Trojaans paard kaapt Linux-routers via ShellShock-lek
Wereldwijd zijn bijna 1500 Linux-routers gekaapt door een Trojaans paard, dat de apparaten vervolgens inschakelt voor het aanvallen van andere systemen en servers. De PNScan Trojan, zoals de malware door het Russische Doctor Web wordt genoemd, maakt gebruik van het ShellShock-lek van vorig jaar september voor het overnemen van Linux-routers met een ARM-, MIPS-, of PowerPC-architectuur.
Daarnaast wordt de Trojan ook geïnstalleerd door andere malware die op al gehackte routers aanwezig is. ShellShock is de naam voor een kwetsbaarheid in Bash. Dit is een Unix-shell waarmee er opdrachten aan het systeem kunnen worden gegeven. Het wordt voor allerlei toepassingen gebruikt en veel programma's draaien het in de achtergrond. Vorig jaar september werd de kwetsbaarheid gevonden en gepatcht, maar nog altijd zijn er kwetsbare systemen op internet te vinden.
Als PNScan op de router is geinstalleerd via het ShellShock-lek, wordt er andere malware op het apparaat geplaatst. De malware voert vervolgens een scan uit op een reeks IP-adressen. Hierna kan de malware verschillende aanvallen uitvoeren. Ook de malware die aanvullend op de router wordt geinstalleerd is in staat om aanvallen uit te voeren. Het gaat in dit geval om DDoS-aanvallen alsmede pogingen om installaties van PHPmyAdmin over te nemen.
Naast PNScan is er inmiddels ook een variant van het Trojaanse paard ontdekt. Deze versie maakt geen gebruik van het ShellShock-lek, maar gebruikt zwakke wachtwoorden om via SSH toegang te krijgen. Wereldwijd werden 1439 met PNScan besmette routers aangetroffen, waaronder 21 in Nederland.
(Misschien een optie voor kwetsbare routers, waar geen update voor is)
In Linux worden internetpoorten onder de 1024 door root geopend (met een aantal kunstgrepen is er wat aan te doen). Dat geeft dan ook in dit geval een veiligheidsrisico.
Oeps dus; je zou verwachten dat de dhcp client (met standaard options) zijn parameters uit een config file leest en geen script nodig heeft. Als dit wel het geval is kan een nieuwe router al voor het maken van zijn allereerste tcp connectie besmet worden terwijl hij z'n wan IP ophaalt.
Dat is niet mis.
Maar welke routers gebruiken eigenlijk bash, de meesten gebruiken toch de Bourne of Almquist shell ipv het veel meer uit de kluiten gewassen Bourne Again?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.