使用了许多ISP来管理供应给他们的客户的路由器和其他网关设备专用服务器是从Internet访问,很容易被攻击者接管,研究人员警告。
通过获得这些服务器,黑客或情报机构可能潜在的妥协数以百万计的路由器和含蓄,他们所服务的家庭网络,沙哈尔塔尔,在Check Point软件技术安全研究人员说。塔尔在会上介绍周六在拉斯维加斯的Defcon安全会议。
这个问题的核心是被称为TR-069或CWMP(客户端设备的广域网络管理协议)的越来越多的使用协议,由技术支持部门许多ISP利用远程解决配置问题上向客户提供的路由器。
根据从2011年的统计,有1.47亿激活TR-069的在线设备,并且其中估计有70%的住宅网关,塔尔说。基于Internet协议版本4的地址空间的扫描,在7547端口,它与TR-069相关的,是80端口后的第二个最常见的服务端口(HTTP),他说。
TR-069设备都设置为连接到互联网服务供应商操作的自动配置服务器(ACS)。这些服务器运行专门由第三方公司开发的ACS软件,可用于重新配置用户设备,监视他们的错误和恶意活动,运行诊断程序,甚至默默提升自己的固件。
很多客户可能不知道他们的互联网服务供应商有这样的水平比他们的路由器的控制,特别是在其上运行自制固件往往隐藏了TR-069设置页面在路由器管理界面,塔尔说。即使业主知道这个远程管理服务,大部分时间没有选项来禁用它,他说。
如果攻击者妥协的ACS他能获得类似的无线网络名称,硬件MAC地址,声音在IP凭据,管理用户名和密码的管理路由器的信息。他还可以配置路由器使用流氓DNS服务器,通过流氓隧道传递整个交通网络,建立一个隐藏的无线网络,或从现有的网络中删除安全密码。更糟的是,他可以进行升级,包含恶意软件或后门流氓版本的设备上的固件。
在TR-069规范建议(使用SSL加密的HTTP)进行管理的设备和ACS之间的连接使用HTTPS,但塔尔和他的同事们进行的测试显示实际部署中不使用加密连接的是80%左右。用于即使HTTPS,在某些情况下,有证书验证问题,与客户设备接受由ACS呈现自签名的证书。这使得一个人在这方面的中间人攻击者冒充ACS服务器。
该协议还要求从所述设备到ACS认证,但用户名和密码,通常跨设备共享,并且可以很容易地从一个设备受损萃取例如通过改变TR-069客户端设置一个由攻击者控制的ACS的URL,塔尔说。
该研究员和他的同事对互联网服务供应商使用的几个ACS软件实现,发现它们严重远程执行代码漏洞,该漏洞会允许攻击者接管是通过互联网访问管理服务器。
一个ACS软件包叫做GenieACS有两个远程执行代码漏洞。研究人员在使用该软件来管理数千个设备一个中东国家发现了一个ISP。
另一个ACS软件的名字没有透露,因为它使用的主要的互联网世界各地有多处漏洞,可能允许攻击者破坏服务器上运行它。塔尔说,他们在一个ISP与公司的许可测试这个软件的ACS的部署,并发现他们可以更接管超过50万点的设备。
遗憾的是,因为在大多数情况下,他们不能在没有得到一些其他方式的root访问权限的设备上禁用TR-069没有简单的办法解决最终用户,塔尔说。客户可以通过安装在ISP提供的一个后面的第二路由器,但不会缓解所有的风险,他说。
TR-069被设计为在该广域网连接的功能,但应的ISP通过在单独的,受限制的,网络段或通过其他方式运行它们限制访问他们的自动配置服务器,所述塔尔。此外,ACS软件厂商应该采取安全编码实践并受他们的产品脆弱性评估,他说。
到目前为止,塔尔和他的同事们的Check Point已经调查了在服务器端的漏洞,而且他们还计划调查对设备上的TR-069客户端实现可能的攻击向量。
针对家用路由器的大规模攻击的数量在过去十二个月显著增加,攻击者使用不同的方法来赚钱访问这些设备,截获网上银行业务,以安装cryptocurrency挖掘的恶意软件和欺诈性点击劫持DNS设置。