Security Week 41: SMS-ботнет из 4G-роутеров

Security Week 41: SMS-ботнет из 4G-роутеров
781468bc38cb8fe55a6c071c3bde2178.jpeg
На прошедшей недавно виртуальной конференции VB2021 исследователи из компаний Acronis и Search-Lab рассказали о ботнете из роутеров TP-Link. Начало исследованию было положено еще в 2018 году, когда один из авторов изучал роутер модели TL-MR6400, регулярно съедавший средства с мобильного счета владельца. С высокой вероятностью роутер был взломан с использованием уязвимости, обнаруженной еще в 2015 году.

В отличие от большинства IoT-ботнетов, использующих уязвимости в роутерах для атак на пользователей и DDoS, взломанные MR6400 использовались для рассылки текстовых сообщений. Среди «выловленных» в логах роутеров SMS были как обычные вредоносные сообщения типа «с вас сняли 4 евро, пройдите по ссылке, чтобы отменить», так и коды двухфакторной авторизации, а также предсказания результатов спортивных состязаний. Хотя владельцев ботнета установить не удалось, они явно продавали доступ к своей SMS-ферме тем, кто нуждался в нелегальном сервисе рассылок с дешевым ценником.

Уязвимость, закрытая в 2015 году, — тривиальнейшая. Роутер отдавал содержимое системных файлов по запросу типа «GET /login/. ./. ./. ./etc/passwd HTTP/1.1». Строка "/login/. ./. ./. ./tmp/dropbear/dropbearpwd" возвращала логин и пароль администратора. Пароль захеширован при помощи алгоритма md5 и легко восстанавливался перебором. Авторы исследования убедились, что эта же проблема типа path traversal могла использоваться для доступа к функциональности встроенного 4G-модема, возможно, и вовсе без получения пароля от админки. Хотя оценки количества устройств в ботнете не приводились, авторы говорят о пике активности в 2018 году. С тех пор ботнет сокращался, возможно, за счет переключения киберпреступников на другие устройства, установки патчей. Или за счет естественной замены устройств на новые, хотя указанный в исследовании 4G-роутер до сих пор присутствует в продаже.

Что еще произошло:

На прошлой неделе у сервиса видеостриминга Twitch произошла крупнейшая утечка данных . В открытый доступ попали 135 гигабайт данных, включая исходные коды сервиса, пароли пользователей, данные сотрудников и информацию о доходе популярных участников сервиса, средства для тестирования безопасности. Причина утечки — некорректно сконфигурированный сервер.

Крупнейшее падение сервиса на прошлой неделе не связано с вредоносной активностью. Шестичасовой даунтайм Facebook произошел из-за падения внутренней сети, в результате ввода ошибочной команды для диагностики. В отчете Facebook отмечается интересная проблема при возвращении крупного сервиса в строй: если «включить все сразу», крайне вероятен повторный выход инфраструктуры из строя, как минимум из-за резкого скачка энергопотребления. Технические специалисты соцсети сообщают, что «к счастью» сценарий полного шатдауна с последующим восстановлением был отработан. А вот система «защиты от дурака», блокирующая некорректные команды системного администратора, хоть и имелась в наличии, но не помогла.

В конце года специалисты Microsoft отключат возможность запуска макросов XLM в Office 365 по умолчанию. Этот тип макросов также известен как Excel 4.0 Macros, так как впервые был внедрен в этой версии редактора электронных таблиц еще в 1992 году. С тех пор макросы регулярно использовались для кибератак, а в прошлом году частота использования такого вредоносного ПО серьезно повысилась.

Эксперты компании F-Secure описывают детали простой уязвимости во встроенном ПО Gatekeeper для проверки цифровой подписи устанавливаемых программ в MacOS. Если длина пути при распаковке архива с программой превышает 866 символов, это позволяет обойти все проверки.
tp-link MR6400
Alt text

В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!