FBI neemt domeinnaam VPNFilter-malware in beslag
De FBI heeft een domeinnaam in beslag genomen waar de VPNFilter-malware gebruik van maakt om besmette routers en NASsen mee aan te sturen. Dat meldt het Amerikaanse openbaar ministerie. Gisteren maakte Cisco het bestaan van de malware bekend, die inmiddels 500.000 apparaten wereldwijd heeft geïnfecteerd.
De malware is in staat om inloggegevens te stelen en kan de firmware van besmette apparaten overschrijven, zodat ze onbruikbaar achterblijven. De FBI zou al sinds augustus met een onderzoek naar de malware bezig zijn en onder andere een router van een Amerikaans slachtoffer hebben onderzocht. Doordat de FBI nu controle over het domein van de malware heeft kan het zien welke ip-adressen zijn besmet. Deze informatie wordt vervolgens door de Shadowserver Foundation gebruikt om de besmette apparaten op te schonen. De Shadowserver Foundation is een organisatie die zich met de bestrijding van botnets bezighoudt.
Hoe VPNFilter systemen infecteert is nog onbekend. Symantec meldt dat de apparaten die het doelwit zijn bekende kwetsbaarheden bevatten of van standaard inloggegevens gebruikmaken. Gisteren liet Cisco al weten dat een deel van de malware via een reboot is te verwijderen. Het terugzetten van de fabrieksinstellingen verwijdert de malware helemaal. VPNFilter kan de volgende systemen besmetten.
- Linksys E1200
- Linksys E2500
- Linksys WRVS4400N
- Mikrotik RouterOS voor Cloud Core Routers: Versies 1016, 1036 en 1072
- Netgear DGN2200
- Netgear R6400
- Netgear R7000
- Netgear R8000
- Netgear WNR1000
- Netgear WNR2000
- QNAP TS251
- QNAP TS439 Pro
- Andere QNAP NAS-apparaten die QTS-software draaien
- TP-Link R600VPN
https://forum.mikrotik.com/viewtopic.php?f=21&t=134776&sid=e1317ac312b35b2f791df77e6d9a6404
Zoals altijd geldt dan: dat de software die gereleased is in maart 2017 niet meer kwetsbaar is voor deze aanval.
Echter de hordes aan gebruikers die nooit de software updaten (en ook geen andere basis beveiligings maatregelen
nemen zoals het dichtzetten van de admin interface vanaf internet) die zijn vandaag de dag ook nog gewoon kwetsbaar.
Je kunt hooguit stellen dat dit bij MikroTik nog schrijnender is dan bij pak em beet Cisco omdat je de software met
een muisklik of commando kunt updaten zonder dat je een support contract of een bedelbrief bij een of ander assistence
center nodig hebt. Dus achterlopende software gebruiken hoeft niet te gebeuren.
https://www.tp-link.com/nl/products/details/cat-4909_TL-R600VPN.html
Hoe te controleren of je router is besmet? Aangezien nog steeds niet is bekend hoe de router besmet raakt zou dat wel fijn zijn om te controleren. Default wachtwoord is na installatie al gewijzigd.
Geen zin om dagelijks de router terug te zetten op fabrieksinstellingen.
Kost tijd om alles om weer op hezelde niveau te brengen.
Je kunt klanten niet dwingen om hun firmware bij te werken en zolang er fouten in een nieuwe worden gemaakt. Soms vervallen services die de klant gebruikt.
Safety before functionality zou eigenlijk het motto moeten zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
