‘Nieuwe exploit maakt groot aantal apparaten kwetsbaar voor Mirai malware’
De recente aanval met de Mirai malware op routers van Deutsche Telekom is voorteken van de groeiende dreiging die van deze malware variant uitgaat. Door een extra exploit toe te voegen aan de malware hebben de aanvallers zich op een groot aantal apparaten weten te richten die eerder niet voor de Mirai malware kwetsbaar was.
Hiervoor waarschuwt Johannes Ulrich van het SANS Institute in een SANS Internet Storm Center advisory. De broncode van de Mirai malware is eind oktober gepubliceerd op internet. De malware werd in eerste instantie gebruikt om Internet of Things apparaten zoals routers, webcams en digitale videorecorders aan te vallen die zijn voorzien van standaard of zwakke wachtwoorden.
Routers van Deutsche Telekom
Zondag 27 oktober bleken aanvallers de malware echter te hebben aangepast en voorzien van een extra exploit. Met behulp van deze exploit hebben de aanvallers geprobeerd 900.000 routers van Deutsche Telekom met de Mirai malware te infecteren, met als doel deze apparaten onderdeel te maken van een botnet. De aanval mislukte, maar zorgde er wel voor dat de routers van Deutsche Telekom offline gingen.
Ulrich waarschuwt dat de kwetsbaarheid waarvan de aanvallers misbruik hebben gemaakt veelvoorkomend is. “Wat we nu zien is slechts het puntje van de ijsberg. Door deze exploit toe te voegen heeft Mirai toegang gekregen tot veel meer apparaten dan het al had”, aldus de beveiligingsonderzoeker. Het gaat om een kwetsbaarheid die onder andere aanwezig is in de managementinterface die door de routers van Deutsche Telekom wordt gebruikt.
TR-069
Bij de aanval is misbruik gemaakt van een kwetsbaarheid in TR-069, een standaard van het Broadband Forum die Internet Service Providers (ISP’s) in staat stelt routers op afstand te beheren. Standaard maakt dit protocol gebruik van poort 7547, al wordt op sommige apparaten gebruik gemaakt van poort 5555. Op 7 november 2016 is online een blogpost verschenen van een gebruiker genaamd ‘kenzo2017’ waarin wordt uitgelegd hoe de ‘NewNTPServer’ functie van TR-064 (de voorloper van TR-069) kan worden misbruikt om op afstand commando’s uit te voeren op apparaten. Deze post heeft betrekking op de D1000 modem die door de Ierse ISP Eir wordt gebruikt, maar kan ook worden gebruikt om andere apparaten.
Ulrich meldt dat gelijktijdig met de aanval op de routers van Deutsche Telekom een grote toename is gezien van het aantal aanvallen gericht op poort 7547. Korte tijd later werd een zelfde toename ontdekt in het aantal aanvallen gericht op poort 5555. Honeypots bevestigen volgens Ulrich dat deze aanvallen bedoeld zijn om de kwetsbaarheid in de NewNTPServer functie van TR-069 te misbruiken. Door het commando dat via deze kwetsbaarheid op routers wordt uitgevoerd wordt de malware ‘tr069.pw’ gedownload en uitgevoerd.
Toegang via poort 7547 en 5555 beperken
De beveiligingsonderzoeker adviseert ISP’s toegang via poort 7547 en poort 5555 te beperken indien deze worden gebruikt om routers op afstand te beheren. Modems zouden daarnaast alleen inkomende verbindingen van af specifieke configuratieservers moeten accepteren. Ulrich wijst erop dat er eerder kwetsbaarheden zijn gevonden in TR-069, en dat het waarschijnlijk is dat in de toekomst nieuwe problemen zullen worden ontdekt. Het beperken van toegang via poort 7547 en 5555 is dan ook noodzakelijk om misbruik van deze kwetsbaarheden te voorkomen.
Ulrich schat dat door de nieuwe kwetsbaarheid één tot twee miljoen nieuwe bots zijn toegevoegd aan het Mirai botnet. Op dit moment heeft het SANS Institute zo’n 600.000 IP-adressen gedetecteerd waarmee actief wordt gescand op deze kwetsbaarheid. Een klein deel van deze apparaten luistert naar poort 443. Een analyse van het SANS Institute wijst uit dat deze apparaten gebruik maken van TLS-ccertificaten die zijn uitgegeven door Zyxel. Ulrich vermoedt dan ook dat de scans worden uitgevoerd vanaf geïnfecteerde apparaten van het merk Zyxel.
Volledige analyse
Meer informatie en de volledige analyse van Ulrich is hier te vinden.
Meer over
Lees ook
Des pirates détournent les données médicales de dizaines de millions d'Américains
Des pirates viennent à nouveau de mettre la main sur d'énormes quantités de données personnelles. En effet, des cybercriminels se sont introduits par effraction chez Anthem, l'un des plus gros assureurs médicaux des Etats-Unis pour y dérober les données clients de dizaines de millions d'Américains. Anthem a reconnu cette cyberattaque dans une déclaration. Des pirates se seraient introduits dans les systèmes IT de l'assureur pour y copier des informations personnelles de dizaines de millions de clients. Il s'agit notamment de noms, dates de naissance, numéros de sécurité sociale, ID médicales,1
Facebook lanceert platform om informatie over cybercrime uit te wisselen
Facebook wil bedrijven helpen cyberaanvallen effectiever en efficiënter aan te pakken door een platform op te zetten voor het delen van informatie over cybermisdaad. Bedrijven kunnen allerlei data over cyberaanvallen waarmee zij zijn geconfronteerd delen met andere bedrijven, die deze data kunnen inzetten om cyberaanvallen eerder op te sporen en beter aan te kunnen pakken. Het nieuwe platform heet ThreatExchange. Bedrijven die doelwit worden van cybercriminelen, kunnen data die zij over de aanval verzamelen op het platform delen met andere bedrijven. Denk hierbij aan malafide URL’s die worden1
‘Veel cybercriminelen beginnen met digitale diefstallen in games’
Hoe ontstaan eigenlijk cybercriminelen? Cybercriminelen die zich bezig houden met serieuze cybercriminaliteit blijken in de praktijk vaak te zijn begonnen bij kleinschalige digitale diefstallen in met name online games. Vanaf deze relatief onschuldige misdaden groeien de aanvallers door tot volleerde cybercriminelen, die veel schade kunnen veroorz1