Производители браузеров и другие IT-компании прилагают массу усилий, чтобы заменить слабые криптобиблиотеки, в особенности те, которые могут обеспечить откат на менее надежный протокол в случае кибератаки — к примеру, такой, как POODLE. Атаки путем принудительного отката проводятся с целью кражи приватных ключей, открывающей возможность для перехвата трафика в открытом виде.

По мере замены слабых версий библиотек выявляются все новые и новые случаи их использования во встроенных и подключенных к Интернету устройствах. Так, недавно исследователи из компании Firmalyzer, специализирующейся на защите IoT, обнаружили такие уязвимости в прошивке IP-камер и роутеров, производимых D-Link. Эти устройства предназначены для работы с веб-сервисом mydlink, который предоставляет удаленный доступ к домашней сети, в том числе позволяет из любого местоположения просматривать изображения с видеокамер и файлы, сохраненные в облаке.

D-Link уже выпустила обновленную прошивку, устраняющую проблемы, указанные Firmalyzer. «В настоящее время D-Link производит оценку потенциальной уязвимости других роутеров и камер, — заявил представитель компании в своем комментарии Threatpost. — Дополнительная информация будет опубликована онлайн до конца текущей недели».

По свидетельству Firmalyzer, уязвимость крылась в бинарном коде signalc, включенном, в частности, в прошивку роутера DIR-810L. Как оказалось, этот бинарник играет роль агента управления устройством и используется в ряде mydlink-продуктов. Он устанавливает соединение с серверным контроллером mydlink на порту 443, регистрирует устройство, используя идентификатор mydlink и MAC-адрес, а затем начинает прослушивать команды, подаваемые с серверов D-Link по проприетарному протоколу.

В отчете Firmalyzer, поданном в D-Link, были указаны две проблемы. Во-первых, вместо TLS v1 служба mydlink использует SSLv23_method, что позволяет агенту принимать хэндшейки с использованием SSLv2 или SSLv3. Это открывает возможность для принудительного отката.

Во-вторых, агент не использует API-вызов SSL_CTX_set_verify, диктующий обязательное подтверждение сертификата сервера при выполнении функции обратного вызова. «Это позволяет провести MitM-атаку на SSL с целью перехвата идентификаторов устройства, подаваемых на серверный контроллер mydlink через Интернет, внедрения команд и событий в TLS-соединение, а также компрометации/угона всех доступных роутеров, управляемых через mydlink», — сказано в информационном бюллетене Firmalyzer.

По свидетельству исследователей, они подали в D-Link отчет об уязвимостях 13 апреля. Через десять дней их привлекли к разработке патча, который был в итоге выпущен в минувший понедельник.

Категории: Уязвимости