D-Link routerlarida kritik zaiflik: real muhitda ekspluatatsiya qilinayotgan DNS hujumlar

Tarmoq qurilmalari, xususan routerlar ko‘pincha “oddiy uskuna” sifatida baholanadi. Ammo amalda ular foydalanuvchining barcha internet trafigi o‘tadigan asosiy nazorat nuqtasi hisoblanadi. D-Link routerlarida aniqlangan va yillar davomida real muhitda ekspluatatsiya qilinib kelayotgan xavfli zaifliklar ushbu haqiqatni yana bir bor isbotlamoqda.

D-Link kompaniyasi bir nechta router modellari autentifikatsiyasiz buyruq kiritish (command injection) va DNS sozlamalarini masofadan o‘zgartirish imkonini beruvchi zaifliklarga ega ekanini rasman tasdiqladi. Eng xavotirli jihati — bu zaifliklar 2016-yildan beri faol hujumlarda qo‘llanib kelinmoqda va ayrim kampaniyalar 2019-yildan keyin ham davom etgan.

Zaiflik mohiyati: autentifikatsiyasiz DNS boshqaruvi

Aniqlangan muammolar D-Link routerlarining veb-interfeysida kiritilayotgan ma’lumotlar yetarli darajada tekshirilmasligi bilan bog‘liq. Natijada hujumchi:

  • administrator parolisiz;
  • faqatgina internet orqali;
  • router’ning DNS sozlamalarini o‘zgartirishi mumkin.

Bu esa foydalanuvchining barcha internet so‘rovlarini hujumchi nazoratidagi DNS serverlariga yo‘naltirish imkonini beradi. Ushbu hujum turi DNS hijacking deb ataladi va u:

  • phishing hujumlari;
  • zararli dasturlar tarqatish;
  • reklama firibgarligi (malvertising);
  • trafikni yashirin kuzatish

uchun keng qo‘llaniladi.

Real hujum kampaniyalari va ularning rivoji

Xavfsizlik tadqiqotchilari tomonidan hujjatlashtirilgan ma’lumotlarga ko‘ra, ushbu zaifliklar asosida olib borilgan hujumlar:

  • uy foydalanuvchilari;
  • kichik biznes tarmoqlari;
  • korporativ infratuzilmalarni

bir vaqtning o‘zida nishonga olgan.

2016-yil dekabr oyida aniqlangan yirik malvertising kampaniyasi kamida 166 ta router modelini qamrab olgan bo‘lib, ularning orasida D-Link qurilmalari ham bo‘lgan. Hujumchilar DNS hijacking orqali foydalanuvchilarni soxta reklama va phishing serverlariga yo‘naltirgan.

Keyinchalik aniqlanishicha, hujumchilar DNS sozlamalarini o‘zgartirish orqali router ustidan uzoq muddatli nazoratni saqlab qolgan, ya’ni foydalanuvchi brauzerni yoki qurilmani qayta ishga tushirganda ham hujum davom etgan.

2019-yil apreliga kelib, Threat Intelligence jamoalari ketma-ket uch oy davomida D-Link routerlariga qaratilgan faol DNS hijacking hujumlarini qayd etgan. Ayrim hujumlarda Google Cloud Platform infratuzilmasidan foydalanilib, DNSChanger zararli dasturining variantlari tarqatilgan.

Ta’sirlangan D-Link router modellari

Quyidagi D-Link router modellari autentifikatsiyasiz DNS o‘zgartirish zaifligiga ega ekanligi aniqlangan:

  • DSL-2740R (Rev. A, Yevropa) — firmware v1.15 va undan oldingi
  • DSL-2640B (Rev. T, Malayziya) — firmware v1.07 va undan oldingi
  • DSL-2780B (Rev. A, AU/NZ/EU) — firmware v1.01.14 va undan oldingi
  • DSL-526B (Rev. B, Avstraliya) — firmware v2.01 va undan oldingi

Ushbu qurilmalar asosan AQShdan tashqaridagi hududlarda, mahalliy operatorlar tomonidan moslashtirilgan firmware’lar bilan tarqatilgan.

Nima uchun bu zaiflik o‘ta xavfli?

Router komprometatsiya qilinganda:

  • antiviruslar foydasiz bo‘lib qoladi;
  • HTTPS’ga qaramay, foydalanuvchi soxta sahifalarga tushib qolishi mumkin;
  • bank, elektron pochta va korporativ akkauntlar xavf ostida qoladi;
  • butun tarmoq yashirin ravishda nazorat qilinadi.

Eng yomoni — ko‘pchilik foydalanuvchilar router buzilganini umuman sezmaydi.

Himoya choralar va tavsiyalar

D-Link foydalanuvchilarga quyidagi choralarni ko‘rishni qat’iy tavsiya etadi:

  • Router’ni factory reset qilish;
  • Administrator parolini murakkab va noyob qilib o‘rnatish;
  • DNS sozlamalarini qo‘lda tekshirib, ishonchli provayderlarga o‘rnatish:
    • Google DNS — 8.8.8.8
    • Cloudflare DNS — 1.1.1.1
  • Router veb-interfeysini muntazam tekshirish (http://192.168.0.1);
  • Hududingizdagi internet provayder yoki D-Link hamkori orqali rasmiy firmware yangilanishlarini aniqlash.

D-Link routerlaridagi ushbu zaifliklar shuni ko‘rsatadiki, tarmoq xavfsizligi aynan eng chetda qolgan qurilmadan boshlanadi. Yillar davomida ekspluatatsiya qilingan DNS hijacking hujumlari oddiy foydalanuvchidan tortib, biznes tarmoqlarigacha jiddiy xavf tug‘dirib kelmoqda.

Shu sababli router xavfsizligi endi “ikkinchi darajali masala” emas, balki kiberxavfsizlikning asosiy ustunlaridan biri sifatida qaralishi zarur. Bitta himoyasiz router — butun tarmoqning ochiq eshigi bo‘lishi mumkin.