Botnet haalt miljoen Europese routers offline
Mirai, dat met behulp van geïnfecteerde Internet of Things-toestellen een deel van het internet platlegde, heeft het voorbije weekend wederom toegeslagen. Een aangepaste versie van de worm scant niet voor IoT-toestellen, maar kwetsbare routers. Zo’n 900.000 modems van de Duitse internetprovider Deutsche Telekom gingen hierdoor offline.
Onveilig protocol
De routers van Deutsche Telekom, die gemaakt zijn door Zyxel en Speedpoort, hebben poort 7547 openstaan. Deze poort wordt gebruikt door internetproviders om op afstand beheertaken uit te voeren en problemen op te lossen via het TR-069 protocol. Het is echter niet protocol TR-069 dat voor problemen zorgt, maar protocol TR-064, welke management vanop afstand toelaat zonder authenticatie. Cybercriminelen kunnen via de openstaande poort 7547 het TR-064 protocol aanspreken en commando’s uitvoeren die de configuratie van de hardware veranderen.
Gelukkig voor Deutsche Telekom en zijn klanten slaagden de hackers er niet in om routers in te lijven tot hun botnet. De routers crashten immers voordat het verkeer naar het doelwit van de cybercriminelen kon worden omgeleid. Bijna een miljoen klanten ervaarden hierdoor het voorbije weekend en maandag internetproblemen.
https://twitter.com/kennwhite/status/803279185422716928
Oplossing
Deutsche Telekom heeft ondertussen al een oplossing voor het probleem klaar. De provider vraagt aan zijn klanten om de stekker van hun modem tijdelijk uit te trekken om het toestel te rebooten. Na de herstart keert de modem terug naar zijn oorspronkelijke staat en zijn alle resten van Mirai verdwenen. Een update wordt momenteel naar de toestellen uitgerold om de kwetsbaarheid te verhelpen.
De update van Deutsche Telekom lost echter niet alle problemen op. Volgens veiligheidsspecialist Kenn White zijn er momenteel 41 miljoen toestellen waarvan poort 7547 openstaat. Tot deze toestellen behoren modems van verschillende Europese internetproviders, waaronder het Britse TalkTalk.
Mirai, dat met behulp van geïnfecteerde Internet of Things-toestellen een deel van het internet platlegde, heeft het voorbije weekend wederom toegeslagen. Een aangepaste versie van de worm scant niet voor IoT-toestellen, maar kwetsbare routers. Zo’n 900.000 modems van de Duitse internetprovider Deutsche Telekom gingen hierdoor offline.
Onveilig protocol
De routers van Deutsche Telekom, die gemaakt zijn door Zyxel en Speedpoort, hebben poort 7547 openstaan. Deze poort wordt gebruikt door internetproviders om op afstand beheertaken uit te voeren en problemen op te lossen via het TR-069 protocol. Het is echter niet protocol TR-069 dat voor problemen zorgt, maar protocol TR-064, welke management vanop afstand toelaat zonder authenticatie. Cybercriminelen kunnen via de openstaande poort 7547 het TR-064 protocol aanspreken en commando’s uitvoeren die de configuratie van de hardware veranderen.
Gelukkig voor Deutsche Telekom en zijn klanten slaagden de hackers er niet in om routers in te lijven tot hun botnet. De routers crashten immers voordat het verkeer naar het doelwit van de cybercriminelen kon worden omgeleid. Bijna een miljoen klanten ervaarden hierdoor het voorbije weekend en maandag internetproblemen.
https://twitter.com/kennwhite/status/803279185422716928
Oplossing
Deutsche Telekom heeft ondertussen al een oplossing voor het probleem klaar. De provider vraagt aan zijn klanten om de stekker van hun modem tijdelijk uit te trekken om het toestel te rebooten. Na de herstart keert de modem terug naar zijn oorspronkelijke staat en zijn alle resten van Mirai verdwenen. Een update wordt momenteel naar de toestellen uitgerold om de kwetsbaarheid te verhelpen.
De update van Deutsche Telekom lost echter niet alle problemen op. Volgens veiligheidsspecialist Kenn White zijn er momenteel 41 miljoen toestellen waarvan poort 7547 openstaat. Tot deze toestellen behoren modems van verschillende Europese internetproviders, waaronder het Britse TalkTalk.
