פגיעות בשרת אינטרנט מוטבע חושפת מיליוני נתבים לפריצה

פגיעות רצינית בשרת אינטרנט מוטבע המשמשת מודלים רבים של נתבים מיצרנים שונים מאפשרת לתוקפים מרוחקים להשתלט על מכשירים מושפעים דרך האינטרנט.

נתב שנפגע יכול להיות רחב -השפעה של השלכות על האבטחה של רשתות ביתיות ועסקיות, שכן היא מאפשרת לתוקפים לרחרח תעבורה נכנסת ויוצאת ומספקת להם דריסת רגל בתוך הרשת, ממנה הם יכולים להשיק התקפות נגד מערכות אחרות. הוא גם מעניק להם מיקום של אדם באמצע-הדרך כדי לפשוט את SSL (Secure Sockets Layer) מהחיבורים המאובטחים ולחטוף את הגדרות DNS (מערכת שמות מתחם) כדי להציג באופן שגוי את האתרים המהימנים.

הפגיעות החדשה התגלתה על ידי חוקרים מ- Check פוינט טכנולוגיות תוכנה ממוקמת RomPager, שרת אינטרנט משובצים המשמשים נתבים רבים לארח ממשקי הניהול שלהם מבוסס אינטרנט.

[קרא עוד: הנתבים האלחוטיים הטובים ביותר]

RomPager פותחה על ידי חברה בשם Allegro תוכנה פיתוח ונמכר ליצרנים שבבים אשר לאחר מכן צרור אותו SDKs שלהם (ערכות פיתוח תוכנה) המשמשים את ספקי הנתב בעת פיתוח הקושחה עבור המוצרים שלהם.

הפגיעות כבר המכונה "קוקי Misfortune" והוא במעקב כמו CVE- 2014-9222 במסד הנתונים Common Vulnerabilities and Exposures. זה יכול להיות מנוצל על ידי שליחת בקשה אחת בעלת מבנה ספציפי לשרת RomPager.

"תוקפים יכולים לשלוח קובצי cookie מסוג HTTP בעלי מבנה מיוחד, המנצלים את הפגיעות כדי להשחית זיכרון ולשנות את היישום ואת מצב המערכת" האתר נוצר כדי להציג את הפגם. "זה, למעשה, יכול להערים על ההתקפה כדי לטפל בפגישה הנוכחית עם הרשאות ניהוליות - לאסון של בעל המכשיר."

הפגם יכול להיות מנוצל על ידי תוקף מרוחק גם אם המכשיר אינו מוגדר לחשוף ממשק האינטרנט המבוסס על האינטרנט שלה לאינטרנט, מה שהופך את הפגיעות הרבה יותר גרועה ", אומר שחר טל, חוקר אבטחה בצ'ק פוינט.

הסיבה לכך היא כי נתבים רבים, במיוחד אלה שמספקים ספקי שירותי אינטרנט ללקוחות שלהם, מוגדרים להקשיב לחיבור בקשות ליציאה 7547 כחלק מפרוטוקול ניהול מרחוק הנקרא TR-069 או CWMP (פרוטוקול WAN Management Protocol).

ספקי שירותי אינטרנט שולחים בקשה למכשירי לקוח ביציאה 7547 או מספר יציאה אחר שהוגדר מראש, כאשר הם רוצים כדי ליצור חיבור חזרה לשרתי התצורה האוטומטית שלהם (ACS). ספקי שירותי אינטרנט משתמשים בשרתי ACS אלה כדי להגדיר מחדש את התקני הלקוח, לעקוב אחר תקלות או פעולות זדוניות, להפעיל אבחון ואפילו לשדרג את הקושחה שלהם.

בקשת ה- TR-069 הראשונית ביציאה 7547 מעובדת על-ידי שרת האינטרנט המשובץ של המכשיר - במקרים בהם רומפאג'ר - וניתן להשתמש בו כדי לנצל את פגם ה- Cookie של קוקי בלי קשר לשאלה אם ממשק הניהול מבוסס האינטרנט מוגדר להיות נגיש מהאינטרנט או לא, הסביר טל. 069 אחראי על יצירת אוכלוסיית לקוחות פגיעים מאוד, ה- Cookie Misrieune אינו פגיעות הקשורה ל- TR-069 / CWMP כשלעצמם ", אמרו החוקרים. "קוקי המזל משפיע על כל יישום של שירות באמצעות הגרסה הישנה של קוד ה- HTTP של RomPager, על יציאה 80, 8080, 443, 7547 ועוד."

בעוד שמשתמשים רבים כנראה מעולם לא שמעו על זה, RomPager הוא למעשה בין תוכנת שרת האינטרנט הנפוצה ביותר בעולם. סריקה של האינטרנט ב- 2013 על ידי HD מור, קצין האבטחה הראשי של Rapid7, מצא עוד פריסות של RomPager בכתובות IP ייחודיות (Internet Protocol) מ- Apache, שהוא שרת האינטרנט הפופולרי ביותר בעת ספירה של אתרים מתארחים. בחומרי המצגת באתר שלה, טוען אלגרו כי RomPager משמש על מעל 75 מיליון מכשירים שנשלחו על ידי לקוחותיה ברחבי העולם.פגמים קוקי המזל קיים רק בגרסאות RomPager מבוגר יותר מאשר 4.34 ו התגלה למעשה ו תוקנו על ידי אלגרו עצמו בחזרה בשנת 2005 בעקבות קוד פנימי ביקורות. עם זאת, מודלים רבים של נתבים, כולל חדשים שפורסמו השנה, עדיין כוללים גרסאות ישנות של RomPager בקושחה שלהם, ובמיוחד רומפאגר 4.07, לפי טל.

החוקרים של צ'ק פוינט זיהו כ -200 דגמי נתבים מיצרנים שונים, קישור, אדימקס, Huawei, TP-Link, ZTE, ו ZyXEL, כי הם פגיעים. בהתבסס על סריקות באינטרנט, הם זיהו כמעט 12 מיליון מכשירים ייחודיים ב -188 מדינות, המנצלים באופן ישיר דרך האינטרנט.

צ'ק פוינט יצרה קשר עם כמה יצרני נתבים גדולים שמוצריהם הושפעו, כמו גם אלגרו. כמה מהם הגיבו מיד, אישרו את הבעיה והתחילו לעבוד על תיקוני קושחה, אבל אחרים לא הגיבו כלל, אמרו החוקרים.

לצערנו, אין הרבה משתמשים יכולים לעשות כדי להגן על הנתבים שלהם מלבד התקנת תיקוני קושחה כאשר הם הופכים לזמינים ומפעילים חומות אש על המחשבים שלהם כדי להגן עליהם מפני התקפות רשת, אמר טל.

ספקי שירותי אינטרנט המשתמשים ב- TR-069 / CWMP לניהול התקני לקוחות יכולים להשתמש בפרוטוקול כדי לפרוס טלאי קושחה במהירות רבה יותר. צ'ק פוינט פרסמה הדרכה עבור ספקי שירותי אינטרנט בנייר לבן.

הבעיה היא שלא רק התקנים שמספקים ספקי שירותי אינטרנט ללקוחות מושפעים. לדברי טל, יש נתבים שמקשיבים לבקשות בנמל 7547 כברירת מחדל, למרות שהם אינם מוגדרים עבור TR-069.