VPNFilter-malware besmet 500.000 routers en NASsen

[Captain Kirk]

Onderzoekers van Cisco waarschuwen voor nieuwe malware genaamd VPNFilter die meer dan 500.000 routers en NASsen in meer dan 54 landen heeft geïnfecteerd en systemen onbruikbaar kan maken. Het gaat om routers van Linksys, MikroTik, NETGEAR en TP-Link en NASsen van fabrikant Qnap.

De malware kan inloggegevens voor websites stelen en Modbus-SCADA-protocollen monitoren. Ook kan de malware een besmet apparaat onbruikbaar maken. Volgens de onderzoekers van Cisco heeft de code van VPNFilter overeenkomsten met de BlackEnergy-malware, die eerder tegen de Oekraïne werd ingezet. VPNFilter zou daarnaast Oekraïense systemen met een "alarmerende snelheid" infecteren. Hoewel het onderzoek naar de malware nog niet is afgerond heeft Cisco besloten om details al openbaar te maken.

VPNFilter wordt omschreven als een "multi-stage, modulair platform" dat zowel het verzamelen van inlichtingen als destructieve cyberaanvallen ondersteunt. In tegenstelling tot de meeste malware die Internet of Things-apparaten infecteert kan de eerste fase van VPNFilter een herstart van het systeem overleven. Dat geldt echter niet voor de tweede fase, die wordt gebruikt om informatie te verzamelen. Sommige versies van deze tweede fase beschikken echter ook over een "self destruct" die een deel van de firmware overschrijft en daarna het systeem herstart, waarna het apparaat onbruikbaar achterblijft.

"In de meeste gevallen kunnen de meeste slachtoffers deze actie niet ongedaan maken, en vereisen technische kennis, mogelijkheden en tools waarvan je niet kan verwachten dat eindgebruikers die hebben. We maken ons ernstig zorgen over deze mogelijkheid en het is de voornaamste reden dat we deze dreigingen de afgelopen maanden stilletjes hebben onderzocht", aldus William Largent van Cisco. De onderzoekers vermoeden dat er ook nog een derde fase van de malware bestaat, maar hebben die niet weten te bemachtigen.

Hoe de apparaten precies besmet raken is nog onbekend, maar ze bevatten allemaal bekende kwetsbaarheden die op afstand zijn aan te vallen. Er wordt dan ook niet aan het gebruik van zeroday-exploits gedacht. Volgens Largent is het lastig om tegen de malware te beschermen, aangezien het lastig voor eindgebruikers is om de kwetsbaarheden te patchen.

Afsluitend geeft Cisco gebruikers het advies om de fabrieksinstellingen van hun routers of NASsen te herstellen, aangezien dit de malware verwijdert. Providers wordt gevraagd om de routers van hun klanten te resetten. "Uit voorzorg adviseren we dat deze maatregelen voor alle SOHO-routers en NASsen worden genomen, ongeacht of ervan bekend is dat ze kwetsbaar voor deze dreiging zijn", besluit Largent.

 

 

bron: security.nl

[Captain Kirk]

Netwerkfabrikant Netgear heeft gebruikers advies gegeven hoe ze hun router tegen de VPNFilter-malware kunnen beschermen. Gisteren lieten onderzoekers van Cisco weten dat de malware wereldwijd al 500.000 routers en NASsen heeft geïnfecteerd. De exacte infectievector is echter nog altijd onbekend.

Wel is bekend dat verschillende Netgear-routers zich onder de getroffen apparaten bevinden. Daarop heeft Netgear een aparte security advisory met advies afgegeven. De fabrikant adviseert gebruikers om de laatste firmware te installeren, het standaard admin-wachtwoord te wijzigen en remote management uit te schakelen. Via deze laatste functie is het mogelijk om de router op afstand te beheren. Standaard staat de functie uitgeschakeld. In het advies wordt uitgelegd hoe gebruikers kunnen controleren of remote management inderdaad staat uitgeschakeld.

MikroTik

Fabrikant MikroTik, waarvan ook verschillende modellen het doelwit waren, stelt in een reactie dat de malware zeer waarschijnlijk is binnengekomen via een kwetsbaarheid die in maart 2017 werd gepatcht. Het installeren van de nieuwste RouterOS-versie, het besturingssysteem van MikroTik-routers, verwijdert de malware.

 

 

 

bron: security.nl