Ogółem głosów: 419
Musisz zalogować się, aby móc zagłosować. Rozpoczęto: 02/02/2015 09:38
Twoje IP
3.135.205.26
Podejrzenie masowej infekcji routerów D-link
Złośliwe oprogramowanie, które przejmuje kontrolę nad routerem tworząc z niego komputer-zombie (członka botnetu), najprawdopodobniej wykorzystuje lukę w narzędzu BusyBox - zestawie aplikacji dla niewielkich dystrybucji linuksowych. Zatem podatne są tylko te routery D-linka, które wykorzystują BusyBox. Z obserwacji wynika, że infekcja następuje przez port 23/TCP. Po przejęciu router wykonuje polecenia napływające z serwerów zarządzających botnetem (zwanych serwerami C&C), głównie są to rozkazy ataków DDoS. Ponadto robak próbuje propagować się dalej i przeszukuje sieć skanując port 23/TCP w poszukiwaniu innych podatnych routerów. Cechą charakterystyczną tego zagrożenia jest wzrost aktywności sieciowej na porcie 23/TCP.
Maksymalna liczba skanowań zaobserwowanych do tej pory wynosiła ponad 30.000 na pięć minut, natomiast średnia ilość przepływów w ostatnim tygodniu wyniosła 923 w ciągu pięciu minut.
Wzrost ruchu na porcie 23/TCP obserwowany jest także przez inne systemy monitorujące Internet (jak np. Internet Storm Center instytutu SANS)
Na razie specjaliści zajmujący się tym tematem niewiele więcej mogą powiedzieć. Nie jest jeszcze znany kod złośliwego programu, nie wiadomo także dokładnie jaka i w jaki sposób wykorzystywana jest luka. Nie zaobserwowano natomiast, aby wykorzystywane były routery nie korzystające z rozwiązania BusyBox.
Warto zauważyć, że we wtorek 25 marca opublikowano informację o nowych podatnościach w kilku modelach routerów D-link. Poprzez wykorzystanie ich atakujący może zdestabilizować pracę urządzenia lub wykonać na nim dowolny kod. Luki polegają na tym, że oprogramowanie routerów (w tym także serwer WWW) nie sprawdza wprowadzanych przez użytkownika danych. Urządzenia mogą więc zostać zaatakowane m.in. poprzez użycie zmodyfikowanego URLa lub wejście na spreparowaną stronę WWW zawierającą złośliwy kod HTML lub JavaScript. Prawdopodobnie nie ma to bezpośredniego związku z obserwowanym botnetem, lecz ostrzega przed nowymi możliwościami infekcji, a więc i przed potencjalnym jego rozrostem.
Z racji nieznajomości całości mechanizmu działania i sposobów rozprzestrzeniania się eksploita nie ma rozwiązania pozwalającego całkowicie zabezpieczyć się przed atakiem. Należy oczywiście uwzględnić także nowo odkryte luki. Najlepiej - jeżeli jest taka możliwość - odfiltrować na firewallu wszelkie połączenia na port 23/TCP do podatnego routera poza jednym lub kilkoma pochodzącymi z pewnych adresów IP. Warto także uniemożliwić zarządzanie nim spoza lokalnej sieci (zarówno przez CLI, GUI jak i przy pomocy protokołu SNMP) i jednocześnie ograniczyć z LANu. Poza tym powinno się zadbać, by zarządzając routerem przez Web-GUI jednocześnie nie wchodzić na strony internetowe. To zalecenie jest podyktowane właściwościami upublicznionych parę dni temu luk. Mogą one być bowiem wykorzystane przez szkodliwy kod umieszczony na stronach WWW, który poprzez kradzież informacji autoryzacyjnych zawartych w ciasteczkach może uzyskać dostęp do routera na poziomie administratora.
Źródło: cert.pl
·stegano w 28 marca 2008 ·
w Bugi · 6 Komentarzy · 9452 Czytań
·
· Łącznie użytkowników: 24,115 · Najnowszy użytkownik: Ja
Czat
Musisz się zalogować, aby opublikować wiadomość.
Maniek91PL
06-11-2024 22:37
dzięki !
maxikaaz
29-10-2024 14:27
@Maniek91PL - Administration=> Admin Access, i tam masz "Allow Wireless Access" do zaznaczenia
Maniek91PL
26-10-2024 22:07
siemka! ktoś przypomni co się ustawiało jeśli nie mogę wejść od strony wifi do tomato? od lan działa
overflow2
04-10-2024 17:34
Kupowałem Asusy n10u albo n12d1 ale nie widzę ich, chyba już nie produkują, Chodzi o coś nowego i taniego. Transfery niewielkie.
maxikaaz
04-10-2024 09:38
@overflow2 patrząc po dostępności funkcji w nowych kompilacjach, to chyba nawet WRT54G/GL jeszcze ma OpenVPN, albo jakiś odpowiednik... zależy, na jakie transfery liczysz.
overflow2
30-09-2024 20:53
Jaki aktualnie najtańszy router do tomato do openvpn?
maxikaaz
27-07-2024 15:07
@servee - na początek router do rozebrania i obejrzenia, ciężko wróżyć tak tylko po objawach
maxikaaz
27-07-2024 14:55
@servee - cały kontroler nie pada tak sobie z powodu "zbiegu okoliczności", więc prawdopodobnie gdzieś przepięcie.
servee
25-07-2024 13:33
@maxikaaz: działało, aż pewnego pięknego dnia przestało działać. W tym dniu była też burza, ale to raczej zbieg okoliczności.
maxikaaz
25-07-2024 11:38
@servee - o ile problem jest w obrębie samych wyjść (dławiki, warystory), to naprawialne, ale jeśli w samym SoC - to nienaprawialne ze względu na koszta. A co było przyczyną?
' target='_blank'>Link
w 28 marca 2008 21:06:03
w 28 marca 2008 23:22:56
w 29 marca 2008 11:40:00
w 29 marca 2008 14:42:34
w 29 marca 2008 17:22:55
w 29 marca 2008 17:29:00