Новая информация о VPNFilter: проведение атаки на пользовательские устройства, расширен список сетевого оборудования

[MOPOH]

С подозрением посмотрел на свой zyxel, он в ответ подмигнул мне зелёным светодиодом…

[alukatsky]

Правильного ли оттенка был зеленый миг?

[Uranic2]

Две недели назад перестал работать интернет. Перезагрузка моего ASUS RT18 не помогла, в службе поддержки провайдера интернета сказали, что модем нормально подключается к ним. Подключится к роутеру не смог. Уже думал покупать новый, но сбросил до заводских настроек, перепрошил последней прошивкой, настроил и опять все заработало. И вот что это было? Как проверить не заражен ли сейчас мой модем?

[alukatsky]

RT18 в списке отсутствует

[Uranic2]

Угу, тока последний абзац уж больно страшен:

Учитывая накопленный объем информации об этой угрозе, мы полагаем, что данный список не является исчерпывающим, и угрозе могут быть подвержены и другие устройства.

[Bibliolog]

Та же ситуация была с ASUS RTN15U, сбросил до заводских — помогло. А за неделю до этого 100КБ входящего на все уст-ва с wi-fi и отсутствие исходящего. Тогда просто перезагрузил роутер и сменил ssid и пароль. Теперь задумался об open source прошивке…

[alukatsky]

Open source что-то изменит? Уязвимости те же, только устраняются реже

[kt97679]

Как быстро утраняется проблема в опен сорсной прошивке зависит от мантейнера и в общем случае является хорошим мерилом стоит ли переходить на эту прошивку.

[alukatsky]

Да, верно

[ImJustCurious]

Нигде так и не написали как именно происходит заражение роутера, и как это задетектить. Подключаться любым возможным способом и смотреть содержимое флэш памяти?

P.S. Обнаружил свой асус в списке уязвимых. Обновлений для прошивки на данный момент нет, последнее было почти месяц назад. Можно начинать паниковать?

[alukatsky]

А вы в первой части (https://blog.talosintelligence.com/2018/05/VPNFilter.html) смотрели? Мы ее, правда, на русский не переводили

[ImJustCurious]

Посмотрел, спасибо. Насколько я понял из

We are unsure of the particular exploit used in any given case, but most devices targeted, particularly in older versions, have known public exploits or default credentials that make compromise relatively straightforward.

сейчас точно не известно, как происходит само заражение. Поэтому и рекомендации в статье самые классические — своевременно обновлять ПО. Однако информации о том, как проверить свой роутер на присутствие в нем vpnfilter там вроде нет.

[alukatsky]

Ну написано, что в большинстве случаев использовались либо известные эксплойты, либо пароли по умолчанию.

[pvs043]

Т.е. на моего старичка D-Link DIR-300 червяк не пролезет, если стандартный пароль админа изменен?
Новых прошивок к нему давным-давно нет, на уровне провайдера включен «стандартный» файрволл (надеюсь, telnet блокирует).

[eugenex15]

на свои dlinkи и tplinkи установил LEDE (OpenWrt) забыв про родные прошивки
что со стареньким mikrotikoм делать?!

[DaemonGloom]

Если он совсем старый (MIPSLE) — закрыть управление снаружи (http и winbox). Все последние крупные уязвимости были либо через дыры в управлении, либо через стандартные пароли.
Все прочие старые микротики обновляются прекрасно на новый софт.
Вашему сколько лет уже?

[KorDen32]

Т.е. на моего старичка D-Link DIR-300 червяк не пролезет, если стандартный пароль админа изменен?

Зависит от ревизии и прошивки. У длинков есть HNAP1, есть захардкоженный Alphanetworks, и так далее и тому подобное.
В общем случае — НИКОГДА не открывать доступ к ЛЮБЫМ длинкам на стоковых прошивках снаружи. Более радикальный вариант — выкинуть все длинки в поле зрения на помойку, если на них нет стабильно работающей *WRT.

[safari2012]

Что такое Netgear WNDR3700(новое). У меня 3800, который, вроде как сделан на базе 3700. Всё никак не собирусь перешить на OpenWRT. Пора уже или можно пока расслабиться?

[Renaissance]

Сужу по своему опыту с WNR2200 (тоже в списке уязвимых) — определенно стоит. После перехода с заводской на WRT-производные (сначала DD-WRT, затем LEDE/OpenWRT) роутер зажил по настоящему новой жизнью. Ну и ковыряться и настраивать на нем всякие штуки довольно интересно и расширяет кругозор.

[safari2012]

Подскажите, у кого такой же роутер wndr3800, что лучше (стабильнее) работает, OpenWRT, DD-WRT или Tomato?

[Mur81]

Залита LEDE (сейчас они снова объединились с OpenWrt). Не вис ни разу (впрочем он и с родной не вис). Серьёзные уязвимости фиксят оперативно.

[safari2012]

Ага, спасибо, тоже залил LEDE. А у меня родной иногда зависал, когда на раздаче было много торрентов. Посмотрим на LEDE.

[kt97679]

Asus RT-n56u бывает двух модификаций. Вы случайно не знаете уязвимы ли обе или только какая-то одна? Уязвима только стоковая прошивка или известны проблемы с альтернативными прошивками?

[alukatsky]

Тут пока подсказать не можем. Лучше перепрошить и сменить пароли по умолчанию

[kt97679]

Понятно, спасибо. Уточню на всякий случай, что меня интересует уязвимость вот этой прошивки: bitbucket.org/padavan/rt-n56u

[vanburg]

Весь оптоволоконный Ростелеком на Huawei 8245(H), но у них, вроде, ремутная прошивка. Надо будет проверить, залатали ли

[Sokol666]

не все. Часть на Sercomm у Билайна такие-же роутеры. Информации про их защищенность мы наверное никогда не увидим.

[GDragon]

Продукция Mikrotik:

Тут скорее будет «Все базирующиеся на ROS»

[GDragon]

Поясню, большинство устройств Mikrotik базируется на единой операционной системе — Router OS
И уязвима была именно она, так что перечислять модели бессмысленно, уязвимы все устройства имеющие старую версию ROS.

[Pensioner799]

Список пополняется!

[alukatsky]

Увы

[Soren]

Вот какой смысл перечислять большую часть моделей MikroTik, когда дыра в ОС, универсальной для всех моделей? Не говоря уже о том, что, как упомянули выше, дыра закрыта более чем год назад.

[alukatsky]

Многие пользователи даже не знают о ОС, которая у них установлена, но знают модель железки

[Mur81]

Пользоваться Микротиком не зная про ROS и не имея хотя бы базовых знаний по её настройке практически не реально. Так что такое может быть только если ставил и настраивал роутер кто-то другой. Достаточно редкая ситауция, обычно ставят всякий ширпотреб. Я такую ситуацию один раз всего видел — когда провайдер человеку Микротик поставил.
Ну и написали бы действительно тогда "MikroTik — все устройства с прошивкой до версии такой-то". А то часть моделей написали, часть — нет. Теперь гипотетический пользователь, не знающий про ROS но пользующийся Микротиком, модель свою в списке не найдёт и успокоится. А зря.

[Mur81]

Может ребята из Cisco не в курсе про единую ОС?

[alukatsky]

Ребята из Cisco не делают предположений, а фиксируют то, что видели своими глазами.

[Mur81]

В данном случае очень спорная позиция. Всё равно что сказать, что есть некий зловред, работающий на компьютере марки Lenovo модели такой-то с ОС Windows 7 x86 (потому что мы его поймали именно на таком компьютере). При этом умолчать, что оный зловред естественно работает на любом компьютере с такой же ОС как минимум, а как максимум на всей линейке Windows. Кто "в теме" это естественно понимают. А кто нет — подумает: "так, у меня не Lenovo модели такой-то, значит мне бояться нечего". Как-то не очень профессионально.

[alukatsky]

Чтобы сказать, что он работает на ЛЮБОМ компьютере с такой же ОС надо все-таки провести хотя бы минимальные тестирования на широкой выборке устройств. У нас нет ее. А делать выводы, не имея фактов, мы не можем. Поэтому и пишем про то, что видели.

[Mur81]

Ребят, я конечно всё понимаю. Но программа написанная под определённую ОС и определённую архитектуру железа с очень высокой вероятностью заработает на другой железке с такой же архитектурой и ОС. Я думаю Вы это не хуже меня понимаете. Дело в том, что надо тогда понимать аудиторию для кого Вы пишите. А то Вы сами себе противоречите — выше Вы писали, что есть люди не знающие про ROS, но знающие модель роутера. Так вот те кто мало мальски в Микротиках понимает всё поняли и так. А те кто не понимает и не увидели в списке свою модель успокоились. Хотя вероятность того, что подвержена вся модельная линейка практически 100%. Как я понимаю и сами микротиковцы на это указали, как и на то что уязвимость закрыта больше года назад.
Если не хотите писать не проверенные лично данные, то допишите хотя бы внизу примечание типа "С большой долей вероятности подвержена вся модельная линейка с прошивкой до версии current 6.38.5 (bugfix 6.37.5)".

[alukatsky]

Вы когда-нибудь имели дело с американскими юристами? Как вы думаете, что может быть, если Микротик вдруг решит подасть в суд, где спросят про доказательства для ВСЕХ моделей на базе ROS? Поэтому пишем про то, что видели лично. Можно с этим спорить или не спорить, но это так. Кто мало-мальски понимает, тот все понял и так. Кто не понимает, я не уверен, что вообще прочитает эту статью

[lamer84]

Насколько я понял, до Zyxel пока не добрались?

[alukatsky]

Пока нет

[Pensioner799]

Собственно если что то как рядовому пользователю быть? Скажем если у него dir-300? Сбрасывать к заводским? или обновлять прошивку, пере прошивать скажем такой же версией, ну как пере установил?

[alukatsky]

Для гарантии лучше сбросить и перепрошить последней версией, заменив пароли по умолчанию

[dhomedo]

надеюсь господа вы понимаете что если ВАШ роутер БЫЛ взломан, то новая прошивка которую вы скачаете через свой взломаный роутер не принесет вам избавление. если говорить об подобных вещях то единственный реальный путь — воткнутся в в магистрального провайдера и то не факт что всё пройдет гладко

[alukatsky]

Во-первых, мы такой функциональности пока не обнаружили. А во-вторых, можно обойтись и без магистрального оператора, просто воспользовавшись мобильным интернетом.

[dhomedo]

есть страна-остров Кипр с одним магистральным где взломано все вплоть до мобильного уже год, и кроме нескольких человек это никого не интересует(поскольку не видят симптомы), и никто бороться с этим увы не может ввиду отсутствия чистого инета. было бы здорово поучаствовать, поскольку функционал тут зашкаливает