Na RSA Conference 2021, pesquisadores relataram como os cibercriminosos podem atacar computadores de trabalho por meio de roteadores, em “Todas as suas LANs pertencem a nós. Do gerenciamento das ameaças reais ao home office.”

Por que os roteadores domésticos dos funcionários são um grande problema

Mesmo se as políticas de segurança corporativa pudessem cobrir a atualização do sistema operacional de cada computador de trabalho e todas as outras configurações relevantes, os roteadores domésticos ainda estariam fora do controle dos administradores de sistema corporativo. Com relação a ambientes de trabalho remoto, a TI não consegue saber quais outros dispositivos estão conectados a uma rede, se o firmware do roteador está atualizado e se a senha que o protege é forte (ou se o usuário até mesmo mudou de o padrão de fábrica).

Essa falta de controle é apenas parte do problema.

Um grande número de roteadores domésticos e SOHO (Small Office Home Office) têm vulnerabilidades conhecidas que os cibercriminosos podem explorar para obter controle total sobre o dispositivo, levando a enormes botnets IoT, como Mirai, que combinam dezenas e às vezes até centenas de milhares de roteadores sequestrados para uma variedade de finalidades.
A este respeito, vale lembrar que todo roteador é essencialmente um pequeno computador rodando alguma distribuição de Linux. Os cibercriminosos podem realizar muitas coisas ao hackear um roteador A seguir estão alguns exemplos do relatório.

Invasão de uma conexão VPN

A principal ferramenta que as empresas usam para compensar os ambientes de rede não confiáveis dos trabalhadores remotos é uma VPN (Virtual Private Network). As VPNs oferecem um canal criptografado por meio do qual os dados trafegam entre o computador e a infraestrutura corporativa.

Muitas empresas usam VPNs no modo tunelamento dividido (split tunneling) – o tráfego para os servidores da empresa, como por conexão RDP (Remote Desktop Protocol), passa pela VPN, e os demais passam pela rede pública não criptografada – o que geralmente é normal. No entanto, um cibercriminoso no controle do roteador pode criar uma rota DHCP (Dynamic Host Configuration Protocol) e redirecionar o tráfego RDP para seu próprio servidor. Embora não os deixe mais perto de descriptografar a VPN, eles podem criar uma tela de login falsa para interceptar as credenciais de conexão RDP. Os golpistas de ransomware adoram usar RDP.

Carregando um sistema operacional externo

Outro cenário inteligente de ataque pelo roteador envolve a exploração do recurso PXE (Preboot Execution Environment). Adaptadores de rede modernos usam PXE para carregar computadores com um sistema operacional na rede. Normalmente, o recurso está desativado, mas algumas empresas o utilizam, por exemplo, para restaurar remotamente o sistema operacional de um funcionário em caso de falha.

Um cibercriminoso com controle sobre o servidor DHCP em um roteador fornece ao adaptador de rede de uma estação de trabalho um endereço de sistema modificado para controle remoto. É improvável que os funcionários percebam, muito menos saibam o que realmente está acontecendo (ainda mais se eles se distraem com notificações de instalação de atualizações). Enquanto isso, os cibercriminosos têm acesso total ao sistema de arquivos.

Como se manter seguro

● Opte por tunelamento forçado (forced tunneling) em vez de dividido. Muitas soluções VPN corporativas permitem tunelamento forçado com exceções (por padrão, passar todo o tráfego por um canal criptografado, com recursos específicos permitidos para contornar a VPN);
● Desative o ambiente de execução de pré-inicialização nas configurações do BIOS;
● Criptografe totalmente o disco rígido do computador usando criptografia de disco total (com BitLocker no Windows, por exemplo).

Investir na proteção dos roteadores dos funcionários é vital para aumentar o nível de segurança de qualquer infraestrutura corporativa que inclua trabalho remoto ou modelo híbrido.

Conte com nossos Experts Brasiline

Nosso objetivo é garantir um alto nível de serviço e qualidade nos projetos, para que a sua TI seja usada de forma estratégica, a favor dos seus negócios e das pessoas envolvidas.

Assim, sua empresa pode focar no que realmente interessa: no seu core business. Junte- se aos mais de 1.200 clientes em todo o Brasil que aderiram à nossa ampla oferta de soluções e serviços em regime de 24x7x365 com SLA zero.

Fonte