Routers under attack: Hur företag kan skydda sin gateway till internet

Modem och routrar är inte de mest glamorösa av uppkopplade tekniker. Faktum är att deras allestädes närvarande gör att de flesta organisationer glömmer att de ens är där. Men de fyller också en kritisk funktion för att göra det möjligt för nätverksanslutna enheter och maskiner att nå det offentliga internet. Utan dem skulle de flesta företag kämpa för att fungera.

Men på grund av deras placering i kanten av nätverket är routrar också ett allt populärare mål. Det hjälper inte att många är fyllda med sårbarheter och kanske inte uppdateras lika ofta som andra kritiska enheter. A rapport från Forescout släpptes i oktober varnar för 14 nya firmware-brister i DrayTek-routrar.

Det är dags att göra allvar med att skydda företagsroutrar.

Vad är det för fel på DrayTek?

Enligt Forescout är två av de 14 nya sårbarheterna som upptäckts i routrar från den taiwanesiska tillverkaren klassade som kritiska: CVE-2024-41592 har ett maximalt CVSS-poäng på 10, medan CVE-2024-41585 får 9.1.

Den förra är ett buffertspill i GetCGI()-funktionen i DrayTek VigorConnect Web UI. Det kan tydligen utlösas av en speciellt utformad och alltför lång frågesträng till någon av de 40 CGI-sidorna i webbgränssnittet. Detta kan i sin tur användas för att uppnå denial of services eller, om det är kedjat med OS-kommandeinjektionsfel CVE-2024-41585, för att få fjärråtkomst till det underliggande värdoperativsystemet.

Det är potentiellt mycket allvarligare, eftersom det skulle ge en angripare "nycklarna till kungariket" - vilket möjliggör fullständig fjärrkontroll av den riktade routern och, genom att flytta i sidled, andra enheter på samma nätverk, säger Forescout.

Populariteten för DrayTek-routrar globalt belyser nätverksförsvarares utmaningar och möjligheten för hotaktörer. Enligt Forescout exponerades över 704,000 425,000 routrar för internet – och därför öppna för exploatering – när rapporten sammanställdes, inklusive XNUMX XNUMX i Storbritannien och EU. De flesta är tydligen avsedda för affärsbruk.

DrayTek hade korrigerat alla sårbarheter i den fasta programvaran när rapporten publicerades. Ändå finns det ingen garanti för att kunder kommer att tillämpa uppdateringarna innan potentiella försök att utnyttja dem. Säljaren är inte heller den enda tillverkaren vars produkter riskerar att kompromissa. I september, en gemensam rådgivning från flera Five Eyes-säkerhetsbyråer avslöjade förekomsten av ett massivt botnät med 260,000 XNUMX kapade enheter, inklusive routrar från MikroTik, Ubiquiti, Telesquare, Telstra, Cisco och NetGear.

Varför routrar?

Modem och routrar är helt klart ett populärt mål för hotaktörer. Detta beror på att de:

• Är ofta fyllda med oparpade sårbarheter som kan utnyttjas
• De används ofta av små och medelstora företag med färre säkerhetsresurser och know-how, vilket kan lämna routrar utsatta
• Är lätta för hackare att skanna på distans
• Får endast skyddas av fabriksstandardinloggningsuppgifter
• Tillhandahålla en gateway till andra enheter i samma nätverk och kan därför användas som en initial åtkomstvektor för ransomware och datastöld
• De kan kapas och användas som bots i ett större botnät för att starta DDoS-attacker på andra eller dölja mer sofistikerade hotkampanjer
• Kan återanvändas som kommando-och-kontrollservrar (om de är högpresterande routrar)

End-of-life (EoL) eller end-of-sale (EoS) enheter är särskilt utsatta eftersom patchar/uppdateringar kanske inte är tillgängliga från leverantören. Forescout hävdar att 11 av de 24 påverkade DrayTek-modellerna som listas i dess forskning var antingen EoL eller EoS. Även om plåster kan appliceras är de ofta inte det. Nästan två femtedelar (40 %) av dem i rapporten är fortfarande sårbara för liknande brister som identifierats två år tidigare, enligt Forescout.

“Rotrar kan ge tillgång till eller till och med kontroll över tillgångar i en organisations nätverk. Som skeletten i nätverken och undernätverken de bildar, är de en stor resurs för en angripare att infektera”, säger Black Duck Softwares ansvarig säkerhetskonsult Adam Brown till ISMS.online.

"Dessutom administreras de av individer med de högsta säkerhetsnivåerna, som, om de bryts, ger dåliga skådespelare nycklarna till kungariket."

Detta är inte ett teoretiskt hot. Förutom den massiva kinesiska hotkampanjen som lyfts fram ovan kan vi peka på följande:

Volt Typhoon: En kinesisk statsstödd APT-grupp som utnyttjade nolldagssårbarheter i internetanslutna nätverksapparater som routrar för att äventyra strategiskt viktiga kritiska infrastrukturnätverk i USA. Slutmålet, säger Cybersecurity and Infrastructure Security Agency (CISA), var att vara förberedd och redo att inleda destruktiva attacker i händelse av en militär konflikt.

BlackTech: En annan kinesisk statlig APT-grupp som riktade sig mot olika organisationer i USA och Japan. Den riktade sig mot dåligt skyddade routrar på filialkontor, vilket gjorde att angripare kunde smälta in i vanlig trafik när de svängde till andra enheter i företagets huvudkontor. I vissa fall fick motståndarna administratörsrättigheter, vilket gjorde det möjligt för dem att ersätta den fasta programvaran på routrarna och/eller stänga av loggning för att dölja sina spår.

Cyclops Blink och VPNFilter: Två sofistikerade fleråriga kampanjer från Rysslands Sandworm-grupp, som riktade sig till routrar för små kontor/hemmakontor (SOHO) och andra nätverksenheter. Utplacering av den eponyma skadliga programvaran beskrevs som "urskillningslös och utbredd", vilket fick observatörer att spekulera i att syftet var att skapa botnät som kan lansera hotkampanjer mot andra mål.

APT28/Fancy Bear: En produktiv rysk hotgrupp riktade sig mot Ubiquiti EdgeRouters som en del av en bredare kampanj för att "underlätta skadliga cyberoperationer över hela världen" - inklusive genom att vara värd för nätfiskesidor och anpassade attackverktyg.

Hur man mildrar hotet

Vissa amerikanska lagstiftare vill undersöka kinesiskt tillverkade routrar i ett försök att mildra Pekings cyberspionagehot. Men detta kommer inte att göra något för att ta itu med problemet med att routrar tillverkade på andra ställen kapas genom stulna/brute-forcerade referenser eller exploatering av sårbarheter. Så, hur kan organisationer bättre skydda sina routrar? Vissa bästa metoder kommer att hjälpa.

Ett utmärkt ställe att börja är beprövad cyberhygien som:

• Regelbunden patchning av firmware så snart uppdateringar är tillgängliga, med hjälp av automatiska uppdateringskanaler där det är möjligt
• Ersätter standardlösenord med starka, unika referenser
• Stänga av oanvända tjänster och portar som UPnP, fjärrhantering, fildelning, etc
• Ersätter EoL-kit omedelbart för att säkerställa maximalt skydd mot utnyttjande.

Black Duck Softwares Brown tillägger att Zero Trust-säkerhetsstrategier också skulle hjälpa organisationer att minska routersäkerhetsrisker, såsom nätverksövervakning för ovanliga trafikvolymer och segmentering tillsammans med policyer för minst privilegierad åtkomst.

"Säkerhetsarkitekturen måste beaktas när nätverk, och därför routrar, distribueras, med försiktighet för att säkerställa att åtkomst till routerkonsoler har lämpliga säkerhetskontroller," tillägger han. "Nätverksförtroendezoner måste övervägas, och en Zero Trust-strategi för arkitektur på alla lager kommer att hjälpa till att begränsa sprängradien om en incident skulle inträffa."

Som exemplen ovan framhåller, är mäktiga statsstödda grupper såväl som sofistikerade cyberbrottsenheter ute efter att dra fördel av säkerhetsluckor för att kapa routrar och de nätverk de gränsar. Med små och medelstora företag i trådkorset är det dags att stänga denna kritiska säkerhetslucka.