Apa jadinya jika router yang Anda gunakan membocorkan kredensial login dalam plaintext yang dapat dibaca oleh siapa saja? Sudah tentu akan terjadi pembobolan data.
Dalam sebuah riset, telah ditemukan beberapa celah keamanan pada beberapa router dari dua produsen router kondang, yaitu D-Link dan Comba Telecom. Keduanya mengalami permasalahan serupa, yang melibatkan penyimpanan kredensial yang tidak aman, berpotensi memengaruhi setiap pengguna dan sistem jaringan yang ada.
Total ditemukan lima celah keamanan, tiga celah terdapat pada perangkat WiFi Comba Telecom dan sisanya pada modem D-Link DSL yang biasanya dipasang untuk menghubungkan jaringan rumah ke ISP
Kerentanan ini berpotensi memungkinkan peretas mengubah pengaturan perangkat, mengekstrak informasi sensitif, melakukan serangan MitM, mengarahkan Anda ke situs phishing atau berbahaya dan meluncurkan lebih banyak jenis serangan.
Celah keamanan di router D-Link
Celah pertama berada di router nirkabel D-Link DSL-2875AL dual-band, di mana file berada di https://[router ip address]/romfile.cfg berisi kata sandi login perangkat dalam plaintext dan dapat diakses oleh siapa saja dengan akses ke alamat IP manajemen berbasis web, tanpa memerlukan otentikasi apa pun.
Celah kedua muncul pada D-Link DSL-2875AL dan model DSL-2877AL dan membocorkan nama pengguna dan kata sandi yang digunakan router yang ditargetkan untuk otentikasi dengan Internet Service Provider (ISP).
Peretas lokal yang terhubung ke router yang rentan, jika router terpapar ke Internet, dapat memperoleh kredensial ISP korban hanya dengan melihat kode sumber (HTML) dari halaman login router di https://[router ip address]/index.asp.
Celah keamanan di Wi-Fi Comba
Dari tiga kerentanan, pertama berdampak pada Pengendali Akses WiFi Comba AC2400, membocorkan hash MD5 dari kata sandi perangkat hanya dengan mengakses URL tanpa memerlukan otentikasi apa pun.https://[router ip address]/09/business/upgrade/upcfgAction.php?download=true
Nama pengguna adalah admin, dengan hak istimewa sistem dan md5 kata sandinya adalah 61d217fd8a8869f6d26887d298ce9a69. MD5 sangat mudah dipecahkan, jika SSH/Telnet diaktifkan, ini dapat menyebabkan pengambilalihan penuh sistem file perangkat.
Dua kerentanan lainnya yang ditemukan memengaruhi Titik Akses WiFi Comba AP2600-I (versi A02,0202N00PD2). Salah satu kelemahan ini juga membocorkan hash MD5 dari nama pengguna perangkat dan kata sandi melalui source code dari halaman login manajemen berbasis web, sementara yang lainnya membocorkan kredensial dalam plaintext yang disimpan dalam file database SQLite yang terletak di https://[router ip address]/goform/downloadConfigFile.
Ketiga kerentanan yang ditemukan di router Comba Telecom belum ditambal pada saat penulisan, dan masih belum diketahui apakah perusahaan memiliki rencana untuk mengatasinya atau tidak. Sementara D-Link sudah merilis patch untuk menambal lubang keamanan tersebut.
Mitigasi router
Dalam lingkungan yang dinamis di mana ancaman terus berevolusi dan kerentanan baru diidentifikasi hampir setiap hari, perlu untuk menggunakan alat keamanan paling baru, karena mereka berurusan dengan langkah-langkah perlindungan untuk vektor serangan baru dan selalu berubah.
Berikut beberapa aspek keamanan yang harus dilihat pengguna di jaringan khususnya yang terkait dengan konfigurasi router yang terhubung ke internet, sebagai langkah untuk menjauhkan diri menjadi korban kejahatan siber:
Uji konektivitas dan otentikasi router
Router memungkinkan administrasi dan konfigurasi menggunakan beberapa port di jaringan lokal; ini bisa dilakukan melalui kabel Ethernet atau koneksi nirkabel. Biasanya Anda dapat mengkonfigurasi router Anda melalui web, tetapi router juga memungkinkan koneksi untuk layanan dan port lain, seperti FTP (port 21), SSH (22), Telnet (23), HTTP (80), HTTPS (443), atau SMB (139, 445).
Selain itu, ada berbagai layanan terkenal dan biasa digunakan yang port defaultnya ditetapkan sebagai standar internet, ditentukan oleh Internet Assigned Numbers Authority (IANA). Meskipun konfigurasi port yang diblokir mungkin diatur di router Anda secara default, Anda dapat memeriksanya untuk memastikan pengaturan status dan konfigurasi. Dengan kata lain, Anda hanya dapat mengaktifkan layanan yang dibutuhkan, menonaktifkan yang lain dan memblokir port yang tidak digunakan. Bahkan untuk koneksi jarak jauh, kecuali jika diperlukan.
Logika yang sama berlaku untuk penggunaan kata sandi untuk manajemen layanan. Jika memungkinkan, Anda harus mengubah kata sandi (admin) dan nama pengguna. Jika kata sandi default router belum diubah, itu bisa diketahui atau mudah ditebak oleh peretas, jika itu masalahnya, mereka dapat masuk ke router dan mengkonfigurasi ulang, atau membahayakan jaringan Anda.
Tes kerentanan pada router
Ada aspek lain yang perlu dipertimbangkan ketika mencari titik lemah dalam pengaturan router Anda, yaitu tes untuk router yang dapat dilakukan dengan menggunakan alat yang mengotomatisasi tugas-tugas seperti mencari kelemahan yang diketahui. Jenis alat ini mencakup informasi, opsi, dan saran tentang cara mengatasi kemungkinan masalah ini. Peretas menggunakan alat serupa untuk mengidentifikasi kerentanan di router Anda, jadi itu ide yang baik untuk menggunakannya juga, sehingga router Anda tidak lagi menjadi sasaran empuk.
Beberapa pengujian router termasuk pemindaian kerentanan port, reputasi server DNS, kata sandi standar atau mudahditebak, firmware rentan, atau serangan malware. Beberapa juga termasuk analisis kerentanan komponen server web router, mencari masalah seperti cross-site scripting (XSS), injeksi kode atau eksekusi kode jarak jauh.
Verifikasi perangkat yang terhubung di jaringan
Aspek ketiga mempertahankan fungsi dan kinerja router dan jaringan dengan melakukan identifikasi perangkat yang terhubung. Terkadang, karena praktik buruk dan penggunaan protokol yang rentan, perangkat yang tepercaya dapat terhubung tanpa otorisasi yang tepat, dan juga untuk perangkat yang tidak dipercaya untuk terhubung.
Oleh karena itu, perlu untuk mengetahui dan dapat mengidentifikasi semua perangkat yang terhubung ke router Anda: pertama, untuk menghindari konsumsi sumber daya oleh pihak ketiga yang melakukannya secara tidak sah dan menurunkan kinerja jaringan, dan kedua, sebagai parameter keamanan untuk mencegah informasi Anda dikompromikan.
Verifikasi ini dapat dilakukan secara otomatis atau manual menggunakan opsi administrasi router, langkah selanjutnya yang harus dilakukan adalah mengizinkan perangkat yang diizinkan saja, dengan menggunakan filter untuk membatasi akses ke alamat IP tertentu atau alamat MAC saja.
Perbarui semua perangkat di jaringan
ESET selalu merekomendasikan update semua perangkat yang terhubung ke jaringan (seperti komputer, ponsel cerdas atau tablet), atau begitu pabrikan menerbitkan tambalan keamanan yang mengatasi kerentanan, juga instal pembaruan ke firmware router, segera setelah tambalan tersedia.
Aktifkan opsi keamanan
Aspek kelima adalah mengaktifkan opsi keamanan yang tersedia dalam konfigurasi router, yang bervariasi tergantung pada model dan jenis perangkat. Terlepas dari model router yang digunakan di jaringan Anda, ESET menyarankan Anda mengaktifkan opsi keamanan yang dirancang untuk menawarkan lebih banyak perlindungan perangkat dan jaringan Anda.
Misalnya, beberapa router menyertakan opsi konfigurasi yang memungkinkan peningkatan perlindungan terhadap serangan Denial of Service (DoS) yang diketahui, seperti SYN Flooding, ICMP Echo, ICMP Redirection, Denial Network Area Lokal (LAND), Smurf dan WinNuke. Jika mengaktifkan opsi ini mencegah router dan jaringan Anda berfungsi dengan baik, nonaktifkan secara selektif untuk meningkatkan kinerja.
