נת(י)בי טייוואן לקורונה: נחשפו חולשות בנתבי D-Link

חולשות התגלו בנתבי D-Link. יצרנית הטכנולוגיה הטייוואנית פרסמה עדכון אבטחה לאחר שחוקרי יחידה 42 – יחידת מחקר הסייבר של פאלו אלטו, איתרו סידרת חולשות בנתבי אינטרנט ביתיים מתוצרת החברה.

אם האקרים היו מנצלים אותן, החולשות היו מאפשרות לתוקפים לסרוק את תנועת הרשת כדי לגנוב קבצי‎ קוקי'ז, לגנוב סיסמאות ונתונים רגישים אחרים ולהעלות או להוריד קבצים רגישים; כך לדברי החוקרים בדו"ח שפורסם בסוף השבוע. החוקרים לא ציינו בדו"ח אם איתרו מקרים שבהם ניצלו האקרים את החולשות שמצאו.

אזהרת האבטחה ציינה, כי נתבי אינטרנט ביתיים מהווים יעדים להאקרים במיוחד בתקופה האחרונה, שבה רבים ברחבי העולם עברו לעבודה מהבית בשל ההגבלות שהושתו בגין נגיף הקורונה. בתקופה זו ניצלו האקרים את המצב הזה והחלו להתמקד במערכת שמות הדומיינים של נתבים ביתיים בארצות הברית ובמדינות אירופה, כדי לשכנע את הקורבנות להוריד נוזקות, כך עלה מכמה מחקרים, בהם זה של ביט-דיפנדר (BitDefender).

D-Link, אשר הניבה הכנסות של יותר מ-123 מיליון דולרים ברבעון הראשון של 2020, מציעה מוצרי רשת ללקוחות עסקיים וצרכנים כאחד, כולל ציוד מעקב, מכשירי פס רחב ומתגים. בשנת 2019 הסכימה החברה להוציא לפועל "תוכנית אבטחת תוכנה מקיפה" כחלק מהסדר עם ועדת הסחר האמריקנית הפדרלית‎.

אחת החולשות שחשפו חוקרי יחידה 42 בדו"ח, ‎ CVE-2020-13782‎ – עלולה הייתה לאפשר לתוקפים לבצע מתקפות מניעת שירות מבוזרות, DDos – ולהחדיר קוד שרירותי לנתב עם הרשאות ניהול. אך כדי לנצל חולשה זו, האקרים היו זקוקים לאימות שניתן היה להשיג ביעילות אם היו מנצלים אחת משתי החולשות האחרות שמצאו חוקרי פאלו אלטו –   CVE-2020-13786 ו-CVE-2020-13784.

אם התוקפים ינצלו, למשל את החולשה שתויגה כ- CVE-2020-13786 – הם היו יכולים להשיג גישה לחלקים המוגנים באמצעות סיסמה באתרי אינטרנט על ידי בדיקת sniffing של התנועה באינטרנט. זאת כיוון שחלק מהדפים בממשק האינטרנט של נתבי‎ D-Link היו חשופים לחולשות זיוף בקשות חוצות אתרים. חולשה זו עלולה הייתה לאפשר לתוקפים למחוק ולהציג תוכן של קבצים או להעלות נוזקה.

אם התוקפים היו מנצלים את החולשה שתויגה כ- CVE-2020-13784 – הם היו יכולים לגשת לקובצי הקוקי'ז שבהם אתרים משתמשים כדי לשמור על משתמשים מחוברים, ולעקוב אחר מידע של המשתמשים. אם האקרים היו מקבלים גישה שכזו, הם היו יכולים להתחזות לקורבן באופן מקוון. חולשה זו הייתה זמינה גם אם הקורבנות היו משתמשים ב-https, כדי להצפין את פעילותם ברשת.