image

Botnet van 100.000 routers gebruikt voor versturen van spam

woensdag 7 november 2018, 12:22 door Redactie, 4 reacties

Onderzoekers hebben een botnet van 100.000 routers ontdekt die worden gebruikt voor het versturen van spam. Om toegang tot de routers te krijgen maken de aanvallers gebruik van een kwetsbaarheid in Broadcom UPnP, dit is Broadcoms implementatie van het Universal Plug en Play (UPnP)-protocol.

Dit is een veelgebruikt protocol dat het eenvoudiger voor apparaten in een netwerk moet maken om met het internet of andere apparaten op het netwerk te communiceren. De kwetsbare implementatie wordt door verschillende routerfabrikanten gebruikt, waaronder Asus, D-link, Zyxel, US Robotics, TP-link en Netgear. Onderzoekers van securitybedrijf 360 Netlab vonden 116 verschillende routers die onderdeel van het botnet zijn.

Zodra de aanvallers toegang tot een router verkrijgen wordt er proxysoftware geïnstalleerd. De proxy ontvangt vervolgens instructies om verkeer naar de mailservers van Outlook, Hotmail en Yahoo! door te sturen. Eerder dit jaar waarschuwde ook internetgigant Akamai dat tienduizenden thuisrouters via een UPnP-lek als proxy werden gebruikt. Gebruikers kunnen zich onder andere beschermen door UPnP uit te schakelen of een firewall in te stellen die al het inkomende verkeer naar UDP-poort 1900 blokkeert.

Reacties (4)
07-11-2018, 12:56 door Anoniem
Ik denk dat het ondertussen duidelijk is geworden dat routers en hun propriëtaire firmware echt totaal bagger zijn.

Daarom opteer ik dat router fabrikanten standaard opensource-router-software mee leveren of tenminste de code van hun firmware open stellen.
07-11-2018, 15:07 door Anoniem
Ben jij ook via WAN kwetsbaar op het UPnP-protocol van je router?
Gewoon even testen op "GRC Instant UPnP Exposure test".

Waar vind je die?
https://www.grc.com/shieldsup
Lees of je het er mee eens bent, en zo ja klik op "Proceed". (i.g.v. paranoia wil je het misschien niet)
Klik op de licht oranjebruine knop met blauwe letters: ""GRC Instant UPnP Exposure test".
Je ziet vervolgens je IP-adres.

Bij groen met de tekst:
THE EQUIPMENT AT THE TARGET IP ADDRESS
DID NOT RESPOND TO OUR UPnP PROBES!
betekent dat er niet onmiddellijk een supergevaarlijk probleem is geconstateerd met UPnP op de router.
(ik vermoed dat poort 1900 op de WAN wordt getest)
07-11-2018, 18:26 door Briolet - Bijgewerkt: 07-11-2018, 18:26
Al in 2013 heeft de overheid gewaarschuwd om poort 1900 dicht te zetten van buiten. Toen was er al bekend dat sommige routers vanaf de wan kant via poort 1900 te benaderen waren.

https://www.security.nl/posting/39877/Overheid+waarschuwt+voor+UPnP+op+router

Als men toen geluisterd had, was er nu niets aan de hand geweest.
08-11-2018, 09:48 door Anoniem
Door Briolet: Al in 2013 heeft de overheid gewaarschuwd om poort 1900 dicht te zetten van buiten. Toen was er al bekend dat sommige routers vanaf de wan kant via poort 1900 te benaderen waren.

https://www.security.nl/posting/39877/Overheid+waarschuwt+voor+UPnP+op+router

Als men toen geluisterd had, was er nu niets aan de hand geweest.

En wat denk je van https://www.security.nl/posting/13278/Tips+voor+een+veiligere+WiFi-router (uit 2006!!!). ; )
1. Schakel UPnP uit. Universal plug and play is een handige feature, maar kan ook door Trojaanse paarden gebruikt worden om een poort in de firewall te openen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.