Mellékleteink: HUP | Gamekapocs
Keres

UPnP biztonsági réssel toboroz routereket egy új botnet

Hlács Ferenc, 2018. november 13. 14:46

A BCMUPnP_Hunter eddig mintegy 100 ezer eszközt fertőzött meg, egy évek óta ismert sebezhetőséget kihasználva.

hirdetés

Újabb botnet söpört végig számos gyártó routerein, mintegy 100 ezer eszköz fölött véve át az uralmat. A BCMUPnP_Hunter névre keresztelt kártevőt a Netlab 360 fedezte fel, és ahogy arra a malware neve is utal, az az egyes Broadcom chipseteken a Universal Plug and Play protokoll sebezhetőségét kihasználva szerzi meg a kontrollt a célba vett eszközökön. Ennek megfelelően a malware az elmúlt hónapokban nem csak egy vállalat készülékeit érte el, az áldozatok között az érintett hardvert használó számos eszköz ott van, a Broadcomtól az Asuson, Ciscón, TP-Linken, Zyxelen és D-Linken át a Netgearig - a helyzetet súlyosbítja, hogy nem újonnan felfedezett sérülékenységről van szó.

A biztonsági szakértők idén szeptemberben figyeltek fel rá, hogy az 5431-es TCP portra több esetben kiugró számú keresés érkezett - több mint 100 ezer forrásból. Mint kiderült, ez a botnet terjeszkedésének első lépése, az a megcélzott eszközöknél először a szóban forgó portot szkenneli, majd az 1900-as UDP portnál folytatja a várakozást, míg a célpont egy megfelelő, sebezhető URL-t nem továbbít. Ezt követően a kártevőnek még négy csomagváltásra van szüksége az áldozattal, míg kisilabizálja, hogy annak memóriájában hol található a shellcode végrehajtásának kezdeti memóriacíme, végül pedig ezt használva a juttatja a kártékony kódot az adott rendszerre. A kártevő eddig 116 különböző típusú routert fertőzött meg.

routerill

A Netlab 360 szerint a botnet által toborzott routersereg létszáma legalább 100 ezerre rúg, a malware pedig a bekapcsolt Broadcom UPnP funkcióval rendelkező eszközöket támadja. Ezeken a támadó egy saját proxy hálózatot hoz létre, amely jelenleg olyan ismert email szerverekkel kommunikál, mint az Outlook, Hotmail vagy a Yahoo! Mail - ezeket jó eséllyel spamküldésre használja. A közös hálózaton a csatlakoztatott eszközök gyors, zökkenőmentes kommunikációját szolgáló UPnP protokoll implementációjának most kihasznált sebezhetősége korántsem újkeletű, azt a DefenseCode biztonsági cég kutatói már 2013 októberében felfedezték. Miután aránylag súlyos, rengeteg eszközt érintő biztonsági résről van szó, a kutatók azt egészen tavalyig nem hozták nyilvánosságra, azonban látható, hogy ez az idő sem volt elég arra, hogy a veszélyt a gyártók megfelelő mértékben elhárítsák.

A malware-t felfedező kutatócég blogposztjában az érintett eszközök teljes listája megtalálható, a szakértők mindenkinek azt javasolják, ha valaki megtalálja saját készülékét a lajstromban, haladéktalanul ellenőrizze, elérhető-e frissítés az eszközre. Ha nincs friss javítás, akkor az Ars Technica által idézett szakértők  szerint jobb lecserélni a fertőzött routert. Emellett szintén mindenkinek érdemes kikapcsolni saját eszközén a UPnP funkciót, ha az nem elengedhetetlenül szükséges számára.

A fenti eset ismét jól illusztrálja az otthoni routerek és egyéb, online kapcsolattal rendelkező okoseszközök sokat mantrázott biztonsági problémáit, amelyek elsősorban a gyártók hanyagságára vezethetők vissza, akik sok esetben rögtön el is engedik a hasonló készülékek kezét, miután azok legördültek a gyártósorról. A BCMUPnP_Hunter és a hasonló kártevők így akár fél évtizedes sebezhetőségeket is vidáman ki tudnak használni a botnetek felhizlalására.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.