Tusentals hackade modem i Finland, omstart avlägsnar skadeprogrammet

Uppskattningsvis flera miljoner enheter runt om i världen har kapats av Mirai-botnätet. Bland dessa finns över tiotusen finländska enheter. Om din enhet finns på listan nedan, omstarta den. Då avlägsnas det skadliga programmet.

Konsekvenser för användare

Det är svårt för användare att upptäcka att enheten blivit infekterad av ett skadligt program. Skadeprogrammet kan göra enheten långsammare eller förhindra helt den normala användningen. Enhet som drabbats deltar sannolikt i blockeringsattacker och använder abonnemangets kapacitet utan att användaren vet om det.

Användaren av abonnemanget är ansvarig för att rensa enheten. Vid behov kan teleföretaget begränsa användarens utgående trafik för att minska trafiken med skadliga program. Det är viktigt att följa teleföretagets eventuella preciserade anvisningar.

Bakgrund

Distanshantering av hemroutrar med en öppen port till internet möjliggör att sårbarheten kan utnyttjas för att infektera en enhet. Efter infektionen försöker enheten smitta andra motsvarande enheter som en del av botnätet. Botnät som består av kapade enheter används till exempel för blockeringsattacker. För distanshantering av enheter används i allmänhet TCP-port 7547.

Kommunikationsverket anser att lagens förutsättningar för filtrering av trafik uppfylls i detta fall och rekommenderar att teleföretagen filtrerar trafik till port TCP/7547 för att förhindra att sårbarheten utnyttjas. Flera teleföretag har redan börjat filtrera trafiken.

Sårbara enheter

För tillfället finns det kännedom om att följande Zyxels ADSL-modem är sårbara. Listan uppdateras när det finns information om nya sårbara enheter:

  • Zyxel AMG1302-T10B
  • Zyxel AMG1302-T11C
  • Zyxel AMG1312-T10B
  • Zyxel AMG1202-T10B (Inte längre till salu)
  • Zyxel P-660HN-T1A (Inte längre till salu)
  • Zyxel P660HN-T1Av2 (Inte längre till salu)

Det är mycket sannolikt att sårbarheten även gäller andra enheter. Zyxel har publicerat uppdaterade firmwares för sårbara modeller. Besök Zyxels stödsidor för mera information.

Målgrupp för varningen

Ägare av hemroutrar (t.ex. ADSL-modem och nätutrustning)

Åtgärds- och begränsningsmöjligheter

Uppdatera utrustningen i enlighet med tillverkarens eller teleföretagets anvisningar, när korrigerande uppdatering finns tillgänglig.

Om det inte är möjligt att få en uppdatering, omstarta enheten. Det avlägsnar skadeprogrammet samtidigt som teleföretagens filtreringsåtgärder ger skydd mot ny infektion. För säkerhets skull är det även skäl att starta om routrar som används i s.k. "bridge mode".

För att avgränsa problemet har teleföretagen begränsat tillträde till port TCP 7547 som används för distanshantering av enheter. Skadeprogrammet kan rensas vid omstart och med anledning av teleföretagens filtreringsåtgärder blir enheten inte smittad igen.

Teleföretagens filtrering är en tillfällig lösning. Enheterna ska uppdateras när en programkorrigering finns tillgänglig.

Om företaget som tillhandahåller abonnemanget publicerar eller skickar kompletterande anvisningar, se till att du följer dem.

Mer information

Uppdateringshistorik

Ämnesord: Informationssäkerhet , CERT , Modem , Varningar

LinkedIn Print

logo

Kommunikationsverket

Cybersäkerhetscentret

PB 313, 00181 Helsingfors


Mediekontakter per telefon: +358 295 390 248