Malware | Router | Botnet

Zákeřný botnet zneužívá pět let starou chybu v routerech s čipem Broadcom

  • Pět let stará díra otevřela dveře botnetu BCMUPnP_Hunter
  • Po celém světě je infikováno více než sto tisíc routerů
  • Dotčena jsou i zařízení renomovaných značek
Zákeřný botnet zneužívá pět let starou chybu v routerech s čipem Broadcom

Pět let stará bezpečnostní díra v implementaci UPnP otevřela dveře botnetu BCMUPnP_Hunter. Po celém světě je infikováno více než sto tisíc zařízení, konkrétně jde o přinejmenším 116 modelů routerů s čipem Broadcom. Dotčena jsou i zařízení renomovaných značek, jako jsou Asus, Cisco, TP-Link, Zyxel, D-Link, Netgear a US Robotics.

Nedávno objevený malware, který odborníci označují jako neobvykle dobře napsaný, zneužívá kritické zranitelnosti ve firmwaru routerů. Odborníci z bezpečnostní analytické firmy Netlab 360 oznámili zjištění masové infiltrace koncem minulého týdne na oficiálním blogu. Jak a kde se botnet šíří můžete vidět na následujícím obrázku.

Klepněte pro větší obrázek
Jak a kde se botnet BCMUPnP_Hunter šíří

Botnet pojmenovali jako BCMUPnP_Hunter, přičemž název odkazuje na implementaci protokolů Universal Plug and Play implementovaných v čipových sadách Broadcom používaných v ohrožených zařízeních.

Pět let známá díra

Již v lednu 2013 odborníci z DefenseCode, zabývající se bezpečnostní analýzou a testováním webových, desktopových a mobilních aplikací, upozornili na vážnou zranitelnost v čipech Broadcom. Bezpečnostní trhlina umožňovala neověřenému útočníkovi vzdálené spuštění libovolného kódu s nejvyššími právy.

Původně byl problém zjištěn u směrovače Cisco WRT54GL, další výzkum odhalil stejnou chybu i u řady Cisco Linksys WRT54G3G a WRT310N. Následně se ukázalo, že dotčených zařízení bude daleko víc, protože zranitelná část firmwaru se vyskytovala v routerech mnoha dalších značek.

Odborníci tehdy e-mailem kontaktovali více než 200 různých výrobců routerů a snažili se je upozornit na závažnost problému. Jak ale sami konstatují ve své zprávě, nesetkali se s velkou odezvou. Počet potenciálně ohrožených zařízení odhadli na desítky milionů.

Zjištění společnosti Netlab 360 nyní jasně ukazuje, že mnoho zranitelných zařízení dosud funguje, aniž by pro ně byla vydána záplata nebo alespoň zajištěna jejich bezpečnost jinými prostředky.

Dotčeno je 116 modelů

Součástí zprávy je také kompletní seznam, obsahující aktuálně 116 routerů, jež jsou v současnosti zranitelné tímto typem útoku. Router je v případě úspěšného napadení zapojen do sítě podobně postižených zařízení a plní pokyny zadané útočníky. Síťová zařízení jsou pak zneužívána například k odesílání nevyžádané pošty nebo jiných typů škodlivých zpráv přes řadu známých e-mailových služeb.

Protokol UPnP (Universal Plug and Play) slouží k jednoduchému připojení periferních součástí počítače a zjednodušení zavádění sítí v domácnostech. Jedná se o distribuovanou otevřenou technologii založenou na standardech jako jsou TCP/IP, UDP, HTTP a XML.

Odborníci před touto technologií varují například s tím, že v některých případech chyby způsobují, že zařízení reagují na požadavky na zjišťování odeslané z jiné sítě. Hackeři tak mohou využívat nedostatky způsobem, který jim umožňuje převzít kontrolu nad zařízením. Slabiny UPnP mohou také umožnit hackerům obcházet ochranu firewallem.

Jak útočí BCMUPnP_Hunter

Interakce mezi botnetem a potenciálním cílem sestává z několika kroků. Začíná skenováním TCP portu 5431, poté je cíl kontaktován na UDP portu 1900. Očekává se, že router odešle správnou zranitelnou adresu. V následujícím grafu můžete vidět trend skenování portu 5431 v posledních třiceti dnech.

Klepněte pro větší obrázek
Trend skenování portu 5431 v posledních třiceti dnech

Po získání správné adresy provede útočník další čtyři výměny paketů, aby zjistil, kde je adresa pro spouštění kódu. Touto cestou pak provede nahrání a spuštění svého kódu do paměti routeru. Celý proces útoku můžete vidět na následujícím diagramu.

Klepněte pro větší obrázek
Proces útoku na routery s čipem Broadcom

Uživatelům, kteří používají některý ze 116 postižených modelů, Netlab 360 doporučuje okamžitě zkontrolovat, zda není k dispozici bezpečnostní záplata. V případě negativního výsledku je za nejvhodnější řešení považována výměna routeru za jiný, který tuto chybu neobsahuje.

I u ostatních zařízení odborníci doporučují zvážit možnost vypnutí UPnP. V případech, kdy je podpora tohoto protokolu z nějakého důvodu nezbytná, mají uživatelé vzít na vědomí a převzít zodpovědnost za zvýšené riziko, které tím podstupují.

Diskuze (11) Další článek: Microsoft v nadcházejících Windows zřejmě oddělí Cortanu od vyhledávání

Témata článku: Malware, Asus, Router, TP-Link, Cisco Systems, Netgear, D-Link, Botnet, Bezpečnostní záplata, Díra, Celý proces, Celý svět, Libovolný kód, Jednoduché připojení, Čip, Bezpečnostní trhlina, Stejná chyba, Zyxel, Minulý týden, Nahrání, Kritická zranitelnost, Zvýšené riziko, Poslední den, Nejvhodnější řešení, Zařízení


Určitě si přečtěte

Google Mapy vs. Mapy.cz: Které internetové mapy jsou lepší?

Google Mapy vs. Mapy.cz: Které internetové mapy jsou lepší?

** Jsou lepší mapy od Googlu, nebo ty od Seznamu? ** Má být mapa především tradiční mapou, nebo spíše asistentem? ** Vyslechněte si argumenty a hlasujte, na jaké straně jste vy

Jakub Čížek, Vladislav Kluska | 72

Co udělat s novým počítačem s Windows, než ho začnete používat

Co udělat s novým počítačem s Windows, než ho začnete používat

** Čerstvě zakoupený počítač je vhodné trochu připravit ** Věnujte pozornost instalaci a předinstalovaným aplikacím ** Zamyslete se nad zálohou a antivirem

David Polesný | 80

Chytré prkno Mui a dalších šest projektů z Kickstarteru, které nejsou úplně pitomé

Chytré prkno Mui a dalších šest projektů z Kickstarteru, které nejsou úplně pitomé

** Kickstarter je plný neúspěšných projektů ** A pak tam jsou ty, které splnily cíl hned několikanásobně ** Tyto patří k těm nejúspěšnějším za poslední dva měsíce

Jakub Čížek | 16

Photolemur 3: Prostě do něj přetáhnete fotky a začne se dít magie. Tedy údajně...

Photolemur 3: Prostě do něj přetáhnete fotky a začne se dít magie. Tedy údajně...

** Je lepší nabušený Photoshop, nebo program s jedním tlačítkem? ** Photolemur si myslí to druhé ** Tento fotoeditor neumí skoro nic, a přitom (skoro) všechno

Jakub Čížek | 21

ELONOVINKY: Tesla brzy začne prodávat solární tašky. Budou drahé, ale pěkné

ELONOVINKY: Tesla brzy začne prodávat solární tašky. Budou drahé, ale pěkné

** Tesla začne prodávat solární střešní tašky, které představila před dvěma lety ** Výroba začne v první polovině příštího roku ** Tašky budou odolné, dostanou doživotní záruku a na přání i vyhřívání

Petr Melechin, Karel Dlabač | 24

Blíží se HTTP/3: Web bude rychlejší a bude používat úplně jinou technologii

Blíží se HTTP/3: Web bude rychlejší a bude používat úplně jinou technologii

** Příští verze klíčového protokolu HTTP nebude postavená na TCP ** Namísto toho použije „vylepšené UDP“ ** HTTP/3 bude postavené na QUIC

Jakub Čížek | 60



Aktuální číslo časopisu Computer

Nejlepší programy pro úpravu fotek zdarma

Externí disky pro zálohu dat

Velký test: herní notebooky

Srovnání 12 batohů