Forskere fra sikkerhedsvirksomheden 360 Netlab har opdaget et botnet bestående af mindst 100.000 hjemmeroutere, som måske skal bruges til spam.
Det oplyser The Register på baggrund af et teknisk indlæg fra 360 Netlab.
Sikkerhedsvirksomheden fortæller, at malwaren - altså den der indlemmer routere i botnettet - hovedsageligt går efter en sårbarhed i UPNP-implementeringen (Universal Plug and Play) på Broadcom-baserede enheder.
Sårbarheden, som malwaren udnytter, har ifølge 360 Netlab været kendt siden 2013. Detaljerne blev dog først offentliggjort i 2017.
Sårbare Broadcom-baserede enheder indebærer udstyr ifølge forskernes undersøgelse udstyr fra producenter som D-Link, ZTE, Zyxel og NetComm.
Derudover er udstyr fra en række ISP-brands også omfattet.
Flere scanninger
Af indlægget hos Netlab 360 fremgår det, at forskerne har registreret adskillige scanninger på TCP-port 5431, hver gang fra omkring 100.000 kilder. Altså inficerede enheder.
Også UDP-port 1900 bliver scannet. Når målet svarer tilbage med en URL, der kan indikere en sårbar enhed, bliver routeren forsøgt inficeret via en tilpasset payload.
Malwaren brugt til at indlemme nye enheder i botnettet med har forskerne navngivet BCMUPnP_Hunter.
Scanningen efter sårbare enheder har forskerne registeret med 1 - 3 dages mellemrum.
Selvom der ved hver scanning bliver registreret omkring 100.000 ip-adresser, så er det reelle tal inficerede enheder sandsynligvis noget højere.
Forskerne har således registreret 3,37 mio. unikke ip-adresser, men som det bemærkes i indlægget hos 360 Netlab, er det ikke ensbetydende med, at flere millioner enheder faktisk er inficerede, da ip-adressen kan skifte mellem scanningerne.
En søgning på sårbarhedsscanneren shodan.io indikerer ifølge forskerne at op mod 400.000 enheder kan være inficerede.
Proxy-tjeneste med mail kommunikation
En funktion i botnettet fungerer som en proxy-tjeneste, der kommunikerer med en stribe ip-adresser tilhørende kendte mail-tjenester som Outlook, Hotmail, Yahoo! Mail;
På den baggrund vurderer forskerne, at bagmændene vil udnytte botnettet til udsendelse af spam.
Ifølge The Registers udlægning udnytter BCMUPnP_Hunter et sikkerhedshul opdaget af DefenseCode tilbage i 2013. Detaljerne blev først fremlagt for offentligheden i 2017.
Når hullet åbenbart stadig står åbent på mange enheder, kan det ifølge det britiske medie hænge sammen med, at brugere enten ikke får patched deres udstyr, eller at patches ikke blive distribueret.
I den forbindelse, så kan det naturligvis være en god at tjekke, om router-firmwaren er up-to-date. Og så kan det derudover måske være en idé helt at deaktivere UPNP, såfremt det er praktisk muligt.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
