Как убедился The Register, новое исследование, проведенное сотрудниками ИБ-компании Sec Consult, вновь подтвердило небезопасность многочисленных SOHO-роутеров и «умных» гаджетов, доступных из Интернета. Изучив 4 тыс. устройств от 70 производителей, исследователи обнаружили, что многие из них используют одни и те же хост-ключ SSH и серверный SSL-сертификат, причем эти мастер-ключи жестко прописаны в коде прошивки. Завладев ключами к SSH/HTTPS, злоумышленник сможет удаленно управлять сетевым устройством и вести перехват защищенного трафика из позиции «человек посередине».

Корень зла, по мнению исследователей, кроется в бытующей схеме производства сетевых и IoT-устройств. Чип-мейкеры и вендоры SoC-решений (систем на чипе) зачастую предоставляют производителям SDK, чтобы те смогли приспособить встраиваемый контроллер к конкретным нуждам. К сожалению, редко кто потом меняет исходный код, в котором прописаны пробные ключи и сертификаты. В итоге потребительские гаджеты, реализованные по модели White Label (партнерство в рамках единого OEM-бренда), запускаются в плавание с логином во флеш-ПЗУ и ключами, доступными всем, кто знает, как извлекать данные.

«Особо нас интересовали источники этих ключей, — признаются исследователи. — Некоторые ключи были вшиты лишь в один продукт или в несколько продуктов одной линейки. Были также случаи, когда ключи повторялись в продуктах разных вендоров». Несколько примеров из отчета Sec Consult, приведенные репортером The Register, особенно показательны:

  • сертификат, выданный Broadcom, найден в прошивках производства Actiontec, Aztech, Comtrend, Innatech, Linksys, Smart RG, Zhone и ZyXEL; все прошивки созданы с использованием SDK Broadcom; сканирование Сети выявило более 480 тыс. устройств с этим сертификатом;
  • сертификат, выданный индийскому вендору Multitech, обнаружен в прошивках Aztech, Bewan, Observa Telecom, NetComm Wireless, Zhone, ZTE и ZyXEL; предполагаемый виновник — SDK, предоставляемый Texas Instruments для производства роутеров стандарта ADSL2+; данный сертификат используют свыше 300 тыс. интернет-устройств, как и SSH-ключ, также ассоциируемый с этим SDK;
  • сертификат, изданный как пробный для реализаций MatrixSSL, найден в шлюзах WiMAX производства Green Packet, Huawei, Seowon Intech, ZTE и ZyXEL; все эти устройства используют один и тот же базовый код, предположительно разработанный ZyXEL; сертификат присутствует не менее чем в 80 тыс. устройств, доступных из Сети.

В целом по выборке Sec Consult обнаружила порядка 580 вшитых приватных ключей, из них не менее 230 (150 SSL и 80 SSH) используются в дикой природе. Сканирование Сети выявило свыше 4 млн уязвимых устройств — шлюзов беспроводной широкополосной связи, сетевых маршрутизаторов, разнообразных IP-девайсов. Страновой антирейтинг по этому показателю возглавили США (26,27% уязвимых HTTPS/SSH-хостов) и Мексика (16,52%), Россия заняла в непочетном списке восьмое место (2,36%).

«Еще один аспект нашей истории — большое количество устройств, напрямую доступных из Интернета, — подчеркивают исследователи. — Достаточно взглянуть на цифры, чтобы заключить: маловероятно, чтобы все эти устройства были намеренно открыты для внешнего доступа (удаленного управления через HTTPS/SSH с использованием IP WAN). Активация удаленного управления создает дополнительную площадь атаки и позволяет злоумышленнику эксплуатировать уязвимости в прошивке устройства, а также угадывать слабые пароли, заданные пользователем».

Заручившись поддержкой координационного центра CERT института программной инженерии при университете Карнеги — Меллона, Sec Consult с начала августа пытается решить обнаруженную проблему. «CERT/CC приложил много усилий для информирования вендоров уязвимых устройств, производителей чипсетов и затронутых интернет-провайдеров, — отмечают исследователи. — Некоторые вендоры отозвались и уже готовят фиксы. CERT/CC также поставил в известность ведущих вендоров браузеров. Данная уязвимость занесена в базу CERT/CC как VU#566724, ей также были присвоены несколько CVE-идентификаторов».

В заключение SEC Consult призвала вендоров сетевых устройств предусмотреть возможность создания надежных криптоключей на основе случайной выборки, задаваемых по умолчанию или генерируемых при первом запуске. Интернет-провайдерам рекомендуется незамедлительно обезопасить особо критичное оборудование, создав для этих устройств виртуальную локальную сеть со строгим контролем. В ожидании патчей от вендоров умелые пользователи могут попробовать вручную заменить SSL-сертификат или SSH-ключ уникальным вариантом.

Категории: Аналитика, Уязвимости