Malware | Router | Botnet

Zákeřný botnet zneužívá pět let starou chybu v routerech s čipem Broadcom

  • Pět let stará díra otevřela dveře botnetu BCMUPnP_Hunter
  • Po celém světě je infikováno více než sto tisíc routerů
  • Dotčena jsou i zařízení renomovaných značek
Zákeřný botnet zneužívá pět let starou chybu v routerech s čipem Broadcom

Pět let stará bezpečnostní díra v implementaci UPnP otevřela dveře botnetu BCMUPnP_Hunter. Po celém světě je infikováno více než sto tisíc zařízení, konkrétně jde o přinejmenším 116 modelů routerů s čipem Broadcom. Dotčena jsou i zařízení renomovaných značek, jako jsou Asus, Cisco, TP-Link, Zyxel, D-Link, Netgear a US Robotics.

Nedávno objevený malware, který odborníci označují jako neobvykle dobře napsaný, zneužívá kritické zranitelnosti ve firmwaru routerů. Odborníci z bezpečnostní analytické firmy Netlab 360 oznámili zjištění masové infiltrace koncem minulého týdne na oficiálním blogu. Jak a kde se botnet šíří můžete vidět na následujícím obrázku.

Klepněte pro větší obrázek
Jak a kde se botnet BCMUPnP_Hunter šíří

Botnet pojmenovali jako BCMUPnP_Hunter, přičemž název odkazuje na implementaci protokolů Universal Plug and Play implementovaných v čipových sadách Broadcom používaných v ohrožených zařízeních.

Pět let známá díra

Již v lednu 2013 odborníci z DefenseCode, zabývající se bezpečnostní analýzou a testováním webových, desktopových a mobilních aplikací, upozornili na vážnou zranitelnost v čipech Broadcom. Bezpečnostní trhlina umožňovala neověřenému útočníkovi vzdálené spuštění libovolného kódu s nejvyššími právy.

Původně byl problém zjištěn u směrovače Cisco WRT54GL, další výzkum odhalil stejnou chybu i u řady Cisco Linksys WRT54G3G a WRT310N. Následně se ukázalo, že dotčených zařízení bude daleko víc, protože zranitelná část firmwaru se vyskytovala v routerech mnoha dalších značek.

Odborníci tehdy e-mailem kontaktovali více než 200 různých výrobců routerů a snažili se je upozornit na závažnost problému. Jak ale sami konstatují ve své zprávě, nesetkali se s velkou odezvou. Počet potenciálně ohrožených zařízení odhadli na desítky milionů.

Zjištění společnosti Netlab 360 nyní jasně ukazuje, že mnoho zranitelných zařízení dosud funguje, aniž by pro ně byla vydána záplata nebo alespoň zajištěna jejich bezpečnost jinými prostředky.

Dotčeno je 116 modelů

Součástí zprávy je také kompletní seznam, obsahující aktuálně 116 routerů, jež jsou v současnosti zranitelné tímto typem útoku. Router je v případě úspěšného napadení zapojen do sítě podobně postižených zařízení a plní pokyny zadané útočníky. Síťová zařízení jsou pak zneužívána například k odesílání nevyžádané pošty nebo jiných typů škodlivých zpráv přes řadu známých e-mailových služeb.

Protokol UPnP (Universal Plug and Play) slouží k jednoduchému připojení periferních součástí počítače a zjednodušení zavádění sítí v domácnostech. Jedná se o distribuovanou otevřenou technologii založenou na standardech jako jsou TCP/IP, UDP, HTTP a XML.

Odborníci před touto technologií varují například s tím, že v některých případech chyby způsobují, že zařízení reagují na požadavky na zjišťování odeslané z jiné sítě. Hackeři tak mohou využívat nedostatky způsobem, který jim umožňuje převzít kontrolu nad zařízením. Slabiny UPnP mohou také umožnit hackerům obcházet ochranu firewallem.

Jak útočí BCMUPnP_Hunter

Interakce mezi botnetem a potenciálním cílem sestává z několika kroků. Začíná skenováním TCP portu 5431, poté je cíl kontaktován na UDP portu 1900. Očekává se, že router odešle správnou zranitelnou adresu. V následujícím grafu můžete vidět trend skenování portu 5431 v posledních třiceti dnech.

Klepněte pro větší obrázek
Trend skenování portu 5431 v posledních třiceti dnech

Po získání správné adresy provede útočník další čtyři výměny paketů, aby zjistil, kde je adresa pro spouštění kódu. Touto cestou pak provede nahrání a spuštění svého kódu do paměti routeru. Celý proces útoku můžete vidět na následujícím diagramu.

Klepněte pro větší obrázek
Proces útoku na routery s čipem Broadcom

Uživatelům, kteří používají některý ze 116 postižených modelů, Netlab 360 doporučuje okamžitě zkontrolovat, zda není k dispozici bezpečnostní záplata. V případě negativního výsledku je za nejvhodnější řešení považována výměna routeru za jiný, který tuto chybu neobsahuje.

I u ostatních zařízení odborníci doporučují zvážit možnost vypnutí UPnP. V případech, kdy je podpora tohoto protokolu z nějakého důvodu nezbytná, mají uživatelé vzít na vědomí a převzít zodpovědnost za zvýšené riziko, které tím podstupují.

Diskuze (11) Další článek: Microsoft v nadcházejících Windows zřejmě oddělí Cortanu od vyhledávání

Témata článku: Malware, Asus, Router, TP-Link, Cisco Systems, Botnet, D-Link, Netgear, Čip, Webová aplikace, Minulý týden, Vážná zranitelnost, Nahrání, Celý svět, Stejná chyba, Vzdálené spuštění, Kritická zranitelnost, Nejvhodnější řešení, Zyxel, Zařízení, Libovolný kód, Úspěšné napadení, Zvýšené riziko, Postižené zařízení, Zranitelné zařízení


Určitě si přečtěte

Vyzkoušeli jsme eObčanku a přihlásili se s ní na weby úřadů. Vážně to funguje!

Vyzkoušeli jsme eObčanku a přihlásili se s ní na weby úřadů. Vážně to funguje!

** Máme eObčanku, máme čtečku, vyzkoušeli jsme přihlášení na weby úřadů. ** Objevily se drobné problémy, podařilo se nám je vyřešit. ** Používání eObčanky pro online identifikaci je velmi pohodlné.

Marek Lutonský | 37

Vybíráme nejlepší monitory: Od úplně levných po velké prohnuté obludy

Vybíráme nejlepší monitory: Od úplně levných po velké prohnuté obludy

** Vybrali jsme nejlepší monitory na práci, hraní i filmy ** Nejlevnější monitor s kvalitním panelem stojí tři tisíce ** 4K už dává smysl i s cenou kolem deseti tisíc korun

David Polesný | 54

Kvantový internet se blíží. Oproti tomu klasickému bude mnohem bezpečnější

Kvantový internet se blíží. Oproti tomu klasickému bude mnohem bezpečnější

** Jednotlivé bloky kvantového internetu už se pomalu vyvíjí a testují ** Kvantová síť už bude mít své uplatnění dříve, než bude všude dostupný kvantový internet ** Nejdříve půjde o doplněk ke klasickému internetu

Karel Javůrek | 15

Řidiče Tesly ukolébal autopilot, policisté ho zastavili až po 11 kilometrech

Řidiče Tesly ukolébal autopilot, policisté ho zastavili až po 11 kilometrech

** Policisty poblíž San Franciska zaujala Tesla se spícím řidičem ** Donutili vozidlo zpomalit a následně probudili překvapeného řidiče ** Vozidlo podle dostupných informací jelo v režimu autopilota

Karel Kilián | 69



Aktuální číslo časopisu Computer

Nejlepší programy pro úpravu fotek zdarma

Externí disky pro zálohu dat

Velký test: herní notebooky

Srovnání 12 batohů