image

VPNFilter-malware kan computers in netwerk aanvallen

donderdag 7 juni 2018, 10:00 door Redactie, 5 reacties

De VPNFilter-malware die allerlei routers infecteert kan ook computers in het achterliggende netwerk aanvallen. Dat hebben onderzoekers van Cisco bekendgemaakt. In mei werd bekend dat VPNFilter wereldwijd 500.000 routers en NASsen heeft geïnfecteerd. Eenmaal actief kan de malware verschillende dingen doen, zoals het stelen van inloggegevens en het onbruikbaar maken van apparaten door de firmware te overschrijven.

VPNFilter wordt omschreven als een "multi-stage, modulair platform". Volgens de onderzoekers had de malware drie modules, maar alleen de eerste twee modules waren beschreven. Nu is er ook een analyse van de derde module online verschenen. Deze derde module genaamd "ssler" maakt het mogelijk om man-in-the-middle-aanvallen op computers in het netwerk uit te voeren. De malware kan kwaadaardige code in het webverkeer injecteren, zonder dat gebruikers dit door hebben. Zo is het mogelijk om bijvoorbeeld exploits in het webverkeer te injecteren en achterliggende systemen over te nemen.

Ssler onderschept hiervoor al het verkeer dat voor poort 80 bedoeld. De iptables-firewall van het apparaat wordt hiervoor aangepast zodat al het verkeer voor poort 80 naar een lokale service op poort 8888 wordt doorgestuurd. Alle uitgaande webverzoeken op poort 80 worden door ssler onderschept en kunnen worden bekeken en gemanipuleerd voordat ze naar de bedoelde http-dienst worden doorgestuurd. Daarnaast worden in alle http-verzoeken vermeldingen van https:// vervangen door http://. Op deze manier is het mogelijk om gevoelige gegevens te onderscheppen, aldus de onderzoekers.

Volgens Cisco laat de derde module van VPNFilter zien dat de malware veel gevaarlijker is dan eerst werd aangenomen. Daarnaast laten de onderzoekers weten dat veel meer routers kwetsbaar zijn, waaronder modellen van fabrikanten Asus, D-Link, Ubiquiti, Upvel, Huawei en ZTE. In eerste instantie werd gemeld dat de malware het alleen op apparaten van Linksys, MikroTik, Netgear en QNAP had voorzien. Hoe de apparaten precies besmet raken is nog altijd onbekend.

Reacties (5)
07-06-2018, 10:16 door Anoniem
Hoe de apparaten precies besmet raken is nog altijd onbekend.
Nee dat is niet onbekend, daarvoor gebruikt de malware een serie infectiemodules die allerlei kwetsbaarheden in de
firmware aanvallen (die wisselen uiteraard per fabrikant), zoals bekende bugs in de vaak gebruikte webservice maar
ook bugs in de specifieke configuratie interface van de betreffende fabrikant (zoals winbox in het geval van MikroTik).

Het zijn vaak bugs die al eerder bekend geworden zijn en opgelost, dus het is van belang om actuele firmware te
installeren. Ook is het raadzaam om de management interface van het apparaat (router, NAS) niet beschikbaar te
maken vanaf internet. Dat is vaak default al het geval door firewall settings die op de internet interface alleen uitgaand
verkeer en gerelateerd inkomend verkeer toestaan, of doordat de NAS zich achter een NAT router bevindt. Pas als
er (al dan niet met UPnP) poorten worden opengezet of als de router firewall onkundig wordt gewijzigd komt de admin
interface vanaf internet beschikbaar en krijgt deze malware veel meer kans.
(de keuze van een goed wachtwoord blijft natuurlijk altijd verstandig maar dit heeft in het geval van deze malware
geen invloed omdat die niet werkt door bekende wachtwoorden te proberen, maar door de hele authenticatie te omzeilen)
07-06-2018, 10:33 door Anoniem
Has de NSA ook niet zoiets? Shadow Brokers? Van welk land is dit dan nu weer?
07-06-2018, 11:03 door Anoniem
Daarnaast worden in alle http-verzoeken vermeldingen van https:// vervangen door http://. Op deze manier is het mogelijk om gevoelige gegevens te onderscheppen, aldus de onderzoekers.

Ah, de welbelkende SSLStrip truc, bekend vanaf 2009 en toch tot heden misbruikt. En daarom HSTS, beste webserver beheerders. Maar hoe? Nou zo:

Voor apache (op o.a. ubuntu 16.04):

# vim /etc/apache2/apache2.conf

Voeg de volgende regel toe op het einde van het bestand:
Header always set Strict-Transport-Security "max-age=31536000; includeSubdomains;"

# service apache2 restart
07-06-2018, 12:11 door Anoniem
Door Anoniem:
Hoe de apparaten precies besmet raken is nog altijd onbekend.
Nee dat is niet onbekend

Bron?

The initial infection vector for this malware is currently unknown.
https://www.ic3.gov/media/2018/180525.aspx

At the time of this publication, we do not have definitive proof on how the threat actor is exploiting the affected devices
https://blog.talosintelligence.com/2018/05/VPNFilter.html

Nieuwst blog maakt geen melding van attack vector
https://blog.talosintelligence.com/2018/06/vpnfilter-update.html
07-06-2018, 13:36 door Anoniem
@ anoniem van vandaag 10:33

IP addressen genoemd voor de tweede fase, 100% malware anonymization services van o.a. ovh.com in Roubaix, a704.servers in Bulgarije, root SA uit Luxemburg, lib.bg uit Bulgarije, naslior.net uit Ryad in Saudi-Arabie, fastwebserver.de in Frankfurt, roxnd.md uit Moldavie, Leaseweb (Eqservers owned) in Amsterdam, Online SAS te Parijs, hostzealot. UK, linja.linknet in Oekraine,

Vraag blijft - Is het dus een vanuit Rusland aangestuurde cyberthreat, zoals voetstoots steeds maar wordt aangenomen of een false flag actie vanuit het westen gevoerd binnen het kader van de voortgaande demonisering van de Russische Federatie? Wie het weet en/of kan bewijzen mag het zeggen. Quo Bono? Waar staan de meeste routers, die kwetsbaar zijn?

Het is wel 100% malware en kan breed ingezet vrij ontwrichtend werken. Router resetten en hopen op beschermende upgrade/update software.

luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.