Tuhansia suomalaisten modeemeja murrettu, uudelleenkäynnistys poistaa haittaohjelman

Maailmanlaajuisesti on kaapattu arviolta miljoonia laitteita Mirai-bottiverkon jäseniksi. Joukossa on yli kymmenen tuhatta suomalaisten laitetta. Jos laitteesi löytyy alla olevalta listalta, uudelleenkäynnistäminen poistaa haittaohjelman.

Vaikutukset käyttäjille

Haittaohjelmatartunnan havaitseminen käyttäjän toimesta on vaikeaa. Haittaohjelma voi hidastaa laitteen toimintaa tai estää sen normaalin käytön kokonaan. Saastunut laite todennäköisesti osallistuu käyttäjän tietämättä esimerkiksi palvelunestohyökkäyksiin ja käyttää siihen liittymän kapasiteettia.

Liittymän käyttäjä on vastuussa päätelaitteensa puhdistamisesta. Tarvittaessa teleyritys voi rajoittaa liittymästä lähtevää liikennettä yleisen haittaohjelmaliikenteen vähentämiseksi. Teleyritysten mahdollisesti antamia tarkentavia ohjeita tulee noudattaa.

Taustaa

Kotireitittimien internetiin avoinna oleva etähallintapalvelu mahdollistaa haavoittuvuuden hyväksikäytön laitteen saastuttamiseksi. Saastumisen jälkeen laite pyrkii saastuttamaan muita vastaavia laitteita ja liittyy osaksi bottiverkkoa. Kaapatuista laitteista muodostettuja bottiverkkoja käytetään esimerkiksi palvelunestohyökkäyksissä. Laitteiden etähallintaan käytetään yleisesti TCP-porttia 7547.

Viestintävirasto katsoo, että tässä tapauksessa laissa määritellyt edellytykset liikenteen suodattamiselle täyttyvät ja on suositellut teleyrityksiä suodattamaan liikenteen porttiin TCP/7547 haavoittuvuuden hyväksikäytön estämiseksi. Useat teleyritykset ovat aloittaneet liikenteen suodattamisen.

Haavoittuvat laitteet

Tällä hetkellä on tiedossa seuraavien Zyxelin valmistamien ADSL-modeemien olevan haavoittuvia. Alla olevaa listaa päivitetään, kun tietoa uusista haavoittuvista laitteista saadaan:

  • Zyxel AMG1302-T10B
  • Zyxel AMG1302-T11C
  • Zyxel AMG1312-T10B
  • Zyxel AMG1202-T10B (Ei enää myynnissä)

  • Zyxel P-660HN-T1A (Ei enää myynnissä)
  • Zyxel P660HN-T1Av2 (Ei enää myynnissä)

On hyvin todennäköistä, että haavoittuvuus koskee muitakin laitteita. Korjaavia ohjelmistopäivityksiä laitteisiin on saatavilla Zyxelin verkkosivuilta.


Varoituksen kohderyhmä

Kotireitittimien (esimerkiksi ADSL-modeemien ja verkkolaitteiden) omistajat

Ratkaisu- ja rajoitusmahdollisuudet

Päivitä laitteisto valmistajan valmistajan tai teleyrityksen ohjeiden mukaisesti, kun korjaava päivitys on saatavilla.

Mikäli päivitystä laitteeseen ei ole saatavilla, haittaohjelma poistuu uudelleenkäynnistyksellä ja teleyrityksen suodattaessa liikennettä, suodatustoimenpiteet suojaavat uudelleen saastumiselta. Myös siltaavaan tilaan (bridge mode) asetetut laitteet on syytä uudelleenkäynnistää varmuuden vuoksi.

Ongelman rajoittamiseksi teleyritykset ovat verkoissaan rajoittaneet pääsyn laitteiden hallintaan käytettävään porttiin TCP 7547. Haittaohjelma poistuu laitteesta uudelleenkäynnistyksen yhteydessä ja teleyritysten suodatustoimenpiteiden johdosta laite ei saastu uudestaan.

Teleyritysten suodatustoimenpiteet ovat väliaikainen ratkaisu, joten laitteet tulee päivittää, kun korjaava ohjelmistoversio on saatavilla.

Mikäli liittymää tarjoava teleyritys julkaisee tai lähettää täydentäviä ohjeita, noudata teleyrityksen ohjeita.

Lisätietoa

Päivityshistoria

Asiasanat: Tietoturva , CERT , Modeemi , Varoitukset

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248