Malware | Router | Botnet

Zákeřný botnet zneužívá pět let starou chybu v routerech s čipem Broadcom

  • Pět let stará díra otevřela dveře botnetu BCMUPnP_Hunter
  • Po celém světě je infikováno více než sto tisíc routerů
  • Dotčena jsou i zařízení renomovaných značek
Zákeřný botnet zneužívá pět let starou chybu v routerech s čipem Broadcom

Pět let stará bezpečnostní díra v implementaci UPnP otevřela dveře botnetu BCMUPnP_Hunter. Po celém světě je infikováno více než sto tisíc zařízení, konkrétně jde o přinejmenším 116 modelů routerů s čipem Broadcom. Dotčena jsou i zařízení renomovaných značek, jako jsou Asus, Cisco, TP-Link, Zyxel, D-Link, Netgear a US Robotics.

Nedávno objevený malware, který odborníci označují jako neobvykle dobře napsaný, zneužívá kritické zranitelnosti ve firmwaru routerů. Odborníci z bezpečnostní analytické firmy Netlab 360 oznámili zjištění masové infiltrace koncem minulého týdne na oficiálním blogu. Jak a kde se botnet šíří můžete vidět na následujícím obrázku.

Klepněte pro větší obrázek
Jak a kde se botnet BCMUPnP_Hunter šíří

Botnet pojmenovali jako BCMUPnP_Hunter, přičemž název odkazuje na implementaci protokolů Universal Plug and Play implementovaných v čipových sadách Broadcom používaných v ohrožených zařízeních.

Pět let známá díra

Již v lednu 2013 odborníci z DefenseCode, zabývající se bezpečnostní analýzou a testováním webových, desktopových a mobilních aplikací, upozornili na vážnou zranitelnost v čipech Broadcom. Bezpečnostní trhlina umožňovala neověřenému útočníkovi vzdálené spuštění libovolného kódu s nejvyššími právy.

Původně byl problém zjištěn u směrovače Cisco WRT54GL, další výzkum odhalil stejnou chybu i u řady Cisco Linksys WRT54G3G a WRT310N. Následně se ukázalo, že dotčených zařízení bude daleko víc, protože zranitelná část firmwaru se vyskytovala v routerech mnoha dalších značek.

Odborníci tehdy e-mailem kontaktovali více než 200 různých výrobců routerů a snažili se je upozornit na závažnost problému. Jak ale sami konstatují ve své zprávě, nesetkali se s velkou odezvou. Počet potenciálně ohrožených zařízení odhadli na desítky milionů.

Zjištění společnosti Netlab 360 nyní jasně ukazuje, že mnoho zranitelných zařízení dosud funguje, aniž by pro ně byla vydána záplata nebo alespoň zajištěna jejich bezpečnost jinými prostředky.

Dotčeno je 116 modelů

Součástí zprávy je také kompletní seznam, obsahující aktuálně 116 routerů, jež jsou v současnosti zranitelné tímto typem útoku. Router je v případě úspěšného napadení zapojen do sítě podobně postižených zařízení a plní pokyny zadané útočníky. Síťová zařízení jsou pak zneužívána například k odesílání nevyžádané pošty nebo jiných typů škodlivých zpráv přes řadu známých e-mailových služeb.

Protokol UPnP (Universal Plug and Play) slouží k jednoduchému připojení periferních součástí počítače a zjednodušení zavádění sítí v domácnostech. Jedná se o distribuovanou otevřenou technologii založenou na standardech jako jsou TCP/IP, UDP, HTTP a XML.

Odborníci před touto technologií varují například s tím, že v některých případech chyby způsobují, že zařízení reagují na požadavky na zjišťování odeslané z jiné sítě. Hackeři tak mohou využívat nedostatky způsobem, který jim umožňuje převzít kontrolu nad zařízením. Slabiny UPnP mohou také umožnit hackerům obcházet ochranu firewallem.

Jak útočí BCMUPnP_Hunter

Interakce mezi botnetem a potenciálním cílem sestává z několika kroků. Začíná skenováním TCP portu 5431, poté je cíl kontaktován na UDP portu 1900. Očekává se, že router odešle správnou zranitelnou adresu. V následujícím grafu můžete vidět trend skenování portu 5431 v posledních třiceti dnech.

Klepněte pro větší obrázek
Trend skenování portu 5431 v posledních třiceti dnech

Po získání správné adresy provede útočník další čtyři výměny paketů, aby zjistil, kde je adresa pro spouštění kódu. Touto cestou pak provede nahrání a spuštění svého kódu do paměti routeru. Celý proces útoku můžete vidět na následujícím diagramu.

Klepněte pro větší obrázek
Proces útoku na routery s čipem Broadcom

Uživatelům, kteří používají některý ze 116 postižených modelů, Netlab 360 doporučuje okamžitě zkontrolovat, zda není k dispozici bezpečnostní záplata. V případě negativního výsledku je za nejvhodnější řešení považována výměna routeru za jiný, který tuto chybu neobsahuje.

I u ostatních zařízení odborníci doporučují zvážit možnost vypnutí UPnP. V případech, kdy je podpora tohoto protokolu z nějakého důvodu nezbytná, mají uživatelé vzít na vědomí a převzít zodpovědnost za zvýšené riziko, které tím podstupují.

Diskuze (11) Další článek: Microsoft v nadcházejících Windows zřejmě oddělí Cortanu od vyhledávání

Témata článku: Asus, Malware, Cisco Systems, Router, Netgear, TP-Link, D-Link, Broadcom, Botnet, Kritická zranitelnost, Čipová sada, Plug and play, Bezpečnostní trhlina, Žně, Jednoduché připojení, Potenciální cíl, Minulý týden, Zařízení, Díra, Dotčené zařízení, Vážná zranitelnost, Nejvhodnější řešení, Libovolný kód, Následující obrázek, Oficiální blog


Určitě si přečtěte

Nejlepší notebooky do 20 000 Kč. Tipy, co se dnes vyplatí koupit

Nejlepší notebooky do 20 000 Kč. Tipy, co se dnes vyplatí koupit

** S cenou do 20 tisíc lze vybrat solidní notebook na práci i hry ** Přenosné notebooky nabídnou i kovová těla a rychlý hardware ** Na hraní se hodí více peněz, ale na použitelný základ dvacet tisíc stačí

Tomáš Holčík, David Polesný | 49

Nejlepší notebooky do 10 000 korun: Co koupit a čemu se raději vyhnout

Nejlepší notebooky do 10 000 korun: Co koupit a čemu se raději vyhnout

** Do deseti tisíc korun lze dnes koupit slušné notebooky ** V nabídce ale i tak převládají zastaralé a pomalé modely ** Poradíme, jak dobře vybrat i s omezeným rozpočtem

David Polesný | 112

USA rozdávají chudým dotované telefony s Androidem. Jsou z Číny a plné virů

USA rozdávají chudým dotované telefony s Androidem. Jsou z Číny a plné virů

** Chudí Američané mohou dosáhnout na dotovaný mobil ** Jeden takový rozdává třeba tamní Virgin Mobile ** Má to jeden háček. Je prošpikovaný malwarem

Jakub Čížek | 42

Podívejte se, jak umírá váš laptop. Desítky na to mají mocný nástroj powercfg

Podívejte se, jak umírá váš laptop. Desítky na to mají mocný nástroj powercfg

** Hardware současných laptopů už tak rychle nestárne ** Tedy až na baterie – ty umírají děsivou rychlostí ** Ve Windows to můžete sledovat skoro v přímém přenosu

Jakub Čížek | 69



Aktuální číslo časopisu Computer

Test 9 bezdrátových reproduktorů

Jak ovládnout Instagram

Test levných 27" herních monitorů

Jak se zbavit nepotřebných věcí na internetu