Неизвестные злоумышленники сканируют Интернет в поисках подключенных ADSL-модемов Orange Livebox. К такому выводу пришли специалисты исследовательской компании Bad Packets, выяснившие, что киберпреступники пытаются использовать известную с 2012 года, но так и не закрытую в устройствах уязвимость.

Баг позволяет неавторизованному мошеннику удаленно получить идентификатор и пароль WiFi-сети, что открывает пути к дальнейшим атакам. По словам экспертов, в Интернете обнаружено более 19 тыс. модемов с таким недостатком.

Впервые о проблемах с безопасностью Orange Livebox упомянул в своем блоге ИБ-специалист Рик Мюррей (Rick Murray). В обзоре модема, опубликованном более шести лет назад, эксперт отмечает, что при обращении к файлу get_getnetworkconf.cgi устройство возвращает данные для доступа к сети Wi-Fi в виде открытого текста. Исследователи из Bad Packets зафиксировали точно такой же GET-запрос через свой ханипот и выяснили, что сканирование выполняется с испанского IP-адреса.

По словам экспертов, обладая идентификатором и секретным ключом WiFi, злоумышленник способен определить физическое расположение беспроводной сети, подключиться к ней и взломать другие устройства, работающие с модемом. Кроме того, на GitHub уже опубликован код эксплойта, который позволяет совершать несанкционированные звонки с телефонной линии, подключенной к Orange Livebox.

Исследователи напоминают, что многие владельцы модемов используют один и тот же пароль для подключения к Wi-Fi и доступа к панели администратора устройства. Пройдя авторизацию на роутере, злоумышленник сможет изменить его параметры, установить на него вредоносный скрипт, а также полностью поменять прошивку. Взломанный Orange Livebox может быть включен в ботнет, применяться для майнинга или использоваться в качестве прокси-сервера.

Команда Bad Packets сообщила о найденном баге в службу поддержки Orange España, которой принадлежит большинство проблемных устройств, а также в координационные центры Orange-CERT и CCN-CERT. Кроме того, исследователи зарегистрировали брешь как CVE-2018-20377 в базе данных известных уязвимостей.

Устаревшие модели домашних роутеров нередко испытывают проблемы с безопасностью. В октябре этого года ИБ-специалист Блажей Адамчик (Błażej Adamczyk) нашел несколько уязвимостей в восьми моделях маршрутизаторов D-Link, шесть из которых уже сняты с производства. Производитель пообещал подготовить патчи лишь для двух все еще выпускаемых устройств, однако не сделал этого в оговоренные сроки.

Категории: Аналитика, Уязвимости