22 Maja 2024 23:34:52
Nawigacja
· Strona Główna
· Forum

· Tomato by Shibby
· FreshTomato


Wątki na forum
Najnowsze dyskusje
· [MOD] FreshTomato-AR...
· [MOD] Tomato64 (x86-64)
· [MOD] FreshTomato-MI...
· [Howto] Xpenology na...
· Takedown 2000
· [HOWTO] Kompilacja "...
· nju swiatło pytania
· konfiguracja router ...
· Asus TUF-AX3000_V2 p...
· Jaki router kupić? ...
· Szukam zaproszenia n...
· dodatkowe złącza s...
· RT-N18U - nie można...
· Firewall nie zawsze ...
· Optware na CIFS
· RT-AX56U - Status kl...
· Multiroom N z wykorz...
· [S] Asus RT-AC68U E1
· [S] ASUS RT-AC68U
· Rozłączanie klient...
Najpopularniejsze obecnie wątki
· [MOD] FreshTomato... [871]
· [MOD] FreshTomato... [405]
· [MOD] Tomato64 (x... [38]
· [Howto] Xpenology... [30]
Ankieta
Jaki procesor posiada twój router?

Broadcom MIPSEL
Broadcom MIPSEL
36% [151 głosów]

Broadcom ARM
Broadcom ARM
52% [216 głosów]

Atheros
Atheros
5% [22 głosów]

Marvell
Marvell
1% [4 głosów]

Ralink
Ralink
1% [3 głosów]

Intel/AMD/VIA
Intel/AMD/VIA
1% [5 głosów]

Żaden z powyższych
Żaden z powyższych
4% [15 głosów]

Ogółem głosów: 416
Musisz zalogować się, aby móc zagłosować.
Rozpoczęto: 02/02/2015 09:38
Twoje IP
44.223.39.67
Podejrzenie masowej infekcji routerów D-link
BugiZłośliwe oprogramowanie, które przejmuje kontrolę nad routerem tworząc z niego komputer-zombie (członka botnetu), najprawdopodobniej wykorzystuje lukę w narzędzu BusyBox - zestawie aplikacji dla niewielkich dystrybucji linuksowych. Zatem podatne są tylko te routery D-linka, które wykorzystują BusyBox. Z obserwacji wynika, że infekcja następuje przez port 23/TCP. Po przejęciu router wykonuje polecenia napływające z serwerów zarządzających botnetem (zwanych serwerami C&C), głównie są to rozkazy ataków DDoS. Ponadto robak próbuje propagować się dalej i przeszukuje sieć skanując port 23/TCP w poszukiwaniu innych podatnych routerów. Cechą charakterystyczną tego zagrożenia jest wzrost aktywności sieciowej na porcie 23/TCP.


Maksymalna liczba skanowań zaobserwowanych do tej pory wynosiła ponad 30.000 na pięć minut, natomiast średnia ilość przepływów w ostatnim tygodniu wyniosła 923 w ciągu pięciu minut.

Wzrost ruchu na porcie 23/TCP obserwowany jest także przez inne systemy monitorujące Internet (jak np. Internet Storm Center instytutu SANS)

Na razie specjaliści zajmujący się tym tematem niewiele więcej mogą powiedzieć. Nie jest jeszcze znany kod złośliwego programu, nie wiadomo także dokładnie jaka i w jaki sposób wykorzystywana jest luka. Nie zaobserwowano natomiast, aby wykorzystywane były routery nie korzystające z rozwiązania BusyBox.

Warto zauważyć, że we wtorek 25 marca opublikowano informację o nowych podatnościach w kilku modelach routerów D-link. Poprzez wykorzystanie ich atakujący może zdestabilizować pracę urządzenia lub wykonać na nim dowolny kod. Luki polegają na tym, że oprogramowanie routerów (w tym także serwer WWW) nie sprawdza wprowadzanych przez użytkownika danych. Urządzenia mogą więc zostać zaatakowane m.in. poprzez użycie zmodyfikowanego URLa lub wejście na spreparowaną stronę WWW zawierającą złośliwy kod HTML lub JavaScript. Prawdopodobnie nie ma to bezpośredniego związku z obserwowanym botnetem, lecz ostrzega przed nowymi możliwościami infekcji, a więc i przed potencjalnym jego rozrostem.

Z racji nieznajomości całości mechanizmu działania i sposobów rozprzestrzeniania się eksploita nie ma rozwiązania pozwalającego całkowicie zabezpieczyć się przed atakiem. Należy oczywiście uwzględnić także nowo odkryte luki. Najlepiej - jeżeli jest taka możliwość - odfiltrować na firewallu wszelkie połączenia na port 23/TCP do podatnego routera poza jednym lub kilkoma pochodzącymi z pewnych adresów IP. Warto także uniemożliwić zarządzanie nim spoza lokalnej sieci (zarówno przez CLI, GUI jak i przy pomocy protokołu SNMP) i jednocześnie ograniczyć z LANu. Poza tym powinno się zadbać, by zarządzając routerem przez Web-GUI jednocześnie nie wchodzić na strony internetowe. To zalecenie jest podyktowane właściwościami upublicznionych parę dni temu luk. Mogą one być bowiem wykorzystane przez szkodliwy kod umieszczony na stronach WWW, który poprzez kradzież informacji autoryzacyjnych zawartych w ciasteczkach może uzyskać dostęp do routera na poziomie administratora.

Źródło: cert.pl
Komentarze
V
#1 vimes
w 28 marca 2008 21:06:03
A czy tomato nie ma BusyBoxa? Zatem jak jest z bezpieczeństwem tomato jest teraz?
mgregor #2 mgregor
w 28 marca 2008 23:22:56
Tomato ma BusyBox'a. Ciekawe co z naszymi WRT'kami.
B
#3 bizoneczek
w 29 marca 2008 11:40:00
Uuu to chyba WRT-ki są także zagrożone ! - No to czekamy na rozwój wydarzeń na froncie.B)
mgregor #4 mgregor
w 29 marca 2008 14:42:34
Moj WRT ostatnio jakos dziwnie sie zachowuje, kaszle, na antenkach pojawił sie pot, musze sprawdzic czy nie ma goraczki....B)
A
#5 arthi
w 29 marca 2008 17:22:55
fritz, zyxel,... co tam, ogolnie cala masa sprzetu!
stegano #6 stegano
w 29 marca 2008 17:29:00
łatwiej by było wyliczyć co nie jest oparte na BusyBox Smile
Dodaj komentarz
Zaloguj się, aby napisać komentarz.
Zaloguj
Wprowadź adres e-mail lub nazwę użytkownika

Hasło



Nie masz jeszcze konta? Zarejestruj się.

Zapomniałeś/aś hasła?
Aktualnie online
· Gości online: 10

· Użytkowników online: 0

· Łącznie użytkowników: 24,115
· Najnowszy użytkownik: Ja
Czat
Musisz się zalogować, aby opublikować wiadomość.

tamtosiamto
12-05-2024 18:22
Ma ktos sim Plus lub Plush? Mam kod to terabajta danych na 30 dni z blikomanii Smile

RaTaJ
10-05-2024 15:43
Czy intel n100 4x 3,40Ghz z Intel HD i DDR5 byłby dobry, widziałem za 550zł z 8gb ram i ssd 512gb?

Adooni
26-04-2024 14:41
jaki router RMerlin nie pociagne, tomato/ openwrt tak non hilink,

tamtosiamto
23-04-2024 12:35
modem bez smilocka?

man1
22-04-2024 23:27
Czy próbował ktoś uzywac karty voice (z nolimit GB) od tmobile w modemie /routerze? Da się jakoś to zrobić? Bo u mnie neta brak. E3372 Sad

tamtosiamto
31-03-2024 12:54
Wesolego jajka wszytskim forumowiczom Grin

tamtosiamto
28-03-2024 23:24
tak, tak zgadza sie, ale ja pytam o wykluczenie noda na guest network w first set, i to nie dziala

Adooni
24-03-2024 13:16
Guest network is currently designed to allow the first set of each band (2.4G, 5G, 5G-1) available to the AiMesh node

tamtosiamto
24-03-2024 03:03
ale w 1 jest opcja do wyboru - dla calej sieci albo rutera only i wlasnie o tym mowie, ze nie dziala

Adooni
23-03-2024 16:31
w dokumencie asusa jest ze wlasnie dla 1 ma dzialac na nodach tez

72,206,720 unikalnych wizyt