Botnet van 100.000 routers gebruikt voor versturen van spam

[Captain Kirk]

Onderzoekers hebben een botnet van 100.000 routers ontdekt die worden gebruikt voor het versturen van spam. Om toegang tot de routers te krijgen maken de aanvallers gebruik van een kwetsbaarheid in Broadcom UPnP, dit is Broadcoms implementatie van het Universal Plug en Play (UPnP)-protocol.

Dit is een veelgebruikt protocol dat het eenvoudiger voor apparaten in een netwerk moet maken om met het internet of andere apparaten op het netwerk te communiceren. De kwetsbare implementatie wordt door verschillende routerfabrikanten gebruikt, waaronder Asus, D-link, Zyxel, US Robotics, TP-link en Netgear. Onderzoekers van securitybedrijf 360 Netlab vonden 116 verschillende routers die onderdeel van het botnet zijn.

Zodra de aanvallers toegang tot een router verkrijgen wordt er proxysoftware geïnstalleerd. De proxy ontvangt vervolgens instructies om verkeer naar de mailservers van Outlook, Hotmail en Yahoo! door te sturen. Eerder dit jaar waarschuwde ook internetgigant Akamai dat tienduizenden thuisrouters via een UPnP-lek als proxy werden gebruikt. Gebruikers kunnen zich onder andere beschermen door UPnP uit te schakelen of een firewall in te stellen die al het inkomende verkeer naar UDP-poort 1900 blokkeert.

 

 

bron: security.nl