维基解密最新发布的CIA黑客工具中包含了CherryBlossom项目,该项目凸显了路由器的安全问题,包括缺乏固件签名方面的验证等。
泄露的CIA CherryBlossom项目的信息详细说明了该机构可能滥用自定义固件的路由器安全问题。
维基解密发布了有关CherryBlossom的信息,据称是由中央情报局与斯坦福研究院共同开发的。维基解密宣称该项目“专注于损害无线网络设备,如无线路由器和接入点”,以利用和监控目标的互联网活动。
“这些设备是中间人(man-in-the-middle,MitM)攻击的理想场所,因为它们可以很容易地监视、控制和操纵连接用户的internet流量。通过改变用户和internet服务之间的数据流,受感染的设备可以将恶意内容注入到流中,来利用目标用户计算机上的应用程序或操作系统中的漏洞”,维基解密在一份博客文章中写道。“无线设备本身通过在其上植入自定义的CherryBlossom固件而受到损害;某些设备允许通过无线链路升级其固件,因此成功感染时不需要对设备进行物理访问。”
固件路由器安全问题
专家指出,CherryBlossom项目所利用的主要问题是大量路由器不验证固件更新的数字签名。
Rendition InfoSec LLC咨询公司的创始人之一Jake Williams说,比中情局的参与重要的是:“如何获取数字签名的固件能够防止这种特定的攻击。”
“如果路由器没有验证固件上的数字签名,攻击就很容易,加载自定义恶意固件简直不值一提”,Williams表示。“大多数路由器不验证签名,您需要购买企业级产品,大多数才会在固件更新前进行签名认证。”
然而,Core Security的安全研究员Bobby Kuzma指出,企业级设备可能因不执行固件签名而存在路由器安全问题。
“在企业级产品方面,大型路由器制造商已经提供签名固件的验证有一段时间了,问题是默认情况下大部分都没有启用,并且要求网络管理员在现实中去做一些事情,”Kuzma表示。“思科和瞻博网络工具都依赖于MD5哈希算法,MD5被破解为散列算法,其已有几种已知和可行的技术,用于从不同的二进制内容生成相同的散列。”
Fidelis Cybersecurity的威胁系统经理John Bambenek表示,如果一个恶意的威胁源可以控制路由器,他们能够控制一切。
“我可以轻松地将DNS请求重定向到一台我所控制的服务器,这意味着我知道您查找的每个域名,我可以通过我控制的设备重新路由所有流量,这意味着我可以设置一个窃听。”Bambenek表示:“我可以将URL和密码发送到中央服务器,实质上,它将您的家庭路由器变成一个情报监听站点。”
路由器安全问题远远不止固件签名
Williams指出,加载自定义固件甚至不需要像CherryBlossom项目一样进行类似的攻击。
“要安装固件,他们需要以管理员权限访问路由器。如果他们有,他们可以修改上游信息诸如DNS(以及许多型号中的iptables)和在许多没有任何固件型号上捕获的流量。如果我控制你的DNS,我可以MitM任何东西”,Williams通过特推表示。“所以需要注意的一点是,通过管理员权限访问(中情局所需要这个),没有CIA级别预算的攻击者可以实现大部分相同的目标。”
Kuzma表示,自定义固件允许附加的隐身以及“各种不是标准的有趣功能”。
“通过植入体,您可以静默重定向流量,在流量路由器时捕获流量,甚至使用路由器本身作为枢纽点,将命令流量中继到网络中其他地方的植入体,并且不会以以下形式提出怀疑: 日志的远程访问”,Kuzma说。
Varonis系统公司现场工程副总裁Ken Spinner表示,路由器安全问题应该往往落在那些拥有“先出货,晚点再升级”心态的制造商身上,尽管许多人——特别是消费者——永远不会更新路由器固件。
“这样的攻击强调了外围将永远有漏洞——像许多旧有技术一样,路由器并没有考虑到安全性,我们必须更积极地规划攻击者突破了第一线防线以后的办法:因此需要有及时的安全控制来监控和检测入侵者”,Spinner称。“如果黑客使用像CherryBlossom这样的工具来扫描诸如密码之类的信息,那么您将需要在内部进行安全防御,以确保用户帐户和对敏感信息的访问受到监控,以便您知道用户何时开始行为可疑或者有帐户被盗用。”