VPNFilter router malware er mere skadelig og udbredt end først antaget

null

Ny undersøgelser af den sofistikerede malware VPNFilter, der blev afsløret af netværksfirmaet Cisco for to uger siden, viser, at det ondsindede angreb er værre end forventet, ligesom det tilsyneladende har ramt flere end de 500.000 netværksprodukter, man først havde antaget.

Malwaren rammer netværksprodukter som hjemmeroutere og routere til mindre virksomheder, netværk-switche og NAS-diske. Malwaren er indtil videre fundet på produkter fra ASUS, D-Link, Huawei, Ubiquiti, UPVEL og ZTE.

I første omgang fandt folkene på Ciscos Talos Lab malwaren i produkter fra Linksys, Netgear, QNAP og TP Link. Blandt alle navnene er det nok Huawei, der stikker mest ud, idet firmaet er storleverandør til store internetudbydere over hele Europa.

Angrebet med VPNfilter-malwaren bliver anset for så alvorligt, at FBI øjeblikkeligt har grebet ind og beslaglagt et domæne, der blev brugt som command-and-control server.

Samtidigt udsendte de amerikanske myndigheder en verdensomspændende advarsel til ejerne af de muligt inficerede produkter. I advarslen opfordrede myndighederne brugerne til at genstarte netværksudstyret, da dette ville hjælpe med til at rense produkterne.

Nye muligheder opdaget

Først regnede Ciscos Talos Intelligence Group med, at der var tale om et ret normalt botnet-angreb, der kunne bruge de inficerede netværksprodukter som udgangspunkt for større angreb - men siden fandt sikkerhedsfirmaet ud af, at angrebet rummede værre muligheder.

Det viser sig, at malwaren indeholder et "modul" - døbt "ssler" - der kan bruges til at kompromittere datatrafik fra en inficeret router til en anden. Det gør det muligt for malwaren at udtrække informationer som login og password.

Cisco har endnu ikke oplyst, hvor mange produkter, de regner med er blevet inficerede, men til gengæld afslører firmaet, at det ikke nødvendigvis hjælper med en genstart. Malwaren kan tilsyneladende leve videre, og Cisco frygter at angrebet er ved at løbe løbsk.

Cisco har lavet en liste over de produkter, man har konstateret er i fare for at være inficerede, og ejer du et af nedenstående produkter, anbefaler firmaet stadigvæk, at du genstarter produktet:

  • Asus RT-AC66U (ny)
  • Asus RT-N10 (ny)
  • Asus RT-N10E (ny)
  • Asus RT-N10U (ny)
  • Asus RT-N56U (ny)
  • Asus RT-N66U (ny)
  • D-Link DES-1210-08P (ny)
  • D-Link DIR-300 (ny)
  • D-Link DIR-300A (ny)
  • D-Link DSR-250N (ny)
  • D-Link DSR-500N (ny)
  • D-Link DSR-1000 (ny)
  • D-Link DSR-1000N (ny)
  • Huawei HG8245 (ny)
  • Linksys E1200
  • Linksys E2500
  • Linksys E3000 (ny)
  • Linksys E3200 (ny)
  • Linksys E4200 (ny)
  • Linksys RV082 (ny)
  • Linksys WRVS4400N
  • Mikrotik CCR1009 (ny)
  • Mikrotik CCR1016
  • Mikrotik CCR1036
  • Mikrotik CCR1072
  • Mikrotik CRS109 (ny)
  • Mikrotik CRS112 (ny)
  • Mikrotik CRS125 (ny)
  • Mikrotik RB411 (ny)
  • Mikrotik RB450 (ny)
  • Mikrotik RB750 (ny)
  • Mikrotik RB911 (ny)
  • Mikrotik RB921 (ny)
  • Mikrotik RB941 (ny)
  • Mikrotik RB951 (ny)
  • Mikrotik RB952 (ny)
  • Mikrotik RB960 (ny)
  • Mikrotik RB962 (ny)
  • Mikrotik RB1100 (ny)
  • Mikrotik RB1200 (ny)
  • Mikrotik RB2011 (ny)
  • Mikrotik RB3011 (ny)
  • Mikrotik RB Groove (ny)
  • Mikrotik RB Omnitik (ny)
  • Mikrotik STX5 (ny)
  • Netgear DG834 (ny)
  • Netgear DGN1000 (ny)
  • Netgear DGN2200
  • Netgear DGN3500 (ny)
  • Netgear FVS318N (ny)
  • Netgear MBRN3000 (ny)
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • Netgear WNR2200 (ny)
  • Netgear WNR4000 (ny)
  • Netgear WNDR3700 (ny)
  • Netgear WNDR4000 (ny)
  • Netgear WNDR4300 (ny)
  • Netgear WNDR4300-TN (ny)
  • Netgear UTM50 (new)
  • QNAP TS251
  • QNAP TS439 Pro
  • QNAP NAS devices running QTS software
  • TP-Link R600VPN
  • TP-Link TL-WR741ND (ny)
  • TP-Link TL-WR841N (ny)
  • Ubiquiti NSM2 (ny)
  • Ubiquiti PBE M5 (ny)
  • Upvel: Unknown Models (ny)
  • ZTE ZXHN H108N (ny)