Azok a jelentések nyomán, amelyek szerint egy rosszindulatú program több mint 700 000-et fertőzött meg routerek Több mint 50 országban használják az otthonokban és a kisvállalkozásokban, az FBI arra kér minden fogyasztót, hogy indítsa újra útválasztóját. A VPNFilter kártevőt a Cisco biztonsági kutatói fedezték fel, és az Asus, D-Link, Huawei, Linksys, Mikrotik, Netgear, QNAP, TP-Link, Ubiquiti, Upvel és ZTE útválasztóit érinti. Az Egyesült Államok Igazságügyi Minisztériuma szerint a VPNFilter szerzői a Sofacy csoporthoz tartoztak, amely közvetlenül az orosz kormánynak válaszolt. Reuters jelentette, és Ukrajna volt a támadás valószínű célpontja.
"A VPNFilter rosszindulatú program egy többlépcsős, moduláris platform, amely sokoldalú képességekkel támogatja mind az intelligenciagyűjtést, mind a pusztító kibertámadási műveleteket" - mondta a Cisco egy jelentésében. Mivel a kártevő adatokat gyűjthet a felhasználótól, és akár nagyszabású pusztító támadást is végrehajthat, a Cisco azt javasolja, hogy a SOHO vagy a hálózathoz csatlakoztatott tárolóeszközök (NAS) tulajdonosai legyenek különösen óvatosak az ilyen típusú eszközökkel támadás. És mivel nem világos, hogy a kompromittált eszközök hogyan fertőződtek meg, a tisztviselők arra kérik a felhasználókat,
routerek és NAS eszközök az újraindításhoz.Ajánlott videók
Ez most duplán fontos, mivel a további elemzések azt mutatják, hogy a sebezhető hardverek listája sokkal hosszabb, mint azt eredetileg gondolták. A kezdeti bejelentést követően 14 készülékmodellről számoltak be, hogy sebezhetőek, ez a lista már több tíz gyártó készülékét is magában foglalja. Ez 700 000 útválasztót tesz sebezhetővé világszerte, és még több csatlakoztatott felhasználót.
Összefüggő
- Ó, nagyszerű, az új rosszindulatú program lehetővé teszi a hackerek számára, hogy eltérítsék Wi-Fi útválasztóját
- Az útválasztó Wi-Fi jelszavának megváltoztatása
- Hogyan találhatja meg az útválasztó IP-címét testreszabás és biztonság érdekében
Még ennél is problémásabb, hogy az érintettek ki vannak téve a rosszindulatú program egy újonnan felfedezett elemének, amely lehetővé teszi, hogy ember-középben támadás az útválasztón áthaladó bejövő forgalom ellen. Ez a fertőzött hálózatokon mindenkit fogékony támadásokra és adatlopásokra tesz. A rosszindulatú programmodul, az úgynevezett „ssler” aktívan ellenőrzi a webes URL-eket érzékeny információk, például bejelentkezési adatok után, amelyeket azután vissza lehet küldeni egy vezérlőszerverre Ars Technica. Ezt úgy teszi, hogy aktívan leminősíti a védett HTTPS-kapcsolatokat sokkal olvashatóbb HTTP-forgalommá.
Ebben a legújabb felfedezésben az a legszembetűnőbb, hogy rávilágít az útválasztók tulajdonosaira és a csatlakoztatott eszközökre célpontok is, nem csak az ennek elterjedésével aktívan létrejött botnet potenciális áldozatai rosszindulatú.
Ettől függetlenül a saját hálózatának biztosítására vonatkozó ajánlások változatlanok maradnak.
„Az FBI azt javasolja, hogy minden kis irodai és otthoni irodai útválasztó tulajdonosa indítsa újra az eszközöket átmenetileg megzavarják a rosszindulatú programokat, és segítik a fertőzött eszközök esetleges azonosítását” – mondta az FBI figyelmeztettek az illetékesek. „A tulajdonosoknak azt tanácsoljuk, hogy fontolják meg a távoli felügyeleti beállítások letiltását az eszközökön, és erős jelszavakkal és titkosítással biztosítsák a biztonságot, ha engedélyezve vannak. A hálózati eszközöket frissíteni kell a firmware legújabb elérhető verziójára."
A VPNFilternek három szakasza van – egy állandó 1. szakasz és egy nem perzisztens 2. és 3. szakasz. A rosszindulatú program működése miatt az újraindítás törli a 2. és 3. szakaszt, és enyhíti a legtöbb problémát. Az FBI lefoglalt egy domaint, amelyet a rosszindulatú program készítője használt a támadás 2. és 3. szakaszának végrehajtására. Ezek a későbbi szakaszok nem élik túl az újraindítást.
Az igazságügyi minisztérium is hasonló figyelmeztetést adott ki, és felszólította a felhasználókat, hogy indítsák újra útválasztójukat. „Az esetlegesen fertőzött SOHO- és NAS-eszközök tulajdonosainak a lehető leghamarabb újra kell indítaniuk eszközeiket, átmenetileg a második fokozatú rosszindulatú program, és az eszközükön lévő első fokozatú rosszindulatú program utasításokat kér” – mondta az osztály a nyilatkozat. „Bár az eszközök továbbra is sebezhetőek lesznek a második fokozatú rosszindulatú programokkal való újrafertőződéssel szemben, miközben csatlakoznak az internethez, ezek az erőfeszítések maximalizálják a azonosítani és orvosolni a fertőzést világszerte a rendelkezésre álló idő alatt, mielőtt a Sofacy szereplői tudomást szereznének a parancsnoki és irányítási résről infrastruktúra."
A Cisco azt tanácsolta minden felhasználónak, hogy hajtsa végre a gyári alaphelyzetbe állítást eszközein, amivel a kártevő még az 1. szakaszát is eltávolítaná. Ha nem tudja, hogyan kell visszaállítani a gyári beállításokat, forduljon az útválasztó gyártójához utasításokért, de általában egy gemkapcsot a router hátulján vagy alján található „reset” gombba, és néhány másodpercig a helyén tartva törli a router. További ajánlások is találhatók a jövőbeni támadások mérséklésére Cisco jelentése.
Frissítve június 6-án: Hozzáadott hírek az újonnan érintett útválasztókról és támadási vektorokról.
Szerkesztői ajánlások
- Rossz helyre teszi az útválasztót. Íme, hová helyezze helyette
- A router firmware frissítése
- Adjon új szuperképességeket útválasztójának a DD-WRT telepítésével
- A hacker 100 ezer útválasztót fertőz meg a legújabb botnet-támadással, amelynek célja e-mail spam küldése
- Sebezhető a routered a támadásokkal szemben? Az új jelentés szerint az esélyek nem az Ön javára
Frissítse életmódjátA Digital Trends segítségével az olvasók nyomon követhetik a technológia rohanó világát a legfrissebb hírekkel, szórakoztató termékismertetőkkel, éleslátó szerkesztőségekkel és egyedülálló betekintésekkel.
