Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'VPNFilter-malware richt zich op meer routers en injecteert code in webverkeer'

De VPNFilter-malware, waarvan recentelijk een command and control-server door de FBI over was genomen, blijkt zich inmiddels op meer routertypes te richten. Bovendien heeft de malware nieuwe functies, zoals het injecteren van kwaadaardige code in netwerkverkeer.

Cisco Talos, het beveiligingsbedrijf dat VPNFilter in mei opmerkte, schrijft in een nieuwe analyse dat het nieuwe modules heeft ontdekt die de malware kan inzetten. De kwaadaardige software bleek eerder al te bestaan uit drie modules of trappen, waarvan alleen de eerste een reboot van een geďnfecteerd apparaat kan doorstaan. De tweede module heeft mogelijkheden als het verzamelen van informatie en het uitvoeren van commando's. De modules van de derde trap moeten gezien worden als een soort plug-ins voor de tweede module. Bij de nieuwe modules gaat het om dit soort plug-ins. Een zogenaamde ssler-module is bijvoorbeeld in staat om JavaScript in netwerkverkeer te injecteren, terwijl een 'dstr'-module een geďnfecteerd apparaat onbruikbaar kan maken.

De ssler-module onderschept http-verkeer naar poort 80 via een man-in-the-middle-positie en kan op die manier code injecteren. Op die manier kunnen degenen achter de malware bijvoorbeeld exploits op verbonden apparaten uitvoeren, aldus de Talos-onderzoekers. Maar ook het stelen van informatie zou mogelijk zijn. De module probeert https-verkeer om te leiden naar http, door dit voorvoegsel door 'http://' te vervangen. De onderzoekers zeggen niets over de effectiviteit van deze aanpak. De dstr-module daarentegen is bedoeld om een geďnfecteerd apparaat onbruikbaar te maken door bestanden te verwijderen die nodig zijn voor normaal gebruik. Daarna verwijdert de module zichzelf.

Afbeelding van Talos

Bovendien richt VPNFilter zich nu op meer apparaten en nieuwe fabrikanten, waaronder Asus, D-Link, Huawei en ZTE. Deze zijn hieronder in een tabel weergegeven. Ars Technica sprak met een van de Talos-onderzoekers, Craig Williams. Hij legt uit dat hoewel de FBI in staat was om een command and control-server van de personen achter de malware over te nemen, het nog steeds mogelijk is om met mogelijk honderdduizenden geďnfecteerde apparaten te communiceren. De eerste module van de malware gebruikt in eerste instantie exif-gegevens van Photobucket-afbeeldingen om de locatie van de tweede en derde modules te achterhalen. Als dat niet werkt, gebruikt hij de c2-server. Er is echter ook een derde manier om die modules te installeren, door gebruik te maken van speciale trigger packets.

Williams is van mening dat de FBI gebruikers op het verkeerde been heeft gezet door de indruk te wekken dat een herstart van de router genoeg is om van de malware af te komen. Talos sprak net als de Oekraďense SBU het vermoeden uit dat de malware uit Rusland afkomstig is. Het is moeilijk om erachter te komen of een apparaat daadwerkelijk geďnfecteerd is met de malware, aldus Ars Technica. Ook het verwijderen ervan is omslachtig. Zo is het voor sommige modellen nodig om het apparaat terug te zetten naar de fabrieksinstellingen, of na een herstart de meest recente firmware van de fabrikant te installeren. In het geval van oudere apparaten zou het beter zijn om een nieuw model aan te schaffen.

Linksys Mikrotik Netgear Qnap TP-Link Asus D-Link Huawei Ubiquiti ZTE
E1200 CCR1016 DGN2200 TS251 R600VPN RT-AC66U DES-1210-08P HG8245 NSM2 ZXHN H108N
E2500 CCR1036 R6400 TS439 Pro TL-WR741ND RT-N10 DIR-300   PBE M5  
WRVS4400N CCR1072 R7000   TL-WR841N RT-N10E DIR-300A      
E3000 CCR1009 R8000     RT-N10U DSR-250N      
E3200 CRS109 WNR1000     RT-N56U DSR-500N      
E4200 CRS112 WNR2000     RT-N66U DSR-1000      
RV082 CRS125 DG834       DSR-1000N      
  RB411 DGN1000              
  RB450 DGN3500              
  RB750 FVS318N              
  RB911 MBRN3000              
  RB921 WNR2200              
  RB941 WNR4000              
  RB951 WNDR3700              
  RB952 WNDR4000              
  RB960 WNDR4300              
  RB962 WNDR4300-TN              
  RB1100 UTM50              
  RB1200                
  RB2011                
  RB3011                
  RB Groove                
  RB Omnitik                
  STX5                

Dikgedrukt = nieuw, gegevens afkomstig van Cisco Talos. Apparaten van Upvel zijn ook getroffen, maar het is onduidelijk om welke modellen het gaat.

Door Sander van Voorst

Nieuwsredacteur

06-06-2018 • 17:51

42 Linkedin Google+

Reacties (42)

Wijzig sortering
De Mikrotik apparaten zijn trouwens alleen kwetsbaar indien deze een vrij oude versie draaien (< 6.38.5 en 6.37.5). De kwetsbaarheid is al sinds maart 2017 gepatched. Oftewel, hou de boel up to date :Y) !

Zie ook https://forum.mikrotik.com/viewtopic.php?f=21&t=134776.

Edit: Link naar Mikrotik forum toegevoegd.

[Reactie gewijzigd door FightingAce op 6 juni 2018 17:56]

Je bent met Mikrotik apparaten ook alleen vatbaar als de webconfig vanaf buiten bereikbaar is. Dus als je alles dichttimmert en het apparaat alleen met Winbox benaderd, ben je ook veilig.

Zie ook de statement van Mikrotik zelf: https://forum.mikrotik.com/viewtopic.php?t=134776

En als extra'tje een hardening guide voor Mikrotik waar ook in staat hoe je jezelf kan beschermen: https://wiki.mikrotik.com/wiki/Manual:Securing_Your_Router

edit:
Ik zie dat FightingAce sneller was. :P

[Reactie gewijzigd door Rhannie op 6 juni 2018 18:01]

De Winbox poort is ook vatbaar gebleken !
De belangrijkste informatie ontbreekt: Wat is de attack vector? Hoe kom je aan deze malware? Hoe komt het op je router? In het artikel staat dat het lastig is om uit te maken of je router geinfecteerd is, maar als je weet hoe de malware aanvalt, kun je wellicht bepalen of je een risico hebt gelopen. Komt het bijvoorbeeld via de webadmin aan de WAN-kant? Of zat er een lek in bepaalde firmwareversies waardoor dit van buiten was te installeren zonder het wachtwoord te weten?
Dat is een terechte vraag, maar momenteel niet duidelijk https://twitter.com/r00tbsd/status/1004385311764418561?s=21
Erg goed punt, dat is waar ik zat te zoeken in artikel.
Ik zou ook graag willen eten hoe dat het te werk gaat. Maar ook hoe het komt dat specifieke modellen geďnfecteerd zou zijn en niet niet allemaal van hetzelfde merk want ze draaien immers grotendeels gelijkaardige firmware.

Is dat ook van toepassing voor modem en router in 1 pakket? Zoals telenet bijvoorbeeld.

Als ze eens uitleggen hoe het tewerk gaat dan kan ik mijn router firewall daarop finetunen.

[Reactie gewijzigd door royalt123 op 6 juni 2018 18:25]

Volgens Talos wordt er gebruik gemaakt van verschillende kwetsbaarheden, maw de attack vector verschilt per model en mogelijk zelfs per firmwareversie.
Weten ze nog niet echt:
Researchers still don't know how routers initially become infected with stage 1, but they presume it's by exploiting known flaws for which patches are probably available.
Wel knap van die tplink wr841n, daar kan ik amper fatsoenlijk openwrt op draaien met weinig geheugen en opslag, dat ze die kunnen hacken.
Waarschijnlijk is die ook niet meer kwetsbaar met OpenWRT.
Je zult de details moeten navragen bij de specifieke leverancier. Tot die tijd (of eigenlijk sowieso!) kun je het beste de standaard security regels volgen, in volgorde van complexiteit:

1) standaard-wachtwoorden wijzigen.
2) attack surface minimaliseren (dus als je geen WAN-admin gebruikt, niet aanzetten.)
3) firmware updates binnen redelijke termijn installeren*

*Is het apparaat EoL qua support... binnen een redelijke tijd vervangen.
VPNFilter maakt gebruik van verschillende bekende kwetsbaarheden, default logins, etc., in routers. Het gaat dus niet om een nieuwe kwetsbaarheid. Meer achtergrondinformatie vindt je op het Cisco/Talos blog.

We are unsure of the particular exploit used in any given case, but most devices targeted, particularly in older versions, have known public exploits or default credentials that make compromise relatively straightforward.

Eigenlijk is de attack vector het minst opmerkelijke aan deze malware. Het is vooral bijzonder wat VPNFilter doet wanneer die het LAN is binnengedrongen en zich dan via IoT devices verder verspreidt.

[Reactie gewijzigd door mauzzz op 6 juni 2018 21:24]

What the... De lijst is echt flink nu en gaat denk ik nog wel ietsjes langer worden. Is er al een manier om te checken of je bent geďnfecteerd? Ik zelf gebruik bovenstaande routers niet, maar kennisen en familie heb ik wel eens een AC66/68 aangeraden.

Wellicht nog interessant om te vermelden uit een comment van het bronartikel met wat meer informatie:
  • De lijst van routers die vatbaar zijn is meer een "compatibiliteits" lijst. Al deze routers en wellicht meer zijn vatbaar voor VPNFilter. Weinig anders dan de lijst van routers die DDRT of Tomato kunnen runnen. Naar waarschijnlijkheid is er een exploit uitgebracht in het verleden voor deze software en is deze gebruikt (aanname)
  • De manier van installeren van VPNFilter verschilt per fabrikant en type router, er is nog geen algemene manier gevonden en waarschijnlijk gaat het dus ook om andere aanvallen
  • Wat kan je doen om jezelf te beschermen? Zorg ervoor dat je router niet te configureren is via het internet alleen via het intranet. Zet ook niet je nas of een PC in je DMZ. Houd je firmware altijd up2date.
  • "Hoe kan je checken of je bent geďnfecteerd?" Dat is lastig te checken. Het hangt af van het specifieke apparaat en is wellicht niet eens mogelijk in sommige gevallen. Reboot je device, zet deze terug naar fabrieksinstellingen, flash daarna de nieuwste firmware van de fabrikant (het liefst zonder de router aan het internet te hebben gehangen), dat is tot dusver de beste kans bekend om "er vanaf" of "zeker" van te zijn
Als je geluk hebt kan je zien of je het te pakken hebt wanneer je de broncode van een HTTPS site bekijkt en daar vervolglinkjes ziet staan; waar er geen https://example.com staat maar \x20http://example.com dan weet je zeker dat je router is gehackt/geflasht.

Een grafische weergave van de exploit bij Bleepingcomputer.com:
https://www.bleepstatic.c...Filter-infrastructure.png

Interessante quote van Security.nl nog trouwens:
De malware kan inloggegevens voor websites stelen en Modbus-SCADA-protocollen monitoren. Ook kan de malware een besmet apparaat onbruikbaar maken. Volgens de onderzoekers van Cisco heeft de code van VPNFilter overeenkomsten met de BlackEnergy-malware, die eerder tegen de Oekraďne werd ingezet. VPNFilter zou daarnaast Oekraďense systemen met een "alarmerende snelheid" infecteren. Hoewel het onderzoek naar de malware nog niet is afgerond heeft Cisco besloten om details al openbaar te maken.
Bron: https://www.security.nl/p...500_000+routers+en+NASsen

[Reactie gewijzigd door Kecin op 6 juni 2018 19:38]

Als ik goed heb kan je het voorkomen of kans verminderen door photobucket en toknowall te blokeren?
Het lijkt er in iedergeval op dat er in de origin wat voorkwam vanuit Photobucket. Maar dat kunnen natuurlijk duizenden domeinen meer wezen, of advertentienetwerken, etc. Voor hetzelfde geld is het een directe aanval op je router. Zo zag ik dat bij mijn VPN client een aantal keren is gecheckt door The Shadowserver Foundation. Die zoeken actief lekken in bepaalde zaken, zie daarvoor: http://blog.shadowserver....il-the-internet-improves/

Die pakken standaard poorten en brengen zo in kaart wat vatbaar is voor exploits. Een directe exploit is dus (nog) niet uitgesloten.

Je ziet ook dat wanneer Photobucket of Toknowall het niet doen er een actieve "listener" actief is die checkt of er een pakket naar de router wordt gezonden. Je bent dus dan al lek, maar nog niet gehackt.

[Reactie gewijzigd door Kecin op 6 juni 2018 19:45]

Wat ik mij nu afvraag.
Ik heb een Netgear R7000, maar deze heb ik geflashed met de laatste CFW van Asus Merlin WRT 384,5.

Ben ik dan nog kwetsbaar.
Als ik de verschillende artikelen op Reddit lees waren ze er 6 tot 10 dagen terug nog zeker van dat deze niet exploitbaar waren. Ondertussen hebben een aantal ISP's contact opgenomen met mensen die Merlin draaien (in de VS) om aan te geven dat de router wat vreemd doet. Het lijkt dus ook van toepassing te kunnen zijn op aangepaste firmware(!)
Hoe kan een ESP zien dat een router vreemd doet? Wat is vreemd en mogen ESPs meekijken? Bron?
Bedoel je een ISP? Die kijken hiernaar ja. Als jij bijvoorbeeld belachelijk veel port-scans gaat lopen doen of extreme hoeveelheid mailtjes gaat versturen dan zal je al snel bericht krijgen van je ISP (internet service provider).
Snelle search hier op Tweakers: Blokkade Ziggo door teveel e-mail
Vraag me af of deze modellen ook vatbaar zijn als de firmware is geflashed naar OpenWRT?
Het is nog niet helemaal duidelijk hoe de exploitatie werkt, maar gezien het voornamelijk op de iets oudere modellen voor komt heerst het vermoeden dat het om bekende exploitatie(s) gaat.
Een recente versie van openwrt heeft de beste kan bescherming te bieden.
ik heb een ICIDU ding als router kan het ook zijn dat deze is geinfecteerd?
Dat zat ik me ook af te vragen, de meeste ICIDU's zijn rebranded TP-Links met andere firmware. (Maar is het echt andere "firmware" als het er alleen maar anders uit ziet)
Als de betreffende TP-Link in het lijstje staat, dan gok ik dat deze ook kwetsbaar is. Tenzij je er Open/DD/Hyper-WRT of afgeleide daarvan installeerd.
Er staan 3 tp links in de lijst
paar voorbeelden....
Icidu NI-707517 = TL-WR741ND.
NI-707534 kan de TL-WR841N zijn.
Er zijn er vast meer, maar van deze weet ik het zeker.....

Zie: productreview: ICIDU Wireless Router 150N review door rens-br
en onderin https://gathering.tweaker...message/45017690#45017690

[Reactie gewijzigd door satunya op 7 juni 2018 07:50]

De mijne heeft twee atennens en is van icidu.
Ik blijf het maar vreemd vinden dat Cisco en dochters buiten de deur blijven en dat zij dan ook nog eens de malware vinden. Vooral nu er meerdere merken vulnerable zijn.

Ik zal wel achterdochtig zijn, maar er gaan bij mij toch echt wel bellen rinkelen in mijn detective hoofd lol.
Als de FBI laatst de C&C servers in beslag hebben genomen kan ik me voorstellen dat dit al lang bij Cisco bekend was (en dus gefixed is). Mogelijk houden ze de informatie intern, mogelijk communiceren ze dit en hebben deze fabrikanten geen actie ondernomen.

Obv dit artikel kan je er weinig over zeggen... Al is het inderdaad wel frappant
Ik vraag me af of mijn Ziggo modem vatbaar is want ik heb de router uitgeschakeld en gebruik een beter accespoint voor internet ubiquity trouwens.
Ik gebruik al Anti-Spyware en antivirus wat moet ik er nu weer bij kopen, het houdt ergens op zucht.
Er zijn ook Ubiquity's geraakt; zie tabel.
Stiekem is het ergens ook wel weer spannend... hoe groot is dit, wie zitten er achter en wat zijn ze van plan?
Heb een Netgearouter uit de lijst deze zit echter achter de Ubee van ziggo. Externe toegang was op de netgear uitgeschakeld. En de laatste update van 3/3/2018 zit er op. Nergens bij netgear te vinden of de router nou EOL is of niet. Wat te doen? Telnet etc naar de router uitzetten?!
Wat is je modelnummer. Lastig voor de collectieve wijsheid van Tweakers om je te helpen zonder details van het apparaat.

Heb je de default-wachtwoorden gewijzigd? En die telnet, etc. iig niet naar het internet exposen, maar dat zal vanwege het providermodem/router wel goed zitten.

https://kb.netgear.com/00...e-on-Some-NETGEAR-Devices

Als het de R7000 is, die is nog wel in support hoor. De firmware van maart zal goed zijn. Het lijkt om toch wel wat oudere lekken/exploits te gaan. De overige tips zijn wel toepasbaar uiteraard.

[Reactie gewijzigd door Keypunchie op 6 juni 2018 23:34]

In mijn spontane safety-verkramping heb ik het modelnummer niet genoemd ;-)
Netgear WNDR4300
Admin Password, SSID en wifi-wachtwoord zijn bij eerste gebruik meteen aangepast.

Ik ga toch maar een verse router kopen iig. Bedankt voor je reactie!

[Reactie gewijzigd door BUR op 7 juni 2018 09:54]

Moet toegeven, die Netgear site blinkt niet uit in duidelijkheid. Maar de WNDR4300 lijkt zeker nog wel in support. Met de firmware van maart zal je veilig zitten.

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True