Onko kellään tarkempaa tietoa tästä cert.fi sivustolta löytyneestä tiedosta?
Tietoturva nyt!
26.3.2009
Laajakaistamodeemeissa pesivä verkkomato
Verkkomato liittää saastuneet modeemit bottiverkkoon
Tiettävästi ensimmäinen laajakaistamodeemeja vastaan hyökkäävä verkkomato on saavuttanut jalansijaa. Verkkomato pystyy toimimaan ainoastaan sellaisissa modeemeissa, joissa on sulautettu Linux-käyttöjärjestelmä. CERT-FI:n tietojen mukaan erityisesti BusyBox-ympäristöä käyttävät laitteet voivat olla verkkomadon kohteena. Kattavan laiteluettelon antaminen on vielä tässä vaiheessa mahdotonta.
Verkkomato käyttää leviämisessään hyväksi laajakaistamodeemin puutteellisesti suojattua hallintaliittymää. Tietojemme mukaan suurin osa tartunnasta saaneista modeemeista on ollut sellaisia, joissa hallintaliittymään on voinut kirjautua Internetistä käsin tehdasasetetuilla salasanoilla. Kirjautuminen on tapahtunut joko SSH-, telnet- tai HTTP-protokollaa käyttäen.
Päästyään kiinni hallintaliittymään verkkomato lataa modeemin muistiin ohjelman, jonka avulla modeemi liitetään osaksi hyökkääjän hallitsemaa bottiverkkoa. Viimeisten raporttien mukaan tässä ns. psyb0t-bottiverkossa on mukana jo yli 100 000 modeemia. CERT-FI:lle on raportoitu tapauksia myös Suomesta.
Tietojemme mukaan modeemeihin pesiytyvä verkkomato osaa kaapata modeemin läpi kulkevan salaamattoman verkkoliikenteen seasta tunnussanoja. Lisäksi hyökkääjä voi käyttää bottiverkkoa palvelunestohyökkäyksiin sekä tietomurtojen valmisteleluun ja suorittamiseen. Mikään ei kuitenkaan estäisi verkkomatoa ohjaamasta modeemin läpi kulkevaa verkkoliikennettä esimerkiksi hyökkääjän hallitsemalle palvelimelle.
CERT-FI suosittelee, että laajakaistamodeemin hallintaliittymä pidetään auki Internetiin päin vain pakottavista syistä. Pääsy hallintaliittymään voi olla hyvä estää myös langattoman lähiverkon puolelta, mikäli modeemi toimii langattoman lähiverkon tukiasemana. Lisäksi hallintaliittymän oletussalasanat tulee vaihtaa vaikeasti arvattaviksi. On myös hyvä tiedostaa, että modeemiin liitetyissä tietokoneissa toimivat virustorjunta- ja palomuurituotteet eivät pysty havaitsemaan tai estämään verkkomatoa.
Epäilyttävissä tapauksissa laajakaistamodeemi kannattaa hetkellisesti irrottaa sekä puhelinverkosta että verkkovirrasta. Modeemia ei tule liittää takaisin puhelinverkkoon ennen kuin hallintaliittymän salasana on vaihdettu ja asetukset on tarkistettu. Epäilys voi herätä, mikäli kaikki modeemiin langallisesti ja langattomasti kytketyt laitteet ovat sammutettu, mutta modeemin merkkivalot ilmoittavat jatkuvasta verkkoliikenteestä.
Tietojemme mukaan verkkomato ei selviä virtakatkoksesta, mutta täysi varmuus voidaan saavuttaa vain lataamalla modeemin ohjelmistoversio uudestaan. Samalla kannattaa tarkistaa jos tuotteelle on julkaistu päivitetyt ohjelmistoversiot.
Aihe: Psyb0t: Laajakaista modeemeihin tarttuva verkkomato (Luettu 5839 kertaa)
