Nieuwe malware richt zich op Linksys-routers

Meerdere routers van Linksys zijn het slachtoffer van een worm. De worm verspreidt zich waarschijnlijk via een gat in de routersoftware. Het is nog onduidelijk welk doel de malware precies voor ogen heeft.

Onderzoeker Johannes Ullrich van het Internet Storm Center onderzocht de worm, waarvan het bestaan woensdag aan het licht kwam toen een Amerikaanse internetprovider merkte dat routers van klanten waren gehackt. De kwaadaardige software richt zich onder meer op de E2500, E1000 en de E1200.

De E1200 zou met de laatste firmware niet meer kwetsbaar moeten zijn, maar de E1000 is dat wel. Het is onduidelijk of de E2500 met de nieuwste firmware vatbaar is. Een Poolse beveiligingsonderzoeker schrijft op zijn site dat ook andere modellen, waaronder de E1500 en de E4200, door de worm kunnen worden geïnfecteerd.

Wat de malware precies doet is onduidelijk, behalve dat hij zich automatisch verspreid naar andere Linksys-routers. Dat ontdekte Ullrich toen hij een honeypot installeerde: een apparaat met kwetsbare software die is bedoeld om aanvallers aan te trekken. De honeypot van Ullrich werd daadwerkelijk geïnfecteerd, waarna hij de malware kon onderscheppen en ontleden.

Eenmaal geïnstalleerd zoekt de worm binnen bepaalde netblocks naar kwetsbare routers, zo ontdekte Ullrich. De scans richten zich op de poorten 80 en 8080, waarna naar kwetsbare routers een post-request wordt gestuurd die de aanvaller zijn eigen code laat uitvoeren. Het is onduidelijk hoe dat lukt; volgens de Amerikaanse provider die de worm ontdekte, komt dat niet door het gebruik van zwakke wachtwoorden.

Na infectie wordt een tweede bestand gedownload, dat waarschijnlijk aanvullende code bevat. Daarnaast lijkt de worm verbinding te maken met een command-and-control-server: de tweede binary bevat namelijk een aantal hostnames.

Reacties (53)

Mit-46 13 februari 2014 20:53

Is het bekend hoe je de boel hier tegen kan beveiligen behalve de DD-WRT firmware?
Is het überhaupt bekend dat de DD-WRT firmware veilig is?

TonnyTonny @Mit-46 • 13 februari 2014 22:21

Remote management (vanaf het internet dus) UITZETTEN.

De troep komt binnen door een fout cgi-script in de Linksys web-server.
Dit script controleert niet of diegene die het aanroept wel ingelogged is en het accepteerd dan ook nog eens parameters die misbruikt kunnen worden om de Linksys een eigen binary van de hackers te laten downloaden en uitvoeren.
Dubbel faal dus.

Maar als de web-server vanaf het internet niet te bereiken is lukt het dus niet om binnen te komen.

Armin @TonnyTonny • 14 februari 2014 01:35

BTW remote management staat volgens mij standaard uit, dus opa & oma lijken mij beschermt. Of vergis ik mij?

TonnyTonny @Armin • 14 februari 2014 16:57

Klopt helemaal.

Soldaatje @TonnyTonny • 14 februari 2014 01:57

Onder andere om deze reden heb ik ook een Raspberry PI aan de router hangen, als je dan toch remote access nodig hebt voor je router dan kan dat daarmee maar dan wel via SSH of een VPN op een niet standaard poort. Niet dat dat laatste wat helpt maar het schijnt de casual scanners al te weren.

TonnyTonny @Soldaatje • 14 februari 2014 16:57

Ik ben niet de enige dus :-)

Mit-46 @TonnyTonny • 13 februari 2014 22:33

Duidelijk.
Dank!

koelpasta 13 februari 2014 20:01

Best wel ironisch dat bij een bericht over de onveiligheid van routers dezelfde routers in de ads wordt aangeprezen.

Cheap Apps @koelpasta • 13 februari 2014 20:08

Er wordt altijd gelinkt naar het desbetreffende onderwerp, ik vind het wel handig al wil ik het product in details bekijken, ik zie niet direct hoe dit ironisch is.

koelpasta @Cheap Apps • 14 februari 2014 13:37

Jij ziet geen ironie in dat een product wordt aangeprezen pal naast een nieuwsbericht die dat product als onveilig aankaart?

Cheap Apps @koelpasta • 14 februari 2014 14:08

Ik zie het nergens aangeprezen worden?

koelpasta @Cheap Apps • 14 februari 2014 14:23

Dan weet je dus niet waar ik het over heb...

triflip @Ample Energy • 13 februari 2014 20:14

Toch was een kopje Alternatieven niet verkeerd geweest bij dit onderwerp

Of linkjes naar DD-WRT en Tomato om mensen te informeren hierover.

[Reactie gewijzigd door triflip op 23 juli 2024 22:54]

HTT-Thalan 13 februari 2014 21:03

Ik heb ff gecheckt op firmware maar mijn E4200 heeft nog steeds de meest recente firmware (van ergens halverwege 2013) voor in mijn geval hardware revisie V1. Daar valt dus geen winst te behalen.
Ik gebruik geen remote management en mijn wachtwoord is de factory default (uiteraard).

Montoya200x @HTT-Thalan • 13 februari 2014 21:14

Volgens de poolse onderzoeker zou je NIET kwetsbaar moeten zijn als je remote management (extern beheer) hebt uitgeschakeld EN een ander wachtwoord hebt ingesteld ipv het standaard wachtwoord.

TonnyTonny @Montoya200x • 13 februari 2014 22:22

Password heeft er niks mee te maken.

De troep komt binnen door een fout cgi-script in de Linksys web-server.
Dit script controleert niet of diegene die het aanroept wel ingelogged is en het accepteerd dan ook nog eens parameters die misbruikt kunnen worden om de Linksys een eigen binary van de hackers te laten downloaden en uitvoeren.
Dubbel faal dus.

Maar als de web-server vanaf het internet niet te bereiken is lukt het dus niet om binnen te komen.

mark-k @TonnyTonny • 15 februari 2014 00:52

Dus als remote management uitstaat ben je "veilig"?

TonnyTonny @mark-k • 15 februari 2014 22:13

Precies

Armin @Montoya200x • 14 februari 2014 01:27

Is het EN-EN of OF-OF.

Immers geen remote management, lijtkt mij niet benaderbaar?

Overigens als het gaat om mensen die remote management aan hebbens taan, en een default password gebriuken, is dat natuurlijk ook vragen om moeilijkheden ook zonder wormen...

Edit: is dus remote management, en password maakt niet uit.

[Reactie gewijzigd door Armin op 23 juli 2024 22:54]

mark-k @Montoya200x • 13 februari 2014 22:19

Kan iemand ook even zeggen wat het standaard wachtwoord is? Ik heb ook de E4200 en heb wel een wachtwoord dat gegenereerd is tijdens het installeren van de router. Ik gok dat dit random was, maar het kan geen kwaad om dit ff te checken lijkt me.

Verwijderd @mark-k • 15 februari 2014 00:47

Ik heb er tevergeefs naar gezocht omdat ik tijdens installatie van m'n EA6400 de setup wizard oversloeg (want die is natuurlijk voor babies) waarna de router doodleuk om een password vroeg voordat 'ie handmatig te configureren viel. Gevalletje even zuchten en een factory-reset.

SkyStreaker 13 februari 2014 19:55

Ik heb die van mij achter de KPN-router staan, ben ik dan ook vatbaar?

triflip @SkyStreaker • 13 februari 2014 20:11

Ja je bent vatbaar, je hebt immer zo'n router met een lek. Maar wel in veel mindere mate, ze moeten eerst door je KPN router heen maar als ze dat lukt kunnen is je Linksys router dus verder geen probleem meer

Extra beveiligen is dus niet perse nodig, je hebt al een extra factor ertussen staan. Maar een andere firmware flashen zoals DDWRT of Tomato kan zeker geen kwaad je router word e zelfs beter van en je beveiliging ook. Moeilijk is het ook niet, veel tutorials op internet, belangrijkste is de juiste versie van de software te downloaden die compitible is met jouw router (vaak zijn er een paar types van het zelfde model met een klein verschil in hardware maar weet niet of dat bij deze modellen ook zo is).

WhatsappHack @triflip • 13 februari 2014 20:40

Ik ben benieuwd of die extra router ook maar enig nut heeft als de routers lekker aan het communiceren zijn via de software van Linksys, het online beheer systeem...

calvinturbo @WhatsappHack • 13 februari 2014 21:21

Het lijkt mij dat de verbinding dan eerst onderschept zou moeten worden óf dat de servers van Linksys gekraakt zouden moeten worden, voordat ze hiervan gebruik zouden kunnen maken.

WhatsappHack @calvinturbo • 13 februari 2014 22:33

Ik zal eerlijk zeggen... Dat laatste zou me niets verbazen.
Sinds Belkin de toko heeft overgenomen is het echt heeeeeel erg hard bergafwaarts gegaan.

Cisco had super personeel, nu met Belkin zitten er idioten achter de helpdesk die geen flauw idee hebben wat er de routers kunnen of ook maar weten wat een pakketje is. De firmware updates die vanuit Belkin komen ipv Cisco geven wel eens problemen, zo werkt niet altijd alles goed meer, et cetera.

Ik ben dan ook zeer benieuwd wanneer dit probleem precies is ontstaan, het zou me weinig verbazen als dit in Belkin firmware zit.
Niet dat Cisco nooit fouten maakt trouwens hoor, maar gezien het zo snel bergafwaarts is gegaan zou het me niets verbazen.

Cheap Apps @SkyStreaker • 13 februari 2014 20:06

Als die van KPN je 80 en 8080 poorten dicht heeft zitten niet lijkt me. Verder kan je Linksys wel geïnfecteerd worden aangezien niet bekend is hoe dit gebeurt. Voor de zekerheid altijd goed in de gaten houden natuurlijk.

sumac @SkyStreaker • 13 februari 2014 21:13

Dat ligt eraan. Als het een zg drive-by infectie is, dan open je een pagina met de infectie in je browser, en vanuit je browser wordt je router geinfecteerd. Dat gebeurt dan vanuit een lokaal adres, dus voor de router lijkt het veilig en is de admin bereikbaar. Als de infectie de DNS-instellingen van de router wijzigt, dan wordt iedereen op het netwerk die de router als DNS-server gebruikt, naar een besmette DNS-server gebruikt. Als echter de KPN-router gebruikt wordt voor DNS, dan is er niks aan de hand. Idem als je OpenDNS gebruikt of bv 8.8.8.8 (Google).

Tyrian 13 februari 2014 19:45

Ik ben blij dat ik na de vorige nieuwsberichten over problemen met Linksys routers een open-source custom firmware heb geïnstalleerd op mijn Cisco Linksys E4200. Ik kan Tweakers DD-WRT zeker aanraden. Maar lees wel even de instructies voordat je er aan waagt.

caspertje19 @Tyrian • 13 februari 2014 19:50

Ik ook blij met mijn opensource tomato build op mijn E3000.
Ddwrt kan ik ook aanraden!

Adm.Spock @Tyrian • 13 februari 2014 19:53

Niet alle fabrikanten reageren zo snel als AVM idd....

Verwijderd @Tyrian • 13 februari 2014 22:50

Het installeren van DD-Wrt of Tomato werkt niet op v2 van de E4200 aangezien de chipset op dit moment nog niet wordt ondersteund door de opensource community.

Ik had eigenlijk nog wel een reactie verwacht van Linksys, dat zou van toegevoegde waarde zijn in het bericht.

Mit-46 13 februari 2014 20:00

De e2000 dus niet?

Moeders heeft mijn oude e2000. Volgens mij had ik daar ook de DD-WRT firmware op geïnstalleerd. Morgen meteen maar even langs en dubbel checken.

[Reactie gewijzigd door Mit-46 op 23 juli 2024 22:54]

The Zep Man @Mit-46 • 13 februari 2014 21:17

Moeders heeft mijn oude e2000. Volgens mij had ik daar ook de DD-WRT firmware op geïnstalleerd. Morgen meteen maar even langs en dubbel checken.

Als er inderdaad DD-WRT op staat, dan is de kans klein dat deze kwetsbaarheid er invloed op heeft.

Uit het artikel:

Eenmaal geïnstalleerd zoekt de worm binnen bepaalde netblocks naar kwetsbare routers, zo ontdekte Ullrich. De scans richten zich op de poorten 80 en 8080, waarna naar kwetsbare routers een post-request wordt gestuurd die de aanvaller zijn eigen code laat uitvoeren. Het is onduidelijk hoe dat lukt; volgens de Amerikaanse provider die de worm ontdekte, komt dat niet door het gebruik van zwakke wachtwoorden.

Het is waarschijnlijk een kwetsbaarheid in een script of (een component van) de webserver. Dit komt wel vaker voor. Zoals gewoonlijk is het niet verstandig om embedded apparatuur die vaak niet van de laatste security updates wordt voorzien direct aan het Internet bloot te stellen.

Dit lost overigens het probleem niet op. Een kwetsbare PC op een intern netwerk kan natuurlijk wel de netwerkomgeving scannen op kwetsbaarheden.

Mit-46 @The Zep Man • 13 februari 2014 21:23

Oke
Ik ging morgen al bij moeders eten. Heb ik meteen wat te doen.

Dank!

HTT-Thalan 13 februari 2014 20:52

Ik mis even wat nu precies de uitwerking van deze malware op de gebruiker is? Gebruiken ze het als springplank naar het interne netwerk en diens systemen? Of proberen ze een botnet van routers te bouwen? Me dunkt dat je dan wel flink wat routers nodig hebt voor je iets zinnigs kan doen..

en hoe controleer ik of de mijne getroffen is?

--Andre-- @HTT-Thalan • 13 februari 2014 20:59

Ligt aan wat je doel is hè. Als je communicatie wil onderscheppen om zo bijvoorbeeld inloggegevens buit te maken, dan kun je met zo'n botnet van routers de NSA gaan beconcurreren.

kodak 13 februari 2014 21:09

Linksys
Fritzbox
Asus
Netgear
Motorola
Moet ik nog even doorgaan met het lijstje consumentenproducten waar nauwelijks aandacht voor beveiliging is? Al een jaar of....zolang het internet bestaat en die producten als warme broodjes over de toonbank gaan.

Adm.Spock @kodak • 14 februari 2014 01:39

Dan moet je die tweede ff van je lijstje schrappen, want AVM heeft wel heel snel het lek gedicht. In tegenstelling tot de rest.

Silmarunya 13 februari 2014 20:18

Heeft iemand een idee of men met de E4200 zowel de v1 als v2 bedoelt of enkel de v1?

Verwijderd 13 februari 2014 20:19

Die Poolse onderzoeker schrijft helemaal niet dat ook de E1500 en de E4200 kunnen worden geïnfecteerd. Hij heeft alleen een lijstje gevonden waar die typenummers op staan.

Op dit item kan niet meer gereageerd worden.

Nieuwe malware richt zich op Linksys-routers

Lees meer

Reacties (53)

Sorteer op:

Weergave: