Malware VPNFilter je ještě agresivnější, než si experti mysleli. Napadá i další routery

13
security bezpečnost
Ilustrační foto (zdroj: pixelcreatures / Pixabay)

Na konci května odhalený malware a botnet VPNFilter je ještě rozšířenější a má více funkcí, než experti původně uvedli. Bezpečnostní tým Talos operující v Ciscu ostatně dříve zveřejnil jen předběžnou zprávu, aby rychle vyslal vzkaz výrobcům a ajťákům, jak se proti VPNFilteru bránit. Zároveň ale očekával, že objeví i nové poznatky. A už je to tady.

Původní zpráva odhalila přítomnost malwaru na routerech a NASech od společností Linksys, MikroTik, Netgear, QNAP a TP-Link. Ohroženy jsou ale nakonec i produkty značek Asus, D-Link, Huawei, Ubiquiti, Upvel a ZTE. Místo 16 potvrzených zařízení jich je již 71 (seznam najdete na konci článku) a kvůli podobnosti firmwaru to jistě není konečné číslo.

Fáze VPNFilteru
Fáze VPNFilteru

Vícefázový a modulární malware toho také umí více. Talos původně odhalil, že VPNFIlter umí ve druhé fázi zařízení zničit poškozením firmwaru, zároveň však druhá fáze slouží pro stahování dodatečných modulů. Nejdříve byly objeveny dva. První nazvaný tor sloužil k anonymizaci spojení routeru/NASu se servery útočníků pomocí Toru. Druhý ps uměl zachytávat přihlašovací údaje na webech a ovládat průmyslové stroje (pomocí Modbusu).

Teď s Talosu podařilo identifikovat další dva. Modul ssler převádí šifrovanou komunikaci HTTPS na nechráněnou HTTP a dokáže pomocí man-in-the-middle útoků upravovat proudící data. Modul dstr slouží k přepisu/smazání firmwaru na zařízeních, která to nedokážou už ve druhé fázi.

TIP: Půlka lidí v Česku si sledováním porna infikovala počítač virem

Výzkum VPNFilteru bude nadále pokračovat. Obrana je i nadále stejná. Aktualizovat firmware nebo urgovat výrobce, aby vydali opravu. Restart routeru zase dočasně dokáže odstranit fázi 2 a 3. Reset zařízení do továrního nastavení by mohl smazat i kód první fáze, ale pokud pro zařízení není oprava nebo už má firmware jednou modifikovaný, prostá obnova nemusí pomoci.

Zařízení napadená VPNFilterem

Asus

  • RT-AC66U (nově)
  • RT-N10 (nově)
  • RT-N10E (nově)
  • RT-N10U (nově)
  • RT-N56U (nově)
  • RT-N66U (nově)

D-Link

  • DES-1210-08P (nově)
  • DIR-300 (nově)
  • DIR-300A (nově)
  • DSR-250N (nově)
  • DSR-500N (nově)
  • DSR-1000 (nově)
  • DSR-1000N (nově)

Huawei

  • HG8245 (nově)

Linksys

  • E1200
  • E2500
  • E3000 (nově)
  • E3200 (nově)
  • E4200 (nově)
  • RV082 (nově)
  • WRVS4400N

Mikrotik

  • CCR1009 (nově)
  • CCR1016
  • CCR1036
  • CCR1072
  • CRS109 (nově)
  • CRS112 (nově)
  • CRS125 (nově)
  • RB411 (nově)
  • RB450 (nově)
  • RB750 (nově)
  • RB911 (nově)
  • RB921 (nově)
  • RB941 (nově)
  • RB951 (nově)
  • RB952 (nově)
  • RB960 (nově)
  • RB962 (nově)
  • RB1100 (nově)
  • RB1200 (nově)
  • RB2011 (nově)
  • RB3011 (nově)
  • RB Groove (nově)
  • RB Omnitik (nově)
  • STX5 (nově)

Netgear

  • DG834 (nově)
  • DGN1000 (nově)
  • DGN2200
  • DGN3500 (nově)
  • FVS318N (nově)
  • MBRN3000 (nově)
  • R6400
  • R7000
  • R8000
  • WNR1000
  • WNR2000
  • WNR2200 (nově)
  • WNR4000 (nově)
  • WNDR3700 (nově)
  • WNDR4000 (nově)
  • WNDR4300 (nově)
  • WNDR4300-TN (nově)
  • UTM50 (nově)

QNAP

  • TS251
  • TS439 Pro
  • Ostatní NASy se systémem QTS

TP-Link

  • R600VPN
  • TL-WR741ND (nově)
  • TL-WR841N (nově)

Ubiquiti

  • NSM2 (nově)
  • PBE M5 (nově)

Upvel

  • Neindentifikovány přesné modely (nově)

ZTE

  • ZXHN H108N (nově)

Malware VPNFilter je ještě agresivnější, než si experti mysleli. Napadá i další routery
Ohodnoťte tento článek!
4.78 (95.56%) 9 hlas/ů

13 KOMENTÁŘE

  1. A je teda pravda, ze s vypnutou vzdalenou spravou to router napadnout nemuze? Pak to nemuze nepadnout vic jak 90% routeru?

    Ja mam Netgear WNDR3700, ale mam na nem nastesti DD-WRT, tak snad ten to ma osetreny.

    Rodice maji Linksys E2500 a na ten uz nevysel update firmwaru taky nekolik let a ten router ma jiz nekolik zavaznejsich bezpecnostnich der.

    Z tech routeru v seznamu pocitam, ze update firmwaru vyjde na Mikrotiky, mozna QNAP a Ubiquiti a tim to hasne, zbytek vyrobcu ma nejaky updaty tezce na haku.

  2. Stačí číst:
    „Zneužívá dříve objevených zranitelností v síťových zařízeních a také výchozí kombinace přihlašovacích jmen a hesel.“
    Vypnuti vzdálené správy a dobré heslo asi může pomoct, ale pokud pro daný router je vyšlapaná cesta okolo, tak je to úplně jedno.

      • To je jedna možnost, jenže ověřování přihlašovacích údajů, nemusí nutně být přes vzdálenou web/ssh správu routeru (přes WAN port), routery sou počítače a mají svoje díry, dá se odchytit kus paměti, dá se injektovat, dá se zneužít standardní protokol, dá se využít skrytý protokol. Pokud se jim například podaří otevřít telnet spojení s routerem, které výrobce zavřel a schoval, tak je v routeru a nějaké klikátko v menu, které zakáže web access přes WAN, úplně zbytečné. Pak jediná možnost je koupit nový router, nebo doufat v opravu, která třeba telnet přes WAN úplně odřízne a ne jen deaktivuje. A takových děr je tam hromada, a tady využívají takové o kterých se už ví, a výrobce na to kašle. Bezpečnostní dveře sou k prdu, když je vedle zeď z papíru.

        • a co zneužití? Nebo útočník jen zničí router? To je pak podobné rozbíjení oken … „zkusím, jestli má soused na okně folii … “ … nebo jakákoliv jiná destrukční činnost … pokud někdo chce ničit, ničit bude …

  3. To zase nefunguje strukturování na odpověď a nový příspěvek nebo jsem kliknul jinam?

    Docela mě udivuje, že se vydává nějaký list napadených, jen ten linksys má v řade E takových modelů a verzí, že se mi nechce věřit, že se to týká jen nějakých pěti. A výrobci by mohli ten update starších routerů klidně zpoplatnit, kdyby to dali za dolar, tak se to nebude ani pirátit. Beztak opravu dělají pro nová a podporovaná zařízení, tak to mohou natlačit i na ta starší, koupí si to pár tisíc lidí a mají to bezproblému zaplacené.

    • Podle mě, je seznam skoro k ničemu, jde jen o to, na čem to našli. Pokud něco v seznamu není, neznamená to vůbec nic. Pouze u těch v seznamu je jistota, že se to tam nějak objevilo. Neříká to nic o tom, jestli to bylo kvůli admin/admin nebo díře ve fw.

  4. Pouzival som firmware Tomato by Shibby, ale odkedy ma tvorca rodinu, nema na updaty cas. Tak som presiel na FreshTomato. Lenze ak to nic neochrani, tak asi prejdem na router od Synology. Tam to updatuju promtne a casto, rovnako ako aj ich NASy.