Οι οικιακοί δρομολογητές (home routers) είναι μικροί υπολογιστές που τρέχουν τον πυρήνα Linux και λογισμικό διαχείρισης της ευρυζωνικής σύνδεσης. Γενικά, αυτό το λογισμικό διαχείρισης εμφανίζει προβλήματα ασφάλειας σε μερικούς κατασκευαστές, με αποτέλεσμα να μπορεί να προσβληθεί ο δρομολογητής από κακόβουλους χρήστες.

Το πιο τυπικό πρόβλημα είναι να επιτρέπεται η πρόσβαση στη σελίδα διαχείρισης από τρίτους μέσω του Διαδικτύου. Ναι, όσο παράξενο και να ακούγεται, υπάρχουν περιπτώσεις να μπορεί να συνδεθεί κανείς στο δρομολογητή σας από το διαδίκτυο.

Όταν συνδεθεί κάποιος στο δρομολογητή σας, χρειάζεται τυπικά να δώσει κάποιο όνομα χρήστη και κωδικό. Εδώ, αρκετοί κατασκευαστές αφήνουν κάτι εύκολο, όπως admin/admin.

Πρόσφατα ανακαλύφθηκε από τεχνικούς της ESET κακόβουλο λογισμικό που εκμεταλλεύεται τις παραπάνω αδυναμίες ώστε να συνδεθεί σε δρομολογητές και με κάποιο τρόπο να εγκαταστήσει κακόβουλο λογισμικό στον ίδιο το δρομολογητή.

Ας πούμε ακόμα μια φορά ότι το πρόβλημα είναι στο λογισμικό διαχείρισης του δρομολογητή (και όχι σε Linux).

Αυτό που είναι σημαντικό σε κάθε χρήστη, είναι να ελέγξει αν ο οικιακός δρομολογητής είναι προσβάσιμος από έξω, δηλαδή από το διαδίκτυο. Ένας τρόπος για να το ελέγξουμε, είναι να:

1. πάμε στο http://www.canyouseeme.org/ και εκεί να πατήσουμε Check Port.

Έχει ως προεπιλογή τη θύρα 80, που είναι η τυπική θύρα για τη διαχείριση.
Αν η θύρα αυτή δεν είναι προσβάσιμη από έξω (καλό), τότε θα δούμε «Error: I could not see your service on x.x.x.x on port (80)
Reason: Connection timed out». Διαφορετικά, πρέπει να ψάξουμε περισσότερο.

2. πάμε πάλι στη σελίδα http://www.canyouseeme.org/ και για Port βάζουμε το 23. Και εδώ πάλι πρέπει να δούμε μήνυμα ότι «Error: I could not see your service on x.x.x.x on port (23) Reason: Connection timed out»

3. πάμε πάλι στη σελίδα http://www.canyouseeme.org/ και για Port βάζουμε το 10073. Και εδώ πάλι πρέπει να δούμε μήνυμα ότι «Error: I could not see your service on x.x.x.x on port (10073) Reason: Connection timed out». Αυτό το 10073 είναι η θύρα που τρέχει το σκουλίκι, οπότε αν στο βήμα 2 δεν υπήρξε σύνδεση, τότε και εδώ δεν θα βγάλει κάτι.

Διάβασα το PDF που υπάρχει στη σελίδα με την άλκη. Το όλο άρθρο δεν έχει πολλές πρακτικές πληροφορίες για διαπίστωση και ασχολείται με την ανάλυση του σκουλικιού.

Το πιο σχετικό που γράφει, είναι «If the credentials can be used via Telnet to login, if Telnet is enabled by default and if a shell access can be obtained by typing sh in the device’s prompt, then these are very good indicators that a device could be infected by Linux/Moose.»

Είναι πολλά τα Αν που αναφέρει, οπότε με τους παραπάνω ελέγχους μπορείτε να έχετε μια εικόνα. Είναι ακόμα νωρίς για να έχουμε μια ξεκάθαρη εικόνα για αυτή την αδυναμία ασφάλειας, μια αδυναμία στο λογισμικό διαχείρισης δρομολογητών (και άλλων τέτοιων συσκευών).

A malware family that primarily targets Linux-based consumer routers but that can infect other Linux-based embedded systems in its path: Dissecting Linux/Moose
welivesecurity.com
Advertisements