Các nhà nghiên cứu bảo mật từ Thanh tra IoT đã hợp tác với Tạp chí CHIP để kiểm tra chín trong số các bộ định tuyến Wi-Fi gia đình phổ biến nhất để tìm cách khai thác và lỗ hổng bảo mật. Kết quả thật đáng kinh ngạc — các bộ định tuyến này không chỉ được bảo mật kém mà còn bị các lỗ hổng bảo mật mà các nhà nghiên cứu bảo mật đã xác định lần đầu tiên cách đây vài tháng hoặc nhiều năm.
Các bộ định tuyến được kiểm tra bởi Thanh tra IoT và CHIP đến từ ASUS, AVM, D-Link, Edimax, Linksys, Netgear, Synology và TP-Link. Tất cả chúng đều chạy phiên bản phần mềm cơ sở mới nhất của nhà sản xuất và rất có thể các lỗ hổng được tìm thấy trong các bộ định tuyến này tồn tại trong các mẫu khác của cùng thương hiệu.
Dưới đây là kết quả chi tiết của Thanh tra IoT và Tạp chí CHIP, bao gồm một số tin tốt chứng minh tầm quan trọng của loại nghiên cứu này.
Thanh tra IoT và Phát hiện của Tạp chí CHIP
Trước khi chúng tôi tìm hiểu tất cả các sai sót khủng khiếp trong các bộ định tuyến phổ biến này, tôi cần dành một chút thời gian và giải thích cách Thanh tra IoT chạy các thử nghiệm này. Hãy xem, Thanh tra IoT là một công ty phần mềm bán công cụ phân tích bảo mật tự động cho bộ định tuyến và các thiết bị được kết nối khác.
Thanh tra IoT đã chạy chương trình cơ sở của từng bộ định tuyến thông qua công cụ tự động này để kiểm tra 5000 CVE và các vấn đề bảo mật khác. Đây là những gì nó tìm thấy:
Dưới đây là kết quả của các bài kiểm tra của Thanh tra IoT và CHIP:
- Chín bộ định tuyến mắc phải tổng cộng 226 lỗi.
- Archer AX6000 của TP-Link là lỗi lớn nhất, mắc phải 32 lỗi bảo mật.
- RT-2600ac của Synology đứng thứ hai, có 30 lỗi bảo mật.
- Phần lớn các lỗi bảo mật được xác định có nguy cơ “cao” hoặc “trung bình”.
- Mọi bộ định tuyến được thử nghiệm đều gặp phải một lỗ hổng đã biết chưa được vá.
Mặc dù các nhà nghiên cứu không chia sẻ nhiều thông tin chi tiết về các lỗi và lỗi bảo mật này, nhưng họ làm công bố lỗ hổng nghiêm trọng được tìm thấy trong bộ định tuyến DIR-X460 của D-Link. Đây là sơ lược của nó — Thanh tra IoT đã tìm ra cách gửi các bản cập nhật phần sụn độc hại tới DIR-X460 của D-Link bằng cách trích xuất khóa mã hóa của nó.
Ngoài ra, Thanh tra IoT và CHIP đã công bố một số lỗi phổ biến nhất được tìm thấy trong chín bộ định tuyến sau:
- Mật khẩu mặc định yếu, chẳng hạn như “quản trị viên”.
- Thông tin xác thực được mã hóa cứng trong văn bản đau đớn — bạn biết đấy, dữ liệu không được mã hóa.
- Nhân Linux lỗi thời trong phần sụn bộ định tuyến.
- Chức năng đa phương tiện và VPN đã lỗi thời, có thể bị khai thác.
- Sử dụng các phiên bản cũ của BusyBox.
Hãy ghi nhớ rằng bất cứ ai có thể chạy các bài kiểm tra này, bao gồm cả các nhà sản xuất bộ định tuyến. Rõ ràng, chín thương hiệu được kiểm tra ở đây không dành thời gian để bảo đảm đúng cách cho sản phẩm của họ.
Tin tốt lành: Các nhà sản xuất đang giải quyết vấn đề
Theo Tạp chí CHIP, mỗi nhà sản xuất trong số 9 nhà sản xuất bộ định tuyến đã phản hồi với các bài kiểm tra này và đưa ra các bản cập nhật phần sụn để giải quyết các lỗ hổng trong sản phẩm của họ. Hầu hết các bản sửa lỗi này là dành cho các lỗ hổng “rủi ro thấp”, nhưng đó là một khởi đầu tốt.
Dưới đây là các hành động của từng nhà sản xuất sau cuộc điều tra này. Note rằng những gạch đầu dòng này được dịch từ báo cáo của CHIP, bằng tiếng Đức.
- ASUS: ASUS đã kiểm tra những phát hiện của chúng tôi và đưa ra câu trả lời chi tiết cho chúng tôi. ASUS đã vá BusyBox lỗi thời và hiện đã có bản cập nhật cho “curl” và máy chủ web. Các vấn đề về mật khẩu mà chúng tôi đã cảnh báo là các tệp tạm thời mà quá trình sẽ xóa khi nó kết thúc. Họ không phải là một rủi ro.
- D-Link: D-Link cảm ơn chúng tôi về mẹo này và đã xuất bản bản cập nhật chương trình cơ sở để khắc phục các sự cố được đề cập.
- Edimax: Edimax đã không nỗ lực quá nhiều trong việc kiểm tra những vấn đề này nhưng đã xuất bản một bản cập nhật để khắc phục một số vấn đề.
- Linksys: Linksys sẽ giải quyết tất cả các vấn đề được phân loại là “cao” và “trung bình” Nó sẽ tránh các mật khẩu mặc định trong tương lai và đã phát hành bản cập nhật chương trình cơ sở cho mọi vấn đề còn lại.
- Netgear: Nhóm làm việc tại Netgear đã làm việc chăm chỉ và xem xét tất cả các vấn đề. Netgear tin rằng một số lỗ hổng “rủi ro cao” của nó không phải là vấn đề lớn. Nó đã đẩy một bản cập nhật cho DNSmasq và iPerf, mặc dù các vấn đề khác nên được giải quyết trước.
- Synology: Synology đang giải quyết các vấn đề mà chúng tôi tìm thấy với bản cập nhật cho nhân Linux. BusyBox và PHP sẽ được cập nhật và Synology sẽ xóa các chứng chỉ của nó. Thật hài hước, tất cả các thiết bị Synology đều được hưởng lợi từ bản cập nhật này.
- TP-Link: Cập nhật BusyBox, CURL và DNSmasq đã loại bỏ nhiều vấn đề của TP-Link. Nó vẫn cần một nhân mới, nhưng TP-Link có hơn 50 bản sửa lỗi được lên kế hoạch cho phần sụn của nó.
Nói rõ hơn, Thanh tra IoT chưa kiểm tra xem các bản vá này có hoạt động hay không. Và ngay cả khi họ làm hoạt động, các bộ định tuyến này vẫn dễ bị khai thác (và có thể là không xác định).
Những gì bạn nên làm?
Cho dù bạn có sử dụng một trong các bộ định tuyến bị ảnh hưởng hay không, tôi khuyên bạn nên cập nhật chương trình cơ sở của bộ định tuyến theo cách thủ công và bật cập nhật tự động (nếu chúng chưa được bật). Làm như vậy để đảm bảo rằng bộ định tuyến của bạn an toàn trước những lần khai thác mới nhất — hoặc ít nhất là những lỗi mà nhà sản xuất quyết định khắc phục.
Bạn cũng nên đặt mật khẩu Wi-Fi an toàn và tắt các tính năng như WPS (Wi-Fi Protected Setup) và UPnP (Universal Plug and Play), mở mạng của bạn trước phần mềm độc hại và thường xuyên bị FBI chỉ trích vì nhiều lỗi bảo mật.
Và nếu bạn đang sử dụng một bộ định tuyến cực kỳ cũ (hoặc thiết bị NAS), bạn nên nghiêm túc xem xét nâng cấp. Phần cứng mạng cũ thường chứa đầy các lỗ hổng đã biết mà các nhà sản xuất không quan tâm đến việc vá lỗi.
Để biết thêm thông tin về cách bảo vệ bộ định tuyến của bạn, hãy xem hướng dẫn chi tiết của chúng tôi tại Làm thế nào để Geek.
Nguồn: Thanh tra IoT, Tạp chí CHIP qua Bleeping Computer
