אבטחת מידע ארגונית
פרצה התגלתה בנתבי TP-Link הנפוצים בישראל
עדכון
מתן אזוגי מחברת MadSec מבהיר כי: "הפירצה בראוטר האמור של TP-LINK אינה קשור לקינפוג נכון או לא נכון שלו, אלא לפגיעות בקוד של שרת ה- web של הראוטר, שיכולה להיפתר אך ורק על ידי הוצאת קושחה (firmware) חדשה על ידי היצרן.
הפריצה בנויה על שתי בעיות אבטחה שקיימות בנתב:
1. Authentication Bypass
2. Local File Inclusion
הבעיה הראשונה מאפשרת לנו לעקוף לגמרי את מנגנון ההזדהות של הנתב.
הבעיה השנייה גורמת לכך שההאקר, לאחר שעקף את מנגנון ההזדהות, יכול לשלוף קובץ מערכת מתוך הנתב – במקרה זה – את קובץ הסיסמאות.
לאחר שליפת קובץ הסיסמאות, התוקף יפצח את הקובץ על ידי שימוש ב- Brute Force או ב- Raibow Tables .
כיום ישנה אפשרות במתקפת Brute Force להריץ עד כ- 900 מיליון סיסמאות בשנייה על ידי שימוש בכרטיסי מסך חזקים.
לאחר פריצת הסיסמה התוקף שולט בנתב עם הרשאות מפקח (administrator), דבר המאפשר לו לבטל את מנגנוני האבטחה של הנתב (firewall). לאחר ביטול מנגנון האבטחה התוקף יכול לפרוץ את הרשת כולה ולשלוף מתוך המחשבים שפרץ מסמכים חסויים ואו פרטי הזדהות לאתרי בנקים ותשלומים ו/או מספרי כרטיסי אשראי.
במהלך בדיקות אצל אחד מהלקוחות שלנו זיהינו את הפירצה בראוטר TPLINK תוך כדי עבודה עם כלי בשם Burp-Suite .
חשוב לציין שהחברה היחידה שמחלקת וחילקה בעבר ראוטרים מסוג זה היא חברת הכבלים HOT , איך ישנם לקוחות של בזק שקנו עצמאית את הראוטרים של TPLINK וגם הם חשופים למתקפה זאת
הידיעה המקורית
חברת אבטחת המידע הישראלית MADSEC סקיוריטי דיווחה כי מרבית לקוחות בזק ו-HOT, פרטיים ועסקיים וכן חברות העושות שימוש בנתב (router) מתוצרת חברת
TP-Link הסינית, הפופולארית מאוד בישראל, חשופים לסכנת פריצה מוחשית (exploit) של האקרים העלולה להוביל לגניבת מידע חסוי ויקר ערך, המוערך במיליוני ש"ח.
סכנת הפריצה לראוטר האלחוטי של החברה, מדגם TL-WR841N נתגלתה עלי ידי מתן אזוגי, מנהל צוות בדיקות אבטחה בחברת MADSEC סקיוריטי ובעזרתה ניתן בקלות לגנוב את החשבונות והסיסמאות המאוחסנות בנתב.
הפרצה, המוגדרת כפירצת Local File Inclusion (LFI), נמצאת בממשק הניהול, מבוסס הרשת ומאפשרת שליפת קובץ הסיסמאות מהנתב ללא צורך בשם משתמש וסיסמה, דבר המאפשר לתוקף זדוני לפצח את סיסמת האדמיניסטראטור (המשתמש הראשי) וכך לשלוט בנתב. לאחר קבלת השליטה על הנתב יכול התוקף להשיג שליטה מלאה על הרשת כולה.
דורון סיון, מנכ"ל חברת MADSEC סקיוריטי ומומחה אבטחת מידע, אמר: "מדובר בפרצה מסוכנת ביותר משתי סיבות: הראשונה הינה הקלות בה ניתן לבצעה והיכולת לפרוץ לרשתות של חברות ואנשים פרטיים ולגנוב משם מידע חסוי והשנייה קשורה להיקף הנרחב של נתבים מסוג זה במאות אלפי בתי אב ומשרדי חברות בישראל.
כחברת אבטחת מידע, העוסקת מדי יום באיתור פגיעויות בתחום תשתיות התקשורת ומתן שירותי אבטחה במערכות שליטה ובקרה, אנו נתקלים מדי יום בניסיונות הולכים וגוברים של האקרים לפרוץ לרשתות ולגנוב מידע עסקי, אישי ולעיתים אף רגיש מבחינה ביטחונית ועוסקים במתן פתרונות למניעת נזקים שעלולים להסתכם במיליוני ש"ח".