6M Sky Router Terkena Serangan Selama Hampir 1,5 Tahun

Sky, penyedia broadband Inggris, membuat sekitar 6 juta perut pelanggan terpapar penyerang yang dapat menenggelamkan taring mereka dari jarak jauh ke jaringan rumah mereka: permukaan serangan lembut yang bagus dibiarkan seperti itu selama hampir 18 bulan saat perusahaan mencoba memperbaiki pengikatan ulang DNS kerentanan di router pelanggan.

Pen Test Partners melaporkan masalah tersebut ke Sky Broadband – layanan broadband yang ditawarkan oleh Sky UK di Inggris – pada 11 Mei 2020 … dan kemudian mengejar Sky untuk pembaruan yang berulang kali ditunda, kata perusahaan keamanan dalam sebuah posting.

Cacat ini dapat memengaruhi pelanggan yang tidak mengubah kata sandi admin default di router mereka. Selain itu, kredensial non-default bisa saja dipaksakan, menurut Pen Test Partners. Kerentanan sekarang telah diperbaiki.

Ini adalah nomor model yang terpengaruh:

    Sky Hub 3 (ER110)

    Sky Hub 3.5 (ER115)

    Booster 3 (EE120)

    Sky Hub (SR101)

    Sky Hub 4 (SR203)

    Booster 4 (SE210)

Sementara dua model router terakhir juga terpengaruh kelemahannya, mereka datang dengan kata sandi admin acak, membuat mereka lebih sulit untuk diserang tetapi juga membuat mereka menjadi mangsa serangan brutal. BBC melaporkan bahwa 1 persen router lain yang diberikan Sky tidak dibuat oleh perusahaan itu sendiri, meskipun pelanggan yang memiliki router tersebut dapat meminta penggantian gratis.

DNS Rebinding Kerentanan Dijelaskan

DNS rebinding adalah teknik yang mengubah browser korban menjadi proxy untuk menyerang jaringan pribadi. Kami telah melihatnya digunakan sebelumnya, dan pada skala yang bahkan lebih besar daripada SkyFlop ini: Ini digunakan dalam dua langkah pembuktian konsep yang didemonstrasikan oleh para peneliti pada Januari 2020, mendapatkan akses jarak jauh ke penganalisis spektrum yang dikompromikan.

Beberapa modem kabel yang digunakan oleh ISP untuk menyediakan broadband ke rumah ditemukan memiliki kerentanan kritis dalam arsitektur referensi yang mendasarinya – kerentanan yang memungkinkan penyerang mendapatkan kendali jarak jauh penuh atas perangkat. Jejak untuk perangkat yang terpengaruh berjumlah ratusan juta di seluruh dunia.

Pen Test Partners menjelaskan bahwa teknik pengikatan ulang DNS memungkinkan penyerang untuk melewati kebijakan “Same-origin”: pertahanan di browser web yang mengizinkan skrip yang terdapat di halaman web pertama untuk mengakses data di halaman web kedua, tetapi hanya jika kedua halaman web memiliki asal yang sama, sehingga mencegah aplikasi web berinteraksi dengan domain yang berbeda tanpa persetujuan pengguna.

Eksploitasi, yang memungkinkan penyerang mengonfigurasi ulang router rumah korban, bisa saja dipicu hanya dengan mengarahkan pengguna, melalui serangan phishing, ke tautan berbahaya. Dari sana, pelaku ancaman dapat “mengambil alih kehidupan online seseorang,” mencuri kata sandi untuk perbankan dan situs sensitif lainnya, Ken Munro dari Pen Test Partner mengatakan kepada BBC News.

Perusahaan keamanan memposting video bukti konsep pada hari Jumat. Mitra Uji

Pen belum menemukan bukti bahwa kerentanan telah dieksploitasi di alam liar.

Mengapa Kaki Menyeret?

Sky tidak segera menanggapi pertanyaan Threatpost, tetapi perusahaan tersebut mengatakan kepada BBC bahwa memperbarui begitu banyak router membutuhkan waktu dan membutuhkan keselamatan dan keamanan pelanggannya “dengan sangat serius.”

BBC mengutip juru bicara Sky : “Setelah diperingatkan akan risikonya, kami mulai bekerja untuk menemukan solusi untuk masalah tersebut dan kami dapat mengonfirmasi bahwa perbaikan telah dikirimkan ke semua produk yang diproduksi Sky.”

Ada alasan mengapa Pen Test Partner tidak mengungkapkan temuannya untuk begitu lama, perusahaan menjelaskan bahwa jeda, setidaknya pada awalnya, tampaknya masuk akal, mengingat perlambatan pekerjaan yang disebabkan oleh Coronavirus, diikuti oleh pembekuan perubahan Natal, diikuti oleh serangkaian tenggat waktu yang terlewatkan tanpa penjelasan. Akhirnya, pada bulan Agustus, Pen Test meminta BBC untuk menghubungi Sky. Pada 22 Oktober, Sky memberi tahu perusahaan keamanan bahwa 99 persen router yang rentan telah diperbaiki.

Pen Test Partners mengatakan mereka tidak mengungkapkan kerentanan setelah 90 hari karena “ISP menghadapi tantangan dari pemuatan jaringan yang sangat meningkat karena bekerja dari rumah menjadi norma baru. Kami tidak ingin melakukan apa pun untuk membatasi kemampuan orang untuk bekerja dari rumah.”

Munro mengatakan kepada BBC News bahwa penarikan kaki itu “membingungkan:” “Sementara pandemi virus corona membuat banyak penyedia layanan internet berada di bawah tekanan, karena orang-orang pindah untuk bekerja dari rumah, membutuhkan waktu lebih dari satu tahun untuk memperbaiki kelemahan keamanan yang mudah dieksploitasi sama sekali tidak dapat diterima,” katanya seperti dikutip.

Masalah Kata Sandi Default yang ‘Tidak Dapat Dimaafkan’

Fakta bahwa begitu banyak router dikirimkan dengan kata sandi default terkena internet adalah “tidak dapat dimaafkan pada tahun 2021,” John Bambenek, pemburu ancaman utama di perusahaan keamanan Netenrich, mengatakan kepada Threatpost melalui email pada hari Jumat.

“Ini bukan kerentanan atau kelemahan keamanan, ini kelalaian besar dan kita harus menyebutnya persis itu,” tulisnya. “Mengetahui bahwa mereka melakukan ini, tidak mengherankan bahwa butuh waktu 18 bulan untuk mengatasinya.”

Sky mendapat lebih banyak simpati dari Jake Williams, salah satu pendiri dan CTO di perusahaan respons insiden BreachQuest, yang mengatakan bahwa kerentanan DNS rebinding sulit untuk dipecahkan. , menjadi “relatif kompleks” dan sering kali “sulit dipahami oleh pengembang”.

Dalam email ke Threatpost pada hari Jumat, Williams mengatakan dia tidak terkejut bahwa pengembang Sky berulang kali melewatkan jadwal asli mereka.

Tapi masih … 18 bulan? Itu “terlalu lama untuk mengatasi” sebuah cacat, terlepas dari seberapa sulit secara teknis untuk dipahami, komentarnya.

“Kabar baiknya adalah sementara Pentest Partners, perusahaan yang menemukan kerentanan, membuat eksploitasi terlihat mudah, eksploitasi sebenarnya sedikit lebih kompleks daripada kebanyakan kerentanan,” dia mengamati.

Bagaimanapun, katanya, itu bisa lebih buruk: “Ini bukan jenis kerentanan yang harus kita khawatirkan seperti sesuatu yang benar-benar menawarkan akses jarak jauh penuh ke perangkat,” katanya. Itu keberuntungan, mengingat sebagian besar pengguna rumahan tidak mengubah kata sandi default di router mereka, katanya. Namun, insiden tersebut menunjukkan betapa pentingnya mengubah kata sandi, Williams mengatakan: “Bahkan mengubah ke kata sandi yang lemah seperti 123456 akan mencegah eksploitasi dalam kasus ini.”

Image milik Built in Boston.

Keamanan cyber untuk lingkungan multi-cloud terkenal menantang. OSquery dan CloudQuery adalah jawaban yang solid. Bergabunglah dengan Uptycs dan Threatpost untuk “Pengantar OSquery dan CloudQuery,” Balai Kota sesuai permintaan dengan Eric Kaiser, insinyur keamanan senior Uptycs, dan cari tahu bagaimana alat sumber terbuka ini dapat membantu menjinakkan keamanan di seluruh kampus organisasi Anda.

Register SEKARANG untuk acara sesuai permintaan!
Tulis komentar
Bagikan artikel ini:

  • Kerentananliu
      iKeamanan Web
  • Wagiman Wiryosukiro

    Petani Sistem Informasi, tukang las plugin & themes Wordpress. Co-Founder SistemInformasi.biz. Saat ini aktif sebagai Developer & kontributor di OpenMandriva Linux.

    You may also like...

    %d bloggers like this: