De afgelopen dagen hebben aanvallers op grote schaal geprobeerd om populaire dsl-routers via poort 7547 aan te vallen, zo waarschuwt het Internet Storm Center (ISC). De aanvallen maken misbruik van een kwetsbaarheid in de routers en zouden mogelijk ook voor de storing bij Deutsche Telekom verantwoordelijk zijn geweest.
De Duitse autoriteiten hebben inmiddels bevestigd dat door de storing door een aanval is veroorzaakt waarbij werd geprobeerd om de routers met malware te infecteren. Volgens Johannes Ullrich van het ISC zijn er via internet zo'n 41 miljoen apparaten te vinden waarvan poort 7547 openstaat. "Daardoor kan dit eenvoudig een tweede Mirai-botnet worden." Poort 7547 wordt voor het CPE WAN Management Protocol (CWMP) gebruikt en laat providers routers op afstand beheren.
De aanvallen, waardoor er willekeurige code op het apparaat kan worden uitgevoerd, zoals de installatie van malware, lijken een kwetsbaarheid in het TR-064-configuratieprotocol te gebruiken. Een exploit die hier misbruik van maakt is sinds begin november op internet te vinden. Het ISC heeft een onbevestigde lijst van kwetsbare routers opgesteld. Het zou gaan om de D1000 Wireless Router van de Ierse provider Eir, dat eigenlijk een Zyxel-modem is, en de Speedport-router van Deutsche Telekom.
Het blog BadCyber meldt dat ook routers in Polen via dezelfde aanvalsmethode zijn aangevallen. Eenmaal actief op de router dicht de malware het beveiligingslek waardoor het wist binnen te komen. Zo wordt poort 7547 gesloten en daarna de Telnet-service uitgeschakeld, wat het lastig voor providers maakt om de routers op afstand bij te werken. Ook heeft het blog een uitleg online gezet hoe de aanval precies in z'n werk gaat.
Deze posting is gelocked. Reageren is niet meer mogelijk.