UPnP biztonsági réssel toboroz routereket egy új botnet

Újabb botnet söpört végig számos gyártó routerein, mintegy 100 ezer eszköz fölött véve át az uralmat. A BCMUPnP_Hunter névre keresztelt kártevőt a Netlab 360 fedezte fel, és ahogy arra a malware neve is utal, az az egyes Broadcom chipseteken a Universal Plug and Play protokoll sebezhetőségét kihasználva szerzi meg a kontrollt a célba vett eszközökön. Ennek megfelelően a malware az elmúlt hónapokban nem csak egy vállalat készülékeit érte el, az áldozatok között az érintett hardvert használó számos eszköz ott van, a Broadcomtól az Asuson, Ciscón, TP-Linken, Zyxelen és D-Linken át a Netgearig - a helyzetet súlyosbítja, hogy nem újonnan felfedezett sérülékenységről van szó.

A biztonsági szakértők idén szeptemberben figyeltek fel rá, hogy az 5431-es TCP portra több esetben kiugró számú keresés érkezett - több mint 100 ezer forrásból. Mint kiderült, ez a botnet terjeszkedésének első lépése, az a megcélzott eszközöknél először a szóban forgó portot szkenneli, majd az 1900-as UDP portnál folytatja a várakozást, míg a célpont egy megfelelő, sebezhető URL-t nem továbbít. Ezt követően a kártevőnek még négy csomagváltásra van szüksége az áldozattal, míg kisilabizálja, hogy annak memóriájában hol található a shellcode végrehajtásának kezdeti memóriacíme, végül pedig ezt használva a juttatja a kártékony kódot az adott rendszerre. A kártevő eddig 116 különböző típusú routert fertőzött meg.

A Netlab 360 szerint a botnet által toborzott routersereg létszáma legalább 100 ezerre rúg, a malware pedig a bekapcsolt Broadcom UPnP funkcióval rendelkező eszközöket támadja. Ezeken a támadó egy saját proxy hálózatot hoz létre, amely jelenleg olyan ismert email szerverekkel kommunikál, mint az Outlook, Hotmail vagy a Yahoo! Mail - ezeket jó eséllyel spamküldésre használja. A közös hálózaton a csatlakoztatott eszközök gyors, zökkenőmentes kommunikációját szolgáló UPnP protokoll implementációjának most kihasznált sebezhetősége korántsem újkeletű, azt a DefenseCode biztonsági cég kutatói már 2013 októberében felfedezték. Miután aránylag súlyos, rengeteg eszközt érintő biztonsági résről van szó, a kutatók azt egészen tavalyig nem hozták nyilvánosságra, azonban látható, hogy ez az idő sem volt elég arra, hogy a veszélyt a gyártók megfelelő mértékben elhárítsák.

Nagy pénz, nagy szívás: útravaló csúcstámadó IT-soknak Az informatikai vezetősködés sokak álma, de az árnyoldalaival kevesen vannak tisztában.

A malware-t felfedező kutatócég blogposztjában az érintett eszközök teljes listája megtalálható, a szakértők mindenkinek azt javasolják, ha valaki megtalálja saját készülékét a lajstromban, haladéktalanul ellenőrizze, elérhető-e frissítés az eszközre. Ha nincs friss javítás, akkor az Ars Technica által idézett szakértők  szerint jobb lecserélni a fertőzött routert. Emellett szintén mindenkinek érdemes kikapcsolni saját eszközén a UPnP funkciót, ha az nem elengedhetetlenül szükséges számára.

A fenti eset ismét jól illusztrálja az otthoni routerek és egyéb, online kapcsolattal rendelkező okoseszközök sokat mantrázott biztonsági problémáit, amelyek elsősorban a gyártók hanyagságára vezethetők vissza, akik sok esetben rögtön el is engedik a hasonló készülékek kezét, miután azok legördültek a gyártósorról. A BCMUPnP_Hunter és a hasonló kártevők így akár fél évtizedes sebezhetőségeket is vidáman ki tudnak használni a botnetek felhizlalására.