Roteadores são o ponto fraco na estratégia de trabalho remoto

Roteadores domésticos e SOHO costumam ser inseguros, mas as empresas podem se proteger de ataques feitos por esses equipamentos de funcionários remotos.

A partir da perspectiva da cibersegurança, o pior aspecto da mudança em massa para o trabalho remoto tem sido a perda de controle sobre os ambientes de rede local das estações de trabalho. Particularmente perigosos nesse quesito são os roteadores domésticos dos funcionários, que essencialmente substituíram a infraestrutura de rede normalmente sob o controle dos especialistas de TI. Na RSA Conference 2021, os pesquisadores Charl van der Walt e Wicus Ross relataram como os cibercriminosos podem atacar computadores de trabalho por meio de roteadores, em “Todas as suas LANs pertencem a nós. Do gerenciamento das ameaças reais ao home office. ” (Tradução livre)

Por que os roteadores domésticos dos funcionários são um grande problema

Mesmo se as políticas de segurança corporativa pudessem cobrir a atualização do sistema operacional de cada computador de trabalho e todas as outras configurações relevantes, os roteadores domésticos ainda estariam fora do controle dos administradores de sistema corporativo. Com relação a ambientes de trabalho remoto, a TI não consegue saber quais outros dispositivos estão conectados a uma rede, se o firmware do roteador está atualizado e se a senha que o protege é forte (ou se o usuário até mesmo mudou de o padrão de fábrica).

Essa falta de controle é apenas parte do problema. Um grande número de roteadores domésticos e SOHO (Small Office Home Office) têm vulnerabilidades conhecidas que os cibercriminosos podem explorar para obter controle total sobre o dispositivo, levando a enormes botnets IoT, como Mirai, que combinam dezenas e às vezes até centenas de milhares de roteadores sequestrados para uma variedade de finalidades.

A este respeito, vale lembrar que todo roteador é essencialmente um pequeno computador rodando alguma distribuição de Linux. Os cibercriminosos podem realizar muitas coisas ao hackear um roteador A seguir estão alguns exemplos do relatório.

Invasão de uma conexão VPN

A principal ferramenta que as empresas usam para compensar os ambientes de rede não confiáveis dos trabalhadores remotos é uma VPN (Virtual Private Network). As VPNs oferecem um canal criptografado por meio do qual os dados trafegam entre o computador e a infraestrutura corporativa.

Muitas empresas usam VPNs no modo tunelamento dividido (split tunneling) – o tráfego para os servidores da empresa, como por conexão RDP (Remote Desktop Protocol), passa pela VPN, e os demais passam pela rede pública não criptografada – o que geralmente é normal. No entanto, um cibercriminoso no controle do roteador pode criar uma rota DHCP (Dynamic Host Configuration Protocol) e redirecionar o tráfego RDP para seu próprio servidor. Embora não os deixe mais perto de descriptografar a VPN, eles podem criar uma tela de login falsa para interceptar as credenciais de conexão RDP. Os golpistas de ransomware adoram usar RDP.

Carregando um sistema operacional externo

Outro cenário inteligente de ataque pelo roteador envolve a exploração do recurso PXE (Preboot Execution Environment). Adaptadores de rede modernos usam PXE para carregar computadores com um sistema operacional na rede. Normalmente, o recurso está desativado, mas algumas empresas o utilizam, por exemplo, para restaurar remotamente o sistema operacional de um funcionário em caso de falha.
Um cibercriminoso com controle sobre o servidor DHCP em um roteador fornece ao adaptador de rede de uma estação de trabalho um endereço de sistema modificado para controle remoto. É improvável que os funcionários percebam, muito menos saibam o que realmente está acontecendo (ainda mais se eles se distraem com notificações de instalação de atualizações). Enquanto isso, os cibercriminosos têm acesso total ao sistema de arquivos.

Como se manter seguro

Para proteger os computadores dos funcionários das opções de ataque acima e semelhantes, execute as seguintes etapas:

● Opte por tunelamento forçado (forced tunneling) em vez de dividido. Muitas soluções VPN corporativas permitem tunelamento forçado com exceções (por padrão, passar todo o tráfego por um canal criptografado, com recursos específicos permitidos para contornar a VPN);
● Desative o ambiente de execução de pré-inicialização nas configurações do BIOS;
● Criptografe totalmente o disco rígido do computador usando criptografia de disco total (com BitLocker no Windows, por exemplo).

Investir na proteção dos roteadores dos funcionários é vital para aumentar o nível de segurança de qualquer infraestrutura corporativa que inclua trabalho remoto ou modelo híbrido. Em algumas empresas, a equipe de suporte técnico presta atendimento aos funcionários sobre as configurações ideais para o roteador doméstico. Outras empresas destinam roteadores pré-configurados para funcionários em regime de home office, permitindo que se conectem a recursos corporativos apenas por meio desses aparelhos. Além disso, treinar funcionários para neutralizar as ameaças atuais é fundamental para a segurança da rede.

Dicas