Уязвимость некоторых моделей роутеров к VPNFilter

Highlighted
Старанний

Re: Уязвимость некоторых моделей роутеров к VPNFilter

На днях на Хабре вышел новый Update по теме

 

Если коротоко, то:

 

  • VPNFilter как оказалось служит главным образом, для того, чтобы воровать данные пользователей и модифицировать трафик
  • В зловреде обнаружен снифер-модуль, который анализирует трафик в поиске данных определенного типа, которые связаны с работой промышленных систем. Кроме того, модуль ищет обращения к IP из определенного диапазона, а также пакеты данных, размер которых составляет 150 байт или более
  • VPNFilter активно обновляется, в нем появился модуль самоуничтожения. При активации модуля VPNFilter удаляется с устройства безо всяких следов
  • большая часть зараженных устройств находится в Украине
  • ранее сообщалось, что наиболее уязвимыми моделями роутеров для VPNFilter являются устройства производства ASUS, D-Link, Huawei, Ubiquiti, UPVEL и ZTE. На самом деле, спектр уязвимых устройств гораздо шире. Это, в том числе, и модели от Linksys, MikroTik, Netgear и TP-Link. 

Список устройств, которые подвержены уязвимости:

 

Asus:
RT-AC66U (new)
RT-N10 (new)
RT-N10E (new)
RT-N10U (new)
RT-N56U (new)
RT-N66U (new)

D-Link:
DES-1210-08P (new)
DIR-300 (new)
DIR-300A (new)
DSR-250N (new)
DSR-500N (new)
DSR-1000 (new)
DSR-1000N (new)

Huawei:
HG8245 (new)

Linksys:
E1200
E2500
E3000 (new)
E3200 (new)
E4200 (new)
RV082 (new)
WRVS4400N

Mikrotik:
CCR1009 (new)
CCR1016
CCR1036
CCR1072
CRS109 (new)
CRS112 (new)
CRS125 (new)
RB411 (new)
RB450 (new)
RB750 (new)
RB911 (new)
RB921 (new)
RB941 (new)
RB951 (new)
RB952 (new)
RB960 (new)
RB962 (new)
RB1100 (new)
RB1200 (new)
RB2011 (new)
RB3011 (new)
RB Groove (new)
RB Omnitik (new)
STX5 (new)

Netgear:
DG834 (new)
DGN1000 (new)
DGN2200
DGN3500 (new)
FVS318N (new)
MBRN3000 (new)
R6400
R7000
R8000
WNR1000
WNR2000
WNR2200 (new)
WNR4000 (new)
WNDR3700 (new)
WNDR4000 (new)
WNDR4300 (new)
WNDR4300-TN (new)
UTM50 (new)

QNAP:
TS251
TS439 Pro
Other QNAP NAS с QTS

TP-Link:
R600VPN
TL-WR741ND (new)
TL-WR841N (new)

Ubiquiti:
NSM2 (new)
PBE M5 (new)

Upvel:
Unknown Models* (new)

ZTE:
ZXHN H108N (new) 

Місто

Київ

Highlighted
Магістр

Re: Уязвимость некоторых моделей роутеров к VPNFilter


@Bunny@  написав (-ла):

На днях на Хабре вышел новый Update по теме

 

Если коротоко, то:

 

  • VPNFilter как оказалось служит главным образом, для того, чтобы воровать данные пользователей и модифицировать трафик
  • В зловреде обнаружен снифер-модуль, который анализирует трафик в поиске данных определенного типа, которые связаны с работой промышленных систем. Кроме того, модуль ищет обращения к IP из определенного диапазона, а также пакеты данных, размер которых составляет 150 байт или более
  • VPNFilter активно обновляется, в нем появился модуль самоуничтожения. При активации модуля VPNFilter удаляется с устройства безо всяких следов
  • большая часть зараженных устройств находится в Украине
  • ранее сообщалось, что наиболее уязвимыми моделями роутеров для VPnFilter являются устройства производства ASUS, D-Link, Huawei, Ubiquiti, UPVEL и ZTE. На самом деле, спектр уязвимых устройств гораздо шире. Это, в том числе, и модели от Linksys, MikroTik, Netgear и TP-Link.

@Bunny что рекомендуют для поиска и нейтрализации? :manhappy:

 

 

 

Місто

Харків

Highlighted
Магістр

Re: Уязвимость некоторых моделей роутеров к VPNFilter


@Юрий_М  написал (-а):

@Bunny что рекомендуют для поиска и нейтрализации? :manhappy: 


 

сброс всех настроек, обновление прошивки, настройка руками с нуля

 

самый простой вариант "защиты", если нет обновления прошивки -- или заменить роутер или, если роутер выполняет какие-то специафические функции, например, держит туннель, то просто поставить ПЕРЕД роутером что-то простое и дубовое, например древний длинк с дефолтными настройками и включенным файрволом

 

да, будет двойной НАТ, но хоть как-то лучше, чем никак

Місто

Київ

Highlighted
Магістр

Re: Уязвимость некоторых моделей роутеров к VPNFilter


@_zaborovsky@  написав (-ла):

@Юрий_М  написал (-а):

@Bunny что рекомендуют для поиска и нейтрализации? :manhappy: 


 

сброс всех настроек, обновление прошивки, настройка руками с нуля

 

самый простой вариант "защиты", если нет обновления прошивки -- или заменить роутер или, если роутер выполняет какие-то специфические функции, например, держит туннель, то просто поставить ПЕРЕД роутером что-то простое и дубовое, например древний длинк с дефолтными настройками и включенным файрволом

 

да, будет двойной НАТ, но хоть как-то лучше, чем никак


глядя на список и new, прошивку "устарять" нужно, а не обновлять, если производители "заплаты" не сделают  (ИМХО).

Мне понравилось  - "древний длинк" :manhappy:  Опять ОЛХ будет спасать мир? :manvery-happy:

 

Місто

Харків

Highlighted
Старанний

Re: Уязвимость некоторых моделей роутеров к VPNFilter

@_zaborovsky  все верно написал. Первым делом перепрошить и сменить пароли. 

Насколько я понимаю, убедиться, что ваш роутер уже хакнули можно по некоторым известным на сегодня индикаторам (в конце статьи). 

@Юрий_М open source прошивки – наше все, судя по развитию событий

Місто

Київ

Highlighted
Магістр

Re: Уязвимость некоторых моделей роутеров к VPNFilter


@Юрий_М  написал (-а):
Мне понравилось  - "древний длинк" :manhappy:  Опять ОЛХ будет спасать мир? :manvery-happy: 

 

но ведь надо же что-то делать! 

 

(с) анекдот

Місто

Київ

Highlighted
Магістр

Re: Уязвимость некоторых моделей роутеров к VPNFilter


@Bunny  написал (-а):

 

@Юрий_М open source прошивки – наше все, судя по развитию событий


так все эти роутеры как раз и сделаны на базе линукса и опенсорсов (о чем, например, в прошивке тплинков прямо указано)

 

да и не всякое опенврт умеет то, что нужно от роутера....

Місто

Київ

Старанний

Re: Уязвимость некоторых моделей роутеров к VPNFilter

@_zaborovsky ну здесь с вами сложно не согласиться. Но, думаю, что заводские, которые созданы "на базе" все же эксплойтятся по-проще и по-оперативнее

Місто

Київ

Highlighted
Магістр

Re: Уязвимость некоторых моделей роутеров к VPNFilter

ну я вот от #удаков из тплинка не могу третью неделю добиться вразумительного ответа на простой вопрос -- где та самая "новая прошивка", про которую написано на их сайте, что она есть и в которой, якобы все пофиксили

 

пришел ответ

 

vpnf.png

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

  

и вот что ты будешь делать?

Місто

Київ

Highlighted
Старанний

Re: Уязвимость некоторых моделей роутеров к VPNFilter

@_zaborovsky Лично мое мнение: брешут как Геббельс. Хотя, если не сложно, вышлите им, пожалуйста ссылку на статью на Хабре. А вдруг и правда выступят с опровержением? И мы зря здесь бучу поднимаем... :smileywink:

Місто

Київ