Nhiều lỗ hổng nghiêm trọng trong các bộ định tuyến Wi-Fi Ruckus được sử dụng trên toàn thế giới đã được tiết lộ tại Chaos Communication Congress (CCC) lần thứ 36 ở Leipzig, Đức, được tổ chức từ ngày 27 đến 30 tháng 12 năm 2019.
Ruckus cung cấp thiết bị kết nối mạng không dây cao cấp cung cấp mesh Wi-Fi dạng lưới (được gọi là ‘Unleashed’) và các bộ định tuyến thông thường cho hàng trăm ngàn khách hàng. Wi-Fi dạng lưới phổ biến trong các hội nghị, sân bay, khách sạn và các khu vực rộng lớn khác yêu cầu truy cập Wi-Fi. Ví dụ, nó được sử dụng cùng với Google Station để triển khai các điểm truy cập Wi-Fi công cộng trên khắp Sao Paulo ở Brazil và trong các cấu hình tương tự ở Ấn Độ, Mexico và Indonesia. Các tổ chức cũng sử dụng Ruckus để cung cấp mạng Wi-Fi trên toàn công ty.
Các lỗ hổng được phát hiện bởi Gal Zror, trưởng nhóm tại Aleph Research, bộ phận nghiên cứu bảo mật của HCL AppScan và đã trình bày (YouTube) tại CCC. Chúng bao gồm ba khả năng khai thác mã từ xa (RCE) khác nhau được xây dựng từ rò rỉ thông tin và thông tin xác thực, bỏ qua xác thực, tiêm lệnh, truyền tải đường dẫn, tràn ngăn xếp và đọc/ghi tệp tùy ý. Các nhà nghiên cứu đã kiểm tra firmware của 33 điểm truy cập Ruckus khác nhau và thấy tất cả chúng đều dễ bị tấn công.
Mặc dù các thiết bị được kiểm tra là từ Ruckus Unleashed, Zror nói với SecurityWeek, “Tôi tin rằng các vấn đề tương tự sẽ ảnh hưởng đến các bộ định tuyến thông thường của Ruckus và các thiết bị Ruckus khác. Không cần xác thực trước, “ anh tiếp tục,” Tôi có thể chạy mã của riêng mình trên các thiết bị đó. Hàm ý là tôi có thể tải phần mềm độc hại của riêng mình vào bộ định tuyến và thao tác với tất cả các hoạt động của bộ định tuyến, theo ý muốn. Từ đó tôi có thể truy cập bất kỳ mạng nào khác, kể cả mạng công ty, có thể được kết nối hoặc cũng có thể sử dụng các thiết bị Ruckus.”
Zror đã báo cáo những phát hiện cho Ruckus, hãng này đã xuất bản một tư vấn bảo mật (PDF) vào ngày 24 tháng 12 năm 2019. Mười lỗ hổng khác nhau đã được cấp số nhận dạng CVE: CVE-2019-19834 cho đến CVE-2019-19843. Ruckus nói với SecurityWeek: “Sau khi được nâng cấp lên phiên bản mới nhất, các điểm truy cập này sẽ được bảo vệ chống lại các lỗ hổng được phát hiện gần đây có thể cho phép kẻ tấn công có được quyền truy cập không được xác thực vào các ZoneDirector và AP Unleashed, cũng như các bộ điều khiển của ZoneDirector chạy trên firmware cũ. Như với bất kỳ sản phẩm nào, Ruckus sẽ tiếp tục phát hành các bản cập nhật firmware định kỳ cho các điểm truy cập của nó, bao gồm cả những sản phẩm đang chạy trên ZoneDirector và Unleashed.”
Ba kịch bản tấn công được phát hiện bởi nhóm của Zror trước tiên là tiết lộ thông tin xác thực giao diện web và bẻ khóa CLI để lấy root shell trên điểm truy cập. Thứ hai, một lỗi tràn ngăn xếp trong tệp thực thi ‘zap’ cho phép gửi yêu cầu HTTP không được xác thực đến giao diện web. Và thứ ba, một tệp ghi tùy ý sử dụng tệp thực thi ‘zap’ có thể tạo trang ‘jsp’ mới không yêu cầu xác thực và dễ bị tiêm lệnh.
Có rất nhiều mối đe dọa từ các lỗ hổng này – với sự phổ biến của các thiết bị Ruckus – có khả năng ảnh hưởng đến hàng ngàn người dùng. Điểm đầu tiên là vì sự hiện diện của các thiết bị có thể được phát hiện thông qua Shodan, nên trong một số trường hợp, có thể xác định được các công ty sử dụng Ruckus Unleashed Wi-Fi. Các thiết bị này có thể bị xâm phạm từ xa thông qua internet và có thể cung cấp chỗ đứng (foothold) trong mạng công ty. Tất nhiên, trong những trường hợp như vậy, các lỗ hổng bổ sung sẽ được yêu cầu để xâm nhập và truy cập thông qua mạng công ty.
Khả năng thứ hai có thể là nhắm mục tiêu một người dùng đã biết, tại một hội nghị, khách sạn hoặc chờ ở sân bay cho một chuyến bay. Truy cập vào lưu lượng truy cập của người dùng đó sẽ dễ dàng và ngay cả lưu lượng được mã hóa SSL cũng sẽ bị tiêm DNS. Nhiều khả năng sẽ sử dụng các kỹ thuật như vậy để chuyển hướng đến các trang web lừa đảo để thu thập thông tin đăng nhập.
Tuy nhiên, Zror tin rằng việc sử dụng các lỗ hổng như vậy rất có thể chỉ đơn giản là tạo ra tình trạng hỗn loạn. “Một số lỗ hổng này thực sự rất đơn giản”, Zror nói với SecurityWeek. “Ví dụ, cái đầu tiên là đơn giản để thực hiện.” Bằng cách giới thiệu phần mềm độc hại tùy chỉnh, sẽ dễ dàng hạ gục tất cả các bộ định tuyến Ruckus hoặc các điểm truy cập tại một vị trí cụ thể. Vì lý do này, anh ta nghi ngờ một trong những mối nguy hiểm lớn nhất sẽ là những script-kiddies không có kỹ năng, đang tìm kiếm thứ gì đó để tăng danh tiếng của chúng trên các diễn đàn ngầm.
“Khách hàng sử dụng Ruckus hoặc bất kỳ bộ định tuyến nào khác”, ông nói với SecurityWeek, “phải nhận thức được khả năng và nguy cơ của các lỗ hổng đó – và phải luôn đảm bảo rằng các thiết bị của họ đang chạy firmware và bản cập nhật mới nhất .”
