Kékfény 

Ha ilyen wifi routert használ, nagy bajban lehet

Patriota , , , , , , , , , , ,

A korábbi néhány típusnál jóval többfajta routernél találták meg azt a sebezhetőséget, melyet kihasználva vírussal fertőztek meg világszerte több százezer eszközt. Egyenesen a felhasználóra vadásznak.

 

Alig két hét telt el azóta, hogy komoly biztonsági figyelmeztetést adott ki a Cisco. A cég biztonsági szakemberei szerint ugyanis hackerek egy csoportja – akik valószínűleg az oroszoknak dolgoznak – 54 ország mintegy 500 ezer wifi routerét fertőzték meg egy vírussal. Az ügyben nem sokkal később azFBI is vészjelzést adott ki. A Symantec szakemberei korábban azt írták, a VPNFilter nevű vírus 14 különböző típusú eszközön lehet ott, most azonban kiderült, sokkal nagyobb a baj, mint azt korábban bárki is gondolta volna. A vírus ugyanis nemcsak, hogy ennél jóval több típuson lehet ott, de a korábban gondoltnál számottevően erősebb.

Az ArsTechnica beszámolója szerint a VPNFilter nevű kártevő képes lehet egy közbeékelődő támadás (man-in-the-middle attack, MITM) végrehajtására. Ennek lényege, hogy a támadó képes arra, hogy a két, egymással kommunikáló fél kommunikációs csatornáját eltérítse, kvázi beékelődjön közéjük, majd az üzeneteket ő továbbítsa mindkét fél számára. Ekkor elhiteti a felhasználóval, hogy egymással beszélgetnek, holott mindketten a hackerrel kapcsolódnak össze. Sőt, a hackerek az általuk használt módszerrel arra is képesek lehetnek, hogy átalakítsák a weboldalak által nyújtott tartalmakat.

A vírus emellett arra is képes, hogy a végpontok, valamint az internet között áramló érzékeny adatokat ellopja. Gyakorlatilag megfigyelik azokat a webcímeket, amelyeknél jelszó vagy más érzékeny adat továbbítódik, majd lemásolva azt elküldik a saját maguk által ellenőrzött szerverekre az információt. Az ilyen adatlopást elviekben a HTTPS-kapcsolat volna hivatott megakadályozni, a VPNFilter azonban megpróbálja megkerülni a TLS biztonsági protokollt, hogy végül sima HTTP-s kapcsolaton menjen keresztül az információ.

A vírusban dolgozó kód a Facebookhoz, Google-höz, Twitterhez és YouTube-hoz egyedi módon viszonyul, minden bizonnyal azért, mert ezeken a webhelyeken további biztonsági körökön is át kell menni. A Google például évek óta HTTP-szerverekre irányítja a HTTP-forgalmat, hogy biztonságosabbá tegyék a netezést.

 

Mi vagyunk a célpont

A Cisco korábbi jelentése szerint a megfertőzött routerek arra kellenek, hogy összehangolt támadást intézzenek a kiszemelt célpontok ellen. A cég azonban a további vizsgálatok alapján arra a következtetésre jutott, hogy a célpontok maguk a routerek tulajdonosai. Craig Williams, a Talos technológiai vezetője szerint a hackerek minden gond nélkül képesek úgy leemelni a bankszámlánkról a pénzt, hogy a felhasználó közben azt lássa, minden a legnagyobb rendben van. A szakember szerint a VPNFilter szinte bármit megtehet az adattal, ami keresztül folyik a routereken.

Williams szerint a korábbiakhoz képest több mint 200 ezerrel több fertőzött router lehet, és sokkal több típus, mint azt korábban gondolták. A fertőzés az alábbi típusokat érintheti:

 

Asus:

  • RT-AC66U
  • RT-N10
  • RT-N10E
  • RT-N10U
  • RT-N56U
  • RT-N66U

 

D-Link:

  • DES-1210-08P
  • DIR-300
  • DIR-300A
  • DSR-250N
  • DSR-500N
  • DSR-1000
  • DSR-1000N

 

Huawei:

  • HG8245

 

Linksys:

  • E1200
  • E2500
  • E3000
  • E3200
  • E4200
  • RV082
  • WRVS4400N

 

Mikrotik:

  • CCR1009
  • CCR1016
  • CCR1036
  • CCR1072
  • CRS109
  • CRS112
  • CRS125
  • RB411
  • RB450
  • RB750
  • RB911
  • RB921
  • RB941
  • RB951
  • RB952
  • RB960
  • RB962
  • RB1100
  • RB1200
  • RB2011
  • RB3011
  • RB Groove
  • RB Omnitik
  • STX5

 

Netgear:

  • DG834
  • DGN1000
  • DGN2200
  • DGN3500
  • FVS318N
  • MBRN3000
  • R6400
  • R7000
  • R8000
  • WNR1000
  • WNR2000
  • WNR2200
  • WNR4000
  • WNDR3700
  • WNDR4000
  • WNDR4300
  • WNDR4300-TN
  • UTM50

 

QNAP:

  • TS251
  • TS439 Pro
  • Other QNAP NAS eszközök, amelyek QTS-t futtatnak

 

TP-Link:

  • R600VPN
  • TL-WR741ND
  • TL-WR841N

 

Ubiquiti:

  • NSM2
  • PBE M5

 

Upvel:

  • Ismeretlen modellek

 

ZTE:

  • ZXHN H108N

 

A Cisco/Talos jelentése szerint a VPNFilter ráadásul rendkívül célzottan próbál adatokat lopni. Ahelyett, hogy minden adatot lehallgatna, kifejezetten a kis adatcsomagokat keresi, amelyek (valószínűleg) jelszavakat vagy hitelesítő adatokat tartalmazhatnak. A hackerek ráadásul egy parancs segítségével először törlik a VPNFiltert az összes nyommal együtt az eszközről, majd egy parancs segítségével gyakorlatilag újraindítják a készüléket.

A szakemberek továbbra sem tudják, hogyan fertőződhettek meg a routerek, de valószínűleg olyan hibákat használtak ki, amelyekre már van megoldás. Nem egyszerű azt sem megtudni, hogy valóban fertőzött-e a router. A Cisco szakértői szerint ráadásul modellenként változik, hogyan lehet “fertőtleníteni” a készüléket. Bizonyos esetekben a router gombjával kell visszaállítani a gyári beállításokat, majd azonnal telepíteni rájuk a legfrisseb firmware-t, másoknál viszont elég csak újraindítani a készüléket.

Emellett mindenképpen változtassuk meg a router alapértelmezett jelszavát és tiltsuk le a távoli hozzáférést.

 

/hvg nyomán Patrióta/

Kapcsolódó tartalmak