Práve sa deje – už 500 000 infikovaných routrov – Pozrite si ohrozené modely

Roman Harák

Service Renewals Account Manager

roman.harak@alef.com

Špecialisti tímu Cisco TALOS ho pomenovali VPNFilter

Ide o komplexnú hrozbu ktorá zatiaľ postihla zatiaľ viac než 50 krajinách viac než 500 000 routrov a dátových úložísk NAS. Malvér umožňuje útočníkom kontrolovať a nahliadať do dát prechádzajúcich cez uvedené zariadenia, zmocniť sa súborov, či mať deštruktívne účinky na fungovanie postihnutého hardvéru.

Čo sa stalo?

Aj keď tento malvér cieli na SOHO (small office/home office) zariadenia, v prípade ich používania v stredných či väčších spoločnostiach, môže ohroziť fungovanie firemnej infraštruktúry.
Ako uviedli špecialisti tímu Cisco Talos ktorí tento malvér odhalili, nebezpečenstvo spočíva aj v tom, že VPNFilter je do istej miery aj špionážny nástroj a zostáva dlho na zariadeniach nedetekovaný. Navyše, bolo zistené, že časť kódu sa už v minulosti použil v malvéri BlackEnergy ktorého cieľom bolo spôsobovanie výpadkov v kritických systémoch zabezpečujúcich napríklad dodávku elektriny, čo dokazuje vysokú sofistikovanosť útočníkov.

Prežije aj reštart

Infikované zariadenia majú častokrát len veľmi obmedzené možnosti komplexného zabezpečenia.
Napadnuté sú zariadenia výrobcov Linksys, MikroTik, Netgear a TP-Link bez nástrojov IPS či antvivírusovej ochrany. Malvér je veľmi sofistikovaný a môže na infikovaných zariadeniach vydržať aj reštart. Dokáže zhromažďovať uložené heslá v prehliadačoch, získavať súbory, ovládať zariadenie, vykonávať shell príkazy, či prepísaním konfigurácie zariadenia a následným vynúteným reštartom úplne odstaviť zariadenie.

Ohrozené zariadenia, a vzhľadom na pokračujúcu investigáciu malvéru je predpoklad, že počet infikovaných modelov ešte narastie.

  • UBIQUITI: NSM2, PBE M5
  • HUAWEI: HG8245
  • ASUS: RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U, RT-N66U
  • D-LINK: DES-1210-08P, DIR-300, DIR-300A, DSR-250N, DSR-500N, DSR-1000, DSR-1000N
  • LINKSYS: E1200, E2500, E3000, E3200, E4200, RV082, WRVS4400N
  • MIKROTIK: CCR1009, CCR1016, CCR1036, CCR1072, CRS109, CRS112, CRS125, RB411, RB450, RB750, RB911, RB921, RB941, RB951, RB952, RB960, RB962, RB1100, RB1200, RB2011, RB3011, RB Groove, RB Omnitik, STX5
  • NETGEAR: DG834, DGN1000, DGN2200, DGN3500, FVS318N, MBRN3000, R6400, R7000, R8000, WNR1000, WNR2000, WNR2200, WNR4000, WNDR3700, WNDR4000, WNDR4300, WNDR4300-TN, UTM50
  • QNAP: TS251, TS439 Pro a ostatné QNAP NAS zariadenia používajúce QTS softvér
  • TP-LINK: R600VPN, TL-WR741ND, TL-WR841N
  • ZTE: ZXHN H108N

Odporúčania:

U SOHO routrov a NAS zariadení vykonať reset do továrenských nastavení a update softvéru zariadení  najnovšími verziami obsahujúcimi ochranu pred hrozbami malvéru VPNFilter, zmeniť predvolené prihlasovacie mená a heslá a vypnúť/upraviť možnosti vzdialenej správy zariadenia.

Zaujímavosť:
Prečo sa malvér nazýva práve VPNFilter? Inštaluje sa totiž do adresára /vpnfilter/ - toto pomenovanie obdržal od špecialistov tímu Cisco Talos a nemá ďalší iný význam v súvislosti s VPN.

Záver:

Cisco Talos pokračuje v monitorovaní a sledovaní tohto útoku, ako aj v iných krajinách, aby zabezpečil, že zákazníci využívajúci technológiu Cisco zostanú pred touto hrozbou ochránení.

CHCEM SI OVERIŤ ROUTER

Ako sa chrániť pred podobnými hrozbami? SKÚSTE SI DEMO:

Cisco Meraki

*Meraki MX – dokáže detekovať aktivity malvéru

CISCO UMBRELLA

*(SIG – Secure internet gateway), blokuje prístup užívateľov k doménam a IP adresám so škodlivým obsahom, bez ohľadu na to, či sa užívateľ nachádza vo firemnej sieti alebo mimo nej.

CISCO NGFW

* NGFW (Next Generation Firewall)