Cybercity: Vi frygter ikke psyb0t routerormen - indtil videre
Psyb0t-ormen, der infiltrerer routere baseret på MIPS-processorer og Linux-firmware, er på nuværende tidspunkt kendt af Cybercity, men internetudbyderen tager alligevel situationen med ophøjet ro. Indtil videre i hvert fald.
Ormen menes at være det første stykke malware, der går efter at angribe hardwaren i hjemmenetværket - formentlig gennem et brute force-angreb på routerens webinterface - og psyb0t anslås indtil videre at have indlemmet 100.000 netværk i et botnet.
Version2 har derfor kontaktet TDC og Cybercity for at høre, om de to udbyderes routere potentielt set er udsatte for psyb0t-ormens ondsindede numre.
Hos Cybercity oplyser pressechef Peter Glüsing, at man er bekendt med psyb0t-ormen, men indtil videre tager situationen roligt.
»Der er da nogle af vores store erhvervskunder, der har kontaktet os for at høre, om psyb0t er noget. Overordnet set må vi sige, at vi ikke oplever psyb0t som nogen særlig trussel lige nu. Men vi har fokus på det og følger den naturligvis tæt som alle andre it-kriminelle tiltag,« siger Peter Glüsing.
Han oplyser, at Cybercity har stor tiltro til kundernes evne til at finde på sikre passwords til routerens webinterface.
»Vi opfatter det sådan, at vores kunder generelt er gode til at beskytte deres routere med stærke passwords,« siger Peter Glüsing.
Hos TDC har man indtil videre ikke kunnet frembringe oplysninger til Version2 om, hvorvidt man kender til psyb0t-ormen, eller om virksomhedens Netgear-routere er sårbare.
DroneBL, der i første omgang rapporterede om psyb0t-ormen, anslår, at psyb0t på nuværende tidspunkt har infiltreret mere end 100.000 værter og er blevet brugt til at udføre DDoS-angreb (Distribueret Denial-of-Service).
Ifølge DroneBL er alle Linux mipsel routere i farezonen, hvis de har et web-interface, sshd eller telnet i en DMZ, og i øvrigt har et svagt password.
Ormen låser alle andre brugere ude ved at blokere telnet, sshd, og web-interfacet, hvorefter routeren indlemmes i et botnet. Forskerne fra DroneBL siger, at de første gang stiftede bekendtskab med ormen, da de selv blev offer for et DDoS-angreb for to uger siden.
DroneBL mener endvidere, at ormen har opsnappet brugernavne og passwords ved hjælp af 'deep packet inspection' bag routeren.
Kommentarer (5)
Så vidt jeg har forstået har det ikke noget specifikt med Debian at gøre, men generelt Linux-baseret firmware på MIPS-arkitektur i little-endian mode. Hvilken ganske rigtig vil inkludere Debians mipsel port, men også producenternes egen firmware (f.eks. Linksys') samt 3. parts firmware som OpenWRT, DD-WRT, Tomato osv.
-
0 -
0
Kære Daniel -
Tak for dit indlæg. Du har ret, det er ikke kun Debians mipsel port, men generelt linux mipsel devices, der kan være sårbare.
Teksten er rettet til.
Mvh Mikkel, v2.dk
-
0
-
0
Fra artiklen:
"Han oplyser, at Cybercity har stor tiltro til kundernes evne til at finde på sikre passwords til routerens webinterface.
»Vi opfatter det sådan, at vores kunder generelt er gode til at beskytte deres routere med stærke passwords,« siger Peter Glüsing."
Nu er det jo bare sådan, at det er CyberCity selv der fastsætter routerpasswordet, og det er absolut de færreste der laver det om.
/Jesper :)
-
0
-
0
Nu er det jo bare sådan, at det er CyberCity selv der fastsætter routerpasswordet, og det er absolut de færreste der laver det om.
Og det er måske netop den gruppe, der er i farezonen? Altså, tesen må være: Hvis man er kvik nok til at ændre sit router password, er man også kvik nok til at vælge et stærkt et af slagsen?
-
0
-
0
Det jeg reagerer på, er, at pressechefen får det til at lyde som om det er langt de fleste af CC's kunder der selv opfinder et admin-password, og det er det så absolut ikke.
På de Zyxel-bokse CC anvender som standard-router til privat og erhvervskunder, kan man slet ikke sætte admin-password via web-interfacet. Det skal gøres via Telnet, hvis admin-passwordet skal ændres. Ellers defaulter den til det password der hører til brugerkontoen.
Når det så er sagt skal det også nævnes, at de passwords CC vælger til deres brugerkonti - og dermed som standard også til Zyxel-routerne - er rimeligt stærke, så sandsynligheden for et successfuldt botangreb er ikke ret stor. Men derfra og til at give kunderne æren er der langt.
-
0
-
0
Tilføj kommentar
