

В роутерах D-Link обнаружен бэкдор

Исследователь в области безопасности Крейг Хеффнер из Tactical Networking Solutions обнаружил бэкдор в различных моделях роутеров D-Link, который позволяет осуществить полный доступ к панели управления удалённого устройства.

Когда Хеффнер анализировал файл прошивки одного из роутеров компании он обнаружил, что в нём есть прописанная система авторизации. В общем, изменив строку пользовательского агента в браузере на «xmlset_roodkcableoj28840ybtide», вы можете получить полный доступ к вэб интерфейсу маршрутизатора без необходимости ввода имени пользователя и пароля.

Примечательно, что данный бэкдор не является ошибкой программирования. В коде прошивки, после написанного бэкдора, идёт комментарий «отредактировано 04882 joel backdoor». Скорее всего это значит, что программист компании по имени Джоель преднамеренно включил в прошивку возможность несанкционированного доступа.

Роутер D-Link DI-524

«Моё предположение таково, что разработчики поняли, что некоторые программы/службы нуждаются в возможности автоматически менять настройки устройств», — написал в отчёте Хеффнер. В результате анализа в компании узнали, что сервер уже имеет всё необходимое для реализации этой задумки, причём неважно, где находится сервер. «Единственной проблемой, — по словам автора, — было требование ввода логина и пароля сервера, которые конечный пользователь мог поменять. И потом в момент просветления Джоель подпрыгнул и сказал: „Не беспокойтесь, у меня есть хитрый план!“».

Данный код был обнаружен во множестве старых моделей роутеров D-Link, включая DIR-100, DI-524 и DI-524UP, DI-604S, DI-604UP и DI-604+, а также TM-G5240. Кроме этого уязвимость содержится и в массе роутеров, основанных на аппаратном обеспечении D-Link, но производимых третьими компаниями. Также уязвимой считается и модель DIR-615, продаваемая некоторыми провайдерами под собственными брендами.

Новые роутеры также могут иметь подобные бэкдоры, однако их триггеры работают по-иному, а потому, они пока не обнаружены.