Червь, поражающий новые уязвимости в клиентских маршрутизаторах
Исследователи безопасности предупредили пользователей о выявлении вредоносной активности, поражающей беспроводные маршрутизаторы Zyxel, Speedport и возможно других производителей, устанавливаемые клиентам некоторыми крупными операторами связи, такими как Deutsche Telekom и Eircom.
С учетом того, что проблемные устройства сосредоточены в подсетях нескольких провайдеров, устанавливающих клиентам типовое оборудование, поиск уязвимых устройств существенно упрощается. В настоящее время атака приобретает лавинообразный характер: на подставных honeypot-серверах, запущенных Центром изучения сетевых угроз при институте SANS для изучения характера атаки, новые попытки эксплуатации повторяются каждые 5-10 минут.
Точно, число потенциально уязвимых устройств не известно но утверждается, что проблема может затрагивать миллионы домашних маршрутизаторов. По информации от Deutsche Telekom проблеме подвержено 900 тысяч их клиентов. Deutsche Telekom уже выпустили обновление прошивок для устанавливаемых клиентам устройств, но для его применения необходимо чтобы пользователь перезапустил маршрутизатор, что происходит не так часто. До перезагрузки устройство остается уязвимым. Предварительное сканирование портов показало, что в сети присутствует около 5 млн проблемных устройств.
Уязвимость связана с некорректной организацией доступа к протоколу CWMP/TR-069, применяемому для автоматизации настройки абонентского оборудования операторами связи. Протокол основан на HTTP/SOAP и принимает соединения на сетевом порту 7547. Протокол рассчитан только на доступ из внутренней сети оператора связи, но на проблемных устройствах ограничения не были реализованы и соединения принимаются из любых сетей, в том числе для обращений через внешний интерфейс (WAN). Техника атаки достаточно проста и сводится к передаче новой порции настроек.
Проанализировав результаты некоторых атак на подставные устройства исследователи выяснили, что посте эксплуатации уязвимости на устройство внедряется один из вариантов червя Mirai, формирующего новый ботнет для совершения DDoS-атак. Предполагается, что неизвестные злоумышленники воспользовались ранее опубликованными исходными текстами червя Mirai, которые были дополнены эксплоитом, обеспечивающим запуск кода через манипуляции с сервисами, поддерживающими протокол TR-064.
Червь поддерживает эксплуатацию семь разных типов маршрутизаторов, построенных на базе чипов MIPS Big Endian, MIPS Little Endian, ARМ, Renesas SH, PowerPC (cisco 4500), SPARC и Motorola 68020. В результате атаки червь меняет настройки, открывая доступ к административному интерфейсу, после чего подключается к нему при помощи одного из трех задаваемых по умолчанию паролей, после чего закрывает пакетным фильтром порт 7547 и убирает процесс telnetd для блокирования установки обновлений провайдером. Для удаления червя достаточно перезагрузить устройство, после чего следует убедиться в доставке обновления прошивки от провайдера.