Heikosti ylläpidetyt kotireitittimet ovat verkkorikollisten kohteena - osa 2

Tietoturvattomasti konfiguroiduissa kotireitittimissä on internetiin auki olevia palveluita, jotka mahdollistavat esimerkiksi laitteiden hyödyntämisen osana palvelunestohyökkäystä.

Kotireitittimien tietoturvaa koskevan artikkelin toisessa osassa tarkastellaan kotireitittimissä käytössä olevia tietoliikenneprotokollia, joiden avulla huonosti suojatun laitteen voi valjastaa palvelunestohyökkäykseen murtautumatta laitteeseen.

Kotireitittimissä on usein ominaisuuksia, joita tyypilliset käyttäjät eivät yleensä tarvitse. Joissain tapauksissa nämä ominaisuudet ovat oletuksena päällä ja niiden käyttämät tietoliikenneportit ovat avoinna myös internetiin. Esimerkiksi oletussalasana ja internetistä mahdollistettu etähallinta voivat mahdollistaa kotireitittimeen murtautumisen, kuten tämän artikkelin ensimmäisessä osassa kerrottiin.

Lisäksi monissa kotireittimissä on käytössä verkkolaitteiden valvontaan ja ylläpitoon käytetty SNMP-protokolla (Simple Network Management Protocol) oletuksena ja avoinna internetiin. Tällöin kotireititintä voidaan käyttää hajautettujen palvelunestohyökkäysten (distributed denial of service) osana siten, että hyökkäysliikenne peilataan niiden kautta varsinaiseen kohteeseen.

Kannattaa huomioida, että kotireitittimien lisäksi myös muissa verkkolaitteissa, kuten kytkimissä, tulostimissa, videokonferenssijärjestelmissä ja rakennus- ja kotiautomaatiolaitteissa voi olla internetiin avoin SNMP-palvelu, jota voidaan hyödyntää palvelunestohyökkäyksissä.


Näin palvelunestohyökkäys kotireitittimillä toimii

  1. Hyökkääjä hankkii käyttöönsä bottiverkon.
    • Palvelunestohyökkäykseen käytettäviä bottiverkkoja on vuokralla laittomiin tarkoituksiin.
  2. Bottiverkon ohjaaja komentaa bottiverkon koneita tekemään palvelunestohyökkäykseen haluttuun kohteeseen.
    • Botit ovat tietokoneita, kotireitittimiä tai muita internetiin kytkettyjä laitteita, jotka ovat puutteellisen suojauksen vuoksi saastuneet haittaohjelmalla.
  3. Botit etsivät verkosta kotireitittimiä, joissa SNMP on auki internetiin ja lähettävät niille pienikokoisen SNMP-kyselyn, jossa lähdeosoitteeksi on väärennetty uhrin IP-osoite.
    • Joissain verkoissa verkon reunalla oleva reititin tai palomuuri ei tarkista, onko lähtevän liikenteen osoite väärennetty, mikä mahdollistaa tämäntyyppiset hyökkäykset.
  4. Kotireitittimet vastaavat SNMP-kyselyyn lähettämällä vastauksen uhrin IP-osoitteeseen.
    • Vastauksen koko on moninkertainen lähetettyyn kyselyyn nähden, joten bottiverkon lähettämä liikenne moninkertaistuu ja uhrin vastaanottama liikennemäärä on suuri. Tästä käytetään termiä amplification attack.

Sama ongelma koskee myös muita laajasti käytössä olevia tietoliikenneprotokollia, mikä johtuu näitä kuljettavan UDP-protokollan (User Datagram Protocol) ominaisuuksista. UDP on yhteydetön protokolla, eli liikenteen lähettämiseksi ja vastaanottamiseksi osapuolien ei ensin tarvitse neuvotella esimerkiksi käytetyistä parametreista. Vastaanottaja ei myöskään tarkista, onko lähettäjän IP-osoite aito vai väärennetty. Tämä mahdollistaa useiden UDP-pohjaisten protokollien hyväksikäyttämisen hajautettuihin palvelunestohyökkäyksiin ja liikenteen moninkertaistamiseen peilaamalla liikenne muiden laitteiden kautta.

Kotireitittimissä tyypillisiä palvelunestohyökkäyksen mahdollistavia protokollia ovat huonosti konfiguroituna:
  • SNMPv2, jonka avulla hyökkäysliikenne kuusinkertaistuu
  • UPnP-protokollaan liittyttyvä SSDP (Simple Service Discovery Protocol), jonka avulla hyökkäysliikenne 30-kertaistuu
  • DNS (Domain Name System), jos laite toimii DNS-kyselyt välittävänä palvelimena, jolloin peilatun liikenteen määrä on jopa 50-kertainen, ja
  • NTP (Network Time Protocol), jos laite toimii NTP-palvelimena, jolloin peilatun liikenteen määrä on yli 500-kertainen.

Lisätietoa UDP-pohjaisista amplifikaatiohyökkäyksistä on US-CERT:n varoituksessa.


Yleisimmät kotireitittimet, joissa on avoin SNMP

Kyberturvallisuuskeskuksen havaintojen mukaan alla mainitut laitteet ovat yleisimpiä Suomessa havaittuja laitteita, joissa SNMP-palvelu näkyy avoimena julkiseen Internetiin. Näitä laitteita voidaan hyödyntää palvelunestohyökkäyksen vahvistimena.
  1. A-Link RR24AP-N
  2. Apple AirPort 2012 vuoden malleihin asti (kun laite on kytketty internetiin ilman palomuuria tai muuta suojausta)
  3. Zyxel 660RU-T1
  4. Zyxel VMG1312-B
  5. PacketFront DRG 586
  6. D-Link DSL 320B
  7. Netgear R6100
  8. TP-Link TD-W8901G
  9. Zyxel 2302HW
  10. Inteno XG6746

Tarkista laitteen käyttöohjeesta tai kysy neuvoa esimerkiksi laitteen tai internet-operaattorisi asiakaspalvelusta, kuinka SNMP otetaan pois käytöstä. Jos laitteesta ei ole mahdollista kytkeä SNMP-ominaisuutta pois, sama tulos voidaan saavuttaa käyttämällä port forwarding -ominaisuutta. Tällöin porttiin 161 tulevat SNMP-kyselyt ohjataan johonkin sisäverkon IP-osoitteeseen, jota yksikään laite ei käytä. Samalla kannattaa tarkistaa muutkin ominaisuudet, joita et tarvitse.

Lisätietoa


Taustatietoa kotireitittimen konfigurointiin

  • DDoS: Distributed Denial of Service. Hajautettu palvelunestohyökkäys. Hyökkäysliikenne tulee useasta eri lähteestä.
  • DNS: Domain Name System. Nimipalvelu, jonka avulla verkkotunnus (esim. kyberturvallisuuskeskus.fi) voidaan muuttaa IP-osoitteeksi. Kotireitittimet tarvitsevat jonkin nimipalvelinosoitteen, mutta kotireitittimen ei ole välttämätöntä toimia nimipalvelina itse.
  • NetBIOS: Network Basic Input Output System. Lähiverkon palveluiden toteuttamiseen käytetty ohjelmarajapinta. Ominaisuudelle ei yleensä ole tarvetta internetin suuntaan.
  • NTP: Network Time Protocol. Internetissä kellonajan synkronointiin tarkoitettu protokolla. Kotireitittimen tai muiden laitteiden ei tulisi toimia NTP-palvelimena siten, että kyselyt ovat mahdollisia internetistä.
  • mDNS: Multicast Domain Name System. Nimipalveluprotokolla verkkoihin, joissa ei ole omaa nimipalvelinta. Ominaisuutta voi tarvita lähiverkossa, jossa käytetään tietynlaisia verkkotallennusleyvyjä tai verkkotulostimia. Ominaisuuden ei tule olla avoinna internetiin.
  • Protokolla: Yhteyskäytäntö, joka määrittää laitteiden tai ohjelmien välisen viestimisen. Tietoliikenneprotokollassa määritetään mm. käytettävät tietoliikenneportit, yhteyden avaus- ja sulkemiskäytännöt sekä mahdollisesti neuvoteltavat parametrit.
  • RIPv1: Routing Information Protocol version 1. Vanhempi reititysprotokolla. Kyseistä ominaisuutta ei tarvitse tavallisissa kotireitittimen käyttötarkoituksissa eikä sen tulisi olla auki internetiin.
  • SSDP: Simple Service Discovery. Tietoliikenneprotokolla, joka mahdollistaa laitteiden ja palveluiden etsimisen lähiverkosta. SSDP:n ei tulisi olla avoinna internetiin. SSDP liittyy läheisesti UPnP:n käyttöön, joten ominaisuus voi löytyä joistain kotireitittimistä nimellä UPnP.
  • SNMPv2: Simple Network Management Protocol version 2. Verkkolaitteiden hallintaan ja valvontaan käytetty protokolla, esimerkiksi tilanteisiin, joissa halutaan valvoa palvelimien tai tärkeiden verkkolaitteiden muistinkulutusta, kuormitusta ja toimintaa. Ominaisuutta ei yleensä tarvitse kotireitittimissä eikä ominaisuuden tule olla auki internetiin.
  • UDP: User Datagram Protocol. Tietoliikenneprotokolla, joka ei vaadi yhteyden avausta tietokoneiden välillä ennen liikenteen lähettämistä. Vaihtoehtoinen UDP:lle on yhteydellinen TCP (Transmission Control Protocol).
  • UPnP: Universal Plug and Play. Joukko protokollia, jotka tekevät mahdolliseksi sen, että laitteet voivat löytää toisensa lähiverkossa ja jakaa esimerkiksi mediatiedostoja keskenään. UPnP voi olla tarpeen lähiverkon puolella, jos käytetään esimerkiksi verkkotallennuslevyä tai mediapalvelinta, jolta voidaan suoratoistaa musiikkia tai videoita muihin kodin laitteisiin. Ominaisuuden ei tule olla avoinna internetiin.

Päivityshistoria

Asiasanat: Tietoturva , Kyberturvallisuus , Palvelunestohyökkäys , Verkkolaite , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248