Grootschalige aanval op dsl-routers via poort 7547
De afgelopen dagen hebben aanvallers op grote schaal geprobeerd om populaire dsl-routers via poort 7547 aan te vallen, zo waarschuwt het Internet Storm Center (ISC). De aanvallen maken misbruik van een kwetsbaarheid in de routers en zouden mogelijk ook voor de storing bij Deutsche Telekom verantwoordelijk zijn geweest.
De Duitse autoriteiten hebben inmiddels bevestigd dat door de storing door een aanval is veroorzaakt waarbij werd geprobeerd om de routers met malware te infecteren. Volgens Johannes Ullrich van het ISC zijn er via internet zo'n 41 miljoen apparaten te vinden waarvan poort 7547 openstaat. "Daardoor kan dit eenvoudig een tweede Mirai-botnet worden." Poort 7547 wordt voor het CPE WAN Management Protocol (CWMP) gebruikt en laat providers routers op afstand beheren.
De aanvallen, waardoor er willekeurige code op het apparaat kan worden uitgevoerd, zoals de installatie van malware, lijken een kwetsbaarheid in het TR-064-configuratieprotocol te gebruiken. Een exploit die hier misbruik van maakt is sinds begin november op internet te vinden. Het ISC heeft een onbevestigde lijst van kwetsbare routers opgesteld. Het zou gaan om de D1000 Wireless Router van de Ierse provider Eir, dat eigenlijk een Zyxel-modem is, en de Speedport-router van Deutsche Telekom.
Update
Het blog BadCyber meldt dat ook routers in Polen via dezelfde aanvalsmethode zijn aangevallen. Eenmaal actief op de router dicht de malware het beveiligingslek waardoor het wist binnen te komen. Zo wordt poort 7547 gesloten en daarna de Telnet-service uitgeschakeld, wat het lastig voor providers maakt om de routers op afstand bij te werken. Ook heeft het blog een uitleg online gezet hoe de aanval precies in z'n werk gaat.
Meer info:
https://devicereversing.wordpress.com/2016/11/07/eirs-d1000-modem-is-wide-open-to-being-hacked/
https://badcyber.com/new-mirai-attack-vector-bot-exploits-a-recently-discovered-router-vulnerability/
(een recente MIPS backdoor): https://www.virustotal.com/en/file/2548d997fcc8f32e2aa9605e730af81dc18a03b2108971147f0d305b845eb03f/analysis/
https://www.virustotal.com/en/domain/l.ocalhost.host/information/
https://www.virustotal.com/en/ip-address/212.92.127.146/information/
Aangezien natuurlijk niemand een virusscanner op z'n router draait (die sowieso altijd achter de feiten aan zou lopen) zou het mij niet verbazen als er ondertussen een flink nieuw botnet is gevormd.
rompager port:7547 country:nl
Waarom loopt het Duitse NCSC niet dit soort poorten preventief te scannen en ISP's op te adviseren ipv te zeggen dat je niet Flash Player 0.1 meer moet installeren?
Dan heb je zo een instantie maar dan moeten hackers vooral jou vertellen dat ISP's hun werk niet goed doen..
rompager port:7547 country:nl
Met een kleine 280 op 5 miljoen wereldwijd lijkt dat nog best mee te vallen.
Ze lijken soms onzorgvuldig te zijn op de eerste verantwoordelijkheid internet veilig te houden,alvorens de klant zelf verantwoordelijk is voor zijn internetaansluiting.
Het is ook een merkwaardige poort 7547 volgens mij wordt die haast in Nederland niet gebruikt op internet.
Berg je DLink-ie en je DocuPrint Laserprintertje maar vast op.
Hele productielijnen open voor de "exploit to rule them all: TR-069 - ~45m".
Trefwoorde: managment software, server free, open source, kpn
Veel implementaties zijn gewoon qua veiligheid niet meer serieus te nemen met dit protocol uit 2007.
Identificatie en authenticatie op http niveau, ook de verbinding gaat over http.
Vele vendors hebben niet veilig geïmplementeerd, waardoor bij compromitteren,
toegang kan worden verkregen tot gehele
" ISP's subscriber base's routers (with TR-069 enabled)".
Dat is nogal wat, mensen.
Voor rompager en waar dat wordt toegepast, leze men: https://www.symantec.com/security_response/attacksignatures/detail.jsp?asid=24686
- Eir D1000 Wireless Router (rebranded Zyxel Modem used by Irish ISP Eir)
- Speedport Router (Deutsche Telekom)
Vele vendors hebben niet veilig geïmplementeerd, waardoor bij compromitteren,
toegang kan worden verkregen tot gehele
" ISP's subscriber base's routers (with TR-069 enabled)".
Bedoel je hiermee dat de aanval verlopen is via een database/gegevens enz van een provider? Ik vind het gekke aan die hele Duitse aanval namelijk dat de aanval alleen in Duitsland lijkt te zijn gebeurd, alleen bij klanten van Deutsche Telekom. Dat is veel gerichter dan hackers die rucksichlos ALLE op internet aangesloten routers met dit gat aangevallen hebben.
Bedoel je hiermee dat de aanval verlopen is via een database/gegevens enz van een provider? Ik vind het gekke aan die hele Duitse aanval namelijk dat de aanval alleen in Duitsland lijkt te zijn gebeurd, alleen bij klanten van Deutsche Telekom. Dat is veel gerichter dan hackers die rucksichlos ALLE op internet aangesloten routers met dit gat aangevallen hebben.
Bedoel je hiermee dat de aanval verlopen is via een database/gegevens enz van een provider? Ik vind het gekke aan die hele Duitse aanval namelijk dat de aanval alleen in Duitsland lijkt te zijn gebeurd, alleen bij klanten van Deutsche Telekom. Dat is veel gerichter dan hackers die rucksichlos ALLE op internet aangesloten routers met dit gat aangevallen hebben.
Deze aanval vond zeer zeker ook in Nederland plaats, zoals ik afgelopen zondagavond al op deze site aangaf https://www.security.nl/posting/494100/Grootscheepse+en+wereldwijde+aanval+op+poort+7547
Er werd afgelopen zondag urenlang, alleen al bij mij, zo'n 150 - 250 keer per uur op deze poort aangeklopt.
Telfort hun forum zelf had ook een persistent XSS die uitvoerde tijdens het laden van een pb of topic.. Zeer "goede" beveiliging..
De crux van het probleem is het toenemend gebruik van het TR-069 protocol ofwel CMWP wat vele ISP's gebruiken om op afstand configuratieproblemen met routers van klanten te troubleshooten.
De meeste gebruikers weten niet dat hun ISP via Auto Configuratie Servers zo'n enorme mate van controle kunnen uitoefenen. De router administratie interface wordt meestal door firmware verborgen gehouden. En al weten de eindgebruikers ervan, dan is er meestal geen mogelijkheid om het uit te zetten.
Als iemand de ACS kan overnemen kan hij een router rogue DNS laten gebruiken om alles rogue te kunnen tunnelen en in het ergste geval kan hij via een kwaadaardige firmware update malware of een achterdeur installeren.
Als we weten dat het TR-069 protocol eigenlijk het gebruik van HTTPS adviseert en 80% dit rustig aan de laars lapt,
weten we nu inmiddels misschien wel hoe gemakkelijk we vogelvoer kunnen worden.
Verontrustende gedachte: tegelijkertijd zijn er wereldwijd ook heel veel andere routers 'gewoon' aangevallen, dus niet through ISP. En al die losse aanvallen zijn vast niet zo opvallend geweest (want vele losse ziet maken toch net iets minder indruk dan veel gecombineerde aanvallen). Oftewel: iedereen focust nu op Deutsche Telecom, maar de kans is groot dat een deel van de Nederlandse routers inmiddels ook besmt is. Toch?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
