Исследователи безопасности предупредили (https://devicereversing.wordpress.com/2016/11/07/eirs-d1000-... пользователей о выявлении вредоносной активности, поражающей беспроводные и DSL маршрутизаторы Zyxel, Speedport и возможно других производителей, устанавливаемые клиентам некоторыми крупными операторами связи, такими как Deutsche Telekom и Eircom.
С учётом того, что проблемные устройства сосредоточены в подсетях нескольких провайдеров, устанавливающих клиентам типовое оборудование, поиск уязвимых устройств существенно упрощается. В настоящее время атака приобретает лавинообразный характер: на подставных honeypot-серверах, запущенных
Центром изучения сетевых угроз при институте SANS для изучения характера атаки, новые попытки эксплуатации фиксируются раз в 5-10 минут.
Точное число потенциально уязвимых устройств не известно но утверждается (https://isc.sans.edu/forums/diary/Port+7547+SOAP+Remote+Code... что проблема может затрагивать миллионы домашних маршрутизаторов. По информации от Deutsche Telekom проблеме подвержено 900 тысяч их клиентов. Deutsche Telekom уже выпустили обновление прошивок для устанавливаемых клиентам устройств, но для его применения необходимо чтобы пользователь перезапустил маршрутизатор, что происходит не так часто. До перезагрузки устройство остаётся уязвимым. Предварительное сканирование портов показало (https://badcyber.com/new-mirai-attack-vector-bot-exploits-a-... что в сети присутствует около 5 млн проблемных устройств.
Уязвимость связана (https://isc.sans.edu/forums/diary/Port+7547+SOAP+Remote+Code... с некорректной организацией доступа к протоколу CWMP/TR-069 (https://en.wikipedia.org/wiki/TR-069), применяемому для автоматизации настройки абонентского оборудования операторами связи. Протокол основан на HTTP/SOAP и принимает соединения на сетевом порту 7547. Протокол рассчитан только на доступ из внутренней сети оператора связи, но на проблемных устройствах ограничения не были реализованы и соединения принимаются из любых сетей, в том числе для обращений через внешний интерфейс (WAN). Техника атаки достаточно проста и сводится к передаче новой порции настроек.Проанализировав результаты некоторых атак на подставные устройства исследователи выяснили (https://badcyber.com/new-mirai-attack-vector-bot-exploits-a-... что после эксплуатации уязвимости на устройство внедряется один из вариантов червя Mirai (https://ru.wikipedia.org/wiki/Mirai_%28%D0%B1... формирующего новый ботнет для совершения DDoS-атак. Предполагается, что неизвестные злоумышленники воспользовались ранее опубликованными исходными текстами (https://github.com/jgamblin/Mirai-Source-Code) червя Mirai, которые были дополнены эксплоитом (https://www.exploit-db.com/exploits/40740/), обеспечивающим запуск кода через манипуляции с сервисами, поддерживающими протокол TR-064.
Атака проводится через перебор IP-адресов. В случае обнаружения открытого порта 7547, осуществляется попытка изменения настроек при помощи команд TR-064 для открытия доступа к административному web-интерфейсу, после чего червь подключается к нему при помощи одного из трёх задаваемых по умолчанию паролей. Далее червь перебирает семь вариантов сборок вредоносного ПО для маршрутизаторов, построенных на базе чипов MIPS Big Endian,
MIPS Little Endian, ARМ, Renesas SH, PowerPC (cisco 4500), SPARC и Motorola 68020. После чего закрывает пакетным фильтром порт 7547 и убивает процесс telnetd для блокирования установки обновлений провайдером.
Для удаления червя достаточно перезагрузить устройство, после чего следует убедиться в доставке обновления прошивки. Проверку наличия открытого порта 7547 также следует проводить после перезагрузки, так как в случае если устройство уже атаковано, данный порт будет закрыт пакетным фильтром.URL: http://arstechnica.com/security/2016/11/notorious-iot-botnet.../
Новость: http://www.opennet.me/opennews/art.shtml?num=45583
Тут ↓ будут отписываться люди "у меня suse роутер и не волнует"
> Тут ↓ будут отписываться люди "у меня suse роутер и не волнует"OpenWRT@Netgear_WNDR4300. Мне уже бояться? :)
Конечно бойся. он же у тебя DSL.
> Конечно бойся. он же у тебя DSL.Сам по себе DSL страшен разве что никакущей скоростью, особенно на аплоад.
2 мегабита мало?
В openwrt бояться можно только если ты сам себе пятку прострелил :). В отличие от фабричных фирмварей собранных индусней, openwrt'шники догадываются как делать не надо.
Святая вера в "догадывающихся как делать не надо", алилуйя! Когда там последняя сборка была у них? В марте? Блаженны верующие!
Это релизы бывают нечасто, а об очередных сборках просто нет новостей.
"Истинные верующие" пользуются релизами. И зачастую не самыми свежими. Типа - "поставил и забыл". А подавляющее их количество даже секьюрити репорты не читает, ведь знакомый Вася-сисадмин "сказал что это самый крутой софт для рутеров", ну Вася же знает, он форумы читает.
Был SUSE-роутер - ломанули.
У меня старенький зухель роутер, и не волнует, т.к. все закрыто
Кстати, те зухели что продаются России, и те, что продаются во всем остальном мире, зачастую кардинально отличаются в плане ПО, вплоть до того, что прошивки у них не имеют ничего общего, при похожем железе внутри.
Серия Zyxel Keenetic с прошивкой NDMS таки действительно только для СНГ.
> Предполагается, что неизвестные злоумышленники воспользовались ранее опубликованными исходными текстами червя Mirai, которые были дополнены эксплоитом, обеспечивающим запуск кода через манипуляции с сервисами, поддерживающими протокол TR-064.Вот видите, теперь уже и malware становится opensource!
Уже целый дистрибутив(kali linux) этого "вредоносного" софта сделали.
> Уже целый дистрибутив(kali linux) этого "вредоносного" софта сделали.kali linux всего лишь инструмент пентестера. Сам по себе он не вредоносный - его можно и на свою инфраструктуру напустить, посмотреть что найдется. А вот mirai - это уже откровенно боевое ПО, отличающееся от kali как кухонный нож от штык-ножа.
Чтобы mirai использовать для чего-то полезного - придется попотеть не меньше чем при нарезке салата штык-ножом.
> убивает процесс telnetd для блокирования установки обновлений провайдером.Даааа!!!11111 Это круто.
TR-069 - зло.
У себя сразу удалил все настроеные провайдером соединения, кроме нужного для доступа в интернет.
> TR-069 - зло.Спасибо, Кэп.
> У себя сразу удалил все настроеные провайдером соединения, кроме нужного для доступа в интернет.
Думаешь, это спасет тебя от сабжевых атак? :)
Use Pfsense!
> Use Pfsense!он не умеет DSL.
with snort only!)
> Use Pfsense!Лучше openwrt.
когда будут образцово-показательные расстрелы хостеров терабитными атаками?
> когда будут образцово-показательные расстрелы хостеров терабитными атаками?Так баян же. Упомянутый червяк уже долбил AKAMAI. Успешно, в том плане что AKAMAI взвыл от почти терабита и послал бесплатного клиета нафиг. Решив что ну его - терабит забесплатно процессить. Защита от DDoS не такая уж и защитистая оказалась.
Для атаки роутер должен быть соединён проводом с компом? Если он висит в прихожей и тупо раздает wifi, он тоже уязвим?
С провайдером тоже по ВиФи?
А то.
нет
какое то обновление прилетело. обновился
Поздравляю, "The matrix has you".
Чтобы убедиться, проверь в /tmp наличие файла 1 (-rwxrwxrwx)))
А что мешает провайдеру самому написать эксплоит, который вызовет перезагрузку роутера? Зачем ждать, когда пользователь "хапнет" червя от злоумышленников?
Расскажи, зачем это провайдеру, если он может послать команду на перезагрузку по протоколу security is not my problem?
Чему удивляться? Взять роутеры, что дом.ру втюхивает. На всех один админский пароль и вход снаружи открыт. Видны SSID, ключи WIFI, WPS. Плюс разгильдяйство самих пользователей, плюс дыры в "родных" прошивках. У РТ чуть лучше. Только в своем городе увидел сотни (если не тысячи) таких роутеров.
> Чему удивляться? Взять роутеры, что дом.ру втюхивает. На всех один админский пароль
> и вход снаружи открыт. Видны SSID, ключи WIFI, WPS. Плюс разгильдяйство
> самих пользователей, плюс дыры в "родных" прошивках. У РТ чуть лучше.
> Только в своем городе увидел сотни (если не тысячи) таких роутеров.Еще спасибы машинно-тракторной станции за покрытие города бесплатным вайфаем. Они, конечно, это не планировали. Но раздали хомякам сто вагонов роутеров где WPS даже отключить в настройках нельзя. А чтобы совсем круто - у многих из них еще и PIN не случайный и даже подбирть все 9999 вариантов не требуется.
А ысчо Бразилия. Ловля блох на два IP:$ bzcat ciscolog.0.bz2 ciscolog.1.bz2 | awk '/7547/{sub(/\..*$/,"",$15); print $15}'|sort -n -t . -k 1,1 -k 2,2 -k 3,3 -k 4,4|uniq -c|sort -n -k 1,1|tail
53 92
69 189
69 201
72 187
83 191
139 179
200 79
225 88
226 86
241 177177/8,179/8,187/8,189/8,191/8,201/8 - LACNIC
79/8,86/8,88/8,92/8 - RIPE
> А ысчо Бразилия. Ловля блох на два IP:Да на самом деле в случае mirai полный рандом - он банально сканит все что вывешено телнетом в сеть и с паролем типа аadmin:admin. Где и что насканится - там и будет. Поэтому твоя статистика это круто но все о чем она говорит - ботнетик который попался тебе насканил вот так. Это все очень динамичное и меняется по семь раз на дню - ботнеты рубятся за ресурсы, червяки не могут себя записать на постоянно т.к. файлуха обычнл readonly и вылетают при ребуте девайсов. Скоро наверное ботнетчики будут устраивать рубку стай своей зерготни стенка на стенку, стараясь отобрать у конкурентов ресурсы. Что впрочем опять же до первого ребута, поэтому такой себе RTS IRL будет. Где стайки автоматических зерглингов рубятся за ресурсы.
Всякие МГТС-овские роутеры ребутятся обычно при отключении света ( их часто запитывают до квартирных автоматов :) )
До каких нафиг автоматов, МГТС-ные установщики во-первых - не имеют право какие-либо работы в элеткрощитах производить, на это нужен допуск и разрешение; во-вторых - они не способны даже в розетку толком воткнуться, не говоря уж о том, что бы понять и подсоединится к сети до групповых автоматов.
> По информации от
> Deutsche Telekom проблеме подвержено 900 тысяч их клиентов. Deutsche Telekom
> уже выпустили обновление прошивок для устанавливаемых клиентам устройств, но для его
> применения необходимо чтобы пользователь перезапустил маршрутизатор, что происходит
> не так часто.По информации вообще-то малварь вроде как не смогла установиться -- из-за недочетов при сборке
https://translate.google.com/translate?hl=en&sl=de&u=https:/...
> that the malicious software had been badly programmed: "She did not work and did not do what she should have done, otherwise the consequences of the attack would have been much worse."Можно сказать, кое-кому из руководства очень крупно повезло.
Правда, все же не перестают удивлять подходы к безопасности из далеких 90-х, будто бы не было и нет всяких SSH, электронных подписей и ассиметричного шифрования.Однако, "главный прикол дня":
https://www.telekom.com/en/corporate-responsibility/data-pro...
Господа Ыксперты как раз проводят конгресс по безопасности, где обещают показать всем "как надо правильно" =)
> Summit of security business
> IT security is very important, but do companies protect themselves in the right way? Deutsche Telekom
> informs about trends and solutions in the field of security.
>
Ставьте циску или джунипер и будет вам счастье. :)
> Ставьте циску или джунипер и будет вам счастье. :)А можно - просто счастье? А то с вашими сисками/жуниперами оно какого-то коричневого цвета получается.
Загорелое ?
у нас оно(tr064/tr069) поддерживается славбогу только в "нишевых" EPON/GNOP устройствах и нигде больше, пока и в половине их - реализовано и огорожено правильно еще "из коробки"(и провайдерами до-ностраивается далее обычно грамотно). но потенциал эксплоитации, безусловно - Огромный а учитывая поверхность атаки - и динамика нахождения и эксплоитации - будет оставаться высокой.