Новости

VPNFilter атакует роутеры Mikrotik, Linksys и TP-link

По данным кибер-лабораторий компании Cisco и Symantec, ботнет VPNFilter в настоящее время захватил контроль над полумиллионном межсетевых экранов нескольких производителей.

На данный момент известно, что для инфицирования устройств ботнет использует несколько различных уязвимостей прошивок роутеров и их неверную настройку. Например, для D-Link DIR-620 это уязвимости CVE-2018-6213 (бекдор - наличие не удаляемого инженерного пароля), CVE-2018-6210 (позволяет сбросить учетные данные и получить удаленный доступ к маршрутизатору по протоколу telnet).

Список моделей зараженных сетевых устройств (возможно не полный, т.к. часто одинаковые прошивки используются несколькими моделями роутеров):
  • Mikrotik RouterOS для роутеров Cloud Core: версии 1016, 1036 и 1072;
  • D-Link DIR-620;
  • Linksys E1200, E2500;
  • Linksys WRVS4400N;
  • Netgear DGN2200;
  • Netgear R6400, R7000, R8000;
  • Netgear WNR1000, WNR2000;
  • QNAP TS251, TS439 Pro;
  • другие устройства QNAP NAS, работающие под управлением QTS;
  • TP-Link R600VPN.

Ботнет способен пережить перезагрузку устройств и обладает следующими вредоносными функциями:
  • Перехват и анализ сетевого трафика (в т.ч. на встречающиеся в нем пароли);
  • Мониторинг протокола SCADA, использующегося в автоматизированных системах управления технологическими процессами (что позволяет предположить направленность ботнета на атаку критической инфраструктуры);
  • Система самоуничтожения, способная превратить роутер в "кирпич", повреждая прошивку устройства в случае активации данной функции.

РЕКОМЕНДАЦИИ ПО ЗАЩИТЕ СЕТИ

  1. Обновите прошивку уязвимых устройств, если производитель продолжает их поддержку. Для Mikrotik, например, версия RouterOS должна быть не ниже 6.38.5.
  2. Если устройство позволяет получить доступ к файловой системе, проверьте наличие каталогов var/run/vpnfilterm, /var/run/vpnfilterw, var/run/torr и var/run/tord. Если они есть - отключите устройство от сети Интернет и произведите перепрошивку ПО.
  3. Запланируйте замену роутеров на более современные средства защиты сетевого периметра - UTM и NGFW-системы.

БЕСПЛАТНАЯ ВЕРСИЯ IDECO ICS

Даже в своем бесплатном варианте шлюз безопасности Ideco ICS предоставляет возможности, не доступные для межсетевых экранов прошлого поколения и способные серьезно повысить защищенность вашей сети от ботнетов, шифровальщиков и других современных угроз информационной безопасности.

Прежде всего это модули глубокого анализа трафика:
  • система предотвращения вторжений (предоставляется бесплатно на 3 месяца, с возможностью бесплатного продления);
  • контроль приложений (модуль позволяет блокировать несколько сотен программ, включая торренты, современные мессенджеры, TOR и другие);
  • контент-фильтр (144 категории, включающие в себя домены командных центров ботнетов, фишинговые и зараженные сайты);
  • антивирус для проверки веб- и почтового трафика.

ВЫПОЛНИТЬ РЕГИСТРАЦИЮ И СКАЧАТЬ

Также вы можете приобрести компактную аппаратную версию нашего решения, использующую пассивное охлаждение, SSD-диск и современный процессор, достаточный для работы всех модулей - Ideco SX+.
Статьи