MALWARE který napadá vše od MikroTiku po UBNT - VPN FILTER

[kadlcikales]

Zdravím,

Poslední dobou se tento typ malware začíná nakažovat poměrně dost zařízení od různých výrobců , zajímalo by mě jestli to nějak řešíte nebo necháváte být , a jaké je to řešení , jelikož to začíná být neunosné , aktualně co mám zkušenost s tímto malware tak na TL-WR841N ....

Výpis potencionálně napadnutelných zařízení :
ASUS DEVICES:
RT-AC66U (new)
RT-N10 (new)
RT-N10E (new)
RT-N10U (new)
RT-N56U (new)
RT-N66U (new)

D-LINK DEVICES:
DES-1210-08P (new)
DIR-300 (new)
DIR-300A (new)
DSR-250N (new)
DSR-500N (new)
DSR-1000 (new)
DSR-1000N (new)

HUAWEI DEVICES:
HG8245 (new)

LINKSYS DEVICES:
E1200
E2500
E3000 (new)
E3200 (new)
E4200 (new)
RV082 (new)
WRVS4400N

MIKROTIK DEVICES:
CCR1009 (new)
CCR1016
CCR1036
CCR1072
CRS109 (new)
CRS112 (new)
CRS125 (new)
RB411 (new)
RB450 (new)
RB750 (new)
RB911 (new)
RB921 (new)
RB941 (new)
RB951 (new)
RB952 (new)
RB960 (new)
RB962 (new)
RB1100 (new)
RB1200 (new)
RB2011 (new)
RB3011 (new)
RB Groove (new)
RB Omnitik (new)
STX5 (new)



NETGEAR DEVICES:
DG834 (new)
DGN1000 (new)
DGN2200
DGN3500 (new)
FVS318N (new)
MBRN3000 (new)
R6400
R7000
R8000
WNR1000
WNR2000
WNR2200 (new)
WNR4000 (new)
WNDR3700 (new)
WNDR4000 (new)
WNDR4300 (new)
WNDR4300-TN (new)
UTM50 (new)

QNAP DEVICES:
TS251
TS439 Pro
Other QNAP NAS devices running QTS software

TP-LINK DEVICES:
R600VPN
TL-WR741ND (new)
TL-WR841N (new)

UBIQUITI DEVICES:
NSM2 (new)
PBE M5 (new)

UPVEL DEVICES:
Unknown Models* (new)

ZTE DEVICES:
ZXHN H108N (new)

[mpcz]

Tak se nám ten seznam pěkně množí. TP-link nepoužívám, ale UBNT mám samozřejmě taky, takže dotaz na UBNT guru:
Jaký je stav u UBNT firmware? Je už nějaké oficiální stanovisko výrobce k aktuální virové infekci? Je poslední verze bezpečná? Proč je v seznamu pouze UBNT M5 a chybí M10? Ví někdo? Dík, mpcz, 9.jun.2018

[cerva]

Tak se nám ten seznam pěkně množí. TP-link nepoužívám, ale UBNT mám samozřejmě taky, takže dotaz na UBNT guru:
Jaký je stav u UBNT firmware? Je už nějaké oficiální stanovisko výrobce k aktuální virové infekci? Je poslední verze bezpečná? Proč je v seznamu pouze UBNT M5 a chybí M10? Ví někdo? Dík, mpcz, 9.jun.2018

M10 v seznamu chybí ze stejného důvodu, jako tam chybí třeba M3 nebo M900 nebo RB433 a její deriváty. Autor seznamu není expert na produktovou nabídku UBNT/MikroTik, jinak by ten seznam byl trojnásobný. Zranitelnost určuje firmware a ten je ve všech XM zařízeních naprosto stejný. Ostatně ten seznam je dost nezajímavý, protože mu chybí to hlavní - verze firmwarů, které jsou děravé.

Informace o nakažených UBNT s aktuálním firmware jsem nikde nenašel, čistě můj subjektivní dojem je takový, že se jedná o zneužití nějaké známe chyby starých firmwarů (jako třeba XSS u Motherfuckera) nebo default hesla a podobně.

Oficiální stanovisko UBNT je nicméně tu:
https://community.ubnt.com/t5/airOS-Sof ... 467#M50144

[kadlcikales]

Tak se nám ten seznam pěkně množí. TP-link nepoužívám, ale UBNT mám samozřejmě taky, takže dotaz na UBNT guru:
Jaký je stav u UBNT firmware? Je už nějaké oficiální stanovisko výrobce k aktuální virové infekci? Je poslední verze bezpečná? Proč je v seznamu pouze UBNT M5 a chybí M10? Ví někdo? Dík, mpcz, 9.jun.2018

M10 v seznamu chybí ze stejného důvodu, jako tam chybí třeba M3 nebo M900 nebo RB433 a její deriváty. Autor seznamu není expert na produktovou nabídku UBNT/MikroTik, jinak by ten seznam byl trojnásobný. Zranitelnost určuje firmware a ten je ve všech XM zařízeních naprosto stejný. Ostatně ten seznam je dost nezajímavý, protože mu chybí to hlavní - verze firmwarů, které jsou děravé.

Informace o nakažených UBNT s aktuálním firmware jsem nikde nenašel, čistě můj subjektivní dojem je takový, že se jedná o zneužití nějaké známe chyby starých firmwarů (jako třeba XSS u Motherfuckera) nebo default hesla a podobně.

Oficiální stanovisko UBNT je nicméně tu:
https://community.ubnt.com/t5/airOS-Sof ... 467#M50144

Převzal jsem oficiální zprávu z blogu https://blog.talosintelligence.com/2018 ... .html#more kde se tím zaobírají , jinak se v ubnt a mikrotik vyznám , je poměrně jasné , že stejná architektura cpu a modelová řada má stejný podpůrný fw , osobně si myslím že zneužívá nějakou podpůrnou fw funkcionalitu linuxového jádra..... Jinak není možné , aby to mohlo napadnout tolik různých zařízení ...

[mpcz]

To je samozřejmě možné. A jaký je důvod, že CISCAři jsou v úplném klidu? Teďka jsem seděl s jedním na lavce a pil kafe a evidentně ho to ani přinejmenším netrápilo. mpcz, 9.jun.2018

[cerva]

kadlcikales: tím autorem seznamu jsi nebyl myšlen ty, ale autor toho webu : -) Dovolím si ze stejného webu citovat:

At the time of this publication, we do not have definitive proof on how the threat actor is exploiting the affected devices. However, all of the affected makes/models that we have uncovered had well-known, public vulnerabilities. Since advanced threat actors tend to only use the minimum resources necessary to accomplish their goals, we assess with high confidence that VPNFilter required no zero-day exploitation techniques.

U UBNT byla XSS zranitelnost, které využil skynet, motherfucker a deriváty. U RouterOS se objevila zranitelnost webfig a winboxu. TP-Link trpí také zranitelností WEB UI (https://www.cvedetails.com/vulnerabilit ... -link.html), Dlink na tom není o nic lépe. V základu na všech těchto zařízeních běží linux/unix s busyboxem, shellem, iptables a podobně, takže stačilo malware modifikovat pro nejčastěji používaná zařízení se známými zranitelnostmi.

Jinak asi dva týdny zpátky se nám na síti objevily tří infikované TL-WR841N - všechny seděly na veřejné adrese, měly povolený management z Internetu a změněné DNS servery na IP někde v Japonsku.

[lyra]

Potrvrzuji že jsme podobný problem měli u routeru Netis take TOTOLINK .Otázka co s tím, měit routery dokola za nove a nové není cesta .Už jsme si v síti vyměnili cca 100 routeru převážně TOTOLINK , kde jsme evidovali podivné pakety a pomohlo to ,ale aby jsme mohli měnit u zákazníků zadarmo pořád nové routery to asi nezvládneme.

[mpcz]

To jako že ty podezřelé vyhazujete? Reset to neřeší? mpcz, 9.6.2018

[lyra]

Všechny jsme vyměnili u zákazníků za jiné typy od nás a pak je testovali jak e říká na stoles wiresharkem na přímé veřejce .Nezjistí se to hned některé to začnou dělat až na nějakou akci od zákazníka napřiklad spuštění emailu. Něteré jsme již do sítě zpět nedali a některe po ověření, že s nimi není problém dávali na místa kde už je NAT v anteně .
Reset a nove nastavení nepomůže obvykle tam tečou nevyžádané data dál i když internet zákazníkům jde ,ale rozšiřuje se to po síti kam se dostane.

[mpcz]

Nebylo by špatné v ráci spokojenosti lidstva to trošičku rozpitvat. Podle toho, co píšeš, byly udělána spousta práce, ale info zde je velmi všeobecné. Třeba upřesnit ty modely, které jsou háklivé a ty, které zatím odolávají i když to nemusí být navždy. Dále, co jste na to WS zachytili, které IP to napadá a jak.
Co by asi nejvíce pomohlo, zvolit model, u kterého jde provést "netinstall", ať už po ETH nebo po PCB konektoru. Nevěřím, že by to
virus přežil. Dále, byla zakázaná správa Wifinky z WAN? Pokud ano, je to divné, pokud ne, proč jste ji na dálku u ostatních neblokli? Kromě toho, u většiny routerů lze určit IP, ze které lze Wifinku spravovat.
Mimochodem, zatím jsem tu nezahlédl nákazu po vnitřní LAN. Což je zajímavé, protože ta legrace by mohla být o mnoho větší. Někteří tu sice prezentují, jak rychle upgradovali tisíce klientů, někdy včetně několikanásobného přeskoku z verze na verzi a pečlivé kontroly, změny hesla atd., ale chtěl bych to vidět v praxi. Předpokládám, že jakmile si to ten virus rozmyslí a začne řádit z nakažené brány i v LAN, to bude teprve legrace! mpcz, 10.jun.2018

[rado3105]

nevie sa ci to komunikuje s nejakou verejnou ip?
https://en.wikipedia.org/wiki/VPNFilter

[mpcz]

to KadlcikAles: Neříká ti něco ip 89.102.181.89? Dík, mpcz, 23.6.2018

[kadlcikales]