Search

Hur kan en hackad hemmarouter ändra en hotmodell?

Hantera de verkliga hoten mot personal som arbetar på distans.

Orange Cyberdefense kommer att delta på RSA-konferensen 2021 och demonstrera sin banbrytande research kring riskerna med säker fjärråtkomst. Vi intervjuade Wicus Ross från Orange Cyberdefense Security Research Center för att ta en titt på de senaste fynden rörande problem med hemmaroutrar och Wi-Fi-anslutningar.

Har hotlandskapet förändrats på grund av COVID-19?

Inte riktigt. Taktiken, tekniken och procedurer som använts av angripare förblev i grunden oförändrade under den undersökta perioden. Vår research visar att nedstängningen, på grund av regeringens åtgärder kring att hantera pandemin, hade en marginell inverkan på attackernas volym och intensitet. I artikeln med titeln “Hidden impact of COVID”, publicerad i vår rapport Security Navigator 2021, noterar vi att angripare svängde snabbt och använde COVID-19 som ett lockbete, men det varade bara en kort stund innan de gick vidare till andra teman.

Vi fann att attacker som riktades mot människor (t.ex. phishing, water holing och bedrägerier) förekom oftare än året före pandemin, men sågs inte oftare på nyheterna under eller på grund av COVID-19 nedstängningen. Vi såg att social-engineering-attacker relaterat till COVID-19 ökade under andra kvartalet 2020 och för att sedan sjunka under tredje kvartalet, medan andra viktiga säkerhetshändelser som involverade ”människan” förblev konstanta under den perioden. För oss är det mest relevant att fokusera på krisens inverkan på systemfaktorerna och det första som vi tänker på är naturligtvis den enorma övergången till distansarbete, som möjliggjorts med olika lösningar för fjärråtkomst.

Vad vi ser är att det finns vissa säkerhetsproblem med hemmaroutrar och WiFi-anslutningar. Även om de i regel inkluderar en viss säkerhet i en grunddesign, behöver de fortfarande uppdateras och konfigureras korrekt, vilket tyvärr inte alltid är fallet.

Vår research visar att en komprometterad hemmarouter ändrar hotmodellen. En hemmarouter, till exempel en Wi-Fi-accesspunkt (AP), eller någon annan IoT-enhet för den delen, är vanligtvis en kraftfull, fullt funktionell Linux-dator som är ansluten till samma LAN som användarens klient och är ”betrodd” av klienten på flera olika sätt. Till exempel kontrollerar eller påverkar hemmaroutern nätverkskonfiguration (IP-adress, router, DNS-inställningar mm), webbinnehåll, konnektivitet och mycket mer. Detta sätter en infekterad eller ouppdaterad router i en mycket kraftfull position i förhållande till klienten.

Hur översätts denna kontroll över inställningar till en förändring av hotmodellen?

Mycket av vår research har att göra med en omformulering av begrepp som verkar uppenbara genom angriparens vy. Till exempel, eftersom AP styr DNS-sökningar kan det påverka var anslutningar från klienten går. Eftersom AP styr routing kan det påverka hur trafik flyter till företagsnätverket och även om det går genom ”fjärråtkomsttunneln” eller inte. Eftersom AP styr åtkomst till internet kan det förhindra att ”fjärråtkomsttunneln” upprättas eller övertyga klienten att den ligger bakom en intern portal. Under de rätta omständigheterna kunde en AP till och med övertyga en klient att starta upp ett helt annat operativsystem, definierat och kontrollerat av en angripare. Och detta är bara några exempel på vad som kan uppstå.

Hur kan en hackad hemmarouter ändra en hotmodell?

Vi skapade följande tre exempel:

  1. Vi kan använda konfiguration av routern, tillhandahållen av APs Dynamic Host Configuration Protocol (DHCP) -tjänst, för att skriva överIP routes som avgör vilken trafik går vart (t.ex. vad som ska gå över lösningen för fjärråtkomst). Vi använder denna teknik för att stjäla referenser från en användares Microsoft Remote Desktop-session.
  2. Vi använder kontrollen som en AP har över DNS för att utföra en så kallad ”responder-attack” för att stjäla Windows-inloggningshash när användaren försöker komma åt en Windows-resurs, som en mappad enhet eller skrivare.
  3. Vi använder AP för att fungera som en ”åtkomstportal” (som den typ du stöter på när du till exempel använder internet från en flygplats). Detta gör att lösningen för fjärråtkomst dyker upp i ett eget proprietärt “webbläsarfönster”. Det låser ut all annan trafik men ska möjliggöra att interagera med ”åtkomstportalen”. I stället för att begära inloggningsuppgifter ber vi användaren att uppdatera sin VPN och sedan används en rad med knep för att ladda ner och köra en ”remote shell”.

Vi måste tillägga att det är sällsynta attackscenarier, men fortfarande verkliga. Men, alla dessa problem minskar när användaren använder en lösning för fjärråtkomst och upprättar en säker anslutning till företagsnätverket.

I vår research använder vi en uppsättning av sex hotscenarier mot sex olika lösningar för fjärråtkomst i olika konfigurationer. Resultaten visar att i ett scenario där angriparen har all kraft av en osäkrad AP, är det bara den mest noggrant konfigurerade lösningen för säker fjärråtkomst som gör någon skillnad. Insikten är enkel: konfigurationen är nyckeln och “standard-läget”, som förekommer i de flesta fall, räcker inte.

Det är viktigt att betona att lösningar för säker fjärråtkomst fungerar och är oumbärlig för att skydda ett nätverk. Men dessa tekniker har gränser, och bra praxis måste även implementeras.

Vad kommer härnäst?

Missa inte vårt tal vid RSA-konferensen 2021 den 19 maj, där vi förmedlar tips på att konkreta actions. Tyvärr kan vi inte ge bort detaljerna om vår research i förväg. Under konferensen släpper vi en lösningsfokuserad guide med riskscenarier och rekommendationer som hjälper dig att prioritera.

Anmäl er till konferensen här:

Läs om fler lösningar för cybersäkerhet

Incident Response Hotline

Facing cyber incidents right now?

Contact our 24/7/365 world wide service incident response hotline.