Wereldwijd zijn wifi-routers van D-Link, Netgear, TP-Link, Zyxel en andere fabrikanten geïnfecteerd met de AVrecon-malware, zo waarschuwt de FBI (pdf). De Amerikaanse opsporingsdienst adviseert eigenaren van dergelijke wifi-routers om een patchschema te maken en zo periodiek te controleren of er firmware-updates beschikbaar zijn en die dan meteen te installeren. Veel routers beschikken namelijk niet over een automatische updatefunctie, aldus de opsporingsdienst.
De met AVrecon besmette routers werden via de SocksEscort-proxydienst aangeboden. Afnemers van deze dienst, die inmiddels door de autoriteiten offline is gehaald, konden via de besmette routers hun verkeer laten lopen. Volgens de FBI is de AVrecon-malware op routers en ip-camera's in 163 landen aangetroffen. De malware is in staat om twaalfhonderd apparaatmodellen van Cisco, D-Link, Hikvision, MicroTik, Netgear, TP-Link en Zyxel te infecteren. Hiervoor maken de aanvallers gebruik van kritieke kwetsbaarheden in de apparaten.
Het gaat zowel om apparaten die end-of-life zijn en geen beveiligingsupdates ontvangen of apparaten waarvan de eigenaar beschikbare patches niet heeft geïnstalleerd. Bij sommige van de besmette apparaten installeerden de aanvallers custom firmware om toegang te behouden. Ook werd de firmware van besmette routers aangepast, waardoor de features om het apparaat te updaten of te flashen werden uitgeschakeld. Dit maakt het volgens de FBI zeer lastig om de AVrecon-malware te verwijderen.
Bij sommige apparaten volstaat het rebooten van het besmette apparaat om de malware te verwijderen, omdat die niet over 'persistence' beschikt, maar er zijn gevallen bekend waarbij het apparaat meteen via de eerder gebruikte kwetsbaarheden opnieuw werd geïnfecteerd. Naast het fungeren als proxy worden besmette routers en ip-camera's ook ingezet voor het scannen naar andere kwetsbare apparaten.
De FBI adviseert eigenaren van routers en andere IoT-apparaten om firmware-updates tijdig te installeren. Aangezien veel van deze apparaten niet over een automatische updatefunctie beschikken wordt aangeraden een patchschema op te stellen en zelf periodiek te controleren of er patches beschikbaar zijn en die dan te installeren. Verder wordt aangeraden om SOHO-routers en IoT-apparaten te monitoren, isoleren en de toegang ertoe te beperken. Tevens moeten end-of-life apparaten worden vervangen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Product Owner / Senior Security Officer
TU Eindhoven (TU/e) is een inter-nationaal vooraanstaande technische universiteit, gelegen in het hart van de Brainport-regio. Als Product Owner / Senior Security Officer geef jij richting én werk je aan de technische basis die dit ecosysteem draaiende houdt: een veilige, robuuste IT-omgeving die klaar is voor de toekomst.
Digital Designer
Ben jij een Grafisch vormgever, UI/UX-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, en op zoek naar een unieke en uitdagende baan waar je al je creativiteit in kwijt kan? Dan ben je bij Certified Secure aan het juiste adres! Je werkt samen met onze security developers aan onze Gamified Cybersecurity Challenges.
