Ogółem głosów: 416
Musisz zalogować się, aby móc zagłosować. Rozpoczęto: 02/02/2015 09:38
Twoje IP
18.223.159.195
Podejrzenie masowej infekcji routerów D-link
Złośliwe oprogramowanie, które przejmuje kontrolę nad routerem tworząc z niego komputer-zombie (członka botnetu), najprawdopodobniej wykorzystuje lukę w narzędzu BusyBox - zestawie aplikacji dla niewielkich dystrybucji linuksowych. Zatem podatne są tylko te routery D-linka, które wykorzystują BusyBox. Z obserwacji wynika, że infekcja następuje przez port 23/TCP. Po przejęciu router wykonuje polecenia napływające z serwerów zarządzających botnetem (zwanych serwerami C&C), głównie są to rozkazy ataków DDoS. Ponadto robak próbuje propagować się dalej i przeszukuje sieć skanując port 23/TCP w poszukiwaniu innych podatnych routerów. Cechą charakterystyczną tego zagrożenia jest wzrost aktywności sieciowej na porcie 23/TCP.
Maksymalna liczba skanowań zaobserwowanych do tej pory wynosiła ponad 30.000 na pięć minut, natomiast średnia ilość przepływów w ostatnim tygodniu wyniosła 923 w ciągu pięciu minut.
Wzrost ruchu na porcie 23/TCP obserwowany jest także przez inne systemy monitorujące Internet (jak np. Internet Storm Center instytutu SANS)
Na razie specjaliści zajmujący się tym tematem niewiele więcej mogą powiedzieć. Nie jest jeszcze znany kod złośliwego programu, nie wiadomo także dokładnie jaka i w jaki sposób wykorzystywana jest luka. Nie zaobserwowano natomiast, aby wykorzystywane były routery nie korzystające z rozwiązania BusyBox.
Warto zauważyć, że we wtorek 25 marca opublikowano informację o nowych podatnościach w kilku modelach routerów D-link. Poprzez wykorzystanie ich atakujący może zdestabilizować pracę urządzenia lub wykonać na nim dowolny kod. Luki polegają na tym, że oprogramowanie routerów (w tym także serwer WWW) nie sprawdza wprowadzanych przez użytkownika danych. Urządzenia mogą więc zostać zaatakowane m.in. poprzez użycie zmodyfikowanego URLa lub wejście na spreparowaną stronę WWW zawierającą złośliwy kod HTML lub JavaScript. Prawdopodobnie nie ma to bezpośredniego związku z obserwowanym botnetem, lecz ostrzega przed nowymi możliwościami infekcji, a więc i przed potencjalnym jego rozrostem.
Z racji nieznajomości całości mechanizmu działania i sposobów rozprzestrzeniania się eksploita nie ma rozwiązania pozwalającego całkowicie zabezpieczyć się przed atakiem. Należy oczywiście uwzględnić także nowo odkryte luki. Najlepiej - jeżeli jest taka możliwość - odfiltrować na firewallu wszelkie połączenia na port 23/TCP do podatnego routera poza jednym lub kilkoma pochodzącymi z pewnych adresów IP. Warto także uniemożliwić zarządzanie nim spoza lokalnej sieci (zarówno przez CLI, GUI jak i przy pomocy protokołu SNMP) i jednocześnie ograniczyć z LANu. Poza tym powinno się zadbać, by zarządzając routerem przez Web-GUI jednocześnie nie wchodzić na strony internetowe. To zalecenie jest podyktowane właściwościami upublicznionych parę dni temu luk. Mogą one być bowiem wykorzystane przez szkodliwy kod umieszczony na stronach WWW, który poprzez kradzież informacji autoryzacyjnych zawartych w ciasteczkach może uzyskać dostęp do routera na poziomie administratora.
Źródło: cert.pl
·stegano w 28 marca 2008 ·
w Bugi · 6 Komentarzy · 8789 Czytań
·
· Łącznie użytkowników: 24,117 · Najnowszy użytkownik: Ja
Czat
Musisz się zalogować, aby opublikować wiadomość.
tamtosiamto
23-04-2024 12:35
modem bez smilocka?
man1
22-04-2024 23:27
Czy próbował ktoś uzywac karty voice (z nolimit GB) od tmobile w modemie /routerze? Da się jakoś to zrobić? Bo u mnie neta brak. E3372
tamtosiamto
31-03-2024 12:54
Wesolego jajka wszytskim forumowiczom
tamtosiamto
28-03-2024 23:24
tak, tak zgadza sie, ale ja pytam o wykluczenie noda na guest network w first set, i to nie dziala
Adooni
24-03-2024 13:16
Guest network is currently designed to allow the first set of each band (2.4G, 5G, 5G-1) available to the AiMesh node
tamtosiamto
24-03-2024 03:03
ale w 1 jest opcja do wyboru - dla calej sieci albo rutera only i wlasnie o tym mowie, ze nie dziala
Adooni
23-03-2024 16:31
w dokumencie asusa jest ze wlasnie dla 1 ma dzialac na nodach tez
tamtosiamto
23-03-2024 15:39
tak, ale nie zmienia to faktu, ze w pierwszej nie dziala wylaczanie aimesh dla goscinnej( a powinno), czyli jest jakis bug. Mam start soft, bo to dsl-ac68 ktory nie jest juz updateowany
Adooni
22-03-2024 18:07
nie, 1 wsza bedzie wszedzie trzeba 2ga zrobic dla kazdego pasma te nie sa przenoszone
tamtosiamto
19-03-2024 19:57
czyli jak mam jedna siec goscinna to powinno dzialac separowanie gosci od noda -a nie dziala
w 28 marca 2008 21:06:03
w 28 marca 2008 23:22:56
w 29 marca 2008 11:40:00
w 29 marca 2008 14:42:34
w 29 marca 2008 17:22:55
w 29 marca 2008 17:29:00