เตือนภัย ช่องโหว่ในเราเตอร์ TP-LINK ผู้ไม่หวังดีสามารถควบคุมเราเตอร์ของเหยื่อได้

ในวันที่ 15 มกราคม 2557 นาย ABDELLI Nassereddine ชาวแอลจีเรีย ได้เปิดเผยรายงานผ่านเว็บไซต์ The Hacker News ถึงช่องโหว่ในเราเตอร์ยี่ห้อ TP-LINK รุ่น TD-W8951ND ซึ่งเป็นเราเตอร์ที่บริษัท Algerie Telecom ผู้ให้บริการด้านโทรคมนาคมรายใหญ่ของแอลจีเรีย ได้จัดจำหน่ายให้กับผู้ใช้อินเทอร์เน็ตตามบ้าน โดยช่องโหว่ดังกล่าวมีที่มาจากการค้นพบว่า ผู้ใช้สามารถเข้าถึงหน้าต่างการอัพเกรด Firmware และ Romfile (ไฟล์ที่เก็บการตั้งค่าต่าง ๆ ในเราเตอร์) และสามารถดาวน์โหลด Romfile ของเราเตอร์ได้โดยไม่จำเป็นต้องล็อกอินแต่อย่างใด ผ่านทาง URL: http://<ip-address>/rpFWUpload.html ซึ่งจากการวิเคราะห์ Romfile เพิ่มเติมด้วยวิธีการ Reverse engineering ทำให้สามารถถอดรหัสผ่านของบัญชี Administrator ของเราเตอร์ออกมาอยู่ในรูปของ Plain text ได้

ผลกระทบ

ผู้ไม่หวังดีสามารถเข้าควบคุมเราเตอร์ของเหยื่อ เพื่อแก้ไขการตั้งค่าและนำไปสู่การโจมตีในรูปแบบต่างๆได้ทันที

ตัวอย่างการโจมตี

ผู้ไม่หวังดีทำการเปลี่ยนแปลงการตั้งค่า DNS ในเราเตอร์ที่มีช่องโหว่ เพื่อให้ผู้ใช้งานเรียกใช้งาน DNS อันตรายที่ผู้ไม่หวังดีสร้างขึ้น ในทางเทคนิคจะเรียกเทคนิคดังกล่าวว่าเป็นการโจมตีแบบ DNS Hijacking โดยสถานการณ์สมมติตามตัวอย่างในรูปที่ 1 การโจมตีของผู้ไม่หวังดีมีจุดประสงค์เพื่อขโมยบัญชีการเข้าใช้งานอีเมล Gmail ของผู้ใช้งาน โดย DNS ของผู้ไม่หวังดีจะ Redirect ผู้ใช้งานไปยังเครือข่ายของผู้ไม่หวังดี แทนที่จะไปยังเว็บไซต์ Gmail.com ที่เป็นเครือข่ายที่ถูกต้อง ทำให้ผู้ไม่หวังดีสามารถขโมยข้อมูลการล๊อกอินที่ผู้ใช้งานป้อนเข้าสู่ระบบได้ทันที

รูปที่ 1 ตัวอย่างการโจมตีด้วยเทคนิค DNS Hijacking

ระบบที่ได้รับผลกระทบ

เราเตอร์ยี่ห้อ TP-LINK รุ่น TD-W8951ND ตามที่ปรากฏในข่าว

และจากการตรวจสอบในเบื้องต้น ไทยเซิร์ตพบเราเตอร์รุ่นต่อไปนี้ที่ได้รับผลกระทบจากช่องโหว่ดังกล่าวเช่นเดียวกัน

TD854W
TD-8816
TD-8817
TD-8840T
TD-W8101G
TD-W8151N
TD-W8901G
TD-W8901N
TD-W8961NB
TD-W8961ND

ข้อแนะนำในการป้องกันและแก้ไข

เนื่องจากยังไม่พบการออกแพทช์สำหรับแก้ไขช่องโหว่ดังกล่าวจากบริษัทผู้พัฒนา ทางไทยเซิร์ตจึงได้ประสานงานกับผู้พัฒนาเพื่อแจ้งปัญหาและสอบถามข้อมูลเพิ่มเติมแล้วแต่ยังไม่ได้รับการตอบกลับ อย่างไรก็ตามผู้ใช้งานสามารถใช้วิธีการป้องกันการเข้าถึงหน้าเว็บบริหารจัดการเราเตอร์จากเครือข่ายอินเทอร์เน็ต ด้วยการเปิดการใช้งาน SPI หรือ เลือกใช้งานฟังก์ชัน ACL (Access Control List) ซึ่งเป็นฟังก์ชันที่ใช้ในการจำกัดการเข้าถึงบริการต่าง ๆ ตามเงื่อนไขที่สร้างขึ้น ที่มีอยู่ในเราเตอร์ TP-LINK เพื่อลดความเสี่ยงจากการถูกโจมตีช่องโหว่ดังกล่าวได้ โดยหลักกการคือ ปิดการเชื่อมต่อหน้าบริการจัดการจากเครือข่ายภายนอก เท่ากับว่าผู้ไม่หวังดีที่พยายามเชื่อมต่อผ่านอินเทอร์เน็ตจะไม่สามารถเข้าถึงหน้าล๊อกอิน หรือหน้าดาวน์โหลดข้อมูล Romfile ของอุปกรณ์เราเตอร์ได้ แต่อย่างไรก็ตามผู้ใช้งานจำเป็นต้องควรพึงระวังสำหรับการตั้งค่าที่ผิดวิธี รวมถึงสิ่งสำคัญที่สุดคือผู้ใช้งานควรรีบอัพเดทแพทช์จากเว็บไซต์ผู้พัฒนาทันทีที่มีการแก้ไขปัญหาแล้ว หรือสามารถติดตามข้อมูลอัพเดทได้ผ่านบทความแจ้งเตือนนี้ได้เช่นกัน โดยไทยเซิร์ตจะรีบแจ้งเตือนทันทีที่มีการอัพเดทจากผู้เกี่ยวข้อง

วิธีการที่ 1 เปิดการใช้งาน SPI เพื่อป้องกันการเข้าถึงหน้าเว็บบริหารจัดการเราเตอร์

1. ภายหลังจากการล๊อกอินเข้าสู่หน้าบริหารจัดการเราเตอร์แล้วให้คลิกที่ Advanced Setup -> Firewall แล้วตั้งค่าตามในรูปที่ 2 จากนั้นคลิกปุ่ม SAVE เป็นอันเสร็จสิ้นการตั้งค่าดังกล่าว จะเป็นการเปิดการทำงานของ SPI ซึ่งจะเป็นการปิดการเชื่อมต่อทั้งหมด ที่สร้างจากภายนอก ไม่ให้สามารถเชื่อมต่อเข้ามายังเราเตอร์ได้

วิธีการที่ 2 การตั้งค่า ACL (Access Control List)

1. ภายหลังจากการล๊อกอินเข้าสู่หน้าบริหารจัดการเราเตอร์แล้วให้คลิกที่ Interface Setup -> LAN ตรวจสอบตรงช่อง Starting IP Address และ IP Pool Count จากตัวอย่างรูปที่ 3 จะพบว่า Starting IP Address คือ 192.168.1.100 และข้อมูล IP Pool Count คือ 100 แสดงว่าไอพีแอดเดรสภายในจะมีค่าได้ในช่วงตั้งแต่ 192.168.1.100 - 192.168.1.199