(5.11.2008) Kuluttajaverkkolaitteiden valmistajilla puutteita verkon tietoturvariskien ymmärtämisessä
Lehdistötiedote 5.11.2008 Louhi Networks, Helsinki
A-Linkin valmistamasta reitittävästä WLAN-tukiasemasta (mallit WL54AP2 ja WL54AP3, versiota 1.4.2 aiemmat versiot) on löytynyt vakava haavoittuvuus, joka mahdollistaa laitteen hallintaliittymän vihamielisen haltuunoton. Haavoittuvuuden löysivät Louhi Networksin tietoturva-asiantuntijat.
Haavoittuvuus mahdollistaa pankkitietojen kalastelun
Jos haavoittuvan laitteen omistava kuluttaja surffaa tai eksyy verkkorikollisen ylläpitämälle sivustolle tai palveluun, rikollisen on mahdollista ottaa haltuunsa laitteen hallintaliittymä. Tämä taas mahdollistaa laitteen asetusten muuttamisen siten, että kuluttaja ohjataan hänen huomaamattaan rikollisten ylläpitämälle lumesivustolle silloinkin, kun kuluttaja luulee asioivansa tutussa ja turvallisessa palvelussa, esimerkiksi oman pankkinsa verkkopalvelussa. Lumesivustolla rikollisen on helppo kalastaa tietoonsa kuluttajan verkkopankkitunnukset.
– Aiemmin tänä vuonna Mexicossa paljastui Banamex-pankin asiakkaisiin kohdistunut laaja huijaus, jossa pankkitunnuksia oli onnistuttu kalastelemaan kuluttajamodeemien haavoittuvuuksia hyödyntämällä, kertoo Louhi Networksin haavoittuvuustutkija Henri Lindberg varoittavana esimerkkinä.
– Kovin harva kuluttaja osaa tai muistaa katsoa, onko tutulta näyttävä nettisivu oikea vai lumesivu, ennen kuin syöttää kirjautumiskenttiin tunnuksensa ja salasanansa, harmittelee haavoittuvuustutkimukseen osallistunut Louhen tietoturva-asiantuntija Jussi Vuokko.
Yleisimmissä selaimissa oikeellisuuden kertoo esimerkiksi lukon kuva selaimen oikeassa alakulmassa (Microsoft Internet Explorer -selain) tai lukon kuva osoitekentän oikeassa laidassa ja osoitekentän värin muuttuminen (Mozilla Firefox).
Laitevalmistajien ymmärryksessä puutteita
Lindbergin ja Vuokon mukaan syynä haavoittuvuuksien löytymiseen on erityisesti se, etteivät kaikki laitevalmistajat ymmärrä web-sovellusturvan merkitystä. A-Linkin lisäksi Louhi Networksin asiantuntijat ovat löytäneet vastaavia haavoittuvuuksia mm. ZyXellin, Buffalon ja Checkpointin laitteista.
– On valitettavaa, että jopa johtavat laitevalmistajat heräävät web-sovellusturvallisuuteen vasta vahinkojen tapahduttua. Web-hallintaliittymiä ei päivitetä tarpeeksi usein, vaan vanhentuneita liittymäsovelluksia asennetaan laitteisiin surutta liian pitkään, Lindberg moittii laitevalmistajia.
Teknisesti A-Linkin tapauksessa on kyse niin sanotuista CSRF (Cross-Site Request Forgery) ja XSS (Cross-Site Scripting) -haavoittuvuuksista. Oletuskonfiguraation ja löydettyjen haavoittuvuuksien avulla laite on mahdollista konfiguroida uudelleen esimerkiksi tunnuksen, salasanan tai nimipalvelutietojen osalta. Laitteeseen on mahdollista myös syöttää Javascript-haittaohjelmaa kiusantekomielessä.
Louhi Networks kehottaa kaikkia haavoittuvan laitteen omistavia päivittämään ohjelmiston valmistajan sivuilta sekä huolehtimaan siitä, että hallintaliittymän oletussalasanat ovat vaihdettu käyttäjän itse määrittämiksi.
Lisätietoja
Marcus Westren-Doll
Myyntijohtaja, tietoturvatuotteet
puh. 09 - 25 122 126
mobile: 050 - 516 5442
Jussi Vuokko
Tietoturva-asiantuntija, Louhi Networks
Puh. (09) 2512 2152
jussi.vuokko@louhi.fi
Louhi Networksin raportti haavoittuvuudesta:
http://louhi.fi/advisory/alink_081028.txt
Viestintäviraston CERT-FI-tietoturvayksikkö:
http://www.cert.fi/haavoittuvuudet/2008/haavoittuvuus-2008-133.html
Louhi Networks on IT-ylläpitopalveluihin ja tietoturvaratkaisuihin keskittynyt palveluyritys. Louhi auttaa yrityksiä keskittymään omaan liiketoimintaansa mahdollistamalla tietoturvalliset ja huolettomat IT-ratkaisut. Louhi on osa voimakkaasti kasvavaa Smilehouse-konsernia, johon kuuluvat myös Smilehouse Oy, Smilehouse Baltic Oü ja Karttago Oy. Konsernin liikevaihtoarvio vuodelle 2008 on 5,5 M€.
