Kotien verkkolaitteissa uusia pahoja aukkoja
2
A-Link WL54AP3 on yksi haavoittuvainen wlan-tukiasema, jole on kuitenkin julkaistu firmware-päivitys. Kyseessä on valmistajan vanha malli. Kaikille eri valmistajien laitteille päivityksiä ei kuitenkaan ole saatavana.
Useiden valmistajien kotikäyttäjille suunnatuissa verkkolaitteissa on hyvin vakavia haavoittuvuuksia, jotka voivat pahimmillaan mahdollistaa kuluttajien luottokorttinumeroiden, pankkitunnusten ja muiden tietojen varastamisen. Näin varoittavat Louhi Networksin tietoturva-asiantuntijat ja Viestintäviraston Cert-fi-yksikkö.
Kuluttajille myytävissä adsl-modeemeissa, reitittimissä ja wlan-tukiasemissa on yleensä helppokäyttöiset web-hallintaliittymät, joissa on oletusarvoisesti löyhät tietoturva-asetukset. Jo alkuvuodesta laitteissa paljastui vaarallisia haavoittuvuuksia upnp-protokollan etähallinnassa, ja nyt laitteissa on paljastunut myös cross-site scripting (xss) -haavoittuvuuksia.
Viestintäviraston Cert-fi-yksikkö varoitti jo lokakuun lopussa, että haavoittuvuudet mahdollistavat pääkäyttäjän toimintojen suorittamisen, jos käyttäjä on saatu huijattua hyökkääjän web-sivustolle.
Ongelmaa pahentaa se, että usein kuluttajat käyttävät laitteita oletusasetuksilla ylläpitäjän salasanoja ja verkko-osoitteita myöten.
Jos käyttäjä saadaan houkuteltua hyökkääjän sivuille, rikolliset voivat päästä muokkaamaan esimerkiksi reitittimen nimipalvelintiedot. Sen jälkeen käyttäjän voi huijata esimerkiksi nettikaupan tai verkkopankin sijaan mihin tahansa. Myös verkkoliikenteen kuunteleminen on mahdollista.
Päivitystä ei aina saatavana
Haavoittuvuuksia web-hallintaliittymässä on suomalaisen hosting-yhtiö Louhi Networksin tietoturvayksikön selvitysten mukaan ainakin seuraavissa laitteissa: A-Link WL54AP2 ja WL54AP3 (ennen ohjelmistoversioita 1.4.2), Buffalo Airstation WHR-G54S, Checkpoint VPN-1 UTM Edge ja Zywall 2 -malliston laitteissa.
A-Link ehti jo vastata haavoittuvuustiedotteeseen omalla tiedotteellaan. Yhtiön mukaan mainitut kaksi laitteita ovat wlan-tukiasemia, jotka ovat jo poistuneet markkinoilta. A-Linkin mukaan haavoittuvuutta ei ole uusissa tukiasemissa tai missään dsl-modeemeissa.
Louhi Networks on julkaissut sivuillaan tietoja löydetyistä haavoittuvuuksista.
Haavoittuvuustutkija Henri Lindberg Louhi Networksistä sanoo, että vastaavia web-hallintaliittymän tietoturva-aukkoja on paljastunut jo muissakin laitteissa. Lindberg arvioi, että haavoittuvuudet ovat hyvin yleisiä suomalaisissa kodeissa käytössä olevissa modeemeissa ja reitittimissä.
Vaihda edes salasanat
Lindberg kertoo Tietokoneelle, että yhtiöstä on oltu yhteydessä verkkolaitteiden valmistajiin, mutta kaikille laitteille ei ole vieläkään julkaistu päivityksiä. Laitteet myös vanhenevat nopeasti, eikä vanhoille laitteille välttämättä ilmesty päivityksiä lainkaan.
A-Link ja Checkpoint olivat reagoineet yhteydenottoon heti ja julkaisseet korjaukset. Sen sijaan Buffalon kanssa asian selvittely oli Lindbergin mukaan vaikeaa, eikä Zyxelistä reagoitu yhteydenottoon mitenkään.
Yritys ilmoittaa näistä ensin valmistajalle ja Viestintäviraston Cert-fi-yksikköön. Jos valmistaja ei reagoi asiaan, voi olla myös tarpeen julkistaa haavoittuvuus suoraan.
Henri Lindberg harmittelee, että automaattista ratkaisua ongelman korjaamiseen ei ole.
"Jos käyttäjällä ei ole teknistä osaamista, ainoa tapa suojautua voi olla vaihtaa hallintaliittymän oletusarvoinen salasana. Myös valmistajan mahdollisia tietoturvapäivityksiä voi seurata, mutta niiden asentaminen vaatii jonkin verran osaamista."
Osaavan käyttäjän kannattaa tarkistaa, onko tuoreempaa firmware-ohjelmistoa saatavana. Jos dsl-modeemi tai tukiasema on teleoperaattorin kuukausimaksulla toimittama palvelu, asiassa kannattaa olla yhteydessä operaattoriin. Kuluttaja ei nimittäin yleensä pääse vuokralaitteiden hallintaan käsiksi.
Osa haavoittuvuuksista on estettävissä jo silloin, kun käyttäjä vaihtaa web-hallinnan oletusarvoisen salasanan. Siihen on yleensä helpot ohjeet laitteen mukana tulevassa pika-asennusoppaassa.
