Omówienie raportu zabezpieczeń domowych routerów – pełno krytycznych podatności!

Wszystkie z informacji w tym artykule zawdzięczamy dokumentowi „Home Router Security Report 2020” autorstwa Peter’a Weidenbach’a i Johannes’a vom Dorp’a – obaj z niemieckiego ośrodka analitycznego Fraunhofer Institute. Raport wykazał, że wszystkie badane domowe urządzenia sieciowe posiadają przynajmniej jedną znaną, niezałataną, krytyczną podatność.

Średnio, na analizowane routery dostawców takich jak D-Link, Netgear, ASUS, Linksys, TP-Link i Zyxel przypadało aż 53 krytycznych luk (CVE), a najbardziej „bezpieczny” może pochwalić się wynikiem 21 CVE. Badacze nie wymienili konkretnych identyfikatorów podatności.

Autorzy raportu zbadali routery na podstawie kilku kluczowych aspektów:

• aktualizacji urządzeń;
• wersji systemu operacyjnego i wszelkich znanych krytycznych luk w zabezpieczeniach, które ich dotyczą;
• wykorzystywane techniki monitorowania zagrożeń, wdrażane przez Dostawców;
• prywatne klucze kryptograficzne w oprogramowaniu firmware;
• zaszyte w kodzie dane logowania.

„Podsumowując, nasza analiza pokazuje, że nie ma routera bez wad i nie ma sprzedawcy, który wykonałby perfekcyjną robotę w zakresie wszystkich aspektów bezpieczeństwa”, napisali Weidenbach i vom Dorp. „Konieczne są znacznie większe starania, aby domowe routery były tak bezpieczne, jak obecne systemy stacjonarne lub serwerowe.”

Chociaż ludzie popełniają częste błędy podczas konfigurowania routerów domowych – co prowadzi do problemów związanych z bezpieczeństwem – nie są one podstawowymi przyczynami niskiego poziomu bezpieczeństwa wśród tych urządzeń. Analiza wyraźnie pokazuje, że producenci urządzeń, pomimo znajomości zagrożeń bezpieczeństwa, nadal traktują zabezpieczanie po najmniejszej linii oporu.

Badacze zastosowali zautomatyzowane podejście do sprawdzenia najnowszych wersji oprogramowania routera pod kątem pięciu aspektów związanych z bezpieczeństwem. Ze 127 udało się całkowicie wyodrębnić 117, stwierdzając, że 116, czyli 91 procent, używało Linuksa. Teoretycznie Linux może być bardzo bezpiecznym systemem operacyjnym, pod warunkiem, że jest odpowiednio aktualizowany. Większość sprawdzanych routerów niestety działała na starych wersjach systemu, już nie wspieranych, takich jak jądro Linuksa 2.6, które nie jest już utrzymywane od kilku lat. Między innymi to właśnie prowadzi do tak dużej ilości CVE.

Innym kluczowym problemem wpływającym na sytuację bezpieczeństwa routerów było to, że firmware nie był aktualizowany tak często jak powinien. W wielu przypadkach jednak nawet aktualizacja firmware nie dała by poprawy, ponieważ niektóre podatności wymagają przebudowy całego układu.

Co więcej, dostawcy rzadko używali popularnych technik ochrony przed exploitami, które służą do zwiększenia bezpieczeństwa urządzenia domowego, używając haseł, które mogą łatwo zostać złamane przez osoby atakujące lub nawet proste, domyślne hasła, których użytkownicy nie mogą zmienić. Udostępnianie zakodowanych danych uwierzytelniających jest szczególnie wrażliwą sytuacją dla urządzenia, o czym świadczy niszczycielski botnet Mirai, który użył poświadczeń telnet w celu zainfekowania milionów urządzeń. O tym jak łatwo zhakować domowy router z wykorzystaniem dostępnych technik pisaliśmy na przykładzie UPC tutaj.

Większość analizowanych obrazów oprogramowania firmware dostarczyła również prywatny klucz kryptograficzny. Oznacza to, że cokolwiek zabezpieczone kluczem publicznym nie jest bezpieczne i każdy może to podejrzeć.

Według raportu, niektórzy dostawcy traktują bezpieczeństwo nieco poważniej. AVM International była najlepsza pod względem wszystkich badanych aspektów bezpieczeństwa, chociaż routery firmy również zawierały wady.

ASUS i Netgear priorytetowo potraktowali kilka aspektów bezpieczeństwa urządzeń. Naukowcy odkryli, że zarówno aktualizują swoje routery częściej niż konkurencyjne firmy, jak i używają bardziej aktualnych, obsługiwanych wersji jądra Linuksa.

Spośród zbadanych routerów te z D-Link, Linksys, TP-Link i Zyxel wypadły w badaniu zdecydowanie najgorzej.