Routere under angreb: Hvordan virksomheder kan beskytte deres gateway til internettet

Modemer og routere er ikke de mest glamourøse af forbundne teknologier. Faktisk betyder deres allestedsnærværende, at de fleste organisationer glemmer, at de selv er der. Men de udfører også en kritisk funktion i at gøre det muligt for netværksforbundne enheder og maskiner at nå det offentlige internet. Uden dem ville de fleste virksomheder kæmpe for at fungere.

Men på grund af deres placering i kanten af ​​netværket er routere også et stadig mere populært mål. Det hjælper ikke, at mange er fyldt med sårbarheder og måske ikke bliver opdateret så ofte som andre kritiske enheder. EN rapport fra Forescout udgivet i oktober advarer om 14 nye firmware-fejl i DrayTek-routere.

Det er tid til at gøre alvor af at beskytte virksomhedens routere.

Hvad er der galt med DrayTek?

Ifølge Forescout er to af de 14 nye sårbarheder, den opdagede i routere fra den taiwanske producent, vurderet som kritiske: CVE-2024-41592 har en maksimal CVSS-score på 10, mens CVE-2024-41585 får en 9.1.

Førstnævnte er et bufferoverløb i GetCGI()-funktionen i DrayTek VigorConnect Web UI. Det kunne tilsyneladende udløses af en specielt udformet og alt for lang forespørgselsstreng til en hvilken som helst af de 40 CGI-sider i web-brugergrænsefladen. Dette kan igen bruges til at opnå nægtelse af tjenester eller, hvis det er kædet sammen med OS-kommandeinjektionsfejl CVE-2024-41585, til at få ekstern rootadgang til det underliggende værtsoperativsystem.

Det er potentielt langt mere alvorligt, da det ville give en angriber "nøglerne til riget" - hvilket muliggør fuldstændig fjernstyring af den målrettede router og ved at flytte sideværts andre enheder på det samme netværk, siger Forescout.

Populariteten af ​​DrayTek-routere globalt fremhæver netværksforsvarernes udfordringer og muligheden for trusselsaktører. Ifølge Forescout var over 704,000 routere eksponeret for internettet - og derfor åbne for udnyttelse - da rapporten blev udarbejdet, herunder 425,000 i Storbritannien og EU. De fleste er tilsyneladende beregnet til erhvervsbrug.

DrayTek havde rettet alle firmware-sårbarhederne, da rapporten blev offentliggjort. Alligevel er der ingen garanti for, at kunderne vil anvende opdateringerne før potentielle forsøg på at udnytte dem. Sælgeren er heller ikke den eneste producent, hvis produkter er i fare for at gå på kompromis. I september en fælles rådgivning fra flere Five Eyes-sikkerhedsbureauer afslørede eksistensen af ​​et massivt botnet med 260,000 kaprede enheder, inklusive routere fra MikroTik, Ubiquiti, Telesquare, Telstra, Cisco og NetGear.

Hvorfor routere?

Modemer og routere er helt klart et populært mål for trusselsaktører. Dette er fordi de:

• Er ofte fyldt med uoprettede sårbarheder, der kan udnyttes
• De bruges ofte af SMV'er med færre sikkerhedsressourcer og knowhow, hvilket kan efterlade routere udsat
• Er nemme for hackere at scanne eksternt
• Kan kun være beskyttet af fabriksstandardoplysninger
• Giv en gateway til andre enheder på det samme netværk og kan derfor bruges som en indledende adgangsvektor til ransomware og datatyveri
• De kan kapres og bruges som bots i et større botnet til at lancere DDoS-angreb på andre eller skjule mere sofistikerede trusselskampagner
• Kunne genbruges som kommando-og-kontrol-servere (hvis de er højtydende routere)

End-of-life (EoL) eller end-of-sale (EoS) enheder er særligt udsatte, da patches/opdateringer muligvis ikke er tilgængelige fra leverandøren. Forescout hævder, at 11 af de 24 påvirkede DrayTek-modeller, der er opført i deres forskning, enten var EoL eller EoS. Selvom plastre kan påføres, er de ofte ikke det. Næsten to femtedele (40 %) af dem i rapporten er stadig sårbare over for lignende fejl, der er identificeret to år tidligere, ifølge Forescout.

“Routere kan give adgang til eller endda kontrol over aktiver i en organisations netværk. Som skeletterne af de netværk og undernetværk, de danner, er de en stor ressource for en angriber at inficere,” siger Black Duck Softwares administrerende sikkerhedskonsulent Adam Brown til ISMS.online.

"Ydermere administreres de af personer med de højeste niveauer af sikkerhedsoplysninger, som, hvis de bliver brudt, giver dårlige skuespillere nøglerne til kongeriget."

Dette er ikke en teoretisk trussel. Ud over den massive kinesiske trusselkampagne fremhævet ovenfor, kan vi pege på følgende:

Volt Typhoon: En kinesisk statsstøttet APT-gruppe, der udnyttede zero-day sårbarheder i internetforbundne netværksapparater som routere til at kompromittere strategisk vigtige kritiske infrastrukturnetværk i USA. Slutmålet, siger Cybersecurity and Infrastructure Security Agency (CISA), var at være klar til at iværksætte destruktive angreb i tilfælde af en militær konflikt.

BlackTech: En anden kinesisk stats-APT-gruppe, som var rettet mod forskellige organisationer i USA og Japan. Det var rettet mod dårligt beskyttede routere i afdelingskontorer, hvilket gjorde det muligt for angribere at blande sig med almindelig trafik, når de drejede til andre enheder i virksomhedens hovedkvarter. I nogle tilfælde fik modstanderne administratorrettigheder, hvilket gjorde det muligt for dem at erstatte firmwaren på routerne og/eller slukke for logning for at skjule deres spor.

Cyclops Blink og VPNFilter: To sofistikerede flerårige kampagner fra Ruslands Sandworm-gruppe, som var rettet mod små kontor/hjemmekontor (SOHO)-routere og andre netværksenheder. Udrulning af den eponyme malware blev beskrevet som "vilkårlig og udbredt", hvilket fik iagttagere til at spekulere i, at formålet var at skabe botnets, der var i stand til at lancere trusselskampagner på andre mål.

APT28/Fancy Bear: En produktiv russisk trusselsgruppe målrettede Ubiquiti EdgeRouters som en del af en bredere kampagne for at "facilitere ondsindede cyberoperationer verden over" - herunder ved at hoste spear phishing-sider og tilpassede angrebsværktøjer.

Hvordan man afbøder truslen

Nogle amerikanske lovgivere ønsker at undersøge kinesisk-fremstillede routere i et forsøg på at afbøde Beijings cyberspionagetrussel. Men dette vil ikke gøre noget for at løse problemet med at routere, der er fremstillet andre steder, bliver kapret gennem stjålne/brute-tvungne legitimationsoplysninger eller sårbarhedsudnyttelse. Så hvordan kan organisationer bedre beskytte deres routere? Nogle bedste fremgangsmåder vil hjælpe.

Et glimrende sted at starte er gennemprøvet cyberhygiejne som:

• Regelmæssig patchning af firmware, så snart opdateringer er tilgængelige, ved hjælp af automatiske opdateringskanaler, hvor det er muligt
• Udskiftning af standardadgangskoder med stærke, unikke legitimationsoplysninger
• Deaktivering af ubrugte tjenester og porte som UPnP, fjernstyring, fildeling osv
• Udskiftning af EoL-sættet omgående for at sikre maksimal beskyttelse mod udnyttelse.

Black Duck Softwares Brown tilføjer, at Zero Trust-sikkerhedstilgange også vil hjælpe organisationer med at afbøde routersikkerhedsrisici, såsom netværksovervågning for usædvanlige trafikmængder og segmentering sammen med politikker for mindst privilegeret adgang.

"Sikkerhedsarkitektur skal overvejes, når netværk og derfor routere implementeres, med omhu for at sikre, at adgang til routerkonsoller har passende sikkerhedskontroller," tilføjer han. "Netværks-tillidszoner skal overvejes, og en Zero Trust-tilgang til arkitektur på alle lag vil hjælpe med at begrænse eksplosionsradius, hvis en hændelse skulle opstå."

Som ovenstående eksempler fremhæver, er magtfulde statsstøttede grupper såvel som sofistikerede cyberkriminalitetsenheder på udkig efter at drage fordel af sikkerhedshuller til at kapre routere og de netværk, de spænder over. Med små og mellemstore virksomheder i trådkorset er det tid til at lukke dette kritiske sikkerhedshul.