Ogółem głosów: 420
Musisz zalogować się, aby móc zagłosować. Rozpoczęto: 02/02/2015 09:38
Twoje IP
3.133.86.98
Podejrzenie masowej infekcji routerów D-link
Złośliwe oprogramowanie, które przejmuje kontrolę nad routerem tworząc z niego komputer-zombie (członka botnetu), najprawdopodobniej wykorzystuje lukę w narzędzu BusyBox - zestawie aplikacji dla niewielkich dystrybucji linuksowych. Zatem podatne są tylko te routery D-linka, które wykorzystują BusyBox. Z obserwacji wynika, że infekcja następuje przez port 23/TCP. Po przejęciu router wykonuje polecenia napływające z serwerów zarządzających botnetem (zwanych serwerami C&C), głównie są to rozkazy ataków DDoS. Ponadto robak próbuje propagować się dalej i przeszukuje sieć skanując port 23/TCP w poszukiwaniu innych podatnych routerów. Cechą charakterystyczną tego zagrożenia jest wzrost aktywności sieciowej na porcie 23/TCP.
Maksymalna liczba skanowań zaobserwowanych do tej pory wynosiła ponad 30.000 na pięć minut, natomiast średnia ilość przepływów w ostatnim tygodniu wyniosła 923 w ciągu pięciu minut.
Wzrost ruchu na porcie 23/TCP obserwowany jest także przez inne systemy monitorujące Internet (jak np. Internet Storm Center instytutu SANS)
Na razie specjaliści zajmujący się tym tematem niewiele więcej mogą powiedzieć. Nie jest jeszcze znany kod złośliwego programu, nie wiadomo także dokładnie jaka i w jaki sposób wykorzystywana jest luka. Nie zaobserwowano natomiast, aby wykorzystywane były routery nie korzystające z rozwiązania BusyBox.
Warto zauważyć, że we wtorek 25 marca opublikowano informację o nowych podatnościach w kilku modelach routerów D-link. Poprzez wykorzystanie ich atakujący może zdestabilizować pracę urządzenia lub wykonać na nim dowolny kod. Luki polegają na tym, że oprogramowanie routerów (w tym także serwer WWW) nie sprawdza wprowadzanych przez użytkownika danych. Urządzenia mogą więc zostać zaatakowane m.in. poprzez użycie zmodyfikowanego URLa lub wejście na spreparowaną stronę WWW zawierającą złośliwy kod HTML lub JavaScript. Prawdopodobnie nie ma to bezpośredniego związku z obserwowanym botnetem, lecz ostrzega przed nowymi możliwościami infekcji, a więc i przed potencjalnym jego rozrostem.
Z racji nieznajomości całości mechanizmu działania i sposobów rozprzestrzeniania się eksploita nie ma rozwiązania pozwalającego całkowicie zabezpieczyć się przed atakiem. Należy oczywiście uwzględnić także nowo odkryte luki. Najlepiej - jeżeli jest taka możliwość - odfiltrować na firewallu wszelkie połączenia na port 23/TCP do podatnego routera poza jednym lub kilkoma pochodzącymi z pewnych adresów IP. Warto także uniemożliwić zarządzanie nim spoza lokalnej sieci (zarówno przez CLI, GUI jak i przy pomocy protokołu SNMP) i jednocześnie ograniczyć z LANu. Poza tym powinno się zadbać, by zarządzając routerem przez Web-GUI jednocześnie nie wchodzić na strony internetowe. To zalecenie jest podyktowane właściwościami upublicznionych parę dni temu luk. Mogą one być bowiem wykorzystane przez szkodliwy kod umieszczony na stronach WWW, który poprzez kradzież informacji autoryzacyjnych zawartych w ciasteczkach może uzyskać dostęp do routera na poziomie administratora.
Źródło: cert.pl
·stegano w 28 marca 2008 ·
w Bugi · 6 Komentarzy · 9932 Czytań
·
· Łącznie użytkowników: 24,126 · Najnowszy użytkownik: goldi111
Czat
Musisz się zalogować, aby opublikować wiadomość.
servee
24-01-2025 18:18
Światłowód + mediakonwenter. Ekranowana skrętka nie jest wymagana, taką sytuację już zastałem. Zamierzam ją wymienić na zwykłą. Da to coś?
shibby
17-01-2025 07:45
a ta skrętka ekranowana o której piszesz to jakiś wkopany przewód do bramy/furtki/kamer y zewn? Jak tak to jego też przez zabezpieczenie podepnij.
shibby
17-01-2025 07:43
no to pora zabezpieczyć kable LAN zabezpieczeniami przeciwprzepięciow ymi - tanio nie będzie. Jak przychodzi ci internet? Skrętką czy światłem? Jak skrętką to zacząłbym od tego.
servee
12-01-2025 12:52
Ponownie padły mi wszystkie porty sieciowe w routerze - to już 3-ci w 6 m-cy. Podejrzany to ekranowana, nieuziemiona skrętka - 12mb. Czy jest to możliwe?
dawidt
21-12-2024 01:09
siema
Maniek91PL
06-11-2024 22:37
dzięki !
maxikaaz
29-10-2024 14:27
@Maniek91PL - Administration=> Admin Access, i tam masz "Allow Wireless Access" do zaznaczenia
Maniek91PL
26-10-2024 22:07
siemka! ktoś przypomni co się ustawiało jeśli nie mogę wejść od strony wifi do tomato? od lan działa
overflow2
04-10-2024 17:34
Kupowałem Asusy n10u albo n12d1 ale nie widzę ich, chyba już nie produkują, Chodzi o coś nowego i taniego. Transfery niewielkie.
maxikaaz
04-10-2024 09:38
@overflow2 patrząc po dostępności funkcji w nowych kompilacjach, to chyba nawet WRT54G/GL jeszcze ma OpenVPN, albo jakiś odpowiednik... zależy, na jakie transfery liczysz.
' target='_blank'>Link
w 28 marca 2008 21:06:03
w 28 marca 2008 23:22:56
w 29 marca 2008 11:40:00
w 29 marca 2008 14:42:34
w 29 marca 2008 17:22:55
w 29 marca 2008 17:29:00