Már megint a TP-Link routerekkel van gond

Matek Kamilló KPMGEgy magas és egy közepes besorolású sérülékenységet talált a kínai TP-Link egyik ma is kapható routerében — állítja Matek Kamilló, a KPMG CyberLab csoportjának vezetője, etikus hekker.

A magas szintű sérülékenységre a TP-Link már el is készítette a javítást, a közepesre azonban nem, mivel ahhoz a hekkernek fizikai hozzáférésre van szüksége. A Matek szerint a routerek piacán átfogó biztonsági szabályozásra lenne szükség, mert minimális biztonsági követelményeknek sem felelnek meg. „Sokat hallunk még a jövőben a routerek sérülékenységéről, különösen az olcsó, ázsiai eszközökről, mert az alacsony ár és könnyű felhasználhatóság érdekében a gyártók az elemi biztonsági szabályok betartásától is eltekintenek” – véli Matek.

A KPMG CyberLab csoportjának vezetője, etikus hekker az elmúlt időszakban több TP-link routert vizsgált meg, és mindegyiken talált biztonsági sérülékenységet. Legutóbb a TP-Link ma is kapható, népszerű TP-Link TLWR840N EU v6.20 routerét vette szemügyre, és abban egy magas, illetve egy közepes besorolású sérülékenységet fedezett fel. Az egyik sérülékenység azért került magas besorolásba, mert távolról is lehetővé teszi a hekker számára, hogy admin jogokat szerezzen a routeren, amivel hozzáférhet a felhasználó valamennyi adatához, beleértve a videóhívásokat, a levelezést és a többi kommunikációs csatornát, valamint a könyvtárakhoz, fájlokhoz is. A TP-link – elfogadva az etikus hekker bejelentését és az úgynevezett Proof of Concept-et – máris javítást adott ki a hibához, amely innen letölthető.

A GDPR okán a kínai gyártó az Európába szállított router típusba bizonyos pontokon titkosítási funkciót telepített, amelynek következményeként a most felfedett sérülékenység tulajdonképpen bújtatva volt. A sérülékenység lényege, hogy a jelszó megadásánál a jelszó hosszát a rendszer nem ellenőrzi, így a sérülékenységet kihasználva a támadó kódot juttathat a rendszerbe. Ezt a kódot a rendszer gondosan titkosítja, visszafejti, végül lefuttatja, így a hekker hozzáférést szerezhet a routeren, vagyis lényegében az eszköz és annak perifériái, vagyis a kiszolgált informatikai eszközök felett. A támadók a sérülékenységet kihasználva úgynevezett botnet hálózatot is létre tudnak hozni, azaz a megfertőzött routereket tömegesen koordinálva további – például túlterheléses – támadásokat hajthatnak végre más informatikai rendszerek ellen.

A közepes sérülékenységre hasonló javítás kiadása nem várható, mert a router feletti ellenőrzés átvételéhez szükség van a hekker fizikai hozzáférésére. „Ettől függetlenül szükség lehet a routerek időszakos ellenőrzésére, mert Magyarországon számos kisvállalat és más intézmény is használ ilyen olcsó routereket, amiket azután könnyen hozzáférhető közösségi terekben helyeznek el” – mondja a KPMG CyberLab csoportjának vezetője. Ebben az esetben a router diagnosztikai modulja (UART) volt a gyenge pont, amibe akár néhány irodai gémkapcsot bedugva, végükre pedig egy megfelelő eszközt csatlakoztatva korlátlan rendszergazdai jogosultság szerezhető.

A KPMG etikus hekkere szerint kizárólag a hekkerek munkakapacitása szab gátat az efféle sérülékenységek kihasználásának. Neki pár munkanapba került a magas besorolású sérülékenység megtalálása, de az efféle hibák feltárásának megtérülési rátája rossz kezekben akár nagyon nagy is lehet. Márpedig ilyen hibák gyakran előfordulnak, főképp az olcsóbb és egyszerűbben telepíthető piaci szegmensben, mert a biztonság alapértelmezésben mindig a termék felhasználóbarát mivoltának kárára válik, és költségnövekedést okoz a gyártónál (tesztek, vizsgálatok, újabb tesztek, újabb vizsgálatok…)

„Éppen ezért szükség lenne valamiféle bemeneti szabályozásra a piacon, azaz annak körülírására, hogy milyen biztonsági követelményekkel rendelkező eszközök hozhatók egyáltalán forgalomba” – mondja a CyberLab vezetője. „Sajnos a dolgok természete miatt az ilyen szabályozások általában akkor kerülnek napirendre, amikor olyan hiba kerül napvilágra, amely a felhasználók nagy tömegét érinti, és a rossz oldal nagy kárt okoz vele. Jobb lenne ezt megelőzni.” – tette hozzá Matek.


Vélemény, hozzászólás?

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük

Next Post

A Delta Systems jó félmilliárdos honvédelmi közbeszerzést nyert el

pén jún 10 , 2022
A Delta Technologies Nyrt. leányvállalata, a Delta Systems Kft. által vezetett konzorciumok nyerték a Honvédelmi Minisztérium több mint félmilliárd forintos informatikai közbeszerzését. Az „MH Katonai Kibertér Műveleti képesség munkakörnyezetének megvalósítása – informatikai eszközök beszerzése – Szerverek és szolgáltatások”, valamint az „MH Katonai Kibertér Műveleti képesség munkakörnyezetének megvalósítása – informatikai eszközök […]
katona informatika

És még ez is...