Tukiasema-aukko avaa rikolliselle oven käyttäjän pankkitunnuksiin

Louhi Networks kertoo, että yhtiön tietoturva-asiantuntijat ovat löytäneet A-Linkin tukiasista haavoittuvuuden, jonka avulla verkkorikollisen on mahdollista päästä käsiksi jopa kuluttajan pankkitunnuksiin ja tilitietoihin.

A-Linkin wlan-tukiasema

5.11.2008 11:33 | Päivitetty 5.11.2008 14:35

Yhtiön asiantuntijat selvittävät, että he löysivät A-Linkin valmistamasta tukiasemista (mallit WL54AP2 ja WL54AP3, versiota 1.4.2 aiemmat versiot) vakavan haavoittuvuuden, joka mahdollistaa modeemin hallintaliittymän vihamielisen haltuunoton.

A-Link Europe korostaa, että kyseessä ovat tässä tapauksessa WL54AP2 ja WL54AP3 mallit, jotka ovat wlan-tukiasemia. Yhtiön mukaan mallit ovat poistuneet jo valikoimista, mutta päivitys löytyy osoitteesta http://www.a-link.com/WL54AP3.html

Louhi Networksin asiantuntijat huomauttavat, että A-Linkin lisäksi on löydetty vastaavia haavoittuvuuksia muun muassa ZyXellin, Buffalon ja Checkpointin laitteista.

Jos haavoittuvan modeemin omistava kuluttaja surffaa tai eksyy verkkorikollisen ylläpitämälle sivustolle tai palveluun, rikollisen on mahdollista ottaa haltuunsa modeemin hallintaliittymä. Tämä taas mahdollistaa modeemin asetusten muuttamisen siten, että kuluttaja ohjataan hänen huomaamattaan rikollisten ylläpitämälle lumesivustolle silloinkin, kun kuluttaja luulee asioivansa tutussa ja turvallisessa palvelussa, esimerkiksi oman pankkinsa verkkopalvelussa. Lumesivustolla rikollisen on helppo kalastaa tietoonsa kuluttajan verkkopankkitunnukset, selvittää Louhi Networks.

– Aiemmin tänä vuonna Mexikossa paljastui Banamex-pankin asiakkaisiin kohdistunut laaja huijaus, jossa pankkitunnuksia oli onnistuttu kalastelemaan kuluttajamodeemien haavoittuvuuksia hyödyntämällä, kertoo Louhi Networksin haavoittuvuustutkija Henri Lindberg varoittavana esimerkkinä.

Yhtiön tietoturva-asiantuntija Jussi Vuokko arvioi, että kovin harva kuluttaja osaa tai muistaa katsoa, onko tutulta näyttävä nettisivu oikea vai lumesivu, ennen kuin syöttää kirjautumiskenttiin tunnuksensa ja salasanansa.

Yleisimmissä selaimissa oikeellisuuden kertoo esimerkiksi lukon kuva selaimen oikeassa alakulmassa (Microsoft Internet Explorer -selain) tai lukon kuva osoitekentän oikeassa laidassa ja osoitekentän värin muuttuminen (Mozilla Firefox). 

Ymmärryksessä puutteita

Lindbergin ja Vuokon mukaan syynä haavoittuvuuksien löytymiseen on erityisesti se, etteivät kaikki laitevalmistajat ymmärrä web-sovellusturvan merkitystä.

– On valitettavaa, että jopa johtavat modeemivalmistajat heräävät web-sovellusturvallisuuteen vasta vahinkojen tapahduttua. Web-hallintaliittymiä ei päivitetä tarpeeksi usein, vaan vanhentuneita liittymäsovelluksia asennetaan modeemeihin surutta liian pitkään, Lindberg toteaa.

Teknisesti A-Linkin tapauksessa on kyse niin sanotuista CSRF (Cross-Site Request Forgery) ja XSS (Cross-Site Scripting) -haavoittuvuuksista. Oletuskonfiguraation ja löydettyjen haavoittuvuuksien avulla modeemi on mahdollista konfiguroida uudelleen esimerkiksi tunnuksen, salasanan tai nimipalvelutietojen osalta. Modeemiin on mahdollista myös syöttää Javascript-haittaohjelmaa kiusantekomielessä.

Louhi Networks kehottaa kaikkia haavoittuvan modeemin omistavia päivittämään modeemin ohjelmiston valmistajan sivuilta sekä huolehtimaan siitä, että hallintaliittymän oletussalasanat on vaihdettu.

Osion tuoreimmat

Luitko jo nämä?