Более 19 000 модемов Orange Livebox «сливают» учетные данные Wi-Fi - «Новости»

Xakep #236. FPGA

• Содержание выпуска


• Подписка на «Хакер»

В минувшие выходные известный ИБ-эксперт Трой Мурш (Troy Mursch), сооснователь компании Bad Packets LLC, сообщил, что honeypot-серверы компании засекли, что неизвестные злоумышленники атакуют модемы Orange Livebox ADSL.

Таких уязвимых устройств в сети насчитывается около 19 500, и из-за уязвимости они могут «сливать» учетные данные Wi-Fi. По данным Мурша, сканирования начались в прошлую пятницу, 21 декабря, а подавляющее большинство девайсов принадлежит Orange Espana (AS12479) и пользователям из Испании и Франции.

Атакующие эксплуатируют уязвимость CVE-2018-20377, впервые описанную еще в 2012 году. Данный баг позволяет злоумышленнику узнать SSID и пароль от локальной Wi-Fi сети, получив доступ к файлу get_getnetworkconf.cgi.

Эксперты отмечают, что такие утечки могут быть опасны на многих уровнях. Так, сервисы подобные WiGLE позволят атакующему установить географические координаты сети, зная лишь SSID. После этого злоумышленники могут приехать в данную точку и воспользоваться паролем, имеющимся в их распоряжении, для доступа к сети жертвы и атак на ближайшие устройства. Также исследователи напоминают, что многие люди используют одни и те же пароли для Wi-Fi сети модемов и для контрольной панели на бэкэнде. В итоге баг может быть использован и для построения ботнетов.

«Атакующие могут узнать телефонный номер, привязанный к модему, и применить другие опасные эксплоиты, описанные в этом GitHub-репозитории», — предупреждает Мурш.

Специалисты уведомили уже о происходящем представителей Orange Espana и испанский CERT.

Thanks for the notification. We're handling your case.

— Orange-CERT-CC (@OrangeCertCC) December 23, 2018