Hemmaroutrar används av botnätverket Mirai för cyberbrott

Säkerhet

5/12 2016

Det började med att Deutche Telekom upptäckte att ett stort antal kunders hemmaroutrar gick ned. Troligen pga av överbelastning när de blev utsatta för den skadliga kod som lägger sig i minnet för botnätverket Mirai.

Främst är det Zyxel och Speedport som är påverkade

Nu har finska CERT-FI identifieriat vilka typer modeller av Zyxel (används av Telia bl.a.) och listat flertal åtgärder man ska ta.

Tusentals hackade modem i Finland, omstart avlägsnar skadeprogrammet

Uppskattningsvis flera miljoner enheter runt om i världen har kapats av Mirai-botnätet. Bland dessa finns över tiotusen finländska enheter. Om din enhet finns på listan nedan, omstarta den. Då avlägsnas det skadliga programmet.

Konsekvenser för användare

Det är svårt för användare att upptäcka att enheten blivit infekterad av ett skadligt program. Skadeprogrammet kan göra enheten långsammare eller förhindra helt den normala användningen. Enhet som drabbats deltar sannolikt i blockeringsattacker och använder abonnemangets kapacitet utan att användaren vet om det.

Användaren av abonnemanget är ansvarig för att rensa enheten. Vid behov kan teleföretaget begränsa användarens utgående trafik för att minska trafiken med skadliga program. Det är viktigt att följa teleföretagets eventuella preciserade anvisningar.

Bakgrund

Distanshantering av hemroutrar med en öppen port till internet möjliggör att sårbarheten kan utnyttjas för att infektera en enhet. Efter infektionen försöker enheten smitta andra motsvarande enheter som en del av botnätet. Botnät som består av kapade enheter används till exempel för blockeringsattacker. För distanshantering av enheter används i allmänhet TCP-port 7547.

Kommunikationsverket anser att lagens förutsättningar för filtrering av trafik uppfylls i detta fall och rekommenderar att teleföretagen filtrerar trafik till port TCP/7547 för att förhindra att sårbarheten utnyttjas. Flera teleföretag har redan börjat filtrera trafiken.

Sårbara enheter

För tillfället finns det kännedom om att följande Zyxels ADSL-modem är sårbara. Listan uppdateras när det finns information om nya sårbara enheter:

  • Zyxel AMG1302-T11C
  • Zyxel AMG1312-T10B
  • Zyxel AMG1202-T10B (Inte längre till salu) Korrigerande programuppdatering
  • Zyxel P-660HN-T1A (Inte längre till salu)
  • Zyxel P660HN-T1Av2 (Inte längre till salu)

Det är mycket sannolikt att sårbarheten även gäller andra enheter.

Målgrupp för varningen

Ägare av hemroutrar (t.ex. ADSL-modem och nätutrustning)

Åtgärds- och begränsningsmöjligheter

Uppdatera utrustningen i enlighet med tillverkarens eller teleföretagets anvisningar, när korrigerande uppdatering finns tillgänglig.

Om det inte är möjligt att få en uppdatering, omstarta enheten. Det avlägsnar skadeprogrammet samtidigt som teleföretagens filtreringsåtgärder ger skydd mot ny infektion.

För att avgränsa problemet har teleföretagen begränsat tillträde till port TCP 7547 som används för distanshantering av enheter. Skadeprogrammet kan rensas vid omstart och med anledning av teleföretagens filtreringsåtgärder blir enheten inte smittad igen.

Teleföretagens filtrering är en tillfällig lösning. Enheterna ska uppdateras när en programkorrigering finns tillgänglig.

Om företaget som tillhandahåller abonnemanget publicerar eller skickar kompletterande anvisningar, se till att du följer dem.

Mer information

Källa:

Normal 0 21 false false false SV X-NONE X-NONE /* Style Definitions */ table.MsoNormalTable {mso-style-name:"Table Normal"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin-top:0cm; mso-para-margin-right:0cm; mso-para-margin-bottom:8.0pt; mso-para-margin-left:0cm; line-height:107%; mso-pagination:widow-orphan; font-size:11.0pt; font-family:"Calibri",sans-serif; mso-ascii-font-family:Calibri; mso-ascii-theme-font:minor-latin; mso-hansi-font-family:Calibri; mso-hansi-theme-font:minor-latin; mso-bidi-font-family:"Times New Roman"; mso-bidi-theme-font:minor-bidi; mso-fareast-language:EN-US;}

https://www.viestintavirasto.fi/sv/cybersakerhet/varningar/2016/varoitus-2016-04.html

Se även:

Normal 0 21 false false false SV X-NONE X-NONE /* Style Definitions */ table.MsoNormalTable {mso-style-name:"Table Normal"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin-top:0cm; mso-para-margin-right:0cm; mso-para-margin-bottom:8.0pt; mso-para-margin-left:0cm; line-height:107%; mso-pagination:widow-orphan; font-size:11.0pt; font-family:"Calibri",sans-serif; mso-ascii-font-family:Calibri; mso-ascii-theme-font:minor-latin; mso-hansi-font-family:Calibri; mso-hansi-theme-font:minor-latin; mso-bidi-font-family:"Times New Roman"; mso-bidi-theme-font:minor-bidi; mso-fareast-language:EN-US;}

http://arstechnica.com/security/2016/11/notorious-iot-botnets-weaponize-new-flaw-found-in-millions-of-home-routers/