Домашние роутеры, поставляемые провайдерами, могут быть массово скомпрометированы

Специализированные сервера, используемые интернет-провайдерами для управления роутерами клиентов уязвимы к кибератакам и могут дать злоумышленникам полный контроль над ними.

Получив доступ к таким серверам, хакеры или сотрудники спецслужб могут скомпрометировать миллионы устройств и домашних сетей. Об этом говорит Шахар Тал (Shahar Tal), исследователь компании Check Point Software Technologies. В субботу, 9 августа, Тал выступил на конференции DefCon в Лас-Вегасе.

Проблема связана с протоколом TR-069 (он же CWMP), который используется в технической поддержке провайдеров для удаленной поддержки пользователей и их устройств.

По статистике 2011 года, существует 147 миллионов устройств с поддержкой протокола TR-069. 70% из них используются в домашних сетях. Просканировав адресное простанство IPv4, Тал пришел к выводу, что при задействовании этого протокола чаще всего применяется порт 7547.

Устройства с поддержкой TR-069 соединяются с серверами автоматической конфигурации (ACS) провайдеров. На этих серверах установлено постороннее ПО, выполняющее настройку и сервисное обслуживание устройств пользователей.

Большинство пользователей даже не догадываются о том, что провайдеры контролируют их роутеры. На большинстве устройств, поставляемых провайдерами, установлена модифицированная версия прошивки, скрывающая опции протокола TR-069 в меню управления роутером. Даже если пользователь и знает об этой функции, в большинстве случаев он не может ее отключить, поскольку у него нету для этого полномочий.

Если хакер скомпрометирует ACS-сервер, он сможет получить информацию с подконтрольных серверу роутеров, в том числе имена и пароли беспроводных сетей, MAC-адреса аппаратного обеспечения, данные учетных записей VoIP, логины и пароли администраторских учетных записей. Злоумышленник также сможет заставить роутер использовать поддельный DNS-сервер, передавать весь трафик через скомпрометированный туннель, создать невидимую беспроводную сеть или удалить пароль из существующей сети. Более того, хакеру удастся обновить прошивку на этих устройствах, внедрив в нее вредонос или бэкдор.

Спецификации протокола TR-069 рекомендуют использование HTTPS с шифрованием SSL при соединении между ACS-сервером и подконтрольным устройством, но проведенные исследования показывают, что в 80% случаев это шифрование не используется. В некоторых случаях при использовании HTTPS ACS-сервер использует собственные сертификаты, что в случае атаки «человек посередине» позволит злоумышленнику выдавать себя за ACS-сервер.

Протокол также требует, чтобы аутентификация выполнялась по схеме «устройство-ACS», но имя и пароль пользователя передаются между устройствами. Таким образом эти данные можно извлечь из взломанного устройства, изменив URL ACS-сервера на URL злоумышленника.

Исследователь и его коллеги проверили несколько программ, обеспечивающих работу ACS-серверов, и нашли ряд критических уязвимостей, позволяющих злоумышленнику удаленно выполнять произвольный код на устройствах под управлением этого ПО.

К сожалению, конечные пользователи не смогут исправить ситуацию, поскольку для отключения протокола TR-069 им понадобится получить root-доступ. Единственный вариант – приобретение другого роутера.