Verlies controle lokale netwerkomgeving door routers

Gepubliceerd op 16 juni 2021 om 15:00

Thuis- en SOHO-routers zijn vaak onveilig, maar bedrijven kunnen zich tegen aanvallen via de routers van thuiswerkers beschermen.

Verlies controle netwerkomgevingen

Vanuit een cybersecurity-perspectief is het ergste aspect van de massale overstap op thuiswerk het verlies van controle over de lokale netwerkomgevingen van werkstations. En dan zijn het vooral de thuis routers van werknemers die gevaarlijk zijn. Deze routers hebben in feite de netwerkinfrastructuur die normaal onder controle is van IT-specialisten vervangen. Tijdens de RSA Conference 2021 bespraken onderzoekers Charl van der Walt en Wicus Ross de manieren waarop cybercriminelen werkcomputers via routers aan kunnen vallen, in “All your LAN are belong to us. Managing the real threats to remote workers.”

Thuis routers buiten controle van systeembeheerders

Zelfs als het beveiligingsbeleid van het bedrijf het bijwerken van het besturingssysteem van elke werkcomputer en alle andere relevante instellingen zou kunnen omvatten, zouden thuis routers nog steeds buiten de controle van de systeembeheerders van het bedrijf liggen. In omgevingen waar op afstand wordt gewerkt, kan de IT-afdeling niet weten welke andere apparaten op een netwerk zijn aangesloten, of de firmware van de router up-to-date is en of het wachtwoord ter bescherming van de router sterk genoeg is (of dat de gebruiker het überhaupt heeft gewijzigd ten opzichte van de fabrieksinstellingen).

Dat gebrek aan controle is slechts een deel van het probleem. Een enorm aantal thuis- en SOHO-routers heeft bekende kwetsbaarheden die cybercriminelen kunnen misbruiken om volledige controle over het apparaat te krijgen, wat leidt tot enorme IoT-botnets zoals Mirai, die tienduizenden en soms zelfs honderdduizenden gekaapte routers combineren voor uiteenlopende doeleinden.

In dit opzicht is het goed om te herinneren dat elke router in wezen een kleine computer is waarop een distributie van Linux draait. Cybercriminelen kunnen allerlei dingen doen met gebruik van een gekaapte router. Hieronder volgen een aantal voorbeelden uit het verslag van de onderzoekers.

Een VPN-verbinding kapen

De belangrijkste tool die bedrijven gebruiken om de onbetrouwbare netwerkomgeving van telewerkers te compenseren, is een VPN (virtueel privé-netwerk). VPN’s bieden een versleuteld kanaal waarover gegevens tussen de computer en de bedrijfsinfrastructuur worden getransporteerd.

Veel bedrijven gebruiken VPN’s in split tunneling mode — verkeer naar de servers van het bedrijf, zoals via een RDP (Remote Desktop Protocol)-verbinding, gaat via het VPN, en al het andere verkeer gaat via het onversleutelde openbare netwerk — wat meestal prima is. Een cybercrimineel die controle over de router heeft, kan echter een DHCP-route (Dynamic Host Configuration Protocol) creëren en RDP-verkeer omleiden naar zijn eigen server. Hoewel het ze niet dichter bij het ontcijferen van het VPN brengt, kunnen ze een nep-inlogscherm creëren om de inloggegevens van de RDP-verbinding te onderscheppen. Ransomware-scammers zijn dol op het gebruik van RDP.

Het laden van een extern besturingssysteem

Een ander slim aanvalsscenario voor gekaapte routers is het misbruiken van de PXE-functie (Preboot Execution Environment). Moderne netwerkadapters gebruiken PXE om computers via het netwerk met een besturingssysteem te laden. Normaal gesproken is deze functie uitgeschakeld, maar sommige bedrijven gebruiken hem bijvoorbeeld om het besturingssysteem van een werknemer op afstand te herstellen in geval van een storing.

Een cybercrimineel met controle over de DHCP-server op een router kan de netwerkadapter van een werkstation voorzien van een adres van een systeem dat is aangepast voor controle op afstand. Het is onwaarschijnlijk dat werknemers dit merken, laat staan dat ze weten wat er echt aan de hand is (vooral als ze worden afgeleid door meldingen over de installatie van updates). Intussen hebben cybercriminelen volledige toegang tot het bestandsysteem.

Zo blijft u veilig

Neem de volgende stappen om de computers van werknemers te beschermen tegen de bovenstaande en soortgelijke aanvalsmogelijkheden:

  • Kies voor force tunneling in plaats van split tunneling. Veel VPN-oplossingen voor bedrijven staan forced tunneling met uitzonderingen toe (waarbij standaard al het verkeer door een versleuteld kanaal gaat, met specifieke bronnen die het VPN mogen omzeilen);
  • Schakel Preboot Execution Environment uit in de BIOS-instellingen;
  • Versleutel de harde schijf van de computer met volledige schijfversleuteling (met BitLocker in Windows, bijvoorbeeld).

Aandacht voor de beveiliging van de routers van werknemers is van vitaal belang voor het verhogen van het beveiligingsniveau van elke bedrijfsinfrastructuur die werk op afstand of hybride werkwijzen omvat. In sommige bedrijven voorzien medewerkers van de technische ondersteuning de werknemers van advies over de optimale instellingen voor hun thuis router. Andere bedrijven verstrekken vooraf geconfigureerde routers aan externe werknemers, en staan werknemers toe alleen via die routers verbinding te maken met bedrijfsmiddelen. Daarnaast is het opleiden van medewerkers in het tegengaan van moderne bedreigingen van fundamenteel belang voor netwerkbeveiliging.

Bron: rsaconference.com, kaspersky.com | Nikolay Pankov

Tips of verdachte activiteiten gezien? Meld het hier.

Lees ook: