The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Волна атак на клиентские маршрутизаторы

29.11.2016 17:27

Исследователи безопасности предупредили пользователей о выявлении вредоносной активности, поражающей беспроводные и DSL маршрутизаторы Zyxel, Speedport и, возможно, других производителей, устанавливаемые клиентам некоторыми крупными операторами связи, такими как Deutsche Telekom и Eircom.

С учётом того, что проблемные устройства сосредоточены в подсетях нескольких провайдеров, устанавливающих клиентам типовое оборудование, поиск уязвимых устройств существенно упрощается. В настоящее время атака приобретает лавинообразный характер: на подставных honeypot-серверах, запущенных Центром изучения сетевых угроз при институте SANS для изучения характера атаки, новые попытки эксплуатации фиксируются раз в 5-10 минут.

Точное число потенциально уязвимых устройств неизвестно, но утверждается, что проблема может затрагивать миллионы домашних маршрутизаторов. По информации от Deutsche Telekom, проблеме подвержено 900 тысяч их клиентов. Deutsche Telekom уже выпустил обновление прошивок для устанавливаемых клиентам устройств, но для его применения необходимо, чтобы пользователь перезапустил маршрутизатор, что происходит не так часто. До перезагрузки устройство остаётся уязвимым. Предварительное сканирование портов показало, что в сети присутствует около 5 млн проблемных устройств.

Уязвимость связана с некорректной организацией доступа к протоколам TR-069 и TR-064, применяемым для автоматизации настройки абонентского оборудования операторами связи. Протокол основан на HTTP/SOAP и принимает соединения на сетевом порту 7547. Протокол рассчитан только на доступ из внутренней сети оператора связи, но на проблемных устройствах ограничения не были реализованы и соединения принимаются из любых сетей, в том числе для обращений через внешний интерфейс (WAN). Техника атаки достаточно проста и сводится к передаче набора shell-команд в числе настроек (должным образом не экранируются обратные кавычки, что даёт возможность выполнить произвольные команды в shell).

Проанализировав результаты некоторых атак на подставные устройства исследователи выяснили, что после эксплуатации уязвимости на устройство внедряется один из вариантов червя Mirai, формирующего новый ботнет для совершения DDoS-атак. Предполагается, что неизвестные злоумышленники воспользовались ранее опубликованными исходными текстами червя Mirai, которые были дополнены эксплоитом, обеспечивающим запуск кода через манипуляции с сервисами, поддерживающими протокол TR-064 (LAN-Side CPE Configuration).

Атака проводится через перебор IP-адресов. В случае обнаружения открытого порта 7547, осуществляется попытка изменения настроек при помощи команд TR-064 для открытия доступа к административному web-интерфейсу, после чего червь подключается к нему при помощи одного из трёх задаваемых по умолчанию паролей. Далее червь последовательно загружает с разных хостов (например, с "l.ocalhost.host" - поддомен "ocalhost" в домене первого уровня "host", не путать с localhost) и перебирает семь вариантов сборок вредоносного ПО для маршрутизаторов, построенных на базе чипов MIPS Big Endian, MIPS Little Endian, ARМ, Renesas SH, PowerPC (cisco 4500), SPARC и Motorola 68020. После чего закрывает пакетным фильтром порт 7547 и убивает процесс telnetd для блокирования установки обновлений провайдером.

Для удаления червя достаточно перезагрузить устройство, после чего следует убедиться в доставке обновления прошивки. Проверку наличия открытого порта 7547 также следует проводить после перезагрузки, так как в случае если устройство уже атаковано, данный порт будет закрыт пакетным фильтром.

  1. Главная ссылка к новости (http://arstechnica.com/securit...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: router, botnet
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (44) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, soarin (ok), 18:13, 29/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Тут ↓ будут отписываться люди "у меня suse роутер и не волнует"
     
     
  • 2.3, ryoken (ok), 18:25, 29/11/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Тут ↓ будут отписываться люди "у меня suse роутер и не волнует"

    OpenWRT@Netgear_WNDR4300. Мне уже бояться? :)

     
     
  • 3.13, adminlocalhost (ok), 20:14, 29/11/2016 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Конечно бойся. он же у тебя DSL.
     
     
  • 4.36, Аноним (-), 10:50, 30/11/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Конечно бойся. он же у тебя DSL.

    Сам по себе DSL страшен разве что никакущей скоростью, особенно на аплоад.

     
     
  • 5.56, Аноним (-), 14:49, 03/12/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    2 мегабита мало?
     
  • 3.35, Аноним (-), 10:49, 30/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    В openwrt бояться можно только если ты сам себе пятку прострелил :). В отличие от фабричных фирмварей собранных индусней, openwrt'шники догадываются как делать не надо.
     
     
  • 4.45, Василий Теркин (?), 12:02, 30/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Святая вера в "догадывающихся как делать не надо", алилуйя! Когда там последняя сборка была у них? В марте? Блаженны верующие!
     
     
  • 5.51, Аноним (-), 17:19, 30/11/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Это релизы бывают нечасто, а об очередных сборках просто нет новостей.
     
     
  • 6.55, Василий Теркин (?), 13:46, 01/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    "Истинные верующие" пользуются релизами. И зачастую не самыми свежими. Типа - "поставил и забыл". А подавляющее их количество даже секьюрити репорты не читает, ведь знакомый Вася-сисадмин "сказал что это самый крутой софт для рутеров", ну Вася же знает, он форумы читает.
     
  • 2.19, Аноним (-), 21:34, 29/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Был SUSE-роутер - ломанули.
     

  • 1.2, Аноним (-), 18:20, 29/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    У меня старенький зухель роутер, и не волнует, т.к. все закрыто
     
     
  • 2.9, Аноним (-), 19:26, 29/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати, те зухели что продаются России, и те, что продаются во всем остальном мире, зачастую кардинально отличаются в плане ПО, вплоть до того, что прошивки у них не имеют ничего общего, при похожем железе внутри.
     
     
  • 3.21, Аноним (-), 21:59, 29/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Серия Zyxel Keenetic с прошивкой NDMS таки действительно только для СНГ.
     

  • 1.4, UraniumSun (ok), 18:31, 29/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +13 +/
    > Предполагается, что неизвестные злоумышленники воспользовались ранее опубликованными исходными текстами червя Mirai, которые были дополнены эксплоитом, обеспечивающим запуск кода через манипуляции с сервисами, поддерживающими протокол TR-064.

    Вот видите, теперь уже и malware становится opensource!

     
     
  • 2.30, _KUL (ok), 04:16, 30/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Уже целый дистрибутив(kali linux) этого "вредоносного" софта сделали.
     
     
  • 3.37, Аноним (-), 10:53, 30/11/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Уже целый дистрибутив(kali linux) этого "вредоносного" софта сделали.

    kali linux всего лишь инструмент пентестера. Сам по себе он не вредоносный - его можно и на свою инфраструктуру напустить, посмотреть что найдется. А вот mirai - это уже откровенно боевое ПО, отличающееся от kali как кухонный нож от штык-ножа.

    Чтобы mirai использовать для чего-то полезного - придется попотеть не меньше чем при нарезке салата штык-ножом.

     

  • 1.5, Аноним (-), 18:41, 29/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > убивает процесс telnetd для блокирования установки обновлений провайдером.

    Даааа!!!11111 Это круто.

     
  • 1.6, Аноним (-), 18:48, 29/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    TR-069 - зло.
    У себя сразу удалил все настроеные провайдером соединения, кроме нужного для доступа в интернет.
     
     
  • 2.43, Аноним (-), 11:13, 30/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > TR-069 - зло.

    Спасибо, Кэп.

    > У себя сразу удалил все настроеные провайдером соединения, кроме нужного для доступа в интернет.

    Думаешь, это спасет тебя от сабжевых атак? :)

     

  • 1.12, Dkg (?), 20:06, 29/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Use Pfsense!
     
     
  • 2.14, adminlocalhost (ok), 20:15, 29/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Use Pfsense!

    он не умеет DSL.  

     
  • 2.20, Кубер100 (?), 21:54, 29/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    with snort only!)
     
  • 2.38, Аноним (-), 11:00, 30/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Use Pfsense!

    Лучше openwrt.

     

  • 1.18, Нанобот (ok), 21:21, 29/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    когда будут образцово-показательные расстрелы хостеров терабитными атаками?
     
     
  • 2.39, Аноним (-), 11:01, 30/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > когда будут образцово-показательные расстрелы хостеров терабитными атаками?

    Так баян же. Упомянутый червяк уже долбил AKAMAI. Успешно, в том плане что AKAMAI взвыл от почти терабита и послал бесплатного клиета нафиг. Решив что ну его - терабит забесплатно процессить. Защита от DDoS не такая уж и защитистая оказалась.

     

  • 1.25, Аноним (-), 00:51, 30/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Для атаки роутер должен быть соединён проводом с компом? Если он висит в прихожей и тупо раздает wifi, он тоже уязвим?
     
     
  • 2.26, Аноним (-), 01:04, 30/11/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    С провайдером тоже по ВиФи?
     
     
  • 3.28, Аноним (-), 02:46, 30/11/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А то.
     
  • 2.42, Аноним (-), 11:12, 30/11/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    нет
     

  • 1.29, Аноним (-), 03:33, 30/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    какое то обновление прилетело. обновился
     
     
  • 2.46, Онанимус (?), 12:03, 30/11/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Поздравляю, "The matrix has you".
    Чтобы убедиться, проверь в /tmp наличие файла 1 (-rwxrwxrwx)))
     

  • 1.31, Аноним (-), 06:23, 30/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А что мешает провайдеру самому написать эксплоит, который вызовет перезагрузку роутера? Зачем ждать, когда пользователь "хапнет" червя от злоумышленников?
     
     
  • 2.47, Аноним (-), 13:36, 30/11/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Расскажи, зачем это провайдеру, если он может послать команду на перезагрузку по протоколу security is not my problem?
     

  • 1.33, Valery (??), 07:10, 30/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Чему удивляться? Взять роутеры, что дом.ру втюхивает. На всех один админский пароль и вход снаружи открыт. Видны SSID, ключи WIFI, WPS. Плюс разгильдяйство самих пользователей, плюс дыры в "родных" прошивках. У РТ чуть лучше. Только в своем городе увидел сотни (если не тысячи) таких роутеров.
     
     
  • 2.40, Аноним (-), 11:06, 30/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Чему удивляться? Взять роутеры, что дом.ру втюхивает. На всех один админский пароль
    > и вход снаружи открыт. Видны SSID, ключи WIFI, WPS. Плюс разгильдяйство
    > самих пользователей, плюс дыры в "родных" прошивках. У РТ чуть лучше.
    > Только в своем городе увидел сотни (если не тысячи) таких роутеров.

    Еще спасибы машинно-тракторной станции за покрытие города бесплатным вайфаем. Они, конечно, это не планировали. Но раздали хомякам сто вагонов роутеров где WPS даже отключить в настройках нельзя. А чтобы совсем круто - у многих из них еще и PIN не случайный и даже подбирть все 9999 вариантов не требуется.

     

  • 1.34, Аноним (-), 07:33, 30/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А ысчо Бразилия. Ловля блох на два IP:

    $ bzcat ciscolog.0.bz2 ciscolog.1.bz2 | awk '/7547/{sub(/\..*$/,"",$15); print $15}'|sort -n -t . -k 1,1 -k 2,2 -k 3,3 -k 4,4|uniq -c|sort -n -k 1,1|tail
      53 92
      69 189
      69 201
      72 187
      83 191
    139 179
    200 79
    225 88
    226 86
    241 177

    177/8,179/8,187/8,189/8,191/8,201/8 - LACNIC
    79/8,86/8,88/8,92/8 - RIPE

     
     
  • 2.41, Аноним (-), 11:11, 30/11/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А ысчо Бразилия. Ловля блох на два IP:

    Да на самом деле в случае mirai полный рандом - он банально сканит все что вывешено телнетом в сеть и с паролем типа аadmin:admin. Где и что насканится - там и будет. Поэтому твоя статистика это круто но все о чем она говорит - ботнетик который попался тебе насканил вот так. Это все очень динамичное и меняется по семь раз на дню - ботнеты рубятся за ресурсы, червяки не могут себя записать на постоянно т.к. файлуха обычнл readonly и вылетают при ребуте девайсов. Скоро наверное ботнетчики будут устраивать рубку стай своей зерготни стенка на стенку, стараясь отобрать у конкурентов ресурсы. Что впрочем опять же до первого ребута, поэтому такой себе RTS IRL будет. Где стайки автоматических зерглингов рубятся за ресурсы.

     
     
  • 3.44, Аноним (-), 11:15, 30/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Всякие МГТС-овские роутеры ребутятся обычно при отключении света ( их часто запитывают до квартирных автоматов :) )
     
     
  • 4.54, Аноним (-), 10:33, 01/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    До каких нафиг автоматов, МГТС-ные установщики во-первых - не имеют право какие-либо работы в элеткрощитах производить, на это нужен допуск и разрешение; во-вторых - они не способны даже в розетку толком воткнуться, не говоря уж о том, что бы понять и подсоединится к сети до групповых автоматов.
     

  • 1.49, Аноним84701 (ok), 15:18, 30/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >  По информации от
    > Deutsche Telekom проблеме подвержено 900 тысяч  их клиентов. Deutsche Telekom
    > уже выпустили обновление прошивок для устанавливаемых клиентам устройств, но для его
    > применения необходимо чтобы пользователь перезапустил маршрутизатор, что происходит
    > не так часто.

    По информации вообще-то малварь вроде как не смогла установиться --  из-за недочетов при сборке
    https://translate.google.com/translate?hl=en&sl=de&u=https://www.heise.de/newsticker/meldung/Grossstoerung-bei-der-Telekom-Schlecht-programmierte-Schadsoftware-verhinderte-schlimmere-Folgen-3506909.html&prev=search
    > that the malicious software had been badly programmed: "She did not work and did not do what she should have done, otherwise the consequences of the attack would have been much worse."

    Можно сказать, кое-кому из руководства очень крупно повезло.
    Правда, все же не перестают удивлять подходы к безопасности из далеких 90-х, будто бы не было и нет всяких SSH, электронных подписей и ассиметричного шифрования.

    Однако, "главный прикол дня":
    https://www.telekom.com/en/corporate-responsibility/data-protection---data-sec
    Господа Ыксперты как раз проводят конгресс по безопасности, где обещают показать всем "как надо правильно" =)
    > Summit of security business
    > IT security is very important, but do companies protect themselves in the right way? [B]Deutsche Telekom
    >  informs about trends and solutions in the field of security.[/B]
    >

     
  • 1.50, Аноним (-), 15:58, 30/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Ставьте циску или джунипер и будет вам счастье. :)
     
     
  • 2.52, Led (ok), 00:48, 01/12/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ставьте циску или джунипер и будет вам счастье. :)

    А можно - просто счастье? А то с вашими сисками/жуниперами оно какого-то коричневого цвета получается.

     
     
  • 3.53, 1 (??), 10:16, 01/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Загорелое ?
     

  • 1.57, Аноним (-), 14:41, 05/12/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    у нас оно(tr064/tr069) поддерживается славбогу только в "нишевых" EPON/GNOP устройствах и нигде больше, пока и в половине их - реализовано и огорожено правильно еще "из коробки"(и провайдерами до-ностраивается далее обычно грамотно). но потенциал эксплоитации, безусловно - Огромный а учитывая поверхность атаки - и динамика нахождения и эксплоитации - будет оставаться высокой.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру