Vývojáři z projektu Turris objevili pomocí svého distribuovaného honeypotu řadu napadených domácích routerů, které jsou zneužívány k internetovým útokům. V této chvíli již evidujeme přes 13 000 unikátních IP adres (70 % z toho routery ASUS), které všechny zkouší stejná hesla,
píše na blogu Bedřich Košata. S pomocí CSIRT.CZ oslovujeme domácí i zahraniční ISP, u kterých byla tato činnost pozorována, a snažíme se získat více informací.
Tým také zakoupil jeden z postižených routerů Asus RT-N10U rev. B1, aby zjistil více informací. Nejprve docházelo k běžnému náhodnému oťukávání, později se ale v záznamech komunikace s routerem se objevil přístup z adresy z Bulharska na webové rozhraní routeru se správným heslem. Žádný pokus o postupné testování hesel jsme nezaznamenali. Po bližším zkoumání záznamů jsme zjistili, že nastavené heslo se objevilo v čitelné podobě v jedné z předchozích odpovědí routeru a to konkrétně na URL /error_page.htm.
Tam je v v javascriptu část:
if('1' == '0' || 'XXXXXXXXX' == 'admin') setTimeout("parent.location = \"http://"+new_lan_ip+"/QIS_wizard.htm?flag=welcome\"", 2*1000); else setTimeout("parent.location = \"http://"+new_lan_ip+"/QIS_wizard.htm?flag=detect\"", 2*1000); }
Heslo je v příkladu zaměněno za řadu znaků X. Jedná se o chybu, která byla společnosti Asus nahlášena už před více než rokem a přesto router v administračním rozhraní tvrdí, že novější firmware pro něj neexistuje. Realita je ovšem jiná: firmware existuje a konkrétně verze 3.0.0.4.376.3754 už problém odstraňuje.
Chyby jsou tedy vlastně dvě: zásadní bezpečnostní pochybení, kdy router prozradí na požádání heslo do administrace a zároveň špatně informuje o aktualizaci firmware a může tak v uživateli vyvolat falešný pocit bezpečí. Mám aktualizováno, takže i záplatováno.
Tento problém se netýká jen routerů ASUS a jedné nepříjemné chyby ve firmware. Je to obecný problém zařízení, která nejsou pod přímým dohledem a vzhledem k jejich ceně si výrobce často ani nemůže dovolit je donekonečna aktualizovat. Nepříjemné je, že tato malá zařízení můžou znamenat obrovskou díru do naší sítě a našeho soukromí,
uzavírá Bedřich Košata.