Петгодишна уязвимост експлоатира стотици хиляди рутери в бот мрежа

Последен ъпдейт на 12 ноември 2018 в 11:10 ч.

Поне 100 хил. рутери са част от бот мрежа, която използва петгодишна уязвимост в утройства с чип на BroadCom. Анализатори на 360Netlab, които са открили бот мрежата, твърдят, че тя може да засегне около 400 хил. уязвими устройства, включително и такива в България.

Активността на бот мрежата е засечена за пръв път през септември, но е продължила и през октомври. Тя е кръстена BCMUPnP_Hunter – от името на протокола UPnP. Анализът на 360Netlab показва, че в мрежата участват около 100 хил. инфектирани устройства, но броят на уязвимите рутери е в пъти по-голям.

Уязвимите устройства са с банер Server: Custom/1.0 UPnP/1.0 Proc/Ver. Справка в Shodan показва, че към момента по света има над 405 хил. такива устройства. Локализирана справка само за България връща като резултат над 60 уязвими устройства.

Бот мрежата експлоатира уязвимост в протокола UPnP (Universal Plug and Play) в чиповете на BroadCom, които се използват от редица производители на рутери. Уязвимостта е била открита през 2013 г. от компанията за информационна сигурност DefenseCode, но за нея беше съобщено едва през 2017 г., тъй като засяга огромно количество рутери – поне 15 млн. устройства. Тогава от DefenseCode изказаха предположението, че голяма част от тези рутери все още са уязвими, защото фърмуеърът им не е обновен.

Според 360Netlab до момента са инфектирани над 100 различни вида рутери на популярни производители като Asus, D-link, Zyxel, Netgear и други. Веднъж инфектирани, те се превръщат в една голяма прокси мрежа. „Злонамерено лице може да изгради прокси мрежа и да я използва, за да изпраща спам, да генерира кликове и т.н.“, коментират от компанията.

Ако мислите, че рутерът ви може да е инфектиран (списък на заразените модели има в блога на 360Netlab), универсалното решение е да обновите фърмуеъра на устройството.