W Internecie natrafiono na nowy botnet, który składa się z przejętych routerów firmy D-Link.

Złośliwe oprogramowanie, które przejmuje kontrolę nad routerem tworząc z niego komputer-zombie (członka botnetu), najprawdopodobniej wykorzystuje lukę w narzędzu BusyBox – zestawie aplikacji dla niewielkich dystrybucji linuksowych. Zatem podatne są tylko te routery D-linka, które wykorzystują BusyBox. Z obserwacji wynika, że infekcja następuje przez port 23/TCP. Po przejęciu router wykonuje polecenia napływające z serwerów zarządzających botnetem (zwanych serwerami C&C), głównie są to rozkazy ataków DDoS. Ponadto robak próbuje propagować się dalej i przeszukuje sieć skanując port 23/TCP w poszukiwaniu innych podatnych routerów. Cechą charakterystyczną tego zagrożenia jest wzrost aktywności sieciowej na porcie 23/TCP. Lekko zwiększony ruch na tym porcie obserwowany był w darknecie naszego systemu ARAKIS od ok. 13 marca, natomiast większe ilości skanowań odnotowujemy od 16 marca:

Maksymalna liczba skanowań zaobserwowanych do tej pory wynosiła ponad 30.000 na pięć minut, natomiast średnia ilość przepływów w ostatnim tygodniu wyniosła 923 w ciągu pięciu minut.

Wzrost ruchu na porcie 23/TCP obserwowany jest także przez inne systemy monitorujące Internet (jak np. Internet Storm Center instytutu SANS)

Na razie specjaliści zajmujący się tym tematem niewiele więcej mogą powiedzieć. Nie jest jeszcze znany kod złośliwego programu, nie wiadomo także dokładnie jaka i w jaki sposób wykorzystywana jest luka. Nie zaobserwowano natomiast, aby wykorzystywane były routery nie korzystające z rozwiązania BusyBox.

Warto zauważyć, że we wtorek 25 marca opublikowano informację o nowych podatnościach w kilku modelach routerów D-link. Poprzez wykorzystanie ich atakujący może zdestabilizować pracę urządzenia lub wykonać na nim dowolny kod. Luki polegają na tym, że oprogramowanie routerów (w tym także serwer WWW) nie sprawdza wprowadzanych przez użytkownika danych. Urządzenia mogą więc zostać zaatakowane m.in. poprzez użycie zmodyfikowanego URLa lub wejście na spreparowaną stronę WWW zawierającą złośliwy kod HTML lub JavaScript. Prawdopodobnie nie ma to bezpośredniego związku z obserwowanym botnetem, lecz ostrzega przed nowymi możliwościami infekcji, a więc i przed potencjalnym jego rozrostem.

Z racji nieznajomości całości mechanizmu działania i sposobów rozprzestrzeniania się eksploita nie ma rozwiązania pozwalającego całkowicie zabezpieczyć się przed atakiem. Należy oczywiście uwzględnić także nowo odkryte luki. Najlepiej – jeżeli jest taka możliwość – odfiltrować na firewallu wszelkie połączenia na port 23/TCP do podatnego routera poza jednym lub kilkoma pochodzącymi z pewnych adresów IP. Warto także uniemożliwić zarządzanie nim spoza lokalnej sieci (zarówno przez CLI, GUI jak i przy pomocy protokołu SNMP) i jednocześnie ograniczyć z LANu. Poza tym powinno się zadbać, by zarządzając routerem przez Web-GUI jednocześnie nie wchodzić na strony internetowe. To zalecenie jest podyktowane właściwościami upublicznionych parę dni temu luk. Mogą one być bowiem wykorzystane przez szkodliwy kod umieszczony na stronach WWW, który poprzez kradzież informacji autoryzacyjnych zawartych w ciasteczkach może uzyskać dostęp do routera na poziomie administratora.

Źródło:

inf. własna,

www.securityfocus.com