Kvôli bezpečnosti reštartujte routery, odkazuje domácim užívateľom FBI

Značky: bezpečnosťroutery

DSL.sk, 28.5.2018

Americký federálny vyšetrovací úrad FBI spolu s americkým ministerstvom vnútornej bezpečnosti vydali v piatok odporúčanie, v ktorom radia globálne všetkým užívateľom domácich routerov a routerov pre malé firmy reštartovať ich zariadenia.

Dôvodom je eliminácia infekcie VPNFilter, o ktorej boli informácie zverejnené minulý týždeň divíziou Talos spoločnosti Cisco.

Sofistikovaný škodlivý kód bol identifikovaný na viacerých modeloch routerov a spolu podľa zistení Cisca ich infikoval doteraz minimálne 500 tisíc. Za VPNFilter podľa amerických orgánov stojí hackerská skupina Sofacy Group známa aj ako APT 28, Sandworm, X-agent, Pawn Storm, Fancy Bear a Sednit a považovaná za ruskú hackerskú skupinu.

Podľa oznámenia FBI a Cisca zatiaľ nie je známe ako škodlivý kód do zariadenia preniká, v tejto kategórii routerov je ale bežné množstvo bezpečnostných chýb, nedostatočné bezpečnostné nastavenia a prípadne použité štandardné heslá.

V každom prípade VPNFilter má moduly troch úrovní. Prvá nezvyčajne na hrozby pre domáce routery infikuje router trvalo, hlavná druhá a modulárna tretia realizujú škodlivú činnosť a komunikáciu s riadiacimi servermi. Prvá úroveň kódu v prípade potreby stiahnutia druhej zisťuje IP adresy riadiacich serverov rozličnými metódami, okrem iného z EXIF dát fotografií nahratých na službu Photobucket alebo z domény ToKnowAll.com.

Schéma komunikácie škodlivého kódu VPNFilter, kliknite pre zväčšenie (obrázok: Cisco)

VPNFilter má podľa Cisca schopnosť analyzovať dátovú prevádzku užívateľov a zisťovať z nej zaujímavé dáta, získavať zrejme prenášané súbory, spúšťať rozličné príkazy ale tiež zničiť zariadenie prepísaním kritických častí firmvéru.

Minulý týždeň Cisco zverejnilo zoznam známych infikovaných modelov, Linksys E1200, E2500 a WRVS4400N, Netgear DGN2200, R6400, R7000, R8000, WNR1000 a WNR2000, TP-Link R600VPN a tiež výkonné routery Mikrotik CCR1016, CCR1036 a CCR1072 a NAS-y Qnap TS251 a TS439 Pro.

Zoznam podľa spoločnosti ale nemusí byť konečný.

V každom prípade FBI teraz odporúča užívateľom všetkých routerov pre domácnosti a malé firmy rebootovať ich routery. Spravila tak zrejme po tom, ako boli prijaté opatrenia proti šíreniu druhej úrovni škodlivého kódu, napríklad podľa dostupných informácií USA získali pod kontrolu doménu ToKnowAll.com.

Po reboote zostane v zariadení iba prvá úroveň VPNFilter, ktorá sa pokúsi stiahnuť ďalšie časti. To by malo byť jednak v súčasnosti ťažšie a jednak orgány činné v trestnom konaní sa budú snažiť generovanú dátovú prevádzku využiť na eliminovanie zostávajúcej infraštruktúry VPNFilter.

Cisco odporúčalo v pôvodnom oznámení užívateľom aj uviesť zariadenia do továrenského nastavenia, toto opatrenie malo ale stále zrejme odstrániť len druhú a tretiu úroveň škodlivého kódu. Či môže prvú úroveň úspešne odstrániť opätovné nahratie firmvéru respektíve na ktorých z postihnutých modelov nie je jasné, v každom prípade FBI teraz odporúča len reboot zariadení.

Detekovať či je konkrétne zariadenie infikované je problematické, keď tieto routery sú už zvyčajne priamo pripojené do Internetu a zároveň VPNFilter komunikuje šifrovane. Cisco tak neponúka jasný spôsob ako infekciu detekovať ani po zapojení routera za iné zariadenie a so schopnosťou analyzovať jeho dátovú prevádzku, v oznámení ale uvádza napríklad známe IP adresy riadiacich serverov a po rebootnutí by v prípade infekcie mohol byť niektorý z nich kontaktovaný.

Hoci vektor infekcie zatiaľ nie je známy, škodlivý kód VPNFilter je evidentne ďalším dôsledkom chronicky slabého stavu bezpečnosti domácich routerov. Vhodným opatrením proti týmto rizikám je buď zaobstaranie si routera vyššej triedy s aktívnou bezpečnostnou politikou v podobe aktualizácií alebo prípadne inštalácia open source firmvéru OpenWRT / LEDE aj na zariadenia nižšej triedy.

Inštalovať LEDE je ale odporúčané len technicky zdatným užívateľom, keď najmä u modelov nepodporujúcich možnosť nahrať LEDE firmvér cez webové rozhranie môžu komplikovanejšie postupy vyústiť do zablokovania alebo prakticky trvalého poškodenia routera a užívatelia konajú na vlastnú zodpovednosť.




Najnovšie články:



Diskusia:

router Od: Adrique1 | Pridané: 28.5.2018 9:38 chvalabohu, bezpečnostné riziko sa ma netýka, mám totiž smerovač D-Link! :D Odpovedať Známka: 7.9 Hodnotiť:

Re: router Od: Hroch_asdf | Pridané: 28.5.2018 10:18 ... z roku 2003, ktory je chraneny svojou obscolentnostou :D. Windows mal tiez problem s SMB (alebo TPC/WinSocket?), kedy Win XP nebol postihnuty, ale vsetky novsie verzie Windowsu ano. Odpovedať Známka: 8.3 Hodnotiť:

Re: router Od: Adrique1 | Pridané: 28.5.2018 15:28 presne tak. Starú babku málokto bude obťažovať. 😁 Odpovedať Známka: 8.0 Hodnotiť:

Re: router Od: 7789665875 | Pridané: 28.5.2018 11:29 Furt lepšie ako ZTE od swanu. Odpovedať Známka: 7.1 Hodnotiť:

Ach tie cinske firmwary Od: Grepfruit | Pridané: 28.5.2018 9:38 Kdyz si das do routru lede, internet pak skvele jede Odpovedať Známka: 9.4 Hodnotiť:

Re: Ach tie cinske firmwary Od: Makovnik | Pridané: 28.5.2018 9:54 jj, krasna ludova pranostika, ktoru mozem len potvrdit. Odpovedať Známka: 9.2 Hodnotiť:

Ono je to... Od: lolopol | Pridané: 28.5.2018 9:59 .....totiz presne naopak, FBI chce updatnut novy explait, potrebuje len malicku sucinnost uzivatelov, a to restart zariadeni aby nove 3x zadne, predne, bocne, vrchne a spodne vratka mohli fungovat. Odpovedať Známka: 7.1 Hodnotiť:

ničivý praktik Od: syntaxterrorX XX | Pridané: 28.5.2018 10:15 To by ešte trebalo na Google+ všetkým užívateľom našedulovať presný čas kedy reštartovať ich zariadenia, aby priekazne mohli. Odpovedať Známka: -5.3 Hodnotiť:

Re: Ono je to... Od: dj_v | Pridané: 28.5.2018 11:30 Keď v tom má prsty Cisco, tak to inak byť nemôže... NSA má jedny vrátka, CIA má druhé vrátka a aj FBI chce mať jedny vrátka. Samozrejme do toho treba zahrnúť zlých ruských hackerov, čo zmanipulovali voľby a sídlia v Cambridge. Odpovedať Známka: 8.1 Hodnotiť:

Problém Od: baba | Pridané: 28.5.2018 10:08 To majú z toho, že nakupujú čínske napodobeniny. Majú si kúpiť originál z Číny. Odpovedať Známka: 8.7 Hodnotiť:

Kvalitný AV nestačí? Od: Ahasver | Pridané: 28.5.2018 11:02 Čo na to CZ AV zn.: Avast Premium Universal 2018, Eset IS Smart Security GTX. Tie nevidia nekalú nepľechu v modemoch? Mali by. Odpovedať Známka: -3.3 Hodnotiť:

FBI.. Od: xyz. | Pridané: 28.5.2018 12:28 Nepoznajú detaily ako vektor útoku, komunikácia prebieha šifrovane takže nevedia aký má formát a čo sa prenáša, ale už vedia že sú za tým Rusi. To je zaujímavé... Odpovedať Známka: 9.3 Hodnotiť:

ničivý praktik Od: syntaxterrorX XX | Pridané: 28.5.2018 13:04 Hovorí sa tomu logika. Predsa keby boli pred tým,priekazne by to nebolo vidno. Odpovedať Známka: 1.8 Hodnotiť:

Fancy bear Od: xyz. | Pridané: 28.5.2018 12:57 Člen Ruskej hackerskej skupiny Fancy bear na dovolenke https://i.imgur.com/fBML58c.png Odpovedať Známka: 10.0 Hodnotiť:

LEDE. Od reg.: milan.ko | Pridané: 28.5.2018 13:47 LEDE mi islo naozaj lepsie, ako originalny firmware ale malo dve neprijemne "vlastnosti" 1. nefungovala tlaciaren, presnejsie povedane, blbla 2. wifi chipset sa v (ne)pravidelnom intervale zasekol a pomohol len restart routra. Teraz pouzivam iny alternativny firmver a s tym funguje aj tlac aj wifi Odpovedať Známka: 10.0 Hodnotiť:

Re: LEDE. Od: karolkok | Pridané: 28.5.2018 14:55 Vo velkom kancli bez toho aby si musel chodit pre papier? :D Odpovedať Známka: 6.7 Hodnotiť:

Re: LEDE. Od: Makro | Pridané: 28.5.2018 19:16 Aj ja som mal problem s LEDE, 1. moj router nebol podporovany. Odpovedať Známka: 10.0 Hodnotiť:

Re: LEDE. Od: p12 | Pridané: 29.5.2018 11:01 A ktory firmware pouzivas teraz na to? Odpovedať Hodnotiť:

Mikrotik oficialne info Od: nadrbana_senkarka | Pridané: 28.5.2018 15:40 Tu je oficialny komentar od Mikrotiku, domnievaju sa ze to zneuziva chybu ktora je opravena od marca 2017 a ak je malware pritomny na routri, staci jeho upgrade. http://dopice.sk/lvl Odpovedať Známka: 10.0 Hodnotiť:

Re: Mikrotik oficialne info Od: trollot | Pridané: 28.5.2018 19:05 skoda, ze BFU nekupuje mikrotik, ale Linksys za viacnasobne prachy. Odpovedať Hodnotiť:

FBI odporuca restartnut router Od: sexi Lulu | Pridané: 28.5.2018 22:20 Kvoli bezpecnosti som sa rozhodol zalozit skupinu na nakodenie vlastneho softu pre routre v strojovom jazyku. Ak niekoho niekde nieco napadne, nech pokracuje tu. Na rozbehnutie projektu ponukam prvy Bajt: C3 Odpovedať Známka: -2.0 Hodnotiť:

pokuta za prznenie jazyka Od: Minister slovenciny | Pridané: 29.5.2018 0:16 Udelujem vam pokutu za prznenie lubozvucneho slovenskeho jazyka opatovnym a nespravnym pisanim slova detegovat. Pokuta je zatial symbolicka, 2 eura na ucet ministerstva slovenciny. Dakujem Odpovedať Známka: 0.0 Hodnotiť:

Re: pokuta za prznenie jazyka Od: Minister slovenciny | Pridané: 29.5.2018 0:18 Zasekavaju sa mi klavesy, niektore ciarky mi vypadli. Ospravedlnujem sa. Dakujem. Odpovedať Hodnotiť:

Re: pokuta za prznenie jazyka Od: Úradník. | Pridané: 29.5.2018 4:14 Ospravedlnenie sa samozrejme príjma, vždy u pani úradníčky vo vašom príslušnom obvode, počas pracovných hodín, nezabudnite si priniesť žiadosť overenú notárom a 5 eurový kolok, v opačnom prípade sa očakáva z vašej strany samopokutovanie za chýbajúce čiarky v dvojnásobnej výške bežnej pokuty nakoľko minister slovenčiny by mal ísť príkladom ako slovenčinu neprzniť, radšej dvakrát vykonať skúšku správnosti a čiarky vždy dopĺňať gramaticky správne. Ďakujem. Odpovedať Známka: 10.0 Hodnotiť:

Re: pokuta za prznenie jazyka Od: Minister slovenciny | Pridané: 30.5.2018 1:02 Stalo sa. Ziadost podana. Cakam na vyrozumenie. Dakujem. Odpovedať Hodnotiť:

Re: pokuta za prznenie jazyka Od: Lili Lulu | Pridané: 29.5.2018 8:31 Napisat "Ospravedlnujem sa" je nepripustne. Ako moze niekto sam seba ospravedlnit? Mohol by si napisat: "Ospravedlnte ma" My ta vsak nepspravedlnime, vypadni chrapúň Odpovedať Známka: 3.3 Hodnotiť:

Re: pokuta za prznenie jazyka Od: Minister slovenciny | Pridané: 30.5.2018 0:59 Ale je to pripustne. Len to by ste musel v skole davat pozor a pouzivat tu vec na krku aj na ine veci ako vypustanie klavych slov a prijimanie potravy, ze? Odpovedať Hodnotiť:

Pridať komentár