Masové útoky na DSL modemy a routery, odstavili veľa zákazníkov Deutsche Telekomu

Značky: bezpečnosťInternetroutery

DSL.sk, 29.11.2016

V posledných dňoch je realizovaný na Internete masový útok červa, ktorý sa snaží infikovať bežné sieťové DSL routery akými sa pripájajú do Internetu napríklad aj domáci užívatelia.

Útok útočí na TCP port 7547, na ktorom niektoré zariadenia pre chybu umožňujú aj z Internetu manažment cez protokol označený TR-064, určený pre manažovanie routerov z LAN.

V niektorých routeroch sa navyše nachádza zraniteľnosť, cez ktorú môže útočník cez tento protokol spustiť na routeri ním zvolené príkazy. To je možné využiť na prestavenie niektorých nastavení alebo priamo spustenie binárneho útočníkom zvoleného kódu, ktorý môže zariadenie infikovať.

Na útok upozorňujú napríklad SANS Internet Storm Center a bezpečnostná spoločnosť BadCyber.

Útočiaci červ vznikol podľa nich zrejme modifikáciou červa stojaceho za botnetom Mirai infikujúcim rozličné zariadenia tzv. Internetu vecí.

Na zraniteľných routeroch stiahne binárny spustiteľný súbor, spustí ho a tým router infikuje. Následne sa snaží infikovať ďalšie zariadenia a zrejme čakať na príkazy z riadiaceho servera.

Predmetná zraniteľnosť bola zverejnená len nedávno, 7. novembra. Identifikovaná bola najskôr v routeri D1000 írskeho operátora Eir.

Cez víkend sa s veľkými problémami ale začal potýkať aj nemecký Deutsche Telekom, keď množstvo jeho zákazníkov hlásilo problémy. Podľa SANS ISC aj pondelkového oznámenia Deutsche Telekomu bol ako príčina týchto problémov zistený práve útok červa na routery majúce otvorený port 7547 a umožňujúci cez tento port využívať protokol TR-064 alebo protokol TR-069. Deutsche Telekom priznal problémy až s 900 tisíc zákazníkmi majúcimi takéto routery.

Podľa operátora pokusy škodlivého kódu infikovať routery skončili neúspechom, čo ale následne spôsobilo pády a problémy uvedeného vysokého počtu routerov. Zmeny spôsobené červom neboli permanentné a po reboote router až do najbližšieho pokusu o infekciu fungoval. Aktuálne už Telekom začal automaticky routery po reboote aktualizovať na nový firmvér odolný útokom. Postihnutými modelmi sú minimálne viaceré modely Speedport.

Aktuálne útoky prichádzajú zrejme z už infikovaných zariadení, pričom veľkým zdrojom útoku má byť podľa SANS ISC Brazília.

Či sa problém týka aj niektorých modelov ponúkaných slovenskou dcérskou spoločnosťou DT, Slovak Telekomom, zisťujeme. V každom prípade port 7547 je v súčasnosti intenzívne testovaný aj na minimálne niektorých rozsahoch IP adries využívaných slovenskými operátormi.

Či červ respektíve nejaká jeho verzia dokáže nejakým spôsobom niektoré routery úspešne infikovať trvalo respektíve ktoré všetky modely sú nejakým spôsobom zraniteľné nie je zatiaľ potvrdené, k dispozícii tak nie sú ani univerzálne efektívne a vhodné inštrukcie pre detekovanie, odstránenie a zabránenie infekcie. Efektívnym krokom môže byť ale v každom prípade reštart routera, detekovanie počúvania na porte 7547 a zablokovanie počúvania na tomto porte, ak je to možné. Na druhej strane operátor môže cez tento port zariadenie aj legitímne konfigurovať protokolom TR-069 určeným pre konfigurovanie z WAN a jeho blokovanie nemusí byť pre niektorých zákazníkov vhodné.




Najnovšie články:



Diskusia:

uspech Od: adikm | Pridané: 29.11.2016 13:02 uspesne sme zabranili cervu napadnut nase rootre, jednoducho sme ich odpojili od siete :) Odpovedať Známka: 7.4 Hodnotiť:

Re: uspech trolla de Od: neuznaný ruský trolld | Pridané: 29.11.2016 13:35 Úspešné šíria nenávisť voči Brazílii. Odpovedať Známka: -3.8 Hodnotiť:

Re: uspech trolla de Od: cha cha | Pridané: 29.11.2016 14:27 To ako že niekto pri zmysloch uverí tomu, keď niekto povie že hackerský útok bol z krajiny xy? A ak to tvrdí niekto z tajnej služby tak je to potvrdena lož. Odpovedať Známka: 0.0 Hodnotiť:

Telekomunisti na Slovensku sú safe Od reg.: TeleKomunista | Pridané: 29.11.2016 13:09 Telekomunisti ešte pri dsl-2641r minimálne A B revízií mali na wane zapnutý telnet. Nevadí ide len o zákazníkov a tí sú Telekomunistom úprimne ukradnutí :) Odpovedať Známka: 6.5 Hodnotiť:

Re: Telekomunisti na Slovensku sú safe Od: svišť | Pridané: 29.11.2016 13:32 ano rok 2011 - 2013 sa aktualiztoval fw, ale ked k niekomu pride ze mu nejde net a ma tento KZ prve čo kuknem sú DNS a cuduj sa svetu IP je kdesi v UA :) Odpovedať Známka: 6.9 Hodnotiť:

Re: Telekomunisti na Slovensku sú safe Od: finchi | Pridané: 30.11.2016 9:08 toto sa mi presne stalo pred rokom s orangom. a presne podozrievam ten mgmt port. Odpovedať Hodnotiť:

Re: Telekomunisti na Slovensku sú safe Od: lollotrolollo | Pridané: 30.11.2016 7:49 myslim, ze ich siet default bez hesla tomu dala korunku Odpovedať Hodnotiť:

Hahah Od: trollot | Pridané: 29.11.2016 13:30 Zyxel vmg1312-b30b vo februari mal byt fix, do dnes nic http://dopice.sk/hPk , este dobre ze ho mam iba v bridge a za nim mikrotik Odpovedať Známka: 0.0 Hodnotiť:

Re: Hahah Od: quix_ | Pridané: 29.11.2016 13:47 boze fuj mikrokokotik.akoze cli a este dementnejsie guiko.nikdy som nic odpornejsie nevidel. Odpovedať Známka: -7.9 Hodnotiť:

Re: Hahah Od: trollot | Pridané: 29.11.2016 16:06 aha dalsi "advanced network specialist" co pouziva GUI:) Odpovedať Známka: 10.0 Hodnotiť:

Re: Hahah Od: 123hranolky | Pridané: 30.11.2016 7:43 chces povedat ze na takom Palo Alto sa ti nepaci GUI..? samozrejme u Cisco je GUI nepouzitelne.. Odpovedať Známka: 3.3 Hodnotiť:

FBI vs anonymny internet Od: fundrak | Pridané: 29.11.2016 13:36 https://www.techdirt.com/articles/ 20161122/10381536112/bill-introduced -to-push-back-approval-dojs-proposed -rule-41-changes.shtml Odpovedať Známka: 0.0 Hodnotiť:

dslveg Od: trololoman | Pridané: 29.11.2016 14:19 A až prídu zeleninové útoky, odstavia ich všetkých. Odpovedať Známka: 7.8 Hodnotiť:

Re: dslveg Od: winny puhh | Pridané: 29.11.2016 15:24 prežije len pravoverný vegan Odpovedať Známka: 10.0 Hodnotiť:

Re: dslveg Od: čitateľ | Pridané: 29.11.2016 18:26 Keby to bolo aspoň kvalitné mäso. Lebo sebestačný už nie sme, a to čím nás kŕmia reťazce si taký vznešený výraz nezaslúži. Odpovedať Hodnotiť:

upccc Od: nomi | Pridané: 29.11.2016 14:28 mne posledny tyzden vypadava UPC Odpovedať Známka: 4.3 Hodnotiť:

Re: upccc Od: Rayeo | Pridané: 29.11.2016 14:46 divne by bolo keby upc nevypadavalo Odpovedať Známka: 8.8 Hodnotiť:

Re: upccc Od: nomi | Pridané: 29.11.2016 15:49 pravidelne vypadavanie u mna nieje zname, s upc nemam problemy az na tuto vynimku Odpovedať Hodnotiť:

Re: upccc Od: mememe? | Pridané: 29.11.2016 16:39 Vcera som mal na UPC download speed par kb, to nasralo. Ale maval som brutalne problemy s vypadkami niekedy medzi augustom a septembrom, nefungovalo im anilen DHCP. Presviedcali ma ze je to len moj problem a ze ku mne poslu monterov. Samozrejme vypadky boli iba v casoch ked je najvyssi traffic, a ked mi potvrdili aj ostatny ludia v smere na Racu ze maju podobne problemy tak som to nechal tak, vsak opravia si to, a tak ja bolo, len im to trvalo niekolko tyzdnov. Ked mi bude koncit zmluva tak ich zrusim. Odpovedať Hodnotiť:

auktualizacia ADB Routra Telekom Od: poldinko | Pridané: 29.11.2016 14:45 Ja som si všimol, že na ADB routri od telekomu (pre aDSL a magio) doslo nedávno k aktualizácii (minimálne grafika/logo sa zmenili) je možné že teda aj náš telekom aktualizoval nadiaľku routre kvoli tomuto utoku Odpovedať Známka: 0.0 Hodnotiť:

ebay. Od: testerovac | Pridané: 29.11.2016 15:29 Mne nejde Ebay(Access Denied). A neviem ci to sa moj ISP hra s niecim, pretoze cez O2, mobil > PC vsetko ok. Google mi moc nepomohol, tak snad experti komunity DSL.sk nieco poradia. Odpovedať Hodnotiť:

Re: ebay. Od: 'PPQ' | Pridané: 29.11.2016 17:27 vypni si peerblock :-)) Odpovedať Hodnotiť:

Re: ebay. Od: testerovac | Pridané: 29.11.2016 21:12 nic take nemam. Odpovedať Hodnotiť:

hmmm.... Od: X6205 | Pridané: 29.11.2016 16:38 To akoze 900 tisic zakaznikov D-T ma verejnu IP adresu? Alebo ako boli infikovane, insiderom ktory infikoval ich internu siet? Odpovedať Známka: 3.3 Hodnotiť:

Re: hmmm.... Od: čitateľ | Pridané: 29.11.2016 17:58 No a? Veď minimálne toľko ich má aj Slovak Telekom. Odpovedať Známka: 10.0 Hodnotiť:

Re: hmmm.... Od: kackac | Pridané: 29.11.2016 18:00 nemôžem hovoriť za 900 tisíc zákazníkov, ale ja som u T vyše 10 rokov a vždy som mal verejnú IP... Odpovedať Známka: 10.0 Hodnotiť:

Re: hmmm.... Od: 123hranolky | Pridané: 30.11.2016 7:46 ano, Telekom pouziva verejne IP adresy.. a pokial si nedokupis staticku IP, tak mas zdarma dynamicku.. Odpovedať Hodnotiť:

....... Od: zizalo | Pridané: 29.11.2016 17:54 aj to je dôvod, prečo mám tú srandovnú Telekomácku krabičku len ako modem a za ňou poriadny router :P Odpovedať Hodnotiť:

Re: ....... Od: čitateľ | Pridané: 29.11.2016 18:00 Za ňou z ktorej strany? Odpovedať Hodnotiť:

Re: ....... Od: zizalo | Pridané: 29.11.2016 18:03 no proste T-kom router ktory modemuje, za nim zapojeny druhy router, ktory routuje, firewalluje a neviem co este a zneho ide zvysok siete Odpovedať Hodnotiť:

Re: ....... Od: čitateľ | Pridané: 29.11.2016 18:09 Ale to je celkom zbytočné. Router ostal nechránený, červ ti ho prekonfiguruje ako chce. Odpovedať Hodnotiť:

Re: ....... Od: zizalo | Pridané: 29.11.2016 18:17 ale router neni od Telekomu :) Odpovedať Hodnotiť:

Re: ....... Od: čitateľ | Pridané: 29.11.2016 18:21 Ten čo ti "modemuje". Uchmatne ti minimálne pppoe prístup, pozmení dns.. a ty nebudeš tušiť, že pakety idú už inou trasou. Odpovedať Známka: 3.3 Hodnotiť:

Re: ....... Od: reg.: Houston | Pridané: 30.11.2016 6:46 Aj v tejto konfiguracii nemusi byt PPPoE a DNS na modeme ale priamo na routeri za modemom. Modem len ako bridge. Odpovedať Známka: 3.3 Hodnotiť:

Re: ....... Od: 123hranolky | Pridané: 30.11.2016 7:48 uz tvoja prva reakcia mala vyzerat minimalne takto: "aj to je dôvod, prečo mám tú srandovnú Telekomácku krabičku len ako BRIDGE a za ňou poriadny router :P" a vsetko by bolo v poriadku.. ;) Odpovedať Hodnotiť:

Hlupy telekom Od: Hiciyak | Pridané: 29.11.2016 21:41 Konecne dobre spravy, verim, ze to bude castejsie a telekom poriadne padne na hubu, lebo je to len banda ojebavacov a zlodejov, ktory poriadnu sluzbu nevie ani dodat. Je na case, aby krachol cely telekom. :) Odpovedať Známka: 3.3 Hodnotiť:

Re: Hlupy telekom Od: marcelloDE | Pridané: 29.11.2016 23:25 Jedna sa o hackovanie routerov po celom svete. Kde sa uspesne darilo avsak D-T masivne odolavali ale aj padali. Nejednalo sa len o nemecke routery. Je hozne ze je dost velka cast routerov infikovana tymto cervom. Na nemeckom programe ARD to rozoberali. Kod na stiahnutie vyru smeroval (ako stale) na ruske IPcky. Odpovedať Hodnotiť:

Re: Hlupy telekom Od: čitateľ | Pridané: 30.11.2016 2:58 Zatiaľ čo tvoj pravopis (ako stále) smeruje do riti. Odpovedať Hodnotiť:

Re: Hlupy telekom Od: Marcello De | Pridané: 30.11.2016 21:55 A predsa sa mam dobre. To nasvedcuje tomu, ze nepotrebujem na podnikanie v zahranici slovensky jazyk. co povies? Odpovedať Hodnotiť:

port7547 Od: testport | Pridané: 30.11.2016 17:45 http://dopice.sk/iGc Odpovedať Hodnotiť:

Autor je retardovaný Od: Vývin devín | Pridané: 1.12.2016 9:56 "Útok útočí" Retard je retard. Odpovedať Hodnotiť:

Pridať komentár