RE:

Kuluttajamodeemien valmistajilla puutteita verkon tietoturvariskien ymmärtämisessä

Louhi Networksin tietoturva-asiantuntijat ovat löytäneet A-Linkin modeemista haavoittuvuuden, jonka avulla verkkorikollisen on mahdollista päästä käsiksi jopa kuluttajan pankkitunnuksiin ja tilitietoihin.

A-Linkin valmistamasta DSL-modeemista (mallit WL54AP2 ja WL54AP3, versiota 1.4.2 aiemmat versiot) on löytynyt vakava haavoittuvuus, joka mahdollistaa modeemin hallintaliittymän vihamielisen haltuunoton. Haavoittuvuuden löysivät Louhi Networksin tietoturva-asiantuntijat.

Haavoittuvuus mahdollistaa pankkitietojen kalastelun

Jos haavoittuvan modeemin omistava kuluttaja surffaa tai eksyy verkkorikollisen ylläpitämälle sivustolle tai palveluun, rikollisen on mahdollista ottaa haltuunsa modeemin hallintaliittymä. Tämä taas mahdollistaa modeemin asetusten muuttamisen siten, että kuluttaja ohjataan hänen huomaamattaan rikollisten ylläpitämälle lumesivustolle silloinkin, kun kuluttaja luulee asioivansa tutussa ja turvallisessa palvelussa, esimerkiksi oman pankkinsa verkkopalvelussa. Lumesivustolla rikollisen on helppo kalastaa tietoonsa kuluttajan verkkopankkitunnukset.

– Aiemmin tänä vuonna Mexicossa paljastui Banamex-pankin asiakkaisiin kohdistunut laaja huijaus, jossa pankkitunnuksia oli onnistuttu kalastelemaan kuluttajamodeemien haavoittuvuuksia hyödyntämällä, kertoo Louhi Networksin haavoittuvuustutkija Henri Lindberg varoittavana esimerkkinä.

– Kovin harva kuluttaja osaa tai muistaa katsoa, onko tutulta näyttävä nettisivu oikea vai lumesivu, ennen kuin syöttää kirjautumiskenttiin tunnuksensa ja salasanansa, harmittelee haavoittuvuustutkimukseen osallistunut Louhen tietoturva-asiantuntija Jussi Vuokko.

Yleisimmissä selaimissa oikeellisuuden kertoo esimerkiksi lukon kuva selaimen oikeassa alakulmassa (Microsoft Internet Explorer -selain) tai lukon kuva osoitekentän oikeassa laidassa ja osoitekentän värin muuttuminen (Mozilla Firefox).

Laitevalmistajien ymmärryksessä puutteita

Lindbergin ja Vuokon mukaan syynä haavoittuvuuksien löytymiseen on erityisesti se, etteivät kaikki laitevalmistajat ymmärrä web-sovellusturvan merkitystä. A-Linkin lisäksi Louhi Networksin asiantuntijat ovat löytäneet vastaavia haavoittuvuuksia mm. ZyXellin, Buffalon ja Checkpointin laitteista.

– On valitettavaa, että jopa johtavat modeemivalmistajat heräävät web-sovellusturvallisuuteen vasta vahinkojen tapahduttua. Web-hallintaliittymiä ei päivitetä tarpeeksi usein, vaan vanhentuneita liittymäsovelluksia asennetaan modeemeihin surutta liian pitkään, Lindberg moittii laitevalmistajia.

Teknisesti A-Linkin tapauksessa on kyse niin sanotuista CSRF (Cross-Site Request Forgery) ja XSS (Cross-Site Scripting) -haavoittuvuuksista. Oletuskonfiguraation ja löydettyjen haavoittuvuuksien avulla modeemi on mahdollista konfiguroida uudelleen esimerkiksi tunnuksen, salasanan tai nimipalvelutietojen osalta. Modeemiin on mahdollista myös syöttää Javascript-haittaohjelmaa kiusantekomielessä.

Louhi Networks kehottaa kaikkia haavoittuvan modeemin omistavia päivittämään modeemin ohjelmiston valmistajan sivuilta sekä huolehtimaan siitä, että hallintaliittymän oletussalasanat ovat vaihdettu käyttäjän itse määrittämiksi.

Lisätietoja

Henri Lindberg

Haavoittuvuustutkija, Louhi Networks

Puh. 050 500 3042

henri.lindberg@louhi.fi

Jussi Vuokko

Tietoturva-asiantuntija, Louhi Networks

Puh. (09) 2512 2152

jussi.vuokko@louhi.fi

Louhi Networksin raportti haavoittuvuudesta:

http://louhi.fi/advisory/alink_081028.txt

Viestintäviraston CERT-FI-tietoturvayksikkö:

http://www.cert.fi/haavoittuvuudet/2008/haavoittuvuus-2008-133.html

Louhi Networks on IT-ylläpitopalveluihin ja tietoturvaratkaisuihin keskittynyt palveluyritys. Louhi auttaa yrityksiä keskittymään omaan liiketoimintaansa mahdollistamalla tietoturvalliset ja huolettomat IT-ratkaisut. Louhi on osa voimakkaasti kasvavaa Smilehouse-konsernia, johon kuuluvat myös Smilehouse Oy, Smilehouse Baltic Oü ja Karttago Oy. Konsernin liikevaihtoarvio vuodelle 2008 on 5,5 M€.