Уязвимости, обнаруженные в устройствах с вышедшим сроком эксплуатации и поддержки EoL, как правило, никогда не устраняют. И чем больше таких «мёртвых» сетевых устройств остаются в пользовании, тем проще злоумышленникам распространять через них различные вредоносы и использовать их в свою целях. Уязвимости, не так давно обнаруженные в шлюзе DSL D-Link DSL-2640B, явное тому подтверждение. Я бы предложил Вам ознакомиться с DNS серверами VPSVille (https://vpsville.ru) они смогли быстро отреагировать и устранить данные проблемы в своих серверах. Но давайте обо всём по порядку.
Что такое EoL, применительно к сетевым устройствам
End-of-life (EOL) — термин, который производители используют для обозначения продуктов, снятых с производства и больше не поддерживаемых. Чаще всего в категорию EoL попадают устройства, чьи возможности больше не актуальны в действующих рыночных условиях, и поэтому производителю не выгодно заниматься их поддержкой и залатыванием дыр в их безопасности.
Логично было бы предположить, что EoL оборудования достаточно быстро прекращают использовать и заменяют на новое. Но это не так. Даже за рубежом, где к вопросам актуализации технопарка традиционно относятся внимательнее, чем в нашей стране, «мёртвая» периферия часто служит до тех пор, пока не сломается. В России явно устаревшие маршрутизаторы в случае поломки некоторые даже возьмутся чинить, не обращая внимания на их неактуальность и обилие уязвимостей в защите.
Справедливости ради стоит заметить, что в рамках исследований кибербезопасности редко обращают внимание на сетевые устройства EoL. Происходит это потому, что:
- Исправлять обнаруженные уязвимости всё равно никто не будет;
- За выявление дыр в безопасности никто не заплатит;
- Численность эксплуатируемых устройств с закончившимся сроком службы постоянно сокращается и в любой момент может упасть до нуля.
В принципе, всё логично, но с другой стороны, пока хотя бы одно устройство EoL с известной киберпреступникам дырой в безопасности будет оставаться в сети, опасность его задействования в DDoS-атаке или другой активности остаётся достаточно высокой.
Как связаны старый роутер и троян DNSChanger
DNSChanger — опасный троян, впервые выявленный в 2011, в 2018 пережил второе рождение. Некто неизвестный переписал код нашумевшего вредоноса под уязвимость, найденную в DSL-2640B. Казалось бы, зачем? Ведь в США уже в 2013 году устройство попало в список маршрутизаторов EoL. Вот только отказываться от них и в 2018 никто особо не спешил, что доказывает проведенный Bad Packets ресерч числа находящихся в сети DSL-2640B.
D-Link DSL-2640B — бомба с часовым механизмом
D-Link DSL-2640B — маршрутизатор DSL 2007 года выпуска. Явный «старичок», которых известный поиск по интернету вещей Shodan находит всего два. Но правда ли их онлайн осталось всего двое?
DNSChanger нацелен на шлюзы EoL
За 2018-2019 год атакам обновленного трояна DNSChanger подверглись тысячи пользователей интернета. Вредоносное ПО перехватывало трафик привычным для себя способом — через удаленную перенастройку DNS-серверов на 7 моделях маршрутизаторов. Bad Packets рассказывали у себя в блоге о попавших в этот список семи опасных маршрутизаторах.
Судя по числу пострадавших, устаревших D-Link DSL-2640B в сети далеко не два. Получается, данные Shodan недостоверны?
В сети гораздо больше старого оборудования, чем вы можете себе представить
В то время как Shodan категорически отказывается обнаруживать DSL-2640B в сети, BinaryEdge без ложной скромности рассказывает миру о 14 327 активных через 7 лет после снятия с производства роутеров поколения 2000-х.
Предположим, что данные BinaryEdge хотя бы частично актуальны — цифра колоссальная. Ведь все мы понимаем, что этот многострадальный DSL-2640B далеко не единственный остающийся в эксплуатации маршрутизатор EoL.
Получается, хакеры не такие дураки, они прекрасно понимают, что устройства EoL с их вечными уязвимостями — это настоящее оружие массового поражения. И не важно, что постепенно число устаревших шлюзов в сети снижается, пока одни пропадают, новые устаревают и снимаются с поддержки. А пока в сети остается хотя бы 10 тысяч устаревших устройств одной модели, есть смысл заниматься поиском и использованием дыр в их безопасности.
Пропускная способность DSL-2640B 3,5 Мбит/с, 10,000 устройств дают суммарный канал на 35 Гбит/с. Весомый вклад в DDoS-атаку, особенно если дополнительно приумножить усилия с помощью DNS Amplification , NTP Amplification или TCP Reflection .
Чем вы рискуете, не отключая устаревшие устройства
Все цифры, использованные в статье, взяты из оригинального материала Threat After Death: Security Impact of EoL Devices и привязаны к Соединенным Штатам Америки. По России статистики о количестве устаревших устройств, до сих пор используемых для выхода в интернет, нам найти не удалось. Но предполагаем, что с нашей национальной склонностью к бережливости и экономии, их окажется в разы больше. Получается, намеренно «продлевая жизнь» снятому с производства и поддержки сетевому устройству мы подвергаем опасности и себя, и пользователей глобальной сети в целом.
Учитывая, что темпы развития технологий с каждым годом ускоряются, отправлять продукты в смертный список EoL производители будут всё быстрее. Соответственно, анализируя количество необновляемых устройств, подключенных к сети, хотя бы по открытым источникам, хакеры в любой момент могут запустить новый троян с какими угодно последствиями для пользователей.
Мы в VPSville внимательно следим за актуальностью используемого оборудования и защитой от DDoS-атак, а наш партнер — дата-центр уровня tier 3, гарантирует 100% защищенность сетевых каналов от подобных DNSChanger киберугроз. Если нужен сервер с защитой от DDoS — обращайтесь. А также обязательно следите за выпуском новых статей, в которых мы будем рассказывать вам в том числе и о новостях мира кибербезопасности.