Clear
Lead Graphic Papers

ระวังภัย ช่องโหว่ในเราเตอร์ TP-LINK ผู้ไม่หวังดีสามารถควบคุมเราเตอร์ของเหยื่อได้

วันที่ประกาศ: 20 มกราคม 2557
ปรับปรุงล่าสุด: 22 มกราคม 2557
เรื่อง: ระวังภัย ช่องโหว่ในเราเตอร์ TP-LINK ผู้ไม่หวังดีสามารถควบคุมเราเตอร์ของเหยื่อได้

ประเภทภัยคุกคาม: Intrusion

Share on Facebook Share on Twitter Share on Facebook

ข้อมูลทั่วไป

ในวันที่ 15 มกราคม 2557 นาย ABDELLI Nassereddine ชาวแอลจีเรีย ได้เปิดเผยรายงานผ่านเว็บไซต์ The Hacker News ถึงช่องโหว่ในเราเตอร์ยี่ห้อ TP-LINK รุ่น TD-W8951ND ซึ่งเป็นเราเตอร์ที่บริษัท Algerie Telecom ผู้ให้บริการด้านโทรคมนาคมรายใหญ่ของแอลจีเรีย ได้จัดจำหน่ายให้กับผู้ใช้อินเทอร์เน็ตตามบ้าน โดยช่องโหว่ดังกล่าวมีที่มาจากการค้นพบว่า ผู้ใช้สามารถเข้าถึงหน้าต่างการอัพเกรด Firmware และ Romfile (ไฟล์ที่เก็บการตั้งค่าต่าง ๆ ในเราเตอร์) และสามารถดาวน์โหลด Romfile ของเราเตอร์ได้โดยไม่จำเป็นต้องล็อกอินแต่อย่างใด ผ่านทาง URL: http://<ip-address>/rpFWUpload.html ซึ่งจากการวิเคราะห์ Romfile เพิ่มเติมด้วยวิธีการ Reverse engineering ทำให้สามารถถอดรหัสผ่านของบัญชี Administrator ของเราเตอร์ออกมาอยู่ในรูปของ Plain text ได้ [1] [2]

ผลกระทบ

ผู้ไม่หวังดีสามารถเข้าควบคุมเราเตอร์ของเหยื่อ เพื่อแก้ไขการตั้งค่าและนำไปสู่การโจมตีในรูปแบบต่างๆได้ทันที

ตัวอย่างการโจมตี
ผู้ไม่หวังดีทำการเปลี่ยนแปลงการตั้งค่า DNS ในเราเตอร์ที่มีช่องโหว่ เพื่อให้ผู้ใช้งานเรียกใช้งาน DNS อันตรายที่ผู้ไม่หวังดีสร้างขึ้น ในทางเทคนิคจะเรียกเทคนิคดังกล่าวว่าเป็นการโจมตีแบบ DNS Hijacking โดยสถานการณ์สมมติตามตัวอย่างในรูปที่ 1 การโจมตีของผู้ไม่หวังดีมีจุดประสงค์เพื่อขโมยบัญชีการเข้าใช้งานอีเมล Gmail ของผู้ใช้งาน โดย DNS ของผู้ไม่หวังดีจะ Redirect ผู้ใช้งานไปยังเครือข่ายของผู้ไม่หวังดี แทนที่จะไปยังเว็บไซต์ Gmail.com ที่เป็นเครือข่ายที่ถูกต้อง ทำให้ผู้ไม่หวังดีสามารถขโมยข้อมูลการล๊อกอินที่ผู้ใช้งานป้อนเข้าสู่ระบบได้ทันที


รูปที่ 1 ตัวอย่างการโจมตีด้วยเทคนิค DNS Hijacking

ระบบที่ได้รับผลกระทบ

เราเตอร์ยี่ห้อ TP-LINK รุ่น TD-W8951ND ตามที่ปรากฏในข่าว
และจากการตรวจสอบในเบื้องต้น ไทยเซิร์ตพบเราเตอร์รุ่นต่อไปนี้ที่ได้รับผลกระทบจากช่องโหว่ดังกล่าวเช่นเดียวกัน

  • TD854W
  • TD-8816
  • TD-8817
  • TD-8840T
  • TD-W8101G
  • TD-W8151N
  • TD-W8901G
  • TD-W8901N
  • TD-W8961NB
  • TD-W8961ND

ข้อแนะนำในการป้องกันและแก้ไข

เนื่องจากยังไม่พบการออกแพทช์สำหรับแก้ไขช่องโหว่ดังกล่าวจากบริษัทผู้พัฒนา ทางไทยเซิร์ตจึงได้ประสานงานกับผู้พัฒนาเพื่อแจ้งปัญหาและสอบถามข้อมูลเพิ่มเติมแล้วแต่ยังไม่ได้รับการตอบกลับ อย่างไรก็ตามผู้ใช้งานสามารถใช้วิธีการป้องกันการเข้าถึงหน้าเว็บบริหารจัดการเราเตอร์จากเครือข่ายอินเทอร์เน็ต ด้วยการเปิดการใช้งาน SPI หรือ เลือกใช้งานฟังก์ชัน ACL (Access Control List) ซึ่งเป็นฟังก์ชันที่ใช้ในการจำกัดการเข้าถึงบริการต่าง ๆ ตามเงื่อนไขที่สร้างขึ้น ที่มีอยู่ในเราเตอร์ TP-LINK เพื่อลดความเสี่ยงจากการถูกโจมตีช่องโหว่ดังกล่าวได้ โดยหลักกการคือ ปิดการเชื่อมต่อหน้าบริการจัดการจากเครือข่ายภายนอก เท่ากับว่าผู้ไม่หวังดีที่พยายามเชื่อมต่อผ่านอินเทอร์เน็ตจะไม่สามารถเข้าถึงหน้าล๊อกอิน หรือหน้าดาวน์โหลดข้อมูล Romfile ของอุปกรณ์เราเตอร์ได้ แต่อย่างไรก็ตามผู้ใช้งานจำเป็นต้องควรพึงระวังสำหรับการตั้งค่าที่ผิดวิธี รวมถึงสิ่งสำคัญที่สุดคือผู้ใช้งานควรรีบอัพเดทแพทช์จากเว็บไซต์ผู้พัฒนาทันทีที่มีการแก้ไขปัญหาแล้ว หรือสามารถติดตามข้อมูลอัพเดทได้ผ่านบทความแจ้งเตือนนี้ได้เช่นกัน โดยไทยเซิร์ตจะรีบแจ้งเตือนทันทีที่มีการอัพเดทจากผู้เกี่ยวข้อง

วิธีการที่ 1 เปิดการใช้งาน SPI เพื่อป้องกันการเข้าถึงหน้าเว็บบริหารจัดการเราเตอร์

1. ภายหลังจากการล๊อกอินเข้าสู่หน้าบริหารจัดการเราเตอร์แล้วให้คลิกที่ Advanced Setup -> Firewall แล้วตั้งค่าตามในรูปที่ 2 จากนั้นคลิกปุ่ม SAVE เป็นอันเสร็จสิ้น
การตั้งค่าดังกล่าว จะเป็นการเปิดการทำงานของ SPI ซึ่งจะเป็นการปิดการเชื่อมต่อทั้งหมด ที่สร้างจากภายนอก ไม่ให้สามารถเชื่อมต่อเข้ามายังเราเตอร์ได้


รูปที่ 2 หน้าต่างการตั้งค่า SPI ของอุปกรณ์เราเตอร์รุ่น TD-W8951ND

วิธีการที่ 2 การตั้งค่า ACL (Access Control List)

1. ภายหลังจากการล๊อกอินเข้าสู่หน้าบริหารจัดการเราเตอร์แล้วให้คลิกที่ Interface Setup -> LAN ตรวจสอบตรงช่อง Starting IP Address และ IP Pool Count จากตัวอย่างรูปที่ 3 จะพบว่า Starting IP Address คือ 192.168.1.100 และข้อมูล IP Pool Count คือ 100 แสดงว่าไอพีแอดเดรสภายในจะมีค่าได้ในช่วงตั้งแต่ 192.168.1.100 - 192.168.1.199


รูปที่ 3 หน้าต่างการตั้งค่าไอพีแอดเดรสของเครือข่ายภายในของอุปกรณ์เราเตอร์รุ่น TD-W8951ND

2. คลิกที่ Access Management -> ACL แล้วตั้งค่าตามในรูปที่ 4 ดังต่อไปนี้

  • ACL: Activated
  • Active: Yes
  • Secure IP Address: ให้ระบุช่วงของไอพีแอดเดรสจากค่าที่ได้ในข้อ 1
  • Application: ALL
  • Interface: LAN

จากนั้นคลิกปุ่ม SAVE เป็นอันเสร็จสิ้น


รูปที่ 4 หน้าต่างการตั้งค่า ACL ของอุปกรณ์เราเตอร์รุ่น TD-W8951ND




บริการตรวจสอบช่องโหว่ของเราเตอร์ TP-LINK

ไทยเซิร์ตได้เปิดให้บริการตรวจสอบช่องโหว่ตามที่อ้างถึงในบทความนี้ โดยผู้ใช้งานสามารถตรวจสอบได้ตามลิงก์ต่อไปนี้ คลิกที่นี่




อ้างอิง

  1. http://thehackernews.com/2014/01/TP-LINK-Routers-password-hacking.html
  2. http://rootatnasro.wordpress.com/2014/01/11/how-i-saved-your-a-from-the-zynos-rom-0-attack-full-disclosure

Clear