The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"Волна атак на клиентские маршрутизаторы"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Волна атак на клиентские маршрутизаторы"  +/
Сообщение от opennews (ok) on 29-Ноя-16, 18:13 
Исследователи безопасности предупредили (https://devicereversing.wordpress.com/2016/11/07/eirs-d1000-.../) пользователей о выявлении вредоносной активности, поражающей беспроводные и DSL маршрутизаторы Zyxel, Speedport и возможно других производителей, устанавливаемые клиентам некоторыми крупными операторами связи, такими как Deutsche Telekom и Eircom.


С учётом того, что проблемные устройства сосредоточены в подсетях нескольких провайдеров, устанавливающих клиентам типовое оборудование, поиск уязвимых устройств существенно упрощается. В настоящее время атака приобретает лавинообразный характер: на подставных honeypot-серверах, запущенных
Центром изучения сетевых угроз при институте SANS для изучения характера атаки, новые попытки эксплуатации фиксируются раз в 5-10 минут.


Точное число потенциально уязвимых устройств не известно но утверждается (https://isc.sans.edu/forums/diary/Port+7547+SOAP+Remote+Code...), что проблема может затрагивать  миллионы домашних маршрутизаторов. По информации от Deutsche Telekom проблеме подвержено 900 тысяч  их клиентов. Deutsche Telekom уже выпустили обновление прошивок для устанавливаемых клиентам устройств, но для его применения необходимо чтобы пользователь перезапустил маршрутизатор, что происходит не так часто. До перезагрузки устройство остаётся уязвимым. Предварительное сканирование портов  показало (https://badcyber.com/new-mirai-attack-vector-bot-exploits-a-.../), что в сети  присутствует около 5 млн проблемных устройств.


Уязвимость связана (https://isc.sans.edu/forums/diary/Port+7547+SOAP+Remote+Code...) с некорректной организацией доступа к протоколу CWMP/TR-069 (https://en.wikipedia.org/wiki/TR-069), применяемому для автоматизации настройки абонентского оборудования операторами связи. Протокол основан на HTTP/SOAP и принимает соединения на сетевом порту 7547. Протокол рассчитан только на доступ из внутренней сети оператора связи, но на проблемных устройствах ограничения не были реализованы и соединения принимаются из любых сетей, в том числе для обращений через внешний интерфейс (WAN).   Техника атаки достаточно проста и сводится к передаче новой порции настроек.

Проанализировав результаты некоторых атак на подставные устройства исследователи выяснили (https://badcyber.com/new-mirai-attack-vector-bot-exploits-a-.../), что после эксплуатации уязвимости на устройство внедряется один из вариантов червя Mirai (https://ru.wikipedia.org/wiki/Mirai_%28%D0%B1...), формирующего новый ботнет для совершения DDoS-атак. Предполагается, что неизвестные злоумышленники воспользовались ранее опубликованными исходными текстами (https://github.com/jgamblin/Mirai-Source-Code) червя Mirai, которые были дополнены эксплоитом (https://www.exploit-db.com/exploits/40740/), обеспечивающим запуск кода через манипуляции с сервисами, поддерживающими протокол TR-064.


Атака проводится через перебор IP-адресов. В случае обнаружения открытого порта 7547, осуществляется попытка изменения настроек при помощи команд TR-064 для  открытия доступа к административному web-интерфейсу, после чего червь подключается к нему при помощи одного из трёх задаваемых по умолчанию паролей. Далее червь перебирает семь вариантов сборок вредоносного ПО для маршрутизаторов, построенных на базе чипов MIPS Big Endian,
MIPS Little Endian, ARМ, Renesas SH, PowerPC (cisco 4500), SPARC и Motorola 68020. После чего закрывает пакетным фильтром  порт 7547 и убивает процесс telnetd для блокирования установки обновлений провайдером.


Для удаления червя достаточно перезагрузить устройство, после чего следует убедиться в доставке обновления прошивки.  Проверку наличия открытого порта 7547 также следует проводить после перезагрузки, так как в случае если устройство уже атаковано, данный порт будет закрыт пакетным фильтром.

URL: http://arstechnica.com/security/2016/11/notorious-iot-botnet.../
Новость: http://www.opennet.me/opennews/art.shtml?num=45583

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Волна атак на клиентские маршрутизаторы"  –4 +/
Сообщение от soarin (ok) on 29-Ноя-16, 18:13 
Тут ↓ будут отписываться люди "у меня suse роутер и не волнует"
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Волна атак на клиентские маршрутизаторы"  +3 +/
Сообщение от ryoken (ok) on 29-Ноя-16, 18:25 
> Тут ↓ будут отписываться люди "у меня suse роутер и не волнует"

OpenWRT@Netgear_WNDR4300. Мне уже бояться? :)

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

13. "Волна атак на клиентские маршрутизаторы"  +9 +/
Сообщение от adminlocalhost (ok) on 29-Ноя-16, 20:14 
Конечно бойся. он же у тебя DSL.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

36. "Волна атак на клиентские маршрутизаторы"  –1 +/
Сообщение от Аноним (??) on 30-Ноя-16, 10:50 
> Конечно бойся. он же у тебя DSL.

Сам по себе DSL страшен разве что никакущей скоростью, особенно на аплоад.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

56. "Волна атак на клиентские маршрутизаторы"  –1 +/
Сообщение от Аноним (??) on 03-Дек-16, 14:49 
2 мегабита мало?
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

35. "Волна атак на клиентские маршрутизаторы"  +/
Сообщение от Аноним (??) on 30-Ноя-16, 10:49 
В openwrt бояться можно только если ты сам себе пятку прострелил :). В отличие от фабричных фирмварей собранных индусней, openwrt'шники догадываются как делать не надо.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

45. "Волна атак на клиентские маршрутизаторы"  +/
Сообщение от Василий Теркин on 30-Ноя-16, 12:02 
Святая вера в "догадывающихся как делать не надо", алилуйя! Когда там последняя сборка была у них? В марте? Блаженны верующие!
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

51. "Волна атак на клиентские маршрутизаторы"  –2 +/
Сообщение от Аноним (??) on 30-Ноя-16, 17:19 
Это релизы бывают нечасто, а об очередных сборках просто нет новостей.
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

55. "Волна атак на клиентские маршрутизаторы"  +/
Сообщение от Василий Теркин on 01-Дек-16, 13:46 
"Истинные верующие" пользуются релизами. И зачастую не самыми свежими. Типа - "поставил и забыл". А подавляющее их количество даже секьюрити репорты не читает, ведь знакомый Вася-сисадмин "сказал что это самый крутой софт для рутеров", ну Вася же знает, он форумы читает.
Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

19. "Волна атак на клиентские маршрутизаторы"  +/
Сообщение от Аноним (??) on 29-Ноя-16, 21:34 
Был SUSE-роутер - ломанули.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Волна атак на клиентские маршрутизаторы"  –3 +/
Сообщение от Аноним (??) on 29-Ноя-16, 18:20 
У меня старенький зухель роутер, и не волнует, т.к. все закрыто
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Волна атак на клиентские маршрутизаторы"  +/
Сообщение от Аноним (??) on 29-Ноя-16, 19:26 
Кстати, те зухели что продаются России, и те, что продаются во всем остальном мире, зачастую кардинально отличаются в плане ПО, вплоть до того, что прошивки у них не имеют ничего общего, при похожем железе внутри.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

21. "Волна атак на клиентские маршрутизаторы"  +/
Сообщение от Аноним (??) on 29-Ноя-16, 21:59 
Серия Zyxel Keenetic с прошивкой NDMS таки действительно только для СНГ.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

4. "Волна атак на клиентские маршрутизаторы"  +13 +/
Сообщение от UraniumSun (ok) on 29-Ноя-16, 18:31 
> Предполагается, что неизвестные злоумышленники воспользовались ранее опубликованными исходными текстами червя Mirai, которые были дополнены эксплоитом, обеспечивающим запуск кода через манипуляции с сервисами, поддерживающими протокол TR-064.

Вот видите, теперь уже и malware становится opensource!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

30. "Волна атак на клиентские маршрутизаторы"  +/
Сообщение от _KUL (ok) on 30-Ноя-16, 04:16 
Уже целый дистрибутив(kali linux) этого "вредоносного" софта сделали.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

37. "Волна атак на клиентские маршрутизаторы"  +3 +/
Сообщение от Аноним (??) on 30-Ноя-16, 10:53 
> Уже целый дистрибутив(kali linux) этого "вредоносного" софта сделали.

kali linux всего лишь инструмент пентестера. Сам по себе он не вредоносный - его можно и на свою инфраструктуру напустить, посмотреть что найдется. А вот mirai - это уже откровенно боевое ПО, отличающееся от kali как кухонный нож от штык-ножа.

Чтобы mirai использовать для чего-то полезного - придется попотеть не меньше чем при нарезке салата штык-ножом.

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

5. "Волна атак на клиентские маршрутизаторы"  +/
Сообщение от Аноним (??) on 29-Ноя-16, 18:41 
> убивает процесс telnetd для блокирования установки обновлений провайдером.

Даааа!!!11111 Это круто.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Волна атак на клиентские маршрутизаторы"  –3 +/
Сообщение от Аноним (??) on 29-Ноя-16, 18:48 
TR-069 - зло.
У себя сразу удалил все настроеные провайдером соединения, кроме нужного для доступа в интернет.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

43. "Волна атак на клиентские маршрутизаторы"  +/
Сообщение от Аноним (??) on 30-Ноя-16, 11:13 
> TR-069 - зло.

Спасибо, Кэп.

> У себя сразу удалил все настроеные провайдером соединения, кроме нужного для доступа в интернет.

Думаешь, это спасет тебя от сабжевых атак? :)

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

12. "Волна атак на клиентские маршрутизаторы"  +1 +/
Сообщение от Dkg on 29-Ноя-16, 20:06 
Use Pfsense!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Волна атак на клиентские маршрутизаторы"  +/
Сообщение от adminlocalhost (ok) on 29-Ноя-16, 20:15 
> Use Pfsense!

он не умеет DSL.  

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

20. "Волна атак на клиентские маршрутизаторы"  +/
Сообщение от Кубер100 on 29-Ноя-16, 21:54 
with snort only!)
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

38. "Волна атак на клиентские маршрутизаторы"  +/
Сообщение от Аноним (??) on 30-Ноя-16, 11:00 
> Use Pfsense!

Лучше openwrt.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

18. "Волна атак на клиентские маршрутизаторы"  +/
Сообщение от Нанобот (ok) on 29-Ноя-16, 21:21 
когда будут образцово-показательные расстрелы хостеров терабитными атаками?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

39. "Волна атак на клиентские маршрутизаторы"  +/
Сообщение от Аноним (??) on 30-Ноя-16, 11:01 
> когда будут образцово-показательные расстрелы хостеров терабитными атаками?

Так баян же. Упомянутый червяк уже долбил AKAMAI. Успешно, в том плане что AKAMAI взвыл от почти терабита и послал бесплатного клиета нафиг. Решив что ну его - терабит забесплатно процессить. Защита от DDoS не такая уж и защитистая оказалась.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

25. "Волна атак на клиентские маршрутизаторы"  –1 +/
Сообщение от Аноним (??) on 30-Ноя-16, 00:51 
Для атаки роутер должен быть соединён проводом с компом? Если он висит в прихожей и тупо раздает wifi, он тоже уязвим?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "Волна атак на клиентские маршрутизаторы"  –1 +/
Сообщение от Аноним (??) on 30-Ноя-16, 01:04 
С провайдером тоже по ВиФи?
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

28. "Волна атак на клиентские маршрутизаторы"  +1 +/
Сообщение от Аноним (??) on 30-Ноя-16, 02:46 
А то.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

42. "Волна атак на клиентские маршрутизаторы"  +1 +/
Сообщение от Аноним (??) on 30-Ноя-16, 11:12 
нет
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

29. "Волна атак на клиентские маршрутизаторы"  –1 +/
Сообщение от Аноним (??) on 30-Ноя-16, 03:33 
какое то обновление прилетело. обновился
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

46. "Волна атак на клиентские маршрутизаторы"  +1 +/
Сообщение от Онанимус on 30-Ноя-16, 12:03 
Поздравляю, "The matrix has you".
Чтобы убедиться, проверь в /tmp наличие файла 1 (-rwxrwxrwx)))
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

31. "Волна атак на клиентские маршрутизаторы"  +/
Сообщение от Аноним (??) on 30-Ноя-16, 06:23 
А что мешает провайдеру самому написать эксплоит, который вызовет перезагрузку роутера? Зачем ждать, когда пользователь "хапнет" червя от злоумышленников?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

47. "Волна атак на клиентские маршрутизаторы"  +2 +/
Сообщение от Аноним (??) on 30-Ноя-16, 13:36 
Расскажи, зачем это провайдеру, если он может послать команду на перезагрузку по протоколу security is not my problem?
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

33. "Волна атак на клиентские маршрутизаторы"  +/
Сообщение от Valery (??) on 30-Ноя-16, 07:10 
Чему удивляться? Взять роутеры, что дом.ру втюхивает. На всех один админский пароль и вход снаружи открыт. Видны SSID, ключи WIFI, WPS. Плюс разгильдяйство самих пользователей, плюс дыры в "родных" прошивках. У РТ чуть лучше. Только в своем городе увидел сотни (если не тысячи) таких роутеров.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

40. "Волна атак на клиентские маршрутизаторы"  +/
Сообщение от Аноним (??) on 30-Ноя-16, 11:06 
> Чему удивляться? Взять роутеры, что дом.ру втюхивает. На всех один админский пароль
> и вход снаружи открыт. Видны SSID, ключи WIFI, WPS. Плюс разгильдяйство
> самих пользователей, плюс дыры в "родных" прошивках. У РТ чуть лучше.
> Только в своем городе увидел сотни (если не тысячи) таких роутеров.

Еще спасибы машинно-тракторной станции за покрытие города бесплатным вайфаем. Они, конечно, это не планировали. Но раздали хомякам сто вагонов роутеров где WPS даже отключить в настройках нельзя. А чтобы совсем круто - у многих из них еще и PIN не случайный и даже подбирть все 9999 вариантов не требуется.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

34. "Волна атак на клиентские маршрутизаторы"  +/
Сообщение от Аноним (??) on 30-Ноя-16, 07:33 
А ысчо Бразилия. Ловля блох на два IP:

$ bzcat ciscolog.0.bz2 ciscolog.1.bz2 | awk '/7547/{sub(/\..*$/,"",$15); print $15}'|sort -n -t . -k 1,1 -k 2,2 -k 3,3 -k 4,4|uniq -c|sort -n -k 1,1|tail
  53 92
  69 189
  69 201
  72 187
  83 191
139 179
200 79
225 88
226 86
241 177

177/8,179/8,187/8,189/8,191/8,201/8 - LACNIC
79/8,86/8,88/8,92/8 - RIPE

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

41. "Волна атак на клиентские маршрутизаторы"  +1 +/
Сообщение от Аноним (??) on 30-Ноя-16, 11:11 
> А ысчо Бразилия. Ловля блох на два IP:

Да на самом деле в случае mirai полный рандом - он банально сканит все что вывешено телнетом в сеть и с паролем типа аadmin:admin. Где и что насканится - там и будет. Поэтому твоя статистика это круто но все о чем она говорит - ботнетик который попался тебе насканил вот так. Это все очень динамичное и меняется по семь раз на дню - ботнеты рубятся за ресурсы, червяки не могут себя записать на постоянно т.к. файлуха обычнл readonly и вылетают при ребуте девайсов. Скоро наверное ботнетчики будут устраивать рубку стай своей зерготни стенка на стенку, стараясь отобрать у конкурентов ресурсы. Что впрочем опять же до первого ребута, поэтому такой себе RTS IRL будет. Где стайки автоматических зерглингов рубятся за ресурсы.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

44. "Волна атак на клиентские маршрутизаторы"  +/
Сообщение от Аноним (??) on 30-Ноя-16, 11:15 
Всякие МГТС-овские роутеры ребутятся обычно при отключении света ( их часто запитывают до квартирных автоматов :) )
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

54. "Волна атак на клиентские маршрутизаторы"  +/
Сообщение от Аноним (??) on 01-Дек-16, 10:33 
До каких нафиг автоматов, МГТС-ные установщики во-первых - не имеют право какие-либо работы в элеткрощитах производить, на это нужен допуск и разрешение; во-вторых - они не способны даже в розетку толком воткнуться, не говоря уж о том, что бы понять и подсоединится к сети до групповых автоматов.
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

49. "Волна атак на клиентские маршрутизаторы"  +/
Сообщение от Аноним84701 (ok) on 30-Ноя-16, 15:18 
>  По информации от
> Deutsche Telekom проблеме подвержено 900 тысяч  их клиентов. Deutsche Telekom
> уже выпустили обновление прошивок для устанавливаемых клиентам устройств, но для его
> применения необходимо чтобы пользователь перезапустил маршрутизатор, что происходит
> не так часто.

По информации вообще-то малварь вроде как не смогла установиться --  из-за недочетов при сборке
https://translate.google.com/translate?hl=en&sl=de&u=https:/...
> that the malicious software had been badly programmed: "She did not work and did not do what she should have done, otherwise the consequences of the attack would have been much worse."

Можно сказать, кое-кому из руководства очень крупно повезло.
Правда, все же не перестают удивлять подходы к безопасности из далеких 90-х, будто бы не было и нет всяких SSH, электронных подписей и ассиметричного шифрования.

Однако, "главный прикол дня":
https://www.telekom.com/en/corporate-responsibility/data-pro...
Господа Ыксперты как раз проводят конгресс по безопасности, где обещают показать всем "как надо правильно" =)
> Summit of security business
> IT security is very important, but do companies protect themselves in the right way? Deutsche Telekom
>  informs about trends and solutions in the field of security.

>

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

50. "Волна атак на клиентские маршрутизаторы"  –1 +/
Сообщение от Аноним (??) on 30-Ноя-16, 15:58 
Ставьте циску или джунипер и будет вам счастье. :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

52. "Волна атак на клиентские маршрутизаторы"  +1 +/
Сообщение от Led (ok) on 01-Дек-16, 00:48 
> Ставьте циску или джунипер и будет вам счастье. :)

А можно - просто счастье? А то с вашими сисками/жуниперами оно какого-то коричневого цвета получается.

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

53. "Волна атак на клиентские маршрутизаторы"  +/
Сообщение от 1 (??) on 01-Дек-16, 10:16 
Загорелое ?
Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

57. "Волна атак на клиентские маршрутизаторы"  +/
Сообщение от Аноним (??) on 05-Дек-16, 14:41 
у нас оно(tr064/tr069) поддерживается славбогу только в "нишевых" EPON/GNOP устройствах и нигде больше, пока и в половине их - реализовано и огорожено правильно еще "из коробки"(и провайдерами до-ностраивается далее обычно грамотно). но потенциал эксплоитации, безусловно - Огромный а учитывая поверхность атаки - и динамика нахождения и эксплоитации - будет оставаться высокой.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру