The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

29.11.2016 17:27  Волна атак на клиентские маршрутизаторы

Исследователи безопасности предупредили пользователей о выявлении вредоносной активности, поражающей беспроводные и DSL маршрутизаторы Zyxel, Speedport и, возможно, других производителей, устанавливаемые клиентам некоторыми крупными операторами связи, такими как Deutsche Telekom и Eircom.

С учётом того, что проблемные устройства сосредоточены в подсетях нескольких провайдеров, устанавливающих клиентам типовое оборудование, поиск уязвимых устройств существенно упрощается. В настоящее время атака приобретает лавинообразный характер: на подставных honeypot-серверах, запущенных Центром изучения сетевых угроз при институте SANS для изучения характера атаки, новые попытки эксплуатации фиксируются раз в 5-10 минут.

Точное число потенциально уязвимых устройств неизвестно, но утверждается, что проблема может затрагивать миллионы домашних маршрутизаторов. По информации от Deutsche Telekom, проблеме подвержено 900 тысяч их клиентов. Deutsche Telekom уже выпустил обновление прошивок для устанавливаемых клиентам устройств, но для его применения необходимо, чтобы пользователь перезапустил маршрутизатор, что происходит не так часто. До перезагрузки устройство остаётся уязвимым. Предварительное сканирование портов показало, что в сети присутствует около 5 млн проблемных устройств.

Уязвимость связана с некорректной организацией доступа к протоколам TR-069 и TR-064, применяемым для автоматизации настройки абонентского оборудования операторами связи. Протокол основан на HTTP/SOAP и принимает соединения на сетевом порту 7547. Протокол рассчитан только на доступ из внутренней сети оператора связи, но на проблемных устройствах ограничения не были реализованы и соединения принимаются из любых сетей, в том числе для обращений через внешний интерфейс (WAN). Техника атаки достаточно проста и сводится к передаче набора shell-команд в числе настроек (должным образом не экранируются обратные кавычки, что даёт возможность выполнить произвольные команды в shell).

Проанализировав результаты некоторых атак на подставные устройства исследователи выяснили, что после эксплуатации уязвимости на устройство внедряется один из вариантов червя Mirai, формирующего новый ботнет для совершения DDoS-атак. Предполагается, что неизвестные злоумышленники воспользовались ранее опубликованными исходными текстами червя Mirai, которые были дополнены эксплоитом, обеспечивающим запуск кода через манипуляции с сервисами, поддерживающими протокол TR-064 (LAN-Side CPE Configuration).

Атака проводится через перебор IP-адресов. В случае обнаружения открытого порта 7547, осуществляется попытка изменения настроек при помощи команд TR-064 для открытия доступа к административному web-интерфейсу, после чего червь подключается к нему при помощи одного из трёх задаваемых по умолчанию паролей. Далее червь последовательно загружает с разных хостов (например, с "l.ocalhost.host" - поддомен "ocalhost" в домене первого уровня "host", не путать с localhost) и перебирает семь вариантов сборок вредоносного ПО для маршрутизаторов, построенных на базе чипов MIPS Big Endian, MIPS Little Endian, ARМ, Renesas SH, PowerPC (cisco 4500), SPARC и Motorola 68020. После чего закрывает пакетным фильтром порт 7547 и убивает процесс telnetd для блокирования установки обновлений провайдером.

Для удаления червя достаточно перезагрузить устройство, после чего следует убедиться в доставке обновления прошивки. Проверку наличия открытого порта 7547 также следует проводить после перезагрузки, так как в случае если устройство уже атаковано, данный порт будет закрыт пакетным фильтром.

  1. Главная ссылка к новости (http://arstechnica.com/securit...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: router, botnet
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, soarin (ok), 18:13, 29/11/2016 [ответить] [показать ветку] [···]    [к модератору]
  • –4 +/
    Тут ↓ будут отписываться люди "у меня suse роутер и не волнует"
     
     
  • 2.3, ryoken (ok), 18:25, 29/11/2016 [^] [ответить]    [к модератору]
  • +3 +/
    > Тут ↓ будут отписываться люди "у меня suse роутер и не волнует"

    OpenWRT@Netgear_WNDR4300. Мне уже бояться? :)

     
     
  • 3.13, adminlocalhost (ok), 20:14, 29/11/2016 [^] [ответить]    [к модератору]
  • +9 +/
    Конечно бойся. он же у тебя DSL.
     
     
  • 4.36, Аноним (-), 10:50, 30/11/2016 [^] [ответить]    [к модератору]
  • –1 +/
    > Конечно бойся. он же у тебя DSL.

    Сам по себе DSL страшен разве что никакущей скоростью, особенно на аплоад.

     
     
  • 5.56, Аноним (-), 14:49, 03/12/2016 [^] [ответить]    [к модератору]
  • –1 +/
    2 мегабита мало?
     
  • 3.35, Аноним (-), 10:49, 30/11/2016 [^] [ответить]    [к модератору]  
  • +/
    В openwrt бояться можно только если ты сам себе пятку прострелил :). В отличие от фабричных фирмварей собранных индусней, openwrt'шники догадываются как делать не надо.
     
     
  • 4.45, Василий Теркин (?), 12:02, 30/11/2016 [^] [ответить]    [к модератору]  
  • +/
    Святая вера в "догадывающихся как делать не надо", алилуйя! Когда там последняя сборка была у них? В марте? Блаженны верующие!
     
     
  • 5.51, Аноним (-), 17:19, 30/11/2016 [^] [ответить]    [к модератору]  
  • –2 +/
    Это релизы бывают нечасто, а об очередных сборках просто нет новостей.
     
     
  • 6.55, Василий Теркин (?), 13:46, 01/12/2016 [^] [ответить]     [к модератору]  
  • +/
    Истинные верующие пользуются релизами И зачастую не самыми свежими Типа - п... весь текст скрыт [показать]
     
  • 2.19, Аноним (-), 21:34, 29/11/2016 [^] [ответить]    [к модератору]  
  • +/
    Был SUSE-роутер - ломанули.
     
  • 1.2, Аноним (-), 18:20, 29/11/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –3 +/
    У меня старенький зухель роутер, и не волнует, т.к. все закрыто
     
     
  • 2.9, Аноним (-), 19:26, 29/11/2016 [^] [ответить]     [к модератору]  
  • +/
    Кстати, те зухели что продаются России, и те, что продаются во всем остальном ми... весь текст скрыт [показать]
     
     
  • 3.21, Аноним (-), 21:59, 29/11/2016 [^] [ответить]    [к модератору]  
  • +/
    Серия Zyxel Keenetic с прошивкой NDMS таки действительно только для СНГ.
     
  • 1.4, UraniumSun (ok), 18:31, 29/11/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +13 +/
    > Предполагается, что неизвестные злоумышленники воспользовались ранее опубликованными исходными текстами червя Mirai, которые были дополнены эксплоитом, обеспечивающим запуск кода через манипуляции с сервисами, поддерживающими протокол TR-064.

    Вот видите, теперь уже и malware становится opensource!

     
     
  • 2.30, _KUL (ok), 04:16, 30/11/2016 [^] [ответить]    [к модератору]  
  • +/
    Уже целый дистрибутив(kali linux) этого "вредоносного" софта сделали.
     
     
  • 3.37, Аноним (-), 10:53, 30/11/2016 [^] [ответить]     [к модератору]  
  • +3 +/
    kali linux всего лишь инструмент пентестера Сам по себе он не вредоносный - его... весь текст скрыт [показать]
     
  • 1.5, Аноним (-), 18:41, 29/11/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > убивает процесс telnetd для блокирования установки обновлений провайдером.

    Даааа!!!11111 Это круто.

     
  • 1.6, Аноним (-), 18:48, 29/11/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –3 +/
    TR-069 - зло.
    У себя сразу удалил все настроеные провайдером соединения, кроме нужного для доступа в интернет.
     
     
  • 2.43, Аноним (-), 11:13, 30/11/2016 [^] [ответить]    [к модератору]  
  • +/
    > TR-069 - зло.

    Спасибо, Кэп.

    > У себя сразу удалил все настроеные провайдером соединения, кроме нужного для доступа в интернет.

    Думаешь, это спасет тебя от сабжевых атак? :)

     
  • 1.12, Dkg (?), 20:06, 29/11/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Use Pfsense!
     
     
  • 2.14, adminlocalhost (ok), 20:15, 29/11/2016 [^] [ответить]    [к модератору]  
  • +/
    > Use Pfsense!

    он не умеет DSL.  

     
  • 2.20, Кубер100 (?), 21:54, 29/11/2016 [^] [ответить]    [к модератору]  
  • +/
    with snort only!)
     
  • 2.38, Аноним (-), 11:00, 30/11/2016 [^] [ответить]    [к модератору]  
  • +/
    > Use Pfsense!

    Лучше openwrt.

     
  • 1.18, Нанобот (ok), 21:21, 29/11/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    когда будут образцово-показательные расстрелы хостеров терабитными атаками?
     
     
  • 2.39, Аноним (-), 11:01, 30/11/2016 [^] [ответить]     [к модератору]  
  • +/
    Так баян же Упомянутый червяк уже долбил AKAMAI Успешно, в том плане что AKAMA... весь текст скрыт [показать]
     
  • 1.25, Аноним (-), 00:51, 30/11/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Для атаки роутер должен быть соединён проводом с компом? Если он висит в прихожей и тупо раздает wifi, он тоже уязвим?
     
     
  • 2.26, Аноним (-), 01:04, 30/11/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    С провайдером тоже по ВиФи?
     
     
  • 3.28, Аноним (-), 02:46, 30/11/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    А то.
     
  • 2.42, Аноним (-), 11:12, 30/11/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    нет
     
  • 1.29, Аноним (-), 03:33, 30/11/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    какое то обновление прилетело. обновился
     
     
  • 2.46, Онанимус (?), 12:03, 30/11/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    Поздравляю, "The matrix has you".
    Чтобы убедиться, проверь в /tmp наличие файла 1 (-rwxrwxrwx)))
     
  • 1.31, Аноним (-), 06:23, 30/11/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А что мешает провайдеру самому написать эксплоит, который вызовет перезагрузку роутера? Зачем ждать, когда пользователь "хапнет" червя от злоумышленников?
     
     
  • 2.47, Аноним (-), 13:36, 30/11/2016 [^] [ответить]    [к модератору]  
  • +2 +/
    Расскажи, зачем это провайдеру, если он может послать команду на перезагрузку по протоколу security is not my problem?
     
  • 1.33, Valery (??), 07:10, 30/11/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Чему удивляться? Взять роутеры, что дом.ру втюхивает. На всех один админский пароль и вход снаружи открыт. Видны SSID, ключи WIFI, WPS. Плюс разгильдяйство самих пользователей, плюс дыры в "родных" прошивках. У РТ чуть лучше. Только в своем городе увидел сотни (если не тысячи) таких роутеров.
     
     
  • 2.40, Аноним (-), 11:06, 30/11/2016 [^] [ответить]     [к модератору]  
  • +/
    Еще спасибы машинно-тракторной станции за покрытие города бесплатным вайфаем Он... весь текст скрыт [показать]
     
  • 1.34, Аноним (-), 07:33, 30/11/2016 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    А ысчо Бразилия Ловля блох на два IP bzcat ciscolog 0 bz2 ciscolog 1 bz2 1... весь текст скрыт [показать]
     
     
  • 2.41, Аноним (-), 11:11, 30/11/2016 [^] [ответить]     [к модератору]  
  • +1 +/
    Да на самом деле в случае mirai полный рандом - он банально сканит все что вывеш... весь текст скрыт [показать]
     
     
  • 3.44, Аноним (-), 11:15, 30/11/2016 [^] [ответить]    [к модератору]  
  • +/
    Всякие МГТС-овские роутеры ребутятся обычно при отключении света ( их часто запитывают до квартирных автоматов :) )
     
     
  • 4.54, Аноним (-), 10:33, 01/12/2016 [^] [ответить]     [к модератору]  
  • +/
    До каких нафиг автоматов, МГТС-ные установщики во-первых - не имеют право какие-... весь текст скрыт [показать]
     
  • 1.49, Аноним84701 (ok), 15:18, 30/11/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    >  По информации от
    > Deutsche Telekom проблеме подвержено 900 тысяч  их клиентов. Deutsche Telekom
    > уже выпустили обновление прошивок для устанавливаемых клиентам устройств, но для его
    > применения необходимо чтобы пользователь перезапустил маршрутизатор, что происходит
    > не так часто.

    По информации вообще-то малварь вроде как не смогла установиться --  из-за недочетов при сборке
    https://translate.google.com/translate?hl=en&sl=de&u=https://www.heise.de/newsticker/meldung/Grossstoerung-bei-der-Telekom-Schlecht-programmierte-Schadsoftware-verhinderte-schlimmere-Folgen-3506909.html&prev=search
    > that the malicious software had been badly programmed: "She did not work and did not do what she should have done, otherwise the consequences of the attack would have been much worse."

    Можно сказать, кое-кому из руководства очень крупно повезло.
    Правда, все же не перестают удивлять подходы к безопасности из далеких 90-х, будто бы не было и нет всяких SSH, электронных подписей и ассиметричного шифрования.

    Однако, "главный прикол дня":
    https://www.telekom.com/en/corporate-responsibility/data-protection---data-sec
    Господа Ыксперты как раз проводят конгресс по безопасности, где обещают показать всем "как надо правильно" =)
    > Summit of security business
    > IT security is very important, but do companies protect themselves in the right way? [B]Deutsche Telekom
    >  informs about trends and solutions in the field of security.[/B]
    >

     
  • 1.50, Аноним (-), 15:58, 30/11/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Ставьте циску или джунипер и будет вам счастье. :)
     
     
  • 2.52, Led (ok), 00:48, 01/12/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    > Ставьте циску или джунипер и будет вам счастье. :)

    А можно - просто счастье? А то с вашими сисками/жуниперами оно какого-то коричневого цвета получается.

     
     
  • 3.53, 1 (??), 10:16, 01/12/2016 [^] [ответить]    [к модератору]  
  • +/
    Загорелое ?
     
  • 1.57, Аноним (-), 14:41, 05/12/2016 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    у нас оно tr064 tr069 поддерживается славбогу только в нишевых EPON GNOP устр... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor