Немецкий институт коммуникаций Фраунгофера (FKIE) изучил 127 домашних маршрутизаторов от семи производителей, чтобы проверить наличие известных уязвимостей безопасности в последней прошивке. Результаты ужасны.

Исследование показало, что 46 маршрутизаторов не получили ни одного обновления безопасности в течение прошлого года, а во многих маршрутизаторах сотни известных уязвимостей, в том числе десятки критических.

Авторы исследования обнаружили, что производители часто поставляют обновления прошивки без исправления уязвимостей. Это означает, что даже если потребитель установит последнюю версию встроенного программного обеспечения от поставщика, маршрутизатор всё равно будет уязвим.

Институт FKIE оценил, что лучше справляются с некоторыми аспектами защиты ASUS и Netgear, а среди аутсайдеров D-Link, Linksys, TP-Link и Zyxel, но всё равно отрасли в целом нужно прилагать гораздо больше усилий для защиты домашних маршрутизаторов.

Немецкий производитель маршрутизаторов AVM оказался единственным, кто не закодировал секретные криптографические ключи в своей прошивке. Маршрутизатор Netgear R6800 содержит 13 приватных ключей.

В худших случаях маршрутизаторы не обновлялись более пяти лет.

Около 90% маршрутизаторов в исследовании использовали операционную систему Linux. Однако производители не обновляли ОС с помощью исправлений, доступных от мейнтейнеров ядра Linux.

«Linux постоянно работает над устранением уязвимостей в своей операционной системе и разработкой новых функциональных возможностей. На самом деле производителям оставалось только установить новейшее программное обеспечение, но они не интегрировали его в должной степени, — говорит Йоханнес вом Дорп (Johannes vom Dorp), учёный из отдела киберанализа и защиты FKIE. — На многих маршрутизаторах стоят пароли, которые либо хорошо известны, либо просты для взлома, либо у них есть жёстко закодированные учётные данные, которые пользователи не могут изменить». Хуже всех проявил себя Netgear RAX40, для которого подходят три учётных записи:

• root:amazon
• nobody:password
• admin:password

Исследование было нацелено на пять ключевых сигналов в образах прошивок, чтобы оценить подход каждого производителя к кибербезопасности:

• сколько дней прошло с момента последнего обновления прошивки;
• сколько лет версиям ОС, на которых работает маршрутизатор;
• использование методов смягчения эксплоитов;
• присутствуют ли в микропрограмме приватные ключи;
• наличие жёстко закодированных учётных данных для входа.

Cколько дней прошло с момента последнего обновления прошивки

Операционные системы

FKIE пришёл к выводу, что производители маршрутизаторов значительно отстают в доставке обновлений безопасности по сравнению с производителями операционных систем.

Полученные результаты подтверждают выводы исследования, проведённого в США в 2018 году Американским институтом потребителей (ACI). Он проанализировал 186 небольших офисных/домашних офисных Wi-Fi-маршрутизаторов от 14 различных поставщиков и обнаружил, что 155, то есть 83% прошивок, имели уязвимости к потенциальным кибератакам, и что у каждого маршрутизатора было в среднем по 172 уязвимости.

ACI критиковал производителей маршрутизаторов за то, что они не предоставляют механизм автоматического обновления для маршрутизаторов. Часто обновления производятся только после громких атак на маршрутизаторы, таких как Mirai и VPNFilter.

Что касается смягчения эксплоитов, есть один пример. Недавно один исследователь обнаружил, что у 79 моделей маршрутизаторов Netgear есть баг с удалённым управлением, при этом веб-панель администрирования никогда не применяет метод смягчения эксплоитов ASLR (рандомизация распределения адресного пространства), снижая планку сложности для злоумышленников, чтобы захватить управление устройством.

Немецкое исследование показало, что более трети устройств используют ядро Linux версии 2.6.36 или старше, причём последнее обновление безопасности для 2.6.36 было предоставлено в феврале 2011 года. Он также нашел маршрутизатор Linksys WRT54GL, работающий на ядре Linux версии 2.4.20, которая была выпущена в 2002 году.

«Худшим случаем в отношении серьёзных уязвимостей является Linksys WRT54GL, работающий на самом старом ядре, найденном в нашем исследовании, — отмечается в докладе. — У него 579 серьёзных уязвимостей». Число критических уязвимостей измеряется десятками.