The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

29.11.2016 17:27  Волна атак на клиентские маршрутизаторы

Исследователи безопасности предупредили пользователей о выявлении вредоносной активности, поражающей беспроводные и DSL маршрутизаторы Zyxel, Speedport и, возможно, других производителей, устанавливаемые клиентам некоторыми крупными операторами связи, такими как Deutsche Telekom и Eircom.

С учётом того, что проблемные устройства сосредоточены в подсетях нескольких провайдеров, устанавливающих клиентам типовое оборудование, поиск уязвимых устройств существенно упрощается. В настоящее время атака приобретает лавинообразный характер: на подставных honeypot-серверах, запущенных Центром изучения сетевых угроз при институте SANS для изучения характера атаки, новые попытки эксплуатации фиксируются раз в 5-10 минут.

Точное число потенциально уязвимых устройств неизвестно, но утверждается, что проблема может затрагивать миллионы домашних маршрутизаторов. По информации от Deutsche Telekom, проблеме подвержено 900 тысяч их клиентов. Deutsche Telekom уже выпустил обновление прошивок для устанавливаемых клиентам устройств, но для его применения необходимо, чтобы пользователь перезапустил маршрутизатор, что происходит не так часто. До перезагрузки устройство остаётся уязвимым. Предварительное сканирование портов показало, что в сети присутствует около 5 млн проблемных устройств.

Уязвимость связана с некорректной организацией доступа к протоколам TR-069 и TR-064, применяемым для автоматизации настройки абонентского оборудования операторами связи. Протокол основан на HTTP/SOAP и принимает соединения на сетевом порту 7547. Протокол рассчитан только на доступ из внутренней сети оператора связи, но на проблемных устройствах ограничения не были реализованы и соединения принимаются из любых сетей, в том числе для обращений через внешний интерфейс (WAN). Техника атаки достаточно проста и сводится к передаче набора shell-команд в числе настроек (должным образом не экранируются обратные кавычки, что даёт возможность выполнить произвольные команды в shell).

Проанализировав результаты некоторых атак на подставные устройства исследователи выяснили, что после эксплуатации уязвимости на устройство внедряется один из вариантов червя Mirai, формирующего новый ботнет для совершения DDoS-атак. Предполагается, что неизвестные злоумышленники воспользовались ранее опубликованными исходными текстами червя Mirai, которые были дополнены эксплоитом, обеспечивающим запуск кода через манипуляции с сервисами, поддерживающими протокол TR-064 (LAN-Side CPE Configuration).

Атака проводится через перебор IP-адресов. В случае обнаружения открытого порта 7547, осуществляется попытка изменения настроек при помощи команд TR-064 для открытия доступа к административному web-интерфейсу, после чего червь подключается к нему при помощи одного из трёх задаваемых по умолчанию паролей. Далее червь последовательно загружает с разных хостов (например, с "l.ocalhost.host" - поддомен "ocalhost" в домене первого уровня "host", не путать с localhost) и перебирает семь вариантов сборок вредоносного ПО для маршрутизаторов, построенных на базе чипов MIPS Big Endian, MIPS Little Endian, ARМ, Renesas SH, PowerPC (cisco 4500), SPARC и Motorola 68020. После чего закрывает пакетным фильтром порт 7547 и убивает процесс telnetd для блокирования установки обновлений провайдером.

Для удаления червя достаточно перезагрузить устройство, после чего следует убедиться в доставке обновления прошивки. Проверку наличия открытого порта 7547 также следует проводить после перезагрузки, так как в случае если устройство уже атаковано, данный порт будет закрыт пакетным фильтром.

  1. Главная ссылка к новости (http://arstechnica.com/securit...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: router, botnet
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, soarin, 18:13, 29/11/2016 [ответить] [смотреть все]
  • –4 +/
    Тут ↓ будут отписываться люди "у меня suse роутер и не волнует"
     
     
  • 2.3, ryoken, 18:25, 29/11/2016 [^] [ответить] [смотреть все] [показать ветку]
  • +3 +/
    OpenWRT Netgear_WNDR4300 Мне уже бояться ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.13, adminlocalhost, 20:14, 29/11/2016 [^] [ответить] [смотреть все]  
  • +9 +/
    Конечно бойся. он же у тебя DSL.
     
     
  • 4.36, Аноним, 10:50, 30/11/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Сам по себе DSL страшен разве что никакущей скоростью, особенно на аплоад ... весь текст скрыт [показать]
     
     
  • 5.56, Аноним, 14:49, 03/12/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    2 мегабита мало?
     
  • 3.35, Аноним, 10:49, 30/11/2016 [^] [ответить] [смотреть все]  
  • +/
    В openwrt бояться можно только если ты сам себе пятку прострелил В отличие о... весь текст скрыт [показать]
     
     
  • 4.45, Василий Теркин, 12:02, 30/11/2016 [^] [ответить] [смотреть все]  
  • +/
    Святая вера в догадывающихся как делать не надо , алилуйя Когда там последняя ... весь текст скрыт [показать]
     
     
  • 5.51, Аноним, 17:19, 30/11/2016 [^] [ответить] [смотреть все]  
  • –2 +/
    Это релизы бывают нечасто, а об очередных сборках просто нет новостей.
     
     
  • 6.55, Василий Теркин, 13:46, 01/12/2016 [^] [ответить] [смотреть все]  
  • +/
    Истинные верующие пользуются релизами И зачастую не самыми свежими Типа - п... весь текст скрыт [показать]
     
  • 2.19, Аноним, 21:34, 29/11/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Был SUSE-роутер - ломанули.
     
  • 1.2, Аноним, 18:20, 29/11/2016 [ответить] [смотреть все]  
  • –3 +/
    У меня старенький зухель роутер, и не волнует, т.к. все закрыто
     
     
  • 2.9, Аноним, 19:26, 29/11/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Кстати, те зухели что продаются России, и те, что продаются во всем остальном ми... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.21, Аноним, 21:59, 29/11/2016 [^] [ответить] [смотреть все]  
  • +/
    Серия Zyxel Keenetic с прошивкой NDMS таки действительно только для СНГ.
     
  • 1.4, UraniumSun, 18:31, 29/11/2016 [ответить] [смотреть все]  
  • +13 +/
    > Предполагается, что неизвестные злоумышленники воспользовались ранее опубликованными исходными текстами червя Mirai, которые были дополнены эксплоитом, обеспечивающим запуск кода через манипуляции с сервисами, поддерживающими протокол TR-064.

    Вот видите, теперь уже и malware становится opensource!

     
     
  • 2.30, _KUL, 04:16, 30/11/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Уже целый дистрибутив(kali linux) этого "вредоносного" софта сделали.
     
     
  • 3.37, Аноним, 10:53, 30/11/2016 [^] [ответить] [смотреть все]  
  • +3 +/
    kali linux всего лишь инструмент пентестера Сам по себе он не вредоносный - его... весь текст скрыт [показать]
     
  • 1.5, Аноним, 18:41, 29/11/2016 [ответить] [смотреть все]  
  • +/
    Даааа 11111 Это круто ... весь текст скрыт [показать]
     
  • 1.6, Аноним, 18:48, 29/11/2016 [ответить] [смотреть все]  
  • –3 +/
    TR-069 - зло У себя сразу удалил все настроеные провайдером соединения, кроме н... весь текст скрыт [показать]
     
     
  • 2.43, Аноним, 11:13, 30/11/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Спасибо, Кэп Думаешь, это спасет тебя от сабжевых атак ... весь текст скрыт [показать] [показать ветку]
     
  • 1.12, Dkg, 20:06, 29/11/2016 [ответить] [смотреть все]  
  • +1 +/
    Use Pfsense!
     
     
  • 2.14, adminlocalhost, 20:15, 29/11/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > Use Pfsense!

    он не умеет DSL.  

     
  • 2.20, Кубер100, 21:54, 29/11/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    with snort only!)
     
  • 2.38, Аноним, 11:00, 30/11/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > Use Pfsense!

    Лучше openwrt.

     
  • 1.18, Нанобот, 21:21, 29/11/2016 [ответить] [смотреть все]  
  • +/
    когда будут образцово-показательные расстрелы хостеров терабитными атаками?
     
     
  • 2.39, Аноним, 11:01, 30/11/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Так баян же Упомянутый червяк уже долбил AKAMAI Успешно, в том плане что AKAMA... весь текст скрыт [показать] [показать ветку]
     
  • 1.25, Аноним, 00:51, 30/11/2016 [ответить] [смотреть все]  
  • –1 +/
    Для атаки роутер должен быть соединён проводом с компом Если он висит в прихоже... весь текст скрыт [показать]
     
     
  • 2.26, Аноним, 01:04, 30/11/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    С провайдером тоже по ВиФи?
     
     
  • 3.28, Аноним, 02:46, 30/11/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    А то.
     
  • 2.42, Аноним, 11:12, 30/11/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    нет
     
  • 1.29, Аноним, 03:33, 30/11/2016 [ответить] [смотреть все]  
  • –1 +/
    какое то обновление прилетело. обновился
     
     
  • 2.46, Онанимус, 12:03, 30/11/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Поздравляю, The matrix has you Чтобы убедиться, проверь в tmp наличие файла ... весь текст скрыт [показать] [показать ветку]
     
  • 1.31, Аноним, 06:23, 30/11/2016 [ответить] [смотреть все]  
  • +/
    А что мешает провайдеру самому написать эксплоит, который вызовет перезагрузку р... весь текст скрыт [показать]
     
     
  • 2.47, Аноним, 13:36, 30/11/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Расскажи, зачем это провайдеру, если он может послать команду на перезагрузку по... весь текст скрыт [показать] [показать ветку]
     
  • 1.33, Valery, 07:10, 30/11/2016 [ответить] [смотреть все]  
  • +/
    Чему удивляться? Взять роутеры, что дом.ру втюхивает. На всех один админский пароль и вход снаружи открыт. Видны SSID, ключи WIFI, WPS. Плюс разгильдяйство самих пользователей, плюс дыры в "родных" прошивках. У РТ чуть лучше. Только в своем городе увидел сотни (если не тысячи) таких роутеров.
     
     
  • 2.40, Аноним, 11:06, 30/11/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Еще спасибы машинно-тракторной станции за покрытие города бесплатным вайфаем Он... весь текст скрыт [показать] [показать ветку]
     
  • 1.34, Аноним, 07:33, 30/11/2016 [ответить] [смотреть все]  
  • +/
    А ысчо Бразилия Ловля блох на два IP bzcat ciscolog 0 bz2 ciscolog 1 bz2 1... весь текст скрыт [показать]
     
     
  • 2.41, Аноним, 11:11, 30/11/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Да на самом деле в случае mirai полный рандом - он банально сканит все что вывеш... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.44, Аноним, 11:15, 30/11/2016 [^] [ответить] [смотреть все]  
  • +/
    Всякие МГТС-овские роутеры ребутятся обычно при отключении света их часто запи... весь текст скрыт [показать]
     
     
  • 4.54, Аноним, 10:33, 01/12/2016 [^] [ответить] [смотреть все]  
  • +/
    До каких нафиг автоматов, МГТС-ные установщики во-первых - не имеют право какие-... весь текст скрыт [показать]
     
  • 1.49, Аноним84701, 15:18, 30/11/2016 [ответить] [смотреть все]  
  • +/
    По информации вообще-то малварь вроде как не смогла установиться -- из-за недоч... весь текст скрыт [показать]
     
  • 1.50, Аноним, 15:58, 30/11/2016 [ответить] [смотреть все]  
  • –1 +/
    Ставьте циску или джунипер и будет вам счастье. :)
     
     
  • 2.52, Led, 00:48, 01/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    А можно - просто счастье А то с вашими сисками жуниперами оно какого-то коричне... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.53, 1, 10:16, 01/12/2016 [^] [ответить] [смотреть все]  
  • +/
    Загорелое ?
     
  • 1.57, Аноним, 14:41, 05/12/2016 [ответить] [смотреть все]  
  • +/
    у нас оно tr064 tr069 поддерживается славбогу только в нишевых EPON GNOP устр... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor