Больше материалов: Boosty | Sponsr | TG

• Распространённые уязвимости: Значительное

количество уязвимостей, общее число которых
составляет 226, было выявлено в популярных
брендах маршрутизаторов SOHO. Эти уязвимости
различаются по степени серьёзности, но в
совокупности представляют существенную угрозу.
• Устаревшие компоненты: Основные компоненты,
такие как ядро Linux, и дополнительные службы,
такие как VPN, в этих маршрутизаторах устарели.
Это делает их восприимчивыми к известным
эксплойтам уязвимостей, которые уже давно стали
достоянием общественности.
• Небезопасные настройки по умолчанию: Многие
маршрутизаторы поставляются с простыми
паролями по умолчанию и отсутствием шифрования
соединений, чем пользуются злоумышленники.
• Отсутствие security-by-design: Маршрутизаторам
SOHO часто не хватает ряда функций безопасности,
например возможностей автоматического
обновления и отсутствия эксплуатируемых
проблем, особенно в интерфейсах веб-управления.
Аннотация – В документе представлен подробный анализ
угроз, возникающих при использовании небезопасных • Доступность интерфейсов управления:
маршрутизаторов для малого офиса / домашнего офиса Производители часто создают устройства с
(SOHO). Анализ охватывает различные аспекты, включая интерфейсами управления, с доступом через
проблемы безопасности и эксплойты, воздействие на Интернет по умолчанию, часто без уведомления
критическую инфраструктуру. клиентов об этой небезопасной конфигурации.
В документе предлагается качественная сводка текущего • Отсутствие прозрачности и подотчётности:
состояния безопасности маршрутизаторов SOHO, в которой производители не обеспечивают прозрачность
подчёркиваются риски, создаваемые небезопасными путём раскрытия уязвимостей продукта с помощью
устройствами, и шаги, которые можно предпринять для
снижения этих рисков. Анализ полезен специалистам по программы CVE и точной классификации этих
безопасности, производителям и различным отраслям уязвимостей с использованием CWE
промышленности, обеспечивая всестороннее понимание угроз
• Пренебрежение безопасностью в пользу удобства
и руководящих принципов повышения безопасности
маршрутизаторов SOHO. и функциональных возможностей:
Производители отдают предпочтение простоте
I. ВВЕДЕНИЕ использования и широкому спектру функций, а не
безопасности, что приводит к созданию
Эксплуатация небезопасных маршрутизаторов SOHO
маршрутизаторов, которые "недостаточно
злоумышленниками, особенно группами, спонсируемыми
безопасны" прямо из коробки, без учёта
государством, представляет значительную угрозу для
возможности эксплуатации.
отдельных пользователей и критически важной
инфраструктуры. Производителям настоятельно • Небрежность пользователей: Многие
рекомендуется применять принципы security by-design, пользователи, включая ИТ-специалистов, не
privacy-by-design и методы повышения прозрачности для соблюдают базовые правила безопасности, такие
снижения этих рисков, в то время как пользователям и как смена паролей по умолчанию или обновление
безопасникам рекомендуется внедрять передовые методы встроенного программного обеспечения, оставляя
обеспечения безопасности маршрутизаторов и сохранять маршрутизаторы уязвимыми для атак.
бдительность в отношении потенциальных угроз.
• Сложность идентификации уязвимых устройств:
II. ПРОБЛЕМА НЕБЕЗОПАСНЫХ МАРШРУТИЗАТОРОВ SOHO Идентификация конкретных уязвимых устройств
Причины небезопасных маршрутизаторов SOHO является сложной из-за юридических и технических
многогранны, включая как технические уязвимости, так и проблем, усложняющих процесс их устранения.
ошибки производителей в методах безопасного III. СЕКТОРА / ОТРАСЛИ
проектирования и разработки, а также небрежность
пользователей при обеспечении безопасности Эксплуатация небезопасных маршрутизаторов SOHO
маршрутизаторов. представляет серьёзную угрозу во многих секторах, что
подчёркивает необходимость улучшения методов
. обеспечения безопасности.
 Больше материалов: Boosty | Sponsr | TG
A. Коммуникации правительственным сетям, подвергая риску
• Утечки данных и перехват данных: конфиденциальную информацию и критически
небезопасные маршрутизаторы могут привести к важные услуги
несанкционированному доступу к сетевому IV. ОСНОВНЫЕ ВЫВОДЫ ОБ ИСПОЛЬЗУЮЩИХ
трафику, позволяя злоумышленникам НЕБЕЗОПАСНЫЕ МАРШРУТИЗАТОРЫ SOHO
перехватывать конфиденциальные сообщения.
• Эксплуатация группами, спонсируемыми
• Нарушение работы служб: государством: Спонсируемая Китайской Народной
скомпрометированные маршрутизаторы могут Республикой (КНР) Volt Typhoon group активно
использоваться для запуска распределённых атак компрометирует маршрутизаторы SOHO, используя
типа "Отказ в обслуживании" (DDoS), проблемы ПО, который затем используются в
нарушающих работу служб связи. качестве стартовых площадок для дальнейшей
B. Транспорт и Логистика компрометации критически важных объектов
инфраструктуры США.
Уязвимость инфраструктуры: транспортный сектор в
значительной степени полагается на сетевые системы для • Воздействие на критически важную
выполнения операций. Скомпрометированные инфраструктуру: Взломанные маршрутизаторы
маршрутизаторы могут позволить злоумышленникам SOHO представляют серьёзную угрозу, поскольку
нарушить работу систем управления трафиком и они могут использоваться для распространения
логистических операций. внутри сетей и дальнейшего подрыва критически
важных секторов инфраструктуры в США, включая
C. Водоснабжение связь, энергетику, транспорт и водоснабжение.
Операционные технологии (ОТ): небезопасные
маршрутизаторы предоставляют злоумышленникам шлюз • ZuoRAT Campaign: Выявлена ZuoRAT кампания с
для атак на системы ОТ в секторе водоснабжения, что использованием заражённых маршрутизаторов
потенциально влияет на системы очистки и распределения SOHO, где задействован троян, предоставляющий
воды. удалённый доступ и позволяющий сохранять
незаметное присутствие в целевых сетях и для сбора
D. Энергетика конфиденциальную информацию.
Сетевая безопасность: Энергетический сектор,
• Формирована ботнета: скомпрометированные
особенно предприятия электроэнергетики, подвержены
маршрутизаторы могут быть задействованы в
риску целенаправленных атак через небезопасные
ботнетах, крупных сетях заражённых устройств,
маршрутизаторы. Злоумышленники могли получить доступ
используемых для запуска распределённых атак
к системам управления, создавая угрозу стабильности
типа "отказ в обслуживании" (DDoS), кампаний
электросети.
рассылки спама и других вредоносных действий.
E. Другие отрасли
• Атаки типа "MITM": использование уязвимости в
• Здравоохранение: Небезопасные маршрутизаторы маршрутизаторах для перехвата данных,
могут скомпрометировать данные пациентов и проходящих по сети, и манипулирования ими, что
нарушить работу медицинских служб, приводит к утечке данных, краже личных данных и
предоставляя злоумышленникам доступ к сетям шпионажу.
здравоохранения.
A. TTPs
• Розничная торговля и гостиничный бизнес: Эти
• Вредоносное ПО KV Botnet: Volt Typhoon
сектора уязвимы для утечки данных, связанных с
внедрили вредоносное ПО KV Botnet в устаревшие
информацией о клиентах и финансовыми
маршрутизаторы Cisco и NETGEAR SOHO, которые
транзакциями, из-за небезопасных сетевых
больше не поддерживаются исправлениями
устройств.
безопасности или обновлениями ПО.
• Промышленность: Промышленные системы
• Сокрытие источника: совершая действия через
управления могут быть взломаны через
маршрутизаторы SOHO, возможно скрывать
небезопасные маршрутизаторы, что влияет на
происхождение действий из КНР, что усложняет
производственные линии и производственные
обнаружение и атрибуцию атак.
процессы.
• Нацеливание на электронные письма: замечено,
• Образование: Школы и университеты
что Volt Typhoon нацеливались на электронные
подвержены риску утечки данных и сбоев в
письма ключевых сетевых и ИТ-сотрудников, чтобы
предоставлении образовательных услуг.
получить первоначальный доступ к сетям.
• Государственный и общественный сектор:
• Использование мульти прокси-серверов: для C2-
небезопасные маршрутизаторы могут привести к
инфраструктуры участники используют multi-hop
несанкционированному доступу к
 Больше материалов: Boosty | Sponsr | TG
прокси-серверы, обычно состоящие из VPS или последствий сделает устройство уязвимым для
маршрутизаторов SOHO. повторного заражения.
• Методы LOTL: вместо того, чтобы полагаться на C. Общественный и потребительский спрос на
вредоносное ПО для выполнения после безопасность
компрометации, Volt Typhoon использовали В современную цифровую эпоху безопасность сетевых
встроенные инструменты и процессы в системах, устройств стала первостепенной заботой как для населения,
стратегию, известную как LOTL, для закрепления и так и для бизнеса. Такая повышенная осведомлённость
расширения доступа к сетям жертв. обусловлена растущим числом громких кибератак и утечек
B. Воздействие и ответные меры данных, которые подчеркнули уязвимости, присущие
подключённым устройствам. В результате растёт спрос со
• Нарушение работы критически важной стороны потребителей и общественности на то, чтобы
инфраструктуры: Эксплуатация маршрутизаторов производители уделяли приоритетное внимание
представляет значительную угрозу, поскольку безопасности в своих продуктах.
потенциально может нарушить работу основных
служб, предоставляемых секторами критически 1) Факторы, определяющие спрос
важной инфраструктуры. • Повышение осведомлённости о киберугрозах:
Широкая общественность и предприятия становятся
• Федеральный ответ: ФБР и Министерство
все более осведомлёнными о рисках, связанных с
юстиции провели операции по нарушению работы
киберугрозами, включая потенциальные финансовые
ботнета KV путем удаленного удаления
потери, нарушения конфиденциальности и сбои в
вредоносного ПО с заражённых маршрутизаторов и
работе сервисов.
принятия мер по разрыву их соединения с ботнетом.
• Давление со стороны регулирующих органов:
• Компромиссный ответ: Volt Typhoon
Правительства и регулирующие органы по всему
продемонстрировал сложность защиты от
миру внедряют более строгие правила и стандарты
госкампаний кибершпионажа и решающую роль
кибербезопасности, вынуждая производителей
сотрудничества между правительством, частным
улучшать функции безопасности своих продуктов.
сектором и международными партнёрами.
Подчёркивалась необходимость комплексных • Экономические последствия кибератак:
стратегий кибербезопасности, которые включают Экономические последствия кибератак, включая
защиту устройств, обмен информацией об угрозах и стоимость восстановления и влияние на репутацию
информирование общественности. Поскольку бренда, сделали безопасность критически важным
киберугрозы продолжают развиваться, необходимы фактором для покупателей при выборе продуктов.
и коллективные усилия по защите критически
важной инфраструктуры и поддержанию • Взаимосвязанность устройств: Распространение
целостности глобальных сетей. устройств Интернета вещей и взаимосвязанность
цифровых экосистем усилили потенциальное
• Государственно-частное партнёрство: воздействие взломанных устройств, сделав
Компромиссные меры в ответ на Volt Typhoon безопасность приоритетом для обеспечения
предполагали тесное сотрудничество между целостности личных и корпоративных данных.
правительственными учреждениями, включая ФБР
и CISA, и организациями частного сектора. Это 2) Ожидания клиентов
партнёрство способствовало обмену информацией • Встроенные функции безопасности: теперь
об угрозах, техническими индикаторами клиенты ожидают, что устройства будут
компрометации (IoC) и передовыми практиками по поставляться с надёжными встроенными функциями
смягчению последствий. безопасности, которые защищают от широкого
спектра угроз, не требуя обширных технических
• Анализ прошивки и исправление: Производители знаний для настройки.
затронутых маршрутизаторов SOHO были
предупреждены об уязвимостях, используемых • Регулярные обновления системы безопасности:
участниками Volt Typhoon. Были предприняты ожидается, что производители будут предоставлять
усилия по анализу вредоносного ПО, пониманию регулярные и своевременные обновления системы
методов эксплуатации и разработке исправлений безопасности для устранения новых уязвимостей по
для устранения уязвимостей. мере их обнаружения.
• Меры по смягчению последствий: ФБР • Прозрачность: Клиенты требуют от производителей
уведомляет владельцев или операторов прозрачности в отношении безопасности их
маршрутизаторов SOHO, доступ к которым был продуктов, включая чёткую информацию об
получен во время операции «по демонтажу». Меры известных уязвимостях и шагах, предпринимаемых
по смягчению последствий, санкционированные для их устранения.
судом, носят временный характер, и перезапуск
маршрутизатора без надлежащего смягчения
 Больше материалов: Boosty | Sponsr | TG
• Простота использования: Клиенты, требующие • Архитектура безопасности: Разработка надёжной
высокого уровня безопасности, также ожидают, что архитектуры безопасности, включающей
эти функции будут удобными для пользователя и не аппаратные и программные компоненты,
повлияют на функциональность или предназначенные для защиты от известных и
производительность устройства. возникающих угроз
D. Ответственность производителей 2) Реализация в маршрутизаторах SOHO
1) Основные элементы Secure by Design • Автоматические обновления: Реализация
• Безопасность как основополагающее механизмов автоматического обновления
требование: Безопасность следует рассматривать встроенного программного обеспечения для
как основное требование, аналогичное обеспечения того, чтобы на маршрутизаторах всегда
функциональности, удобству использования и работала последняя версия с самыми последними
производительности на этапе всего жизненного исправлениями безопасности. Это снижает
цикла. зависимость от ручного обновления устройств.

• Минимизация поверхностей атаки: Уменьшение • Цифровая подпись: Обеспечение цифровой

количества потенциальных точек атаки внутри подписи обновлений для проверки их подлинности и
системы. Это предполагает ограничение целостности. Это предотвращает установку
функциональности и прав доступа системы только вредоносных обновлений встроенного ПО, которые
тем, что необходимо для ее функционирования, могут скомпрометировать маршрутизатор.
тем самым уменьшая возможности для • Безопасный веб-интерфейс управления:
эксплуатации. Размещение веб-интерфейса управления на портах
• Настройки безопасности по умолчанию: локальной сети и повышение его безопасности для
Продукты должны поставляться с настройками обеспечения безопасного использования при доступе
безопасности по умолчанию, требующими от через Интернет. Это включает в себя внедрение
пользователей сознательного принятия решений по надёжных механизмов аутентификации и
ослаблению безопасности. Это включает надёжные шифрования.
пароли по умолчанию, отключенные ненужные • Контроль доступа: Ограничение доступа к веб-
службы и включенное шифрование. интерфейсу управления маршрутизатором со
• Принцип наименьших привилегий: стороны локальной сети по умолчанию и
Обеспечение работы процессов, пользователей и предоставление опций для безопасного включения
систем с использованием минимального набора удалённого управления при необходимости.
привилегий, необходимого для выполнения их • Надёжные пароли по умолчанию: Поставка
задач. Это ограничивает потенциальный ущерб от маршрутизаторов с надёжными уникальными
эксплойта или взлома. паролями по умолчанию для предотвращения
• Безопасный отказ: проектирование систем, несанкционированного доступа. Рекомендуется
обеспечивающих безопасный отказ в случае пользователям менять эти пароли во время
компрометации. Это означает, что когда система первоначальной настройки.
обнаруживает ошибку или нарушение, она по • Шифрование: Использование шифрования для веб-
умолчанию переходит в состояние, которое интерфейса управления для защиты связи между
минимизирует риск и подверженность. маршрутизатором и пользователем.
• Безопасность через прозрачность: Поощрение • Аутентификация: Реализация механизмов
открытости в отношении разработки и внедрения надёжной аутентификации, включая возможность
функций безопасности, обеспечение многофакторной аутентификации, для обеспечения
общественного контроля и экспертной оценки. доступа к интерфейсу управления маршрутизатором
Такая прозрачность помогает более эффективно
выявлять и устранять уязвимости. • Безопасные настройки по умолчанию:
маршрутизаторы по умолчанию поставляются с
• Privacy by Design: интеграция Privacy by Design безопасными конфигурациями, такими как надёжные
при разработке продукта, обеспечение защиты уникальные пароли, и отключены ненужные службы.
пользовательских данных и ответственного Пользователей следует предостеречь от
обращения с ними. небезопасных конфигураций, если они решат
• Оценка и управление рисками: Проведение переопределить значения по умолчанию.
тщательной оценки рисков для понимания рисков • Раскрытие уязвимостей и исправление:
безопасности, связанных с функциями и Разработка четкой, ответственной политики
возможностями маршрутизатора, и управления раскрытия уязвимостей и своевременное
ими. предоставление исправлений. Это включает в себя
 Больше материалов: Boosty | Sponsr | TG
участие в программе CVE по отслеживанию и с легко угадываемыми паролями по умолчанию и
раскрытию уязвимостей. используют незашифрованные соединения,
которыми могут легко воспользоваться
• Поддержка по окончании срока службы: злоумышленники.
Решающее значение имеет чёткое информирование о
политике по окончании срока службы (EOL) для • Скомпрометированные устройства и данные:
продуктов и предоставление поддержки и После взлома маршрутизатора все устройства,
обновлений на протяжении всего жизненного цикла защищенные его брандмауэром, становятся
продукта. Для устройств, которые больше не уязвимыми, позволяя злоумышленникам
поддерживаются, производителям следует отслеживать, перенаправлять, блокировать или
предоставить рекомендации по безопасной изменять данные.
утилизации или замене.
• Риск для критической инфраструктуры:
3) Последствия для производителей скомпрометированные маршрутизаторы SOHO
• Баланс между безопасностью и удобством могут использоваться для атаки на критическую
использования: Одной из проблем при инфраструктуру США, потенциально нарушая
реализации принципов Secure by Design является работу основных служб в секторах связи, энергетики,
поддержание удобства использования. Меры транспорта и водоснабжения.
безопасности не должны чрезмерно усложнять
• Отказ в обслуживании и перехват трафика:
работу пользователя.
Уязвимости в протоколах могут приводить к атакам
• Финансовые издержки: Разработка безопасных типа "отказ в обслуживании" против служб хоста и
продуктов может повлечь за собой перехвату как внутреннего, так и внешнего трафика.
дополнительные расходы. Однако долгосрочные
• Перехват и кибератаки: Злоумышленники могут
выгоды от снижения риска взломов и атак
перехватывать трафик и запускать дальнейшие
оправдывают эти инвестиции.
сетевые атаки, затрудняя пользователям
• Непрерывное развитие: Обеспечение обнаружение взлома из-за минимальных
безопасности — это не разовое мероприятие, оно пользовательских интерфейсов маршрутизатора.
требует постоянного внимания для адаптации к
• Отсутствие методов обеспечения безопасности:
новым угрозам и уязвимостям.
Исследования показывают, что многие пользователи,
• Укрепление доверия: Уделяя приоритетное включая ИТ-специалистов, не соблюдают базовые
внимание безопасности, производители получают методы обеспечения безопасности, такие как смена
возможность укреплять доверие клиентов, паролей по умолчанию или обновление встроенного
продукцию на конкурентном рынке. программного обеспечения, что делает
маршрутизаторы уязвимыми для атак.
• Глобальная цепочка поставок: Маршрутизаторы
SOHO часто производятся как часть сложной • Потенциал для широкомасштабной
глобальной цепочки поставок. Обеспечение эксплуатации: Само количество уязвимых
безопасности по всей этой цепочке, от устройств, исчисляемое миллионами, указывает на
производителей компонентов до окончательной значительный потенциал для широкомасштабной
сборки, требует координации и соблюдения эксплуатации злоумышленниками.
передовых методов обеспечения безопасности на
• Юридические и технические проблемы:
каждом этапе.
Идентификация конкретных уязвимых устройств
V. ПОСЛЕДСТВИЯ АТАК НА МАРШРУТИЗАТОРЫ является сложной задачей из-за юридических и
технических проблем, что усложняет процесс
• Распространённые уязвимости: Значительное устранения этих уязвимостей.
количество уязвимостей, всего около 226 в
совокупности представляют существенную угрозу • Повышенная осведомлённость, но постоянные
безопасности. риски: несмотря на растущую осведомлённость и
усилия по повышению безопасности
• Устаревшие компоненты: Основные компоненты, маршрутизаторов SOHO, многие известные
такие как ядро Linux, и дополнительные службы, недостатки остаются не устраненными, а
такие как VPN, устарели, что делает их уязвимыми продолжают обнаруживаться новые уязвимости
для известных эксплойтов.
• Пароли по умолчанию и незашифрованные
соединения: Многие маршрутизаторы поставляются