Wifi-routers wereldwijd besmet met AVrecon-malware, FBI adviseert patchschema

[Captain Kirk]

Wereldwijd zijn wifi-routers van D-Link, Netgear, TP-Link, Zyxel en andere fabrikanten geïnfecteerd met de AVrecon-malware, zo waarschuwt de FBI (pdf). De Amerikaanse opsporingsdienst adviseert eigenaren van dergelijke wifi-routers om een patchschema te maken en zo periodiek te controleren of er firmware-updates beschikbaar zijn en die dan meteen te installeren. Veel routers beschikken namelijk niet over een automatische updatefunctie, aldus de opsporingsdienst.

De met AVrecon besmette routers werden via de SocksEscort-proxydienst aangeboden. Afnemers van deze dienst, die inmiddels door de autoriteiten offline is gehaald, konden via de besmette routers hun verkeer laten lopen. Volgens de FBI is de AVrecon-malware op routers en ip-camera's in 163 landen aangetroffen. De malware is in staat om twaalfhonderd apparaatmodellen van Cisco, D-Link, Hikvision, MicroTik, Netgear, TP-Link en Zyxel te infecteren. Hiervoor maken de aanvallers gebruik van kritieke kwetsbaarheden in de apparaten.

Het gaat zowel om apparaten die end-of-life zijn en geen beveiligingsupdates ontvangen of apparaten waarvan de eigenaar beschikbare patches niet heeft geïnstalleerd. Bij sommige van de besmette apparaten installeerden de aanvallers custom firmware om toegang te behouden. Ook werd de firmware van besmette routers aangepast, waardoor de features om het apparaat te updaten of te flashen werden uitgeschakeld. Dit maakt het volgens de FBI zeer lastig om de AVrecon-malware te verwijderen.

Bij sommige apparaten volstaat het rebooten van het besmette apparaat om de malware te verwijderen, omdat die niet over 'persistence' beschikt, maar er zijn gevallen bekend waarbij het apparaat meteen via de eerder gebruikte kwetsbaarheden opnieuw werd geïnfecteerd. Naast het fungeren als proxy worden besmette routers en ip-camera's ook ingezet voor het scannen naar andere kwetsbare apparaten.

De FBI adviseert eigenaren van routers en andere IoT-apparaten om firmware-updates tijdig te installeren. Aangezien veel van deze apparaten niet over een automatische updatefunctie beschikken wordt aangeraden een patchschema op te stellen en zelf periodiek te controleren of er patches beschikbaar zijn en die dan te installeren. Verder wordt aangeraden om SOHO-routers en IoT-apparaten te monitoren, isoleren en de toegang ertoe te beperken. Tevens moeten end-of-life apparaten worden vervangen.

 

 

bron: https://www.security.nl