Ваш Cisco роутер уже не ваш — проверьте, не работает ли он на хакеров

Eclypsium Shadowserver роутер Cisco
Ваш Cisco роутер уже не ваш — проверьте, не работает ли он на хакеров
Eclypsium Shadowserver роутер Cisco

Как ваше устаревшее «железо» превращает интернет в зомби-апокалипсис.

image

Специалисты Eclypsium зафиксировали резкий рост активности сканеров, нацеленных на устаревшее и давно не поддерживаемое сетевое оборудование. Главная опасность заключается в том, что значительная часть таких атак идёт с уже захваченных устройств Cisco, Linksys и Araknis, которые давно сняты с поддержки и больше не получают обновлений. По данным Shadowserver Foundation, в последние месяцы число новых скомпрометированных маршрутизаторов превысило 2200, и эта цифра продолжает расти.

В отчёте Eclypsium отмечается, что злоумышленникам всё равно, используют ли они современные уязвимости или бреши, которым больше 15 лет — важно лишь, что устройство остаётся уязвимым. Среди активно эксплуатируемых моделей фигурируют Cisco Small Business RV, полностью выведенные из поддержки, линейка Linksys LRT, получающая лишь ограниченные обновления, и Araknis Networks AN-300-RT-4L2W, для которых прошивки больше не выпускаются. Эти устройства по-прежнему работают в инфраструктуре компаний и домашних сетях, но фактически представляют собой открытые двери для атак.

Опасность усугубляют протоколы, оставшиеся в наследство от старых поколений сетевого ПО. ФБР ранее предупреждало, что взломщики активно используют такие механизмы, как Cisco Smart Install (SMI) и SNMP , передающие данные без шифрования. Несмотря на то что уязвимость CVE-2018-017 известна уже 7 лет, она всё ещё даёт возможность группировкам успешно атаковать оборудование. Даже если исправления выпускаются, пользователи часто не спешат их устанавливать, а малый бизнес и частные владельцы вовсе игнорируют обновления, что делает проблему хронической.

По словам исследователей, так называемые «пыльные углы» IT-инфраструктуры — это старое оборудование, унаследованные версии Windows с закрытыми приложениями и забытые сервисы без обновлений. Все они остаются потенциальными точками входа. В таких условиях киберпреступникам достаточно запускать массовое сканирование интернета, чтобы находить и заражать уязвимые устройства.

Наиболее частыми объектами атак сегодня стали маршрутизаторы Huawei Home Gateway HG532. Почти 600 уникальных IP-адресов ежедневно атакуют ловушки Shadowserver, пытаясь воспользоваться критической удалённой уязвимостью, обнаруженной ещё в 2017 году. Она позволяет отправкой специально подготовленных пакетов получить полный контроль над устройством.

Два следующих по популярности направления связаны с брандмауэрами SonicWall. В SonicOS до сих пор активно ищут уязвимость 2022 года, которая позволяет вызвать отказ в обслуживании или выполнить код на устройстве без авторизации, а также баг 2023 года, с помощью которого злоумышленники способны обрушить защитное оборудование. В среднем около 300 уникальных IP ежедневно проверяют наличие этих ошибок.

Сотни источников трафика по-прежнему сканируют уязвимости в Cisco IOS XE, обнаруженные в 2018 и 2023 годах, эксплуатируют дыру в Belkin Wemo (2019), применяют баг в Realtek SDK, которому уже более десяти лет, и используют проблемы безопасности в Zyxel Eir D1000, известные с 2016 года.

Исследователи подчёркивают, что единственный действенный способ снизить риск — это отказаться от устаревших протоколов вроде TELNET, SNMP и SMI, заменить оборудование, которое уже не обновляется, и следить за актуальностью всех систем, даже если они кажутся второстепенными. Особенно важно регулярно обновлять прошивки маршрутизаторов и точек доступа Wi-Fi, поскольку они часто становятся первой мишенью злоумышленников.