Forskere: Mindst 100.000 routere indlemmet i botnet via UPNP-sårbarhed

Illustration: 13FTStudio/Bigstock
Sikkerhedsvirksomhed har kortlagt et relativt stort botnet bestående af hijackede hjemmeroutere.

Forskere fra sikkerhedsvirksomheden 360 Netlab har opdaget et botnet bestående af mindst 100.000 hjemmeroutere, som måske skal bruges til spam.

Det oplyser The Register på baggrund af et teknisk indlæg fra 360 Netlab.

Sikkerhedsvirksomheden fortæller, at malwaren - altså den der indlemmer routere i botnettet - hovedsageligt går efter en sårbarhed i UPNP-implementeringen (Universal Plug and Play) på Broadcom-baserede enheder.

Sårbarheden, som malwaren udnytter, har ifølge 360 Netlab været kendt siden 2013. Detaljerne blev dog først offentliggjort i 2017.

Sårbare Broadcom-baserede enheder indebærer udstyr ifølge forskernes undersøgelse udstyr fra producenter som D-Link, ZTE, Zyxel og NetComm.

Derudover er udstyr fra en række ISP-brands også omfattet.

Flere scanninger

Af indlægget hos Netlab 360 fremgår det, at forskerne har registreret adskillige scanninger på TCP-port 5431, hver gang fra omkring 100.000 kilder. Altså inficerede enheder.

Også UDP-port 1900 bliver scannet. Når målet svarer tilbage med en URL, der kan indikere en sårbar enhed, bliver routeren forsøgt inficeret via en tilpasset payload.

Malwaren brugt til at indlemme nye enheder i botnettet med har forskerne navngivet BCMUPnP_Hunter.

Scanningen efter sårbare enheder har forskerne registeret med 1 - 3 dages mellemrum.

Selvom der ved hver scanning bliver registreret omkring 100.000 ip-adresser, så er det reelle tal inficerede enheder sandsynligvis noget højere.

Forskerne har således registreret 3,37 mio. unikke ip-adresser, men som det bemærkes i indlægget hos 360 Netlab, er det ikke ensbetydende med, at flere millioner enheder faktisk er inficerede, da ip-adressen kan skifte mellem scanningerne.

En søgning på sårbarhedsscanneren shodan.io indikerer ifølge forskerne at op mod 400.000 enheder kan være inficerede.

Proxy-tjeneste med mail kommunikation

En funktion i botnettet fungerer som en proxy-tjeneste, der kommunikerer med en stribe ip-adresser tilhørende kendte mail-tjenester som Outlook, Hotmail, Yahoo! Mail;

På den baggrund vurderer forskerne, at bagmændene vil udnytte botnettet til udsendelse af spam.

Ifølge The Registers udlægning udnytter BCMUPnP_Hunter et sikkerhedshul opdaget af DefenseCode tilbage i 2013. Detaljerne blev først fremlagt for offentligheden i 2017.

Når hullet åbenbart stadig står åbent på mange enheder, kan det ifølge det britiske medie hænge sammen med, at brugere enten ikke får patched deres udstyr, eller at patches ikke blive distribueret.

I den forbindelse, så kan det naturligvis være en god at tjekke, om router-firmwaren er up-to-date. Og så kan det derudover måske være en idé helt at deaktivere UPNP, såfremt det er praktisk muligt.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (2)
Finn Christensen

..malwaren - altså den der indlemmer routere i botnettet - hovedsageligt går efter en sårbarhed i UPNP-implementeringen (Universal Plug and Play) på Broadcom-baserede enheder.

Og hvis man ikke skal bruge UPNP, og det skal de fleste ikke, så har man selvfølgelig ifm. installationen været inde på 192.168.0.1 og lige ændret password; andre nødvendige dele af opsætningen, samt fjerne fluebenet for UPNP i sin router. ;)

Sårbarheden, som malwaren udnytter, har ifølge 360 Netlab været kendt siden 2013. Detaljerne blev dog først offentliggjort i 2017.

UPNP er en vederstykkelighed, samt sårbarheder har været kendt siden 2011 tror jeg.. varianter har mest akademisk interesse.. "The UPnP protocol, as default, does not implement any authentication".

Hver for sig må leverandør selv fuske en UPNP-sikkerhed sammen for sit produkt, købe eller planke andres klyt, samt leverandør må derfor også konstant holde den implementerede løsning opdateret = tåbeligt og giver de kendte ulykker.

Sårbare Broadcom-baserede enheder .. udstyr fra producenter som D-Link, ZTE, Zyxel og NetComm.

Heller ikke første gang de nævnes ifm. sårbarheder - især deres billige og ældre ikke opdaterede modeller. Man får den sikkerhed, man betaler for :)

UPNP ses gerne brugt ifm. tant og fjas, der er yderst nemt at snige snavs igennem.. TVs, VCRs, CD/DVD spille/jukeboks, settop boks, HiFi systemer, MP3 spiller, kamera, camcorders, billedfremviser (EPFs).

Helge Svendsen
Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder