Router | Malware | Botnet

Zákeřný botnet zneužívá pět let starou chybu v routerech s čipem Broadcom

  • Pět let stará díra otevřela dveře botnetu BCMUPnP_Hunter
  • Po celém světě je infikováno více než sto tisíc routerů
  • Dotčena jsou i zařízení renomovaných značek
Zákeřný botnet zneužívá pět let starou chybu v routerech s čipem Broadcom

Pět let stará bezpečnostní díra v implementaci UPnP otevřela dveře botnetu BCMUPnP_Hunter. Po celém světě je infikováno více než sto tisíc zařízení, konkrétně jde o přinejmenším 116 modelů routerů s čipem Broadcom. Dotčena jsou i zařízení renomovaných značek, jako jsou Asus, Cisco, TP-Link, Zyxel, D-Link, Netgear a US Robotics.

Nedávno objevený malware, který odborníci označují jako neobvykle dobře napsaný, zneužívá kritické zranitelnosti ve firmwaru routerů. Odborníci z bezpečnostní analytické firmy Netlab 360 oznámili zjištění masové infiltrace koncem minulého týdne na oficiálním blogu. Jak a kde se botnet šíří můžete vidět na následujícím obrázku.

Klepněte pro větší obrázek
Jak a kde se botnet BCMUPnP_Hunter šíří

Botnet pojmenovali jako BCMUPnP_Hunter, přičemž název odkazuje na implementaci protokolů Universal Plug and Play implementovaných v čipových sadách Broadcom používaných v ohrožených zařízeních.

Pět let známá díra

Již v lednu 2013 odborníci z DefenseCode, zabývající se bezpečnostní analýzou a testováním webových, desktopových a mobilních aplikací, upozornili na vážnou zranitelnost v čipech Broadcom. Bezpečnostní trhlina umožňovala neověřenému útočníkovi vzdálené spuštění libovolného kódu s nejvyššími právy.

Původně byl problém zjištěn u směrovače Cisco WRT54GL, další výzkum odhalil stejnou chybu i u řady Cisco Linksys WRT54G3G a WRT310N. Následně se ukázalo, že dotčených zařízení bude daleko víc, protože zranitelná část firmwaru se vyskytovala v routerech mnoha dalších značek.

Odborníci tehdy e-mailem kontaktovali více než 200 různých výrobců routerů a snažili se je upozornit na závažnost problému. Jak ale sami konstatují ve své zprávě, nesetkali se s velkou odezvou. Počet potenciálně ohrožených zařízení odhadli na desítky milionů.

Zjištění společnosti Netlab 360 nyní jasně ukazuje, že mnoho zranitelných zařízení dosud funguje, aniž by pro ně byla vydána záplata nebo alespoň zajištěna jejich bezpečnost jinými prostředky.

Dotčeno je 116 modelů

Součástí zprávy je také kompletní seznam, obsahující aktuálně 116 routerů, jež jsou v současnosti zranitelné tímto typem útoku. Router je v případě úspěšného napadení zapojen do sítě podobně postižených zařízení a plní pokyny zadané útočníky. Síťová zařízení jsou pak zneužívána například k odesílání nevyžádané pošty nebo jiných typů škodlivých zpráv přes řadu známých e-mailových služeb.

Protokol UPnP (Universal Plug and Play) slouží k jednoduchému připojení periferních součástí počítače a zjednodušení zavádění sítí v domácnostech. Jedná se o distribuovanou otevřenou technologii založenou na standardech jako jsou TCP/IP, UDP, HTTP a XML.

Odborníci před touto technologií varují například s tím, že v některých případech chyby způsobují, že zařízení reagují na požadavky na zjišťování odeslané z jiné sítě. Hackeři tak mohou využívat nedostatky způsobem, který jim umožňuje převzít kontrolu nad zařízením. Slabiny UPnP mohou také umožnit hackerům obcházet ochranu firewallem.

Jak útočí BCMUPnP_Hunter

Interakce mezi botnetem a potenciálním cílem sestává z několika kroků. Začíná skenováním TCP portu 5431, poté je cíl kontaktován na UDP portu 1900. Očekává se, že router odešle správnou zranitelnou adresu. V následujícím grafu můžete vidět trend skenování portu 5431 v posledních třiceti dnech.

Klepněte pro větší obrázek
Trend skenování portu 5431 v posledních třiceti dnech

Po získání správné adresy provede útočník další čtyři výměny paketů, aby zjistil, kde je adresa pro spouštění kódu. Touto cestou pak provede nahrání a spuštění svého kódu do paměti routeru. Celý proces útoku můžete vidět na následujícím diagramu.

Klepněte pro větší obrázek
Proces útoku na routery s čipem Broadcom

Uživatelům, kteří používají některý ze 116 postižených modelů, Netlab 360 doporučuje okamžitě zkontrolovat, zda není k dispozici bezpečnostní záplata. V případě negativního výsledku je za nejvhodnější řešení považována výměna routeru za jiný, který tuto chybu neobsahuje.

I u ostatních zařízení odborníci doporučují zvážit možnost vypnutí UPnP. V případech, kdy je podpora tohoto protokolu z nějakého důvodu nezbytná, mají uživatelé vzít na vědomí a převzít zodpovědnost za zvýšené riziko, které tím podstupují.

Diskuze (11) Další článek: Microsoft v nadcházejících Windows zřejmě oddělí Cortanu od vyhledávání

Témata článku: Asus, Router, Broadcom, Malware, Cisco Systems, TP-Link, Botnet, Netgear, D-Link, US Robotics, Zvýšené riziko, Žně, Zranitelné zařízení, Nejvyšší právo, Bezpečnostní analýza, Nejvhodnější řešení, Postižené zařízení, Úspěšné napadení, Nahrání, Poslední den, Ostatní zařízení, Čip, Bezpečnostní trhlina, Universal Plug and play, Zařízení


Určitě si přečtěte

Nejlepší aplikace na předpověď počasí: Kde nejlépe zjistit, co zrovna chcete vědět

Nejlepší aplikace na předpověď počasí: Kde nejlépe zjistit, co zrovna chcete vědět

Obecných aplikací na předpověď počasí je nespočet, jenže často skončí jen u základní informace o počasí a nenabídnou odpovědi na řadu praktických otázek. A tak jsme si položili právě několik takových otázek a hledali aplikace či meteoslužby, které nám nejlépe odpoví.

Karel Kilián | 4

Google mapy, Seznam mapy, Apple mapy... Velké srovnání šesti internetových map. Kdo to dělá nejlépe?

Google mapy, Seznam mapy, Apple mapy... Velké srovnání šesti internetových map. Kdo to dělá nejlépe?

** Která klasická webová mapa se vám líbí nejvíce? ** Srovnali jsme šest velkých služeb v několika situacích ** Hlasujte v anketě

Jakub Čížek | 81

ATM jackpotting: Když hacker ovládne bankomat a stačí mu jen pár sekund

ATM jackpotting: Když hacker ovládne bankomat a stačí mu jen pár sekund

** Klasický malware pro PC už dnes nikoho nepřekvapí ** Bankomaty jsou ale také počítače ** Útočí se na ně dodnes

Jakub Čížek | 8

Nejjednodušší cesta, jak nepřijít o data: nastavte si zálohování a zapomeňte

Nejjednodušší cesta, jak nepřijít o data: nastavte si zálohování a zapomeňte

** Přijít o důležitá data je jednodušší, než si umíte představit ** To, zda a jak snadno je získáte zpět, záleží především na vás ** Když si nastavíte zálohování, může to být otázka několik minut

Karel Kilián | 32

Co když chce Microsoft nahradit Windows Linuxem. Dokážete si to představit?

Co když chce Microsoft nahradit Windows Linuxem. Dokážete si to představit?

** Windows už dávno nejsou pilířem podnikání Microsoftu ** Mnohem více mu vydělává cloud ** Pojďme si trošku zaspekulovat, kam až by to mohlo zajít

Jakub Čížek | 94

AMD Ryzen 5000 s architekturou Zen 3: počet jader zůstává, výkon rekordně roste

AMD Ryzen 5000 s architekturou Zen 3: počet jader zůstává, výkon rekordně roste

** AMD představilo novou generaci desktopových procesorů řady Ryzen 5000 ** Nová architektura Zen 3 přináší mnoho vylepšení a přibližně 19% zvýšení výkonu IPC ** Všechny modely budou v prodeji 5. listopadu

Karel Javůrek | 43


Aktuální číslo časopisu Computer

Velký test fitness náramků

Levné záložní zdroje

Jak si zabezpečit domov

Nejlepší monitory na trhu