Ha ilyen wifi routert használ, nagy bajban lehet
A korábbi néhány típusnál jóval többfajta routernél találták meg azt a sebezhetőséget, melyet kihasználva vírussal fertőztek meg világszerte több százezer eszközt. Egyenesen a felhasználóra vadásznak.
Alig két hét telt el azóta, hogy komoly biztonsági figyelmeztetést adott ki a Cisco. A cég biztonsági szakemberei szerint ugyanis hackerek egy csoportja – akik valószínűleg az oroszoknak dolgoznak – 54 ország mintegy 500 ezer wifi routerét fertőzték meg egy vírussal. Az ügyben nem sokkal később azFBI is vészjelzést adott ki. A Symantec szakemberei korábban azt írták, a VPNFilter nevű vírus 14 különböző típusú eszközön lehet ott, most azonban kiderült, sokkal nagyobb a baj, mint azt korábban bárki is gondolta volna. A vírus ugyanis nemcsak, hogy ennél jóval több típuson lehet ott, de a korábban gondoltnál számottevően erősebb.
Az ArsTechnica beszámolója szerint a VPNFilter nevű kártevő képes lehet egy közbeékelődő támadás (man-in-the-middle attack, MITM) végrehajtására. Ennek lényege, hogy a támadó képes arra, hogy a két, egymással kommunikáló fél kommunikációs csatornáját eltérítse, kvázi beékelődjön közéjük, majd az üzeneteket ő továbbítsa mindkét fél számára. Ekkor elhiteti a felhasználóval, hogy egymással beszélgetnek, holott mindketten a hackerrel kapcsolódnak össze. Sőt, a hackerek az általuk használt módszerrel arra is képesek lehetnek, hogy átalakítsák a weboldalak által nyújtott tartalmakat.
A vírus emellett arra is képes, hogy a végpontok, valamint az internet között áramló érzékeny adatokat ellopja. Gyakorlatilag megfigyelik azokat a webcímeket, amelyeknél jelszó vagy más érzékeny adat továbbítódik, majd lemásolva azt elküldik a saját maguk által ellenőrzött szerverekre az információt. Az ilyen adatlopást elviekben a HTTPS-kapcsolat volna hivatott megakadályozni, a VPNFilter azonban megpróbálja megkerülni a TLS biztonsági protokollt, hogy végül sima HTTP-s kapcsolaton menjen keresztül az információ.
A vírusban dolgozó kód a Facebookhoz, Google-höz, Twitterhez és YouTube-hoz egyedi módon viszonyul, minden bizonnyal azért, mert ezeken a webhelyeken további biztonsági körökön is át kell menni. A Google például évek óta HTTP-szerverekre irányítja a HTTP-forgalmat, hogy biztonságosabbá tegyék a netezést.
Mi vagyunk a célpont
A Cisco korábbi jelentése szerint a megfertőzött routerek arra kellenek, hogy összehangolt támadást intézzenek a kiszemelt célpontok ellen. A cég azonban a további vizsgálatok alapján arra a következtetésre jutott, hogy a célpontok maguk a routerek tulajdonosai. Craig Williams, a Talos technológiai vezetője szerint a hackerek minden gond nélkül képesek úgy leemelni a bankszámlánkról a pénzt, hogy a felhasználó közben azt lássa, minden a legnagyobb rendben van. A szakember szerint a VPNFilter szinte bármit megtehet az adattal, ami keresztül folyik a routereken.
Williams szerint a korábbiakhoz képest több mint 200 ezerrel több fertőzött router lehet, és sokkal több típus, mint azt korábban gondolták. A fertőzés az alábbi típusokat érintheti:
Asus:
- RT-AC66U
- RT-N10
- RT-N10E
- RT-N10U
- RT-N56U
- RT-N66U
D-Link:
- DES-1210-08P
- DIR-300
- DIR-300A
- DSR-250N
- DSR-500N
- DSR-1000
- DSR-1000N
Huawei:
- HG8245
Linksys:
- E1200
- E2500
- E3000
- E3200
- E4200
- RV082
- WRVS4400N
Mikrotik:
- CCR1009
- CCR1016
- CCR1036
- CCR1072
- CRS109
- CRS112
- CRS125
- RB411
- RB450
- RB750
- RB911
- RB921
- RB941
- RB951
- RB952
- RB960
- RB962
- RB1100
- RB1200
- RB2011
- RB3011
- RB Groove
- RB Omnitik
- STX5
Netgear:
- DG834
- DGN1000
- DGN2200
- DGN3500
- FVS318N
- MBRN3000
- R6400
- R7000
- R8000
- WNR1000
- WNR2000
- WNR2200
- WNR4000
- WNDR3700
- WNDR4000
- WNDR4300
- WNDR4300-TN
- UTM50
QNAP:
- TS251
- TS439 Pro
- Other QNAP NAS eszközök, amelyek QTS-t futtatnak
TP-Link:
- R600VPN
- TL-WR741ND
- TL-WR841N
Ubiquiti:
- NSM2
- PBE M5
Upvel:
- Ismeretlen modellek
ZTE:
- ZXHN H108N
A Cisco/Talos jelentése szerint a VPNFilter ráadásul rendkívül célzottan próbál adatokat lopni. Ahelyett, hogy minden adatot lehallgatna, kifejezetten a kis adatcsomagokat keresi, amelyek (valószínűleg) jelszavakat vagy hitelesítő adatokat tartalmazhatnak. A hackerek ráadásul egy parancs segítségével először törlik a VPNFiltert az összes nyommal együtt az eszközről, majd egy parancs segítségével gyakorlatilag újraindítják a készüléket.
A szakemberek továbbra sem tudják, hogyan fertőződhettek meg a routerek, de valószínűleg olyan hibákat használtak ki, amelyekre már van megoldás. Nem egyszerű azt sem megtudni, hogy valóban fertőzött-e a router. A Cisco szakértői szerint ráadásul modellenként változik, hogyan lehet “fertőtleníteni” a készüléket. Bizonyos esetekben a router gombjával kell visszaállítani a gyári beállításokat, majd azonnal telepíteni rájuk a legfrisseb firmware-t, másoknál viszont elég csak újraindítani a készüléket.
Emellett mindenképpen változtassuk meg a router alapértelmezett jelszavát és tiltsuk le a távoli hozzáférést.
/hvg nyomán Patrióta/