Trojaans paard kaapt Linux-routers via ShellShock-lek
Wereldwijd zijn bijna 1500 Linux-routers gekaapt door een Trojaans paard, dat de apparaten vervolgens inschakelt voor het aanvallen van andere systemen en servers. De PNScan Trojan, zoals de malware door het Russische Doctor Web wordt genoemd, maakt gebruik van het ShellShock-lek van vorig jaar september voor het overnemen van Linux-routers met een ARM-, MIPS-, of PowerPC-architectuur.
Daarnaast wordt de Trojan ook geïnstalleerd door andere malware die op al gehackte routers aanwezig is. ShellShock is de naam voor een kwetsbaarheid in Bash. Dit is een Unix-shell waarmee er opdrachten aan het systeem kunnen worden gegeven. Het wordt voor allerlei toepassingen gebruikt en veel programma's draaien het in de achtergrond. Vorig jaar september werd de kwetsbaarheid gevonden en gepatcht, maar nog altijd zijn er kwetsbare systemen op internet te vinden.
Als PNScan op de router is geinstalleerd via het ShellShock-lek, wordt er andere malware op het apparaat geplaatst. De malware voert vervolgens een scan uit op een reeks IP-adressen. Hierna kan de malware verschillende aanvallen uitvoeren. Ook de malware die aanvullend op de router wordt geinstalleerd is in staat om aanvallen uit te voeren. Het gaat in dit geval om DDoS-aanvallen alsmede pogingen om installaties van PHPmyAdmin over te nemen.
Naast PNScan is er inmiddels ook een variant van het Trojaanse paard ontdekt. Deze versie maakt geen gebruik van het ShellShock-lek, maar gebruikt zwakke wachtwoorden om via SSH toegang te krijgen. Wereldwijd werden 1439 met PNScan besmette routers aangetroffen, waaronder 21 in Nederland.
(Misschien een optie voor kwetsbare routers, waar geen update voor is)
In Linux worden internetpoorten onder de 1024 door root geopend (met een aantal kunstgrepen is er wat aan te doen). Dat geeft dan ook in dit geval een veiligheidsrisico.
Oeps dus; je zou verwachten dat de dhcp client (met standaard options) zijn parameters uit een config file leest en geen script nodig heeft. Als dit wel het geval is kan een nieuwe router al voor het maken van zijn allereerste tcp connectie besmet worden terwijl hij z'n wan IP ophaalt.
Dat is niet mis.
Maar welke routers gebruiken eigenlijk bash, de meesten gebruiken toch de Bourne of Almquist shell ipv het veel meer uit de kluiten gewassen Bourne Again?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
