Atualização, 2 de outubro de 2024: Esta história, publicada originalmente em 30 de setembro, agora inclui novas pesquisas sobre 14 novas vulnerabilidades de roteador, incluindo um problema de gravidade dez entre dez.
Se você está lendo isso, é quase certo que o está fazendo sem perceber que pode estar deixando a porta aberta para hackers. Uma nova pesquisa revelou que surpreendentes 86% dos usuários de banda larga têm pouca ideia sobre segurança cibernética, ou pelo menos sobre a segurança do dispositivo que usam para se conectar à Internet. Esse é o número de pessoas que nunca alteraram a senha de administrador do roteador de banda larga padrão de fábrica, e isso é uma grande preocupação, alertaram especialistas em segurança. Veja por que e o que você precisa fazer sobre isso agora.
Pesquisa de segurança do roteador Genie de banda larga revela lapso crítico de segurança
A última pesquisa de segurança de roteadores realizada em nome da Broadband Genie forneceu uma visão arrepiante sobre os hábitos de segurança dos usuários da Internet. Ou deveriam ser hábitos de insegurança? Para compare como as atitudes de segurança do roteador mudaram quando comparado com os dois inquéritos anteriores, concluídos em 2018 e 2022, o inquérito entrevistou mais de 3.000 utilizadores, fazendo perguntas idênticas às dos anos anteriores.
As principais estatísticas extraídas do relatório são que 52% dos usuários nunca se aprofundaram nas configurações do roteador para configurar o dispositivo de forma diferente do estado padrão de fábrica. Surpreendentes 86%, no entanto, admitiram nunca ter alterado a senha padrão do administrador definida de fábrica. Estes números mostram um aumento em relação aos resultados de inquéritos anteriores, mostrando que a sensibilização para a segurança cibernética parece estar a diminuir entre a população geral que utiliza routers.
Isto é extremamente deprimente para alguém como eu, que passa grande parte de sua vida profissional tentando transmitir os princípios básicos de higiene de segurança a um público não técnico. Eu falhei, isso está claro, pois alterar a senha de administrador padrão do roteador deve ser a primeira coisa a fazer ao ligar o dispositivo.
“Deixar a senha como padrão é a maneira mais fácil de alguém obter acesso ao seu roteador e, portanto, à sua rede e aos dispositivos conectados”, alertou Alex Toft, especialista residente em banda larga do Broadband Genie. “É um convite aberto para personagens nefastos bisbilhotarem e pegarem o que é seu.” Se você escolher um adequadamente senha fortehá não há necessidade de alterá-lo novamente, a menos que tenha sido comprometido.
O conselho de mudança agora é menos urgente se o seu roteador for um modelo mais recente que pelo menos venha com uma senha de administrador exclusiva em vez de um padrão que seja o mesmo para todos os usuários. Se essa senha for muito curta ou facilmente adivinhada, ainda faz sentido mergulhar nas configurações de administrador e alterá-la, na minha nunca humilde opinião. A pesquisa revelou resultados igualmente ruins quando se trata de buscar a senha do Wi-Fi, algo que 72% dos usuários disseram nunca fazer. Embora se possa argumentar que, para a maioria das pessoas, na maioria das vezes, isso não é um grande problema de segurança, continua sendo algo que sempre recomendo fazer, pois é uma boa prática de qualquer maneira. “Semelhante à senha de administrador do roteador, as senhas padrão de Wi-Fi são bem conhecidas”, disse Toft, “e levaria segundos para um hacker experiente obter acesso”.
As senhas não são o único fruto de segurança mais fácil de alcançar
Quase nove em cada dez (89%) dos entrevistados também disseram que nunca atualizaram o firmware do roteador. Em muitos aspectos, esta é a revelação mais chocante do ponto de vista da segurança. Mais uma vez, é um aumento (muito) ligeiro no número da pesquisa de 2022, o que sugere que a mensagem de segurança não está sendo ouvida em voz alta o suficiente. “A falta de atualização pode deixar os roteadores vulneráveis”, alertou Toft, “e é por isso que esse resultado não é o que queríamos ver”. É claro que tentar atualizar o firmware do roteador pode ser uma tarefa hercúlea para a maioria dos usuários, embora os roteadores mais recentes estejam facilitando a implementação de algumas atualizações automáticas.
“Os cibercriminosos aproveitam bugs e vulnerabilidades no firmware para obter acesso às suas informações online”, disse Oliver Devane, pesquisador sênior de segurança da McAfee, “manter o firmware atualizado com os patches de segurança mais recentes evitará que isso aconteça. ”
Ações que todos os usuários de roteadores de banda larga precisam realizar agora
Os pesquisadores do Broadband Genie recomendam que todos os usuários de roteadores de Internet façam o seguinte, usando as instruções fornecidas pelo fornecedor (uma pesquisa do modelo do seu roteador ou provedor de banda larga no Google geralmente será um trunfo) ou entrando em contato com seu provedor de serviços de Internet, se necessário:
- Desconecte sua internet e faça uma redefinição completa de fábrica do roteador.
- Altere a senha de administrador do roteador, a senha do Wi-Fi e o nome da rede para algo exclusivo imediatamente.
Agência de defesa cibernética dos EUA emite avisos de exploração de dia zero em roteadores
A Agência de Defesa Cibernética dos EUA, mais anteriormente conhecida como Agência de Segurança Cibernética e de Infraestrutura, emitiu uma diretiva oficial exigindo que as agências federais apliquem atualizar mitigações para duas vulnerabilidades de segurança conhecidas por serem exploradas por hackers atacando dois tipos diferentes de roteador. Embora o mandato da CISA se aplique legalmente apenas a funcionários federais, a agência de segurança alerta que todas as organizações devem usar o catálogo de Vulnerabilidades Exploradas Conhecidas para acompanhar as atividades de ameaças e aconselhar suas estruturas de gerenciamento de vulnerabilidades.
A CISA adicionou duas novas vulnerabilidades ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas, com base em evidências de exploração ativa por hackers e sujeitas a uma Diretiva Operacional Vinculante obrigatória, que exige que as agências do Poder Executivo Civil Federal remediem os dias zero dentro de um período máximo de 60 dias. e muito menos para vulnerabilidades com classificação crítica.
As vulnerabilidades exploradas estão relacionadas a dois fabricantes diferentes de roteadores, D-Link e DrayTek, mas são ambas do mesmo tipo geral: injeções de comando do sistema operacional. Esses tipos de vulnerabilidades “representam riscos significativos” e são “vetores de ataque frequentes para ciberatores mal-intencionados”, de acordo com a CISA.
CVE-2023-25280 é uma vulnerabilidade de injeção de comando de sistema operacional em roteadores D-Link DIR-820 que pode permitir que um invasor remoto e não autenticado aumente seus privilégios para o nível raiz pelo uso de uma carga útil criada com códigos maliciosos. A CISA disse que o uso dessa exploração em ataques de ransomware é atualmente desconhecido e, como o roteador afetado está em fim de vida ou em fim de serviço, recomenda-se a descontinuação e a substituição. Conselhos de segurança estão disponíveis na D-Link.
Enquanto isso, CVE-2020-15415 afeta os roteadores Vigor3900, Vigor2960 e Vigor300B da DrayTek. A vulnerabilidade permite a execução remota de código por meio de metacaracteres de shell em um nome de arquivo quando um tipo de conteúdo text/x-python-script é usado. A CISA recomenda a aplicação de mitigações conforme instruções do fornecedor. Avançar conselhos de segurança estão disponíveis na DrayTek.
Relatório Dray:Break revela 14 novas vulnerabilidades em roteadores DrayTek
Uma nova pesquisa publicada em 2 de outubro pelo Vedere Labs da Forescout Research revelou mais 14 vulnerabilidades que afetam os roteadores da DrayTek. O relatório, “DRAY:BREAK invadindo roteadores DrayTek antes que os atores da ameaça façam isso novamente” por Stanislav Dashevskyi e Francesco La Spina, detalha como os pesquisadores conseguiram rastrear uma vulnerabilidade com classificação de gravidade máxima de 10, outra com pontuação igualmente crítica de 9,1 e 9 que foram classificadas como gravidade média. As vulnerabilidades, afirma o relatório, abrangeram utilizadores em 168 países, deixando um total de 704.000 routers expostos a riscos como ataques distribuídos de negação de serviço, abuso de botnet e ataques de ransomware. Dos 704 mil roteadores expostos à Internet, Forescout disse que pelo menos 425 mil foram encontrados no Reino Unido e na UE, com mais de 190 mil na Ásia. Apenas 7.200 estavam localizados na América do Norte.
Forescout afirmou que os roteadores DrayTek estão particularmente em risco de atenção dos cibercriminosos, pois são amplamente utilizados em diversos setores da indústria, o que lhes confere amplo apelo tanto para usuários genuínos quanto para hackers mal-intencionados. “Os roteadores são cruciais para manter os sistemas internos conectados ao mundo externo, mas muitas organizações ignoram sua segurança até serem exploradas por invasores”, disse Barry Mainz, CEO da Forescout. “Os cibercriminosos trabalham dia e noite para encontrar brechas nas defesas dos roteadores, usando-as como pontos de entrada para roubar dados ou paralisar operações comerciais.”
Explicação das vulnerabilidades do roteador Dray:Break
Tal como foi confirmado no aviso dado pela CISA, estas vulnerabilidades podem fornecer a um invasor a capacidade de realizar um ataque de execução remota de código usando uma exploração de injeção de comando do sistema operacional. Algumas das vulnerabilidades incluíam o seguinte:
- As mesmas credenciais de administrador foram usadas em todo o sistema (incluindo sistemas operacionais convidados e host). A obtenção dessas credenciais pode levar ao comprometimento total do sistema.
- A função “GetCGI()” na UI da Web, responsável por recuperar dados de solicitação HTTP, era vulnerável a um buffer overflow ao processar os parâmetros da string de consulta.
- Vários problemas de estouro de buffer na UI da Web foram causados pela falta de verificações de limites ao recuperar e manipular parâmetros de formulário CGI.
- O back-end do servidor web para a UI da web usou uma string estática para propagar o PRNG no OpenSSL para TLS. Isso pode ter permitido que os invasores conseguissem a divulgação de informações e realizassem ataques man-in-the-middle.
Vulnerabilidades do roteador DrayTek agora corrigidas
No total, as vulnerabilidades descobertas pelos pesquisadores do Vedere Labs afetaram 24 modelos de roteadores DrayTek, dos quais 11 já haviam atingido o status de fim de vida. Cerca de 63% dos dispositivos expostos estavam no fim da venda ou no fim da vida útil, o que, segundo o relatório, os tornava mais difíceis de corrigir e, portanto, de proteger contra explorações decorrentes de tais vulnerabilidades.
A boa notícia, porém, é que os pesquisadores agiram com responsabilidade e divulgaram os problemas à DrayTek em tempo hábil. Como parte deste processo de divulgação responsável, a DrayTek corrigiu todas as vulnerabilidades de firmware descobertas pelo Vedere Labs.
“Para se protegerem contra essas vulnerabilidades, as organizações devem corrigir imediatamente os dispositivos DrayTek afetados com o firmware mais recente”, alertou Daniel dos Santos, chefe de pesquisa de segurança do Forescout Research Vedere Labs. “Desativar o acesso remoto desnecessário, implementar listas de controle de acesso e autenticação de dois fatores e monitorar anomalias por meio de registro de syslog são etapas cruciais.”