FBI neemt domeinnaam VPNFilter-malware in beslag
De FBI heeft een domeinnaam in beslag genomen waar de VPNFilter-malware gebruik van maakt om besmette routers en NASsen mee aan te sturen. Dat meldt het Amerikaanse openbaar ministerie. Gisteren maakte Cisco het bestaan van de malware bekend, die inmiddels 500.000 apparaten wereldwijd heeft geïnfecteerd.
De malware is in staat om inloggegevens te stelen en kan de firmware van besmette apparaten overschrijven, zodat ze onbruikbaar achterblijven. De FBI zou al sinds augustus met een onderzoek naar de malware bezig zijn en onder andere een router van een Amerikaans slachtoffer hebben onderzocht. Doordat de FBI nu controle over het domein van de malware heeft kan het zien welke ip-adressen zijn besmet. Deze informatie wordt vervolgens door de Shadowserver Foundation gebruikt om de besmette apparaten op te schonen. De Shadowserver Foundation is een organisatie die zich met de bestrijding van botnets bezighoudt.
Hoe VPNFilter systemen infecteert is nog onbekend. Symantec meldt dat de apparaten die het doelwit zijn bekende kwetsbaarheden bevatten of van standaard inloggegevens gebruikmaken. Gisteren liet Cisco al weten dat een deel van de malware via een reboot is te verwijderen. Het terugzetten van de fabrieksinstellingen verwijdert de malware helemaal. VPNFilter kan de volgende systemen besmetten.
- Linksys E1200
- Linksys E2500
- Linksys WRVS4400N
- Mikrotik RouterOS voor Cloud Core Routers: Versies 1016, 1036 en 1072
- Netgear DGN2200
- Netgear R6400
- Netgear R7000
- Netgear R8000
- Netgear WNR1000
- Netgear WNR2000
- QNAP TS251
- QNAP TS439 Pro
- Andere QNAP NAS-apparaten die QTS-software draaien
- TP-Link R600VPN
https://forum.mikrotik.com/viewtopic.php?f=21&t=134776&sid=e1317ac312b35b2f791df77e6d9a6404
Zoals altijd geldt dan: dat de software die gereleased is in maart 2017 niet meer kwetsbaar is voor deze aanval.
Echter de hordes aan gebruikers die nooit de software updaten (en ook geen andere basis beveiligings maatregelen
nemen zoals het dichtzetten van de admin interface vanaf internet) die zijn vandaag de dag ook nog gewoon kwetsbaar.
Je kunt hooguit stellen dat dit bij MikroTik nog schrijnender is dan bij pak em beet Cisco omdat je de software met
een muisklik of commando kunt updaten zonder dat je een support contract of een bedelbrief bij een of ander assistence
center nodig hebt. Dus achterlopende software gebruiken hoeft niet te gebeuren.
https://www.tp-link.com/nl/products/details/cat-4909_TL-R600VPN.html
Hoe te controleren of je router is besmet? Aangezien nog steeds niet is bekend hoe de router besmet raakt zou dat wel fijn zijn om te controleren. Default wachtwoord is na installatie al gewijzigd.
Geen zin om dagelijks de router terug te zetten op fabrieksinstellingen.
Kost tijd om alles om weer op hezelde niveau te brengen.
Je kunt klanten niet dwingen om hun firmware bij te werken en zolang er fouten in een nieuwe worden gemaakt. Soms vervallen services die de klant gebruikt.
Safety before functionality zou eigenlijk het motto moeten zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.