neprihlásený Nedeľa, 21. októbra 2018, dnes má meniny Uršuľa   DonaskaKvetov.sk - donáška kvetov v SR a zahraničí Pošli kvety
Malvér na routeroch je ešte horší a infikuje množstvo modelov, aj používané v SR

Značky: bezpečnosťrouteryWi-Fi

DSL.sk, 7.6.2018


Škodlivý kód VPNFilter infikujúci routery určené pre malé firmy aj domácich užívateľov, na ktorý na konci mája upozornila divízia Talos spoločnosti Cisco a tiež FBI, realizuje na routeroch ešte závažnejšiu činnosť ako sa pôvodne myslelo a infikuje oveľa väčší okruh modelov ako bolo avizované.

V stredu na to upozornilo po ďalšej analýze Cisco.

VPNFilter má kód rozdelený do troch úrovní. Prvá nezvyčajne na hrozby pre domáce routery infikuje router trvalo, hlavná druhá a modulárna tretia realizujú škodlivú činnosť a komunikáciu s riadiacimi servermi.

Podľa pôvodného oznámenia Cisca má VPNFilter schopnosť analyzovať dátovú prevádzku užívateľov a zisťovať z nej zaujímavé dáta, získavať zrejme prenášané súbory, spúšťať rozličné príkazy ale tiež zničiť zariadenie prepísaním kritických častí firmvéru.

Spoločnosť ale odvtedy objavila nový modul tretej úrovne ssler, ktorý realizuje aktívny MiTM útok a dokáže do dátovej prevádzky užívateľa navštevujúceho webové stránky vkladať cudzí kód a napríklad tak infikovať jeho zariadenia. Takáto činnosť sa dá bez povšimnutia realizovať iba s nešifrovanými spojeniami na port 80, preto ssler okrem toho modifikuje webovú prevádzku tak, že nahrádza akékoľvek ďalšie odkazy na zabezpečené HTTPS stránky na bežné HTTP stránky.


Schéma komunikácie škodlivého kódu VPNFilter, kliknite pre zväčšenie (obrázok: Cisco)



Tento útok ale samozrejme už nie je účinný proti všetkým webom a zariadeniam, keď použitie štandardu HSTS, HTTP Strict Transport Security, umožňuje stránkam inštruovať prehliadače aby si ich v budúcnosti pýtali len cez zabezpečené spojenie.

Cisco zároveň identifikovalo oveľa väčší okruh modelov a značiek routerov, ktoré sú hrozbou infikované. K modelom uvedeným v pôvodom článku pribudli okrem iného Asus RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U a RT-N66U, D-LINK DES-1210-08P, DIR-300, DIR-300A, DSR-250N, DSR-500N, DSR-1000 a DSR-1000N, TP-LINK TL-WR741ND a TL-WR841N, Linksys E3000, E3200, E4200 a RV082, Ubiquiti NSM2 a PBE M5, množstvo Netgear modelov, množstvo Mikrotik modelov okrem iného sérií CRS a RB.

Medzi infikovanými zariadeniami je aj Huawei HG8245, ktorý dodávajú veľkí slovenskí operátori Slovak Telekom a Orange.

Kompletný aktuálny zoznam zatiaľ známych infikovaných modelov je možné nájsť v oznámení Cisca.

Kým spôsob komunikácie a inštalácie druhej a tretej úrovne škodlivého kódu Cisco už popísalo aj v pôvodnom oznámení, spôsob prvotnej infekcie nie je definitívne známy a nepopisuje ho ani v novom oznámení. Hoci FBI zabavila doménu ToKnowAll.com používanú na šírenie druhej úrovne kódu, podľa informácií Cisca pre Arstechnica je botnet stále aktívny.

Cisco nedáva ani návod ako infekciu spoľahlivo detekovať a odstrániť, v aktuálnom oznámení sa týmto otázkam nevenuje. FBI pôvodne odporúčala routery len rebootovať, čo znamenalo zotrvanie prvej úrovne škodlivého kódu, Cisco pôvodne odporúčalo uviesť router do továrenských nastavení. Teraz Cisco pre Arstechnica potvrdilo, že ani toto opatrenie na niektorých modeloch neostráni prvú úroveň škodlivého kódu a potrebné je opätovné nainštalovanie firmvéru.

Informáciu na ktorých modeloch stačí ktoré opatrenie ale neuvádza a jednoznačné odporúčanie tak užívateľom špeciálne ak sa hrozba nedá jednoducho detekovať nie je možné dať. Uvedenie do továrenských nastavení by technicky zdatnejší užívatelia mali samozrejme zvládnuť, nesie so sebou ale potrebu opätovného nastavenia routera. Nahratie firmvéru už nesie so sebou aj prípadné riziká nepodareného nahratia, špeciálne ak nie je známe aké zásahy VPNFilter uskutočnil a či prípadne nemôžu kolidovať s nahratím oficiálneho firmvéru.

Podľa pôvodných informácií škodlivý kód mal infikovať viac ako 500 tisíc zariadení, nový odhad Cisco neponúka.


      Zdieľaj na Twitteri



Najnovšie články:

Slovenská vláda chce ponechať trvalý zimný čas
Telekom mení ceny na predplatených Easy kartách
Oficiálny DVB-T2 tuner pre Raspberry Pi, aj Zero
Vydané Ubuntu 18.10, na 32-bitovú verziu už nejde ani upgradovať
Vedci dokázali, že kvantové počítače budú výkonnejšie ako klasické
Macy majú čoskoro prejsť na vlastné ARM procesory
Štátne elektronické služby majú vyzerať rovnako, štát vydal dizajn manuál
Výmena hlavného kľúča Internetu zrejme spôsobila jeden vážny incident
Samsung chystá viaceré QLC a 96-vrstvové SSD
Čínske mesto chce zabezpečiť nočné osvetlenie satelitom


Diskusia:
                               
 

massiv
Odpovedať Známka: 8.2 Hodnotiť:
 

booyakasha!
Odpovedať Známka: 6.0 Hodnotiť:
 

no a na huAweej date priekaznu aktualizaciu a ruuter odpovie ze je up to date z roku 2016 kedy bol vytlaceny v kancli cez wifi - zaplatil si viac sa
nestarame
Odpovedať Známka: 4.3 Hodnotiť:
 

Ja mám Zyxel :P
Odpovedať Známka: -4.3 Hodnotiť:
 

Mne su zas, nezavisle od divízie, problemy spoločnosti Cisco a tiež FBI s paranoiou priekazne ukradnute.
Odpovedať Známka: -5.3 Hodnotiť:
 

Netrebalo by to ale nahlásiť polícii? Ak to aj vy takto vidíte dajte "páčika" :)
Odpovedať Známka: -4.7 Hodnotiť:
 

radšej dám peknú páčilkinu riťku a trafikantkine cecky. (Amarkord)
Odpovedať Známka: 3.3 Hodnotiť:
 

To ja som menej narocny.. dycha? Ma pod 30? Nema 20dkg makeupu? Iq cez 100?
Good to go..
Odpovedať Hodnotiť:
 

Toto by jednotlivec alebo malá skupinka nezvládla.
Odpovedať Známka: -7.1 Hodnotiť:
 

Mas namysli to ako ukrajinska tajna sluzba zabranila hackovaniu clenskeho statu NATO.
Jednoducho si povedali: dnes ich nehackeme.
Odpovedať Známka: 3.3 Hodnotiť:
 

Toto cele nafingovala UA, aby chytili skutocnych hekerov z FSB a teda v skutocnosti OCHRANILI nase routere. 4D sach :)
Odpovedať Známka: 5.0 Hodnotiť:
 

Je skoda ze bezny domaci mantak instalaciu alternativneho firmware ako openwrt/tomato/dd-wrt nezvladne. Ale treba dufat ze to donuti FTC a podobne autority zacat pokutovat vyrobcov routerov za ukoncovanie podpory rok dva po ukonceni modelu, za neumoznenie automatickych update a podobne.
Odpovedať Známka: 4.0 Hodnotiť:
 

neni to skoda :)
Odpovedať Hodnotiť:
 

a co ak mam na tp-link routery DDWRT alebo Openwrt ci tomato.... ci nieco ine.... ten malver napada aj tie routre s alternativnymi firmwaremi ???
Odpovedať Známka: 6.7 Hodnotiť:
 

tiez mam na tplinku ddwrt, zaujima ma odpoved na tuto otazku.
Odpovedať Známka: 7.1 Hodnotiť:
 

"
Kompletný aktuálny zoznam zatiaľ známych infikovaných modelov je možné nájsť v oznámení Cisca. "
Odpovedať Známka: -3.3 Hodnotiť:
 

tu tu a tu
Odpovedať Známka: 8.3 Hodnotiť:
 

Opytaj sa mamky, aky je rozdiel medzi modelom a firmverom.
Odpovedať Známka: -3.3 Hodnotiť:
 

Aj mna zaujimala tato otazka a na internete som k tomu nasiel, ze tento malware postihuje routery s ddwrt a typujem (vzhaldom na sposob utoku) aj ostatne.

http://dopice.sk/lyu

Odpovedať Hodnotiť:
 

Takéto informácie zatiaľ bohužial chýbajú. Špecificky takúto informáciu Cisco neavizovalo a zatiaľ tiež chýbajú informácie ako k infekcii prichádza, takže sa nedá ani odvodiť.
Odpovedať Známka: 8.8 Hodnotiť:
 

Majitel 6rocneho tenda w306r s openWrt ma rovnaku otazku.
Odpovedať Hodnotiť:
 

Huawei HG8245 je medzi zranitelnymi zariadeniami. Toto Orange rozdava kazdemu novemu zakaznikovi. Dufam, ze s tym nieco spravia.
Odpovedať Známka: 10.0 Hodnotiť:
 

Jasné, na router dajú 10% zľavu až do vypredania zásob.
Odpovedať Známka: 10.0 Hodnotiť:
 

Od vcera mi nejde, hmmm
Odpovedať Hodnotiť:
 

Tento utok nepochadza z uzemia slovenskej republiky
Odpovedať Známka: 10.0 Hodnotiť:
 

Zdravím odborníci. Vie mi niekto jednoducho vysvetliť ako sa dá zistiť či mám infikovaný router? Ako sa to prejavuje, poprípade ktoré nastavenia mi to tam zmení? A ako to odstrániť? Mám doma DSL router ZTE speedport entry 2i a čínsky repeater značky Comfast. Týka sa tento problém aj repeatera? Keďže tento môj dokáže tiež fungovať ako router.
Vďaka za každú odpoveď, ktorá nebude súvisieť z veľkým kanclom a Jankov H. :)
Odpovedať Známka: 4.0 Hodnotiť:
 

Nie.
Odpovedať Známka: 10.0 Hodnotiť:
 

Mám Asus RT-N10U, posledný firmvér vydaný v roku 2015. Ďakujem pekne hajzli z Asusu že sa o to tak dobre staráte...
Odpovedať Známka: 6.7 Hodnotiť:
 

Daj si tam https://advancedtomato.com/ ... downloads/router/rt-n10u
Odpovedať Známka: 10.0 Hodnotiť:
 

A mne s Asus RT-N13U poradis co?
Odpovedať Hodnotiť:
 

DDWRT. Funguje v pohode.
Odpovedať Hodnotiť:
 

ja si myslim, ze v tom maju prsty vyrobcovia, rovnako ako aj napaleny malware v mobiloch
Odpovedať Hodnotiť:
 

tak mozno raz FCC vystavi blacklist zariadeni, ktorym bola odnata sposobilost posobit v telekomunukacnej sieti a zabava sa zacne.
Odpovedať Hodnotiť:
 

Mna v tomto pripade hlavne zaujima reakcia Orange a Telekomu na problem danych routrov HG8245. Su na danych routroch firmwary hacknute alebo nie ? Je safe ich pouzivat ? Kedy boli posledne aktualizovane ?
Informovanie zakaznikov momentalne totizto je nulove !!
Odpovedať Známka: 10.0 Hodnotiť:
 

By ma zaujimalo, preco tam nie je tento model, ked jeho vyssi a aj nizsi kolegovia tam su. Mozno preto, ze pri snahe o aktiuvaciu sa to vzdy zdrbe/zasekne a tak sa CISCO nedozvedelo o tom, ze aj tento model je infikovany. A ja budem mat mozno vacsiu motivaciu ho niecim preflashovat a zapojit do siete ako vykryvac.
Odpovedať Hodnotiť:
 

Je v ohrození aj môj pepícky Tauris Slanina?
Odpovedať Hodnotiť:
 

Divne, DSL.SK vystavuje citatelov spominanemu riziku, kedze nepodporuje https (nechapem dovody).
Odpovedať Hodnotiť:
 

Na dsl.sk jsem přes http, je to v pořádku, nebo mám nemocný router? :-(
Odpovedať Hodnotiť:

Pridať komentár