Обновление программного обеспечения для сетевого оборудования - это не просто вопрос новых функций, но и критически важная мера безопасности. Недавний релиз KeeneticOS версии 5.0.7 наглядно это демонстрирует, поскольку основным его компонентом стало устранение двух серьёзных уязвимостей в библиотеке OpenSSL, которые теоретически могли привести к компрометации защищённых соединений через оборудование Keenetic. Данный инцидент касается миллионов пользователей маршрутизаторов Keenetic по всему миру, а также поднимает вечный вопрос своевременности обновлений встроенного ПО.
Детали обновления
CVE-2014-3570, была обнаружена ещё в 2015 году и связана с ошибкой в алгоритме вычисления квадрата больших чисел (BN_sqr) в OpenSSL. Хотя её эксплуатация считалась сложной, сама возможность теоретического ослабления криптографической защиты являлась фактором риска.
Гораздо более актуальной является вторая проблема - CVE-2022-4304. Это уязвимость типа «временной канал» (timing side-channel) в процедуре расшифровки RSA. Её опасность заключается в том, что удалённый злоумышленник, способный отправить на целевой сервер (или устройство, выполняющее расшифровку, как маршрутизатор с включёнными VPN-сервисами) огромное количество специально сформированных сообщений и замерять время их обработки, может в итоге восстановить исходный секретный ключ или данные сессии, например, предварительный главный секрет (pre-master secret) в TLS-соединении. Подобная атака, известная как атака Бляйхенбахера, ставит под угрозу конфиденциальность всего трафика.
Примечательно, что уязвимость CVE-2022-4304 затрагивала все режимы заполнения RSA, включая PKCS#1 v1.5, RSA-OEAP и RSA-SVE, что делало её особенно критичной. В контексте маршрутизатора Keenetic угроза могла реализоваться, если на устройстве были активированы службы, использующие RSA для входящих соединений из внешней сети, например, сервер VPN (IPsec, OpenVPN) или проброс портов для защищённых внутренних сервисов. Злоумышленник, имеющий доступ к такому интерфейсу, мог попытаться провести атаку и получить ключи для расшифровки трафика других пользователей этой сети. Однако важно подчеркнуть, что для успешной эксплуатации требуются специфические условия и огромное количество запросов, что снижает вероятность массовых атак, но не исключает целенаправленных.
Помимо исправлений безопасности, обновление принесло и функциональные улучшения, косвенно связанные с защитой. Так, появилась возможность отключать протоколы автоматического обнаружения сетевых устройств - SSDP (Simple Service Discovery Protocol) и WS-Discovery (Web Services Dynamic Discovery) на отдельных интерфейсах. Эти службы, полезные в домашних сетях для удобства подключения принтеров или медиаустройств, могут использоваться злоумышленниками для разведки внутренней структуры сети, если маршрутизатор неправильно сконфигурирован или подвержен атаке. Предоставление администраторам инструментов для точечного управления такими функциями - это шаг в сторону лучших практик сегментации и минимизации поверхности атаки. Кроме того, добавление поддержки URI IPv6 для безопасных DNS-серверов (DoT и DoH) способствует переходу на более современные и криптографически защищённые способы разрешения доменных имён, что осложняет перехват и подмену DNS-трафика.
Каковы практические выводы и рекомендации для пользователей и администраторов?
- Обновление до KeeneticOS 5.0.7 является обязательным действием, особенно для устройств, используемых в малом бизнесе или с включёнными серверными функциями. Процедура обновления обычно выполняется через веб-интерфейс устройства автоматически или вручную.
- Стоит пересмотреть конфигурацию сетевых интерфейсов. Если в какой-либо сегмент сети (например, гостевая сеть Wi-Fi или интерфейс, смотрящий в сторону провайдера) не требуется автоматическое обнаружение устройств, новые команды CLI ("interface {name} ssdp disable" и "interface {name} wsd disable") следует применить для снижения шансов на разведку.
- Рекомендуется воспользоваться улучшенной поддержкой безопасного DNS поверх IPv6, чтобы обеспечить приватность запросов даже в условиях постепенного отключения IPv4.
В заключение, релиз KeeneticOS 5.0.7 является примером ответственного подхода производителя к жизненному циклу продукции. Устранение уязвимостей, даже тех, что были найдены в старых версиях OpenSSL, показывает внимание к безопасности на глубоком уровне. Между тем, этот кейс также напоминает, что сетевое оборудование - это не «установил и забыл» устройство, а активный элемент инфраструктуры, требующий регулярного обслуживания и настройки в соответствии с меняющимся ландшафтом угроз. Для специалистов по кибербезопасности подобные обновления подчёркивают важность управления уязвимостями не только на серверах и рабочих станциях, но и на всех умных устройствах, входящих в периметр сети, включая маршрутизаторы и точки доступа.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2022-4304
- https://www.cve.org/CVERecord?id=CVE-2014-3570
- https://support.keenetic.ru/giga/kn-1012/ru/35833-latest-preview-release.html?utm_source=webhelp&utm_campaign=5.00.C.7.0-0&utm_medium=changelog#53059-keeneticos5-0-7
