Эти популярные маршрутизаторы Wi-Fi — кошмар безопасности
Исследователи безопасности из IoT Inspector объединились с журналом CHIP, чтобы протестировать девять самых популярных домашних Wi-Fi-маршрутизаторов на наличие эксплойтов и уязвимостей. Результаты ошеломляют: эти маршрутизаторы не только плохо защищены, но и страдают от уязвимостей, которые исследователи безопасности впервые обнаружили несколько месяцев или лет назад.
Маршрутизаторы, протестированные IoT Inspector и CHIP, поставляются ASUS, AVM, D-Link, Edimax, Linksys, Netgear, Synology и TP-Link. Все они использовали последнюю версию прошивки своего производителя, и есть большая вероятность, что уязвимости, обнаруженные в этих маршрутизаторах, существуют и в других моделях тех же брендов.
Вот подробные выводы IoT Inspector и журнала CHIP Magazine, в том числе некоторые хорошие новости, доказывающие важность такого рода исследований.
Выводы IoT Inspector и журнала CHIP
Части в левой части этого графика были переведены с немецкого. Инспектор Интернета вещей, ЧИП
Прежде чем мы перейдем ко всем ужасным недостаткам этих популярных маршрутизаторов, мне нужно воспользоваться моментом и объяснить, как IoT Inspector проводил эти тесты. Видите ли, IoT Inspector — это компания-разработчик программного обеспечения, которая продает автоматизированный инструмент анализа безопасности для маршрутизаторов и других подключенных устройств.
IoT Inspector запускал прошивку каждого маршрутизатора с помощью этого автоматизированного инструмента для проверки более 5000 CVE и других проблем безопасности. Вот что он нашел:
Вот результаты тестов IoT Inspector и CHIP:
- Девять маршрутизаторов имеют в общей сложности 226 дефектов.
- Archer AX6000 от TP-Link является крупнейшим нарушителем, страдая от 32 ошибок безопасности.
- Synology RT-2600ac занимает второе место с 30 недостатками безопасности.
- Большинство выявленных недостатков безопасности относятся к категории «высокого» или «среднего» риска.
- Каждый протестированный маршрутизатор имеет известную уязвимость, которая не была исправлена.
Хотя исследователи не поделились подробной информацией об этих недостатках и ошибках в системе безопасности, они опубликовали критическую уязвимость, обнаруженную в маршрутизаторе D-Link DIR-X460. Вот краткое изложение: IoT Inspector нашел способ отправлять вредоносные обновления прошивки на DIR-X460 D-Link, извлекая его ключ шифрования.
Кроме того, IoT Inspector и CHIP опубликовали некоторые наиболее распространенные недостатки, обнаруженные в этих девяти маршрутизаторах:
- Слабые пароли по умолчанию, такие как «admin».
- Жестко закодированные учетные данные в тексте боли — вы знаете, незашифрованные данные.
- Устаревшее ядро Linux в прошивке роутера.
- Устаревшие мультимедийные и VPN-функции, которыми можно было воспользоваться.
- Использование старых версий BusyBox.
Имейте в виду, что эти тесты может проводить кто угодно, включая производителей маршрутизаторов. Ясно, что девять протестированных здесь брендов не уделяют достаточно времени должной защите своей продукции.
Хорошая новость: производители решают проблемы
Сара Чейни
Согласно журналу CHIP Magazine, каждый из девяти производителей маршрутизаторов отреагировал на эти тесты и выпустил обновления прошивки для устранения уязвимостей в своих продуктах. Большинство этих исправлений предназначены для уязвимостей с низким уровнем риска, но это хорошее начало.
Вот действия, предпринятые каждым производителем после этого расследования. Обратите внимание, что эти пункты переводятся из отчета CHIP на немецком языке.
- ASUS: ASUS изучила наши выводы и представила нам подробный ответ. ASUS пропатчила устаревший BusyBox, теперь есть обновленные для «завитка» и веб-сервера. Проблемы с паролями, о которых мы предупреждали, связаны с временными файлами, которые процесс удаляет при завершении. Они не представляют опасности.
- D-Link: D-Link поблагодарила нас за совет и опубликовала обновление прошивки для устранения упомянутых проблем.
- Edimax: Edimax не приложила слишком много усилий для проверки этих проблем, но опубликовала обновление для исправления некоторых проблем.
- Linksys: Linksys решит все проблемы, отнесенные к категории «высокий» и «средний». В будущем она не будет использовать пароли по умолчанию и выпустила обновление встроенного ПО для устранения любых оставшихся проблем.
- Netgear: Команда Netgear усердно работала и изучила все проблемы. Netgear считает, что некоторые из его уязвимостей «высокого риска» не имеют большого значения. Он выпустил обновление для DNSmasq и iPerf, хотя сначала следует решить другие проблемы.
- Synology: Synology устраняет проблемы, обнаруженные нами в обновлении ядра Linux. BusyBox и PHP будут обновлены, а Synology очистит свои сертификаты. Забавно, но все устройства Synology выигрывают от этого обновления.
- TP-Link: Обновление BusyBox, CURL и DNSmasq устранило многие проблемы TP-Link. Ему все еще нужно новое ядро, но у TP-Link запланировано более 50 исправлений для его прошивки.
Просто для ясности: IoT Inspector не проверял, работают ли эти исправления. И даже если они работают, эти маршрутизаторы по-прежнему уязвимы для известных (и, вероятно, неизвестных) эксплойтов.
Что вы должны сделать?
Независимо от того, используете ли вы один из затронутых маршрутизаторов или нет, я предлагаю вручную обновить прошивку вашего маршрутизатора и включить автоматические обновления (если они еще не включены). Это гарантирует, что ваш маршрутизатор защищен от последних эксплойтов или, по крайней мере, от тех, которые производители решили исправить.
Вы также должны установить безопасный пароль Wi-Fi и отключить такие функции, как WPS (защищенная настройка Wi-Fi) и UPnP (универсальная технология Plug and Play), которые открывают вашу сеть для вредоносных программ и регулярно критикуются ФБР за многочисленные недостатки безопасности.
И если вы используете невероятно старый маршрутизатор (или устройство NAS, если на то пошло), вам следует серьезно подумать об обновлении. Старое сетевое оборудование часто полно известных уязвимостей, которые производители просто не хотят исправлять.
Для получения дополнительной информации о защите вашего маршрутизатора ознакомьтесь с нашим подробным руководством на How-To Geek.
Источник: IoT Inspector, журнал CHIP через Bleeping Computer.