Botnätet Mirai har tagit över flera tusen finländska modem

Botnätet Mirai sprids aktivt runt om i världen. I Finland har cirka 16 000 enheter blivit drabbade. Infekterade enheter utnyttjas då man vill hitta nya offer och till exempel i blockeringsattacker.

Skadeprogrammet Mirai infekterar olika slags internetanslutna enheter. Mirais originalversion söker tjänster som är öppna mot internet och gör intrång i dem genom att prova flera olika kombinationer av id/lösenord. Mirais källkod har publicerats tidigare på internet och redan då ansåg man att Mirai kommer att ha olika variationer.

Den aktuella versionen söker enheter vars distanshantering genomförs i port TCP/7547 och försöker ta över enheten genom att utnyttja sårbarheten.

Spridning i Finland

Den 25 november 2016 började Mirai allt aktivare skanna sårbara enheter i Finland. Skanningen riktas i synnerhet mot TCP-port 7547 där en hel del nätutrustning har sitt serverprogram för distanshantering. För vissa utrustningsmodeller är konfigurationen av programvaran och hårdvaran sårbar. Angriparen kan utnyttja sårbarheten och ta över enheterna.

Tidigare fanns det i Finland några hundra enheter som blivit infekterade av Mirai. Under veckoslutet och måndag blev åtminstone 16 000 nya enheter drabbade.

Botnätet Mirai har under de senaste månaderna använts för mycket omfattande blockeringsattacker mot webbplatser. Under veckoslutet och början av veckan har det dock inte förekommit några stora blockeringsattacker via Mirai.

Begränsning av konsekvenser

För distanshantering används i allmänhet port TCP/7547, men i vissa fall också port TCP/5555. Antalet enheter som hanteras via TCP/5555 är dock litet och eftersom porten även används för andra tjänster ger filtrering i denna port inte motsvarande fördelar som filtrering i port 7547.

För att förhindra spridningen av botnätet och attacker via det har Kommunikationsverket rekommenderat att teleföretagen filtrerar trafik till TCP-port 7547. Samtidigt undersöks möjligheterna att filtrera botnätets kommandoservertrafik.

Kommunikationsverket påminner alla ägare av nätutrustning om att det är viktigt att byta lösenorden för hantering. Lösenorden för hanteringsgränssnitt måste bytas ut innan enheterna ansluts till internet. Det lönar sig att stänga av de tjänster som man inte behöver via hanteringsgränssnittet.


Mer information

Varning 04/2016: Flera tusen hackade modem i Finland, omstart av datorn avlägsnar skadeprogrammet

Informationssäkerhet nu!-artikel 18.10.2016: IoT-bottiverkot etsivät aktiivisesti internetiin kytkettyjä laitteita

SANS ISC InfoSec diary: Port 7547 SOAP Remote Code Execution Attack Against DSL Modems


Uppdateringshistorik


Ämnesord: Informationssäkerhet, Botnät, Bredband, Lösenord, Mobilt bredband, Modem, Nolldagarssårbarhet, Nät, Nätutrustning, Sakernas internet IoT, Informationssäkerhet nu!


LinkedIn Print