The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

29.11.2016 17:27  Волна атак на клиентские маршрутизаторы

Исследователи безопасности предупредили пользователей о выявлении вредоносной активности, поражающей беспроводные и DSL маршрутизаторы Zyxel, Speedport и, возможно, других производителей, устанавливаемые клиентам некоторыми крупными операторами связи, такими как Deutsche Telekom и Eircom.

С учётом того, что проблемные устройства сосредоточены в подсетях нескольких провайдеров, устанавливающих клиентам типовое оборудование, поиск уязвимых устройств существенно упрощается. В настоящее время атака приобретает лавинообразный характер: на подставных honeypot-серверах, запущенных Центром изучения сетевых угроз при институте SANS для изучения характера атаки, новые попытки эксплуатации фиксируются раз в 5-10 минут.

Точное число потенциально уязвимых устройств неизвестно, но утверждается, что проблема может затрагивать миллионы домашних маршрутизаторов. По информации от Deutsche Telekom, проблеме подвержено 900 тысяч их клиентов. Deutsche Telekom уже выпустил обновление прошивок для устанавливаемых клиентам устройств, но для его применения необходимо, чтобы пользователь перезапустил маршрутизатор, что происходит не так часто. До перезагрузки устройство остаётся уязвимым. Предварительное сканирование портов показало, что в сети присутствует около 5 млн проблемных устройств.

Уязвимость связана с некорректной организацией доступа к протоколам TR-069 и TR-064, применяемым для автоматизации настройки абонентского оборудования операторами связи. Протокол основан на HTTP/SOAP и принимает соединения на сетевом порту 7547. Протокол рассчитан только на доступ из внутренней сети оператора связи, но на проблемных устройствах ограничения не были реализованы и соединения принимаются из любых сетей, в том числе для обращений через внешний интерфейс (WAN). Техника атаки достаточно проста и сводится к передаче набора shell-команд в числе настроек (должным образом не экранируются обратные кавычки, что даёт возможность выполнить произвольные команды в shell).

Проанализировав результаты некоторых атак на подставные устройства исследователи выяснили, что после эксплуатации уязвимости на устройство внедряется один из вариантов червя Mirai, формирующего новый ботнет для совершения DDoS-атак. Предполагается, что неизвестные злоумышленники воспользовались ранее опубликованными исходными текстами червя Mirai, которые были дополнены эксплоитом, обеспечивающим запуск кода через манипуляции с сервисами, поддерживающими протокол TR-064 (LAN-Side CPE Configuration).

Атака проводится через перебор IP-адресов. В случае обнаружения открытого порта 7547, осуществляется попытка изменения настроек при помощи команд TR-064 для открытия доступа к административному web-интерфейсу, после чего червь подключается к нему при помощи одного из трёх задаваемых по умолчанию паролей. Далее червь последовательно загружает с разных хостов (например, с "l.ocalhost.host" - поддомен "ocalhost" в домене первого уровня "host", не путать с localhost) и перебирает семь вариантов сборок вредоносного ПО для маршрутизаторов, построенных на базе чипов MIPS Big Endian, MIPS Little Endian, ARМ, Renesas SH, PowerPC (cisco 4500), SPARC и Motorola 68020. После чего закрывает пакетным фильтром порт 7547 и убивает процесс telnetd для блокирования установки обновлений провайдером.

Для удаления червя достаточно перезагрузить устройство, после чего следует убедиться в доставке обновления прошивки. Проверку наличия открытого порта 7547 также следует проводить после перезагрузки, так как в случае если устройство уже атаковано, данный порт будет закрыт пакетным фильтром.

  1. Главная ссылка к новости (http://arstechnica.com/securit...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: router, botnet
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, soarin, 18:13, 29/11/2016 [ответить] [смотреть все]    [к модератору]
  • –4 +/
    Тут ↓ будут отписываться люди "у меня suse роутер и не волнует"
     
     
  • 2.3, ryoken, 18:25, 29/11/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]
  • +3 +/
    OpenWRT Netgear_WNDR4300 Мне уже бояться ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.13, adminlocalhost, 20:14, 29/11/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +9 +/
    Конечно бойся. он же у тебя DSL.
     
     
  • 4.36, Аноним, 10:50, 30/11/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Сам по себе DSL страшен разве что никакущей скоростью, особенно на аплоад ... весь текст скрыт [показать]
     
     
  • 5.56, Аноним, 14:49, 03/12/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    2 мегабита мало?
     
  • 3.35, Аноним, 10:49, 30/11/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    В openwrt бояться можно только если ты сам себе пятку прострелил В отличие о... весь текст скрыт [показать]
     
     
  • 4.45, Василий Теркин, 12:02, 30/11/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Святая вера в догадывающихся как делать не надо , алилуйя Когда там последняя ... весь текст скрыт [показать]
     
     
  • 5.51, Аноним, 17:19, 30/11/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    Это релизы бывают нечасто, а об очередных сборках просто нет новостей.
     
     
  • 6.55, Василий Теркин, 13:46, 01/12/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Истинные верующие пользуются релизами И зачастую не самыми свежими Типа - п... весь текст скрыт [показать]
     
  • 2.19, Аноним, 21:34, 29/11/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Был SUSE-роутер - ломанули.
     
  • 1.2, Аноним, 18:20, 29/11/2016 [ответить] [смотреть все]    [к модератору]  
  • –3 +/
    У меня старенький зухель роутер, и не волнует, т.к. все закрыто
     
     
  • 2.9, Аноним, 19:26, 29/11/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Кстати, те зухели что продаются России, и те, что продаются во всем остальном ми... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.21, Аноним, 21:59, 29/11/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Серия Zyxel Keenetic с прошивкой NDMS таки действительно только для СНГ.
     
  • 1.4, UraniumSun, 18:31, 29/11/2016 [ответить] [смотреть все]    [к модератору]  
  • +13 +/
    > Предполагается, что неизвестные злоумышленники воспользовались ранее опубликованными исходными текстами червя Mirai, которые были дополнены эксплоитом, обеспечивающим запуск кода через манипуляции с сервисами, поддерживающими протокол TR-064.

    Вот видите, теперь уже и malware становится opensource!

     
     
  • 2.30, _KUL, 04:16, 30/11/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Уже целый дистрибутив(kali linux) этого "вредоносного" софта сделали.
     
     
  • 3.37, Аноним, 10:53, 30/11/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +3 +/
    kali linux всего лишь инструмент пентестера Сам по себе он не вредоносный - его... весь текст скрыт [показать]
     
  • 1.5, Аноним, 18:41, 29/11/2016 [ответить] [смотреть все]     [к модератору]  
  • +/
    Даааа 11111 Это круто ... весь текст скрыт [показать]
     
  • 1.6, Аноним, 18:48, 29/11/2016 [ответить] [смотреть все]     [к модератору]  
  • –3 +/
    TR-069 - зло У себя сразу удалил все настроеные провайдером соединения, кроме н... весь текст скрыт [показать]
     
     
  • 2.43, Аноним, 11:13, 30/11/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Спасибо, Кэп Думаешь, это спасет тебя от сабжевых атак ... весь текст скрыт [показать] [показать ветку]
     
  • 1.12, Dkg, 20:06, 29/11/2016 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Use Pfsense!
     
     
  • 2.14, adminlocalhost, 20:15, 29/11/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    > Use Pfsense!

    он не умеет DSL.  

     
  • 2.20, Кубер100, 21:54, 29/11/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    with snort only!)
     
  • 2.38, Аноним, 11:00, 30/11/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    > Use Pfsense!

    Лучше openwrt.

     
  • 1.18, Нанобот, 21:21, 29/11/2016 [ответить] [смотреть все]    [к модератору]  
  • +/
    когда будут образцово-показательные расстрелы хостеров терабитными атаками?
     
     
  • 2.39, Аноним, 11:01, 30/11/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Так баян же Упомянутый червяк уже долбил AKAMAI Успешно, в том плане что AKAMA... весь текст скрыт [показать] [показать ветку]
     
  • 1.25, Аноним, 00:51, 30/11/2016 [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Для атаки роутер должен быть соединён проводом с компом Если он висит в прихоже... весь текст скрыт [показать]
     
     
  • 2.26, Аноним, 01:04, 30/11/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • –1 +/
    С провайдером тоже по ВиФи?
     
     
  • 3.28, Аноним, 02:46, 30/11/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    А то.
     
  • 2.42, Аноним, 11:12, 30/11/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +1 +/
    нет
     
  • 1.29, Аноним, 03:33, 30/11/2016 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    какое то обновление прилетело. обновился
     
     
  • 2.46, Онанимус, 12:03, 30/11/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Поздравляю, The matrix has you Чтобы убедиться, проверь в tmp наличие файла ... весь текст скрыт [показать] [показать ветку]
     
  • 1.31, Аноним, 06:23, 30/11/2016 [ответить] [смотреть все]     [к модератору]  
  • +/
    А что мешает провайдеру самому написать эксплоит, который вызовет перезагрузку р... весь текст скрыт [показать]
     
     
  • 2.47, Аноним, 13:36, 30/11/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    Расскажи, зачем это провайдеру, если он может послать команду на перезагрузку по... весь текст скрыт [показать] [показать ветку]
     
  • 1.33, Valery, 07:10, 30/11/2016 [ответить] [смотреть все]    [к модератору]  
  • +/
    Чему удивляться? Взять роутеры, что дом.ру втюхивает. На всех один админский пароль и вход снаружи открыт. Видны SSID, ключи WIFI, WPS. Плюс разгильдяйство самих пользователей, плюс дыры в "родных" прошивках. У РТ чуть лучше. Только в своем городе увидел сотни (если не тысячи) таких роутеров.
     
     
  • 2.40, Аноним, 11:06, 30/11/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Еще спасибы машинно-тракторной станции за покрытие города бесплатным вайфаем Он... весь текст скрыт [показать] [показать ветку]
     
  • 1.34, Аноним, 07:33, 30/11/2016 [ответить] [смотреть все]     [к модератору]  
  • +/
    А ысчо Бразилия Ловля блох на два IP bzcat ciscolog 0 bz2 ciscolog 1 bz2 1... весь текст скрыт [показать]
     
     
  • 2.41, Аноним, 11:11, 30/11/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Да на самом деле в случае mirai полный рандом - он банально сканит все что вывеш... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.44, Аноним, 11:15, 30/11/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Всякие МГТС-овские роутеры ребутятся обычно при отключении света их часто запи... весь текст скрыт [показать]
     
     
  • 4.54, Аноним, 10:33, 01/12/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    До каких нафиг автоматов, МГТС-ные установщики во-первых - не имеют право какие-... весь текст скрыт [показать]
     
  • 1.49, Аноним84701, 15:18, 30/11/2016 [ответить] [смотреть все]     [к модератору]  
  • +/
    По информации вообще-то малварь вроде как не смогла установиться -- из-за недоч... весь текст скрыт [показать]
     
  • 1.50, Аноним, 15:58, 30/11/2016 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Ставьте циску или джунипер и будет вам счастье. :)
     
     
  • 2.52, Led, 00:48, 01/12/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    А можно - просто счастье А то с вашими сисками жуниперами оно какого-то коричне... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.53, 1, 10:16, 01/12/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Загорелое ?
     
  • 1.57, Аноним, 14:41, 05/12/2016 [ответить] [смотреть все]     [к модератору]  
  • +/
    у нас оно tr064 tr069 поддерживается славбогу только в нишевых EPON GNOP устр... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor