美CIA CherryBlossom項目暴露路由器安全問題

責(zé)任編輯:jackye

作者:Michael Heller

2017-06-27 09:49:31

摘自:TechTarget中國

維基解密最新發(fā)布的CIA黑客工具中包含了CherryBlossom項目,該項目凸顯了路由器的安全問題,包括缺乏固件簽名方面的驗證等?!薄?/p>

維基解密最新發(fā)布的CIA黑客工具中包含了CherryBlossom項目,該項目凸顯了路由器的安全問題,包括缺乏固件簽名方面的驗證等。

泄露的CIA CherryBlossom項目的信息詳細說明了該機構(gòu)可能濫用自定義固件的路由器安全問題。

維基解密發(fā)布了有關(guān)CherryBlossom的信息,據(jù)稱是由中央情報局與斯坦福研究院共同開發(fā)的。維基解密宣稱該項目“專注于損害無線網(wǎng)絡(luò)設(shè)備,如無線路由器和接入點”,以利用和監(jiān)控目標的互聯(lián)網(wǎng)活動。

“這些設(shè)備是中間人(man-in-the-middle,MitM)攻擊的理想場所,因為它們可以很容易地監(jiān)視、控制和操縱連接用戶的internet流量。通過改變用戶和internet服務(wù)之間的數(shù)據(jù)流,受感染的設(shè)備可以將惡意內(nèi)容注入到流中,來利用目標用戶計算機上的應(yīng)用程序或操作系統(tǒng)中的漏洞”,維基解密在一份博客文章中寫道。“無線設(shè)備本身通過在其上植入自定義的CherryBlossom固件而受到損害;某些設(shè)備允許通過無線鏈路升級其固件,因此成功感染時不需要對設(shè)備進行物理訪問。”

固件路由器安全問題

專家指出,CherryBlossom項目所利用的主要問題是大量路由器不驗證固件更新的數(shù)字簽名。

Rendition InfoSec LLC咨詢公司的創(chuàng)始人之一Jake Williams說,比中情局的參與重要的是:“如何獲取數(shù)字簽名的固件能夠防止這種特定的攻擊。”

“如果路由器沒有驗證固件上的數(shù)字簽名,攻擊就很容易,加載自定義惡意固件簡直不值一提”,Williams表示。“大多數(shù)路由器不驗證簽名,您需要購買企業(yè)級產(chǎn)品,大多數(shù)才會在固件更新前進行簽名認證。”

然而,Core Security的安全研究員Bobby Kuzma指出,企業(yè)級設(shè)備可能因不執(zhí)行固件簽名而存在路由器安全問題。

“在企業(yè)級產(chǎn)品方面,大型路由器制造商已經(jīng)提供簽名固件的驗證有一段時間了,問題是默認情況下大部分都沒有啟用,并且要求網(wǎng)絡(luò)管理員在現(xiàn)實中去做一些事情,”Kuzma表示。“思科和瞻博網(wǎng)絡(luò)工具都依賴于MD5哈希算法,MD5被破解為散列算法,其已有幾種已知和可行的技術(shù),用于從不同的二進制內(nèi)容生成相同的散列。”

Fidelis Cybersecurity的威脅系統(tǒng)經(jīng)理John Bambenek表示,如果一個惡意的威脅源可以控制路由器,他們能夠控制一切。

“我可以輕松地將DNS請求重定向到一臺我所控制的服務(wù)器,這意味著我知道您查找的每個域名,我可以通過我控制的設(shè)備重新路由所有流量,這意味著我可以設(shè)置一個竊聽。”Bambenek表示:“我可以將URL和密碼發(fā)送到中央服務(wù)器,實質(zhì)上,它將您的家庭路由器變成一個情報監(jiān)聽站點。”

路由器安全問題遠遠不止固件簽名

Williams指出,加載自定義固件甚至不需要像CherryBlossom項目一樣進行類似的攻擊。

“要安裝固件,他們需要以管理員權(quán)限訪問路由器。如果他們有,他們可以修改上游信息諸如DNS(以及許多型號中的iptables)和在許多沒有任何固件型號上捕獲的流量。如果我控制你的DNS,我可以MitM任何東西”,Williams通過特推表示。“所以需要注意的一點是,通過管理員權(quán)限訪問(中情局所需要這個),沒有CIA級別預(yù)算的攻擊者可以實現(xiàn)大部分相同的目標。”

Kuzma表示,自定義固件允許附加的隱身以及“各種不是標準的有趣功能”。

“通過植入體,您可以靜默重定向流量,在流量路由器時捕獲流量,甚至使用路由器本身作為樞紐點,將命令流量中繼到網(wǎng)絡(luò)中其他地方的植入體,并且不會以以下形式提出懷疑: 日志的遠程訪問”,Kuzma說。

Varonis系統(tǒng)公司現(xiàn)場工程副總裁Ken Spinner表示,路由器安全問題應(yīng)該往往落在那些擁有“先出貨,晚點再升級”心態(tài)的制造商身上,盡管許多人——特別是消費者——永遠不會更新路由器固件。

“這樣的攻擊強調(diào)了外圍將永遠有漏洞——像許多舊有技術(shù)一樣,路由器并沒有考慮到安全性,我們必須更積極地規(guī)劃攻擊者突破了第一線防線以后的辦法:因此需要有及時的安全控制來監(jiān)控和檢測入侵者”,Spinner稱。“如果黑客使用像CherryBlossom這樣的工具來掃描諸如密碼之類的信息,那么您將需要在內(nèi)部進行安全防御,以確保用戶帳戶和對敏感信息的訪問受到監(jiān)控,以便您知道用戶何時開始行為可疑或者有帳戶被盜用。”

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號