Suomessa tuhannet nettimodeemit saastuneet – Näin poistat haittaohjelman
Saksaan kohdistunut laaja modeemihyökkäys koskettaa myös suomalaisia. Viestintäviraston mukaan tuhansien suomalaisten Zyxel-merkkiset modeemit ovat saastuneet Mirai-haittaohjelman takia.
Hyökkäyksessä kotireitittimiin on ujutettu Mirai-pohjainen haittaohjelma modeemien etähallintaan käytetyn 7547 portin kautta. Viestintävirasto on suositellut teleyrityksiä suodattamaan verkkoliikenteen porttiin TCP/7547 haavoittuvuuden hyväksikäytön estämiseksi. Useat teleyritykset ovat aloittaneet liikenteen suodattamisen.
Ainakin seuraavien laitteiden tiedetään olevan haavoittuvia:
- Zyxel AMG1302-T11C
- Zyxel AMG1312-T10B
- Zyxel AMG1202-T10B (Ei enää myynnissä) Korjaava ohjelmistopäivitys
- Zyxel P-660HN-T1A (Ei enää myynnissä)
- Zyxel P660HN-T1Av2 (Ei enää myynnissä)
- Huawei E3276s-150 (4G-nettitikku)
Viestintävirasto suosittelee päivittämään modeemin ohjelmiston, kunhan korjauspäivitys tulee saataville. Haittaohjelman saa poistettua helposti sammuttamalla modeemin ja käynnistämällä se uudelleen hetken kuluttua. Teleoperaattoreiden suodatustoimenpiteiden ansiosta modeemin ei pitäisi enää saastua uudelleen uudelleenkäynnistyksen jälkeen.
Mirai-haittaohjelman tarkoituksena on liittää laitteita kattavaan bottiverkkoon, jonka avulla on mahdollista suorittaa palvelunestohyökkäyksiä suuriakin verkkopalveluita vastaan.
24 KOMMENTTIA
muppis1/24
Olenko haistavissani tässä, että MS:ää ei kiinnosta hakea FBI:ltä lupaa kaapata Mirai ja ajaa se alas, kuten on tehnyt monille muulle Windowsia apuna käyttäneille bottiverkoille? Kun ei voi kiillottaa omaa kilpeä, niin ei pistetä tikkua ristiin. Mikä olisi tämän parempi keino tehdä se.
Tai miksei myös Google voisi tehdä tämän ihan samalla tavalla. Tai Apple.
Lumikki2/24
Ehkä parempi olisi kysyä miksi siellä laitteessa on etähallinta portti avoinaisena alun alkaenkaan.
perhana3/24
Joissain rohkeissa uutisissa uskallettiin mainita että ongelma koskee nimenomaan linux-pohjaisia laitteita.
Toki tietotekniikkaan perehtyneillä sivustoillahan tuo linux kannattaa jättää mainitsematta, kun se nyt ei vaan ole soveliasta kertoa että sielläkin puolella voi esiintyä haittaohjelmia.
Sellainenkin tieto kerrottiin että tuo uudelleenkäynnistys ja teleoperaattorin suodatus ovat vain väliaikaisia ratkaisuja, lopulliseen korjaukseen tarvitaan laitteen ohjelmiston päivitys jos laitteen kehittäjä sellaisen vaivautuu julkaisemaan.
Lumikki4/24
Mitä tuossa on ihmeellistä että noissa pikku laitteissa on linux? Linuxihan niissä kotireitittimissä on lähes kaikissa.
Tottakai on soveliasta kertoa että onhan linuxillekin haittaohjelmia. Mutta se mitä sinä vihjaat ei ole sama asia.
Koska avoin etähallinta on se joka tässä tapauksessa mahdollisti asian. Kysymys on että kuka helvetti on niin tyhmä että jättää avoimen etähallinnan laitteisiinsa ja kuvittelee että joku muu ei keski miten sitä hyödynnetään.
akse5/24
Ei varmaan reitittimissä mitään windowsiakaan ole.. Linux tai joku Vxworks varmaan ainoat järkevät vaihtoehdot.
perhana6/24
Tottakai se olisi soveliasta kertoa, unohdin täsmentää että kirjoitukseni sisälsi sarkasmia, mutta kun linux-pohjaisten laitteiden kyseessä ollessa vaan jostain syystä usein jätetään mainitsematta että kyse on linux-pohjaisista laitteista ja sitten taas toisaalta muussa keskustelussa hyvin mielellään korostetaan sitä että linux-ohjelmistoissa ei ole virus/haittaohjelmia.
Olisiko se nyt sitten kuitenkin niin että joissain asioissa se kaivattu avoimmuus vaan on helvetin tyhmää... toki microsoftilta ja applelta taas se suljettu järjestelmä on niin kovin tyhmää.
Lumikki7/24
Ehkä olet taas sarkastinen mutta avoimuus/suljettu asia on täysin eri asia kuin tahallinen tietoturvan heikentäminen.
perhana8/24
Avoin järjestelmä = kuka tahansa voi heikentää järjestelmän tietoturvaa jättämällä avoimia portteja
Suljettu järjestelmä = kukaan muu kuin järjestelmän kehittäjä ei pääsee lisäämään niitä avoimia portteja järjestelmään
muppis9/24
Ihan samalla tavalla kaikissa palomuureissa ja NAT laitteissa voi jättää hallinan auki julkiseen verkkoon. Näissä tapauksissa ei ole merkitystä, että mikä käyttis siellä pyörii vaan sillä, että laitteen tekijä on jättänyt joko suoran hallinnan tai jonku takaportin järjestelmään julkiselta puolelta ja bottiverkko hyödyntää sitä.
Eli jättäkää jo käyttöjärjestelmä -hiekkalaatikkotappelut sinne 90 luvulle, minne ne kuuluukin.
Lumikki10/24
Olet kyllä hieman hakoteillä siitä mistä on kyse.
Avoimmus tarkoittaa sitä että jokainen pääsee tutkimaan lähdekoodeja löytääkseen mitä tahansa ongelmia.
Suljettu tarkoittaa sitä että kukaan muu kuin sen ohjelmiston tekijä ei tiedä miten se on tehty.
Kun kuka tahansa ohjelmiston tekijä jättää portteja avoimeksi niin sillä ei ole mitään tekemistä sen kanssa onko ohjelmisto avointa vai suljettua. Se auki jätetty portti on se ongelma itsessään. Etenkin tässä tapauksessa kun kyse oli etähallinta portista.
Jostain syystä olet saanut sellaisen kuvan että avoin portti olisi sama asia kuin ohjelmisto bugi/reikä. Etähallinta portti on tarkoitettu juuri siihen että laitetta voi hallita etäältä. Sen auki jättäminen on se joka vaaransi järjestelmän. Koska se antoi parhaimman mahdollisen jalansijan laitteessa haittaohjelmistojen asennukselle. Kyse oli siis ohjelmiston tekijän tahallisesta tietoturvalaiminlyönnistä.
perhana11/24
Taidat nyt itse olla hakoteillä siitä mitä avoimen lähdekoodin ohjelmisto käytännössä tarkoittaa, tai sitten vaan haluat esittää asian omaan agendaasi sopivammalla tavalla.
Jottei mentäisi pelkästään minun väittämäni varassa, niin lainataan wikipediaa:
Ja näiden modeemien tapauksessahan tuo muokattavuus tarkoittaa sitä että modeemin valmistaja voi muokata siihen oman versionsa softasta, jolloin valmistaja voi vapaasti luoda siihen niitä vakioasetuksilla avoinna olevia portteja ja mitä tahansa tietoturvan heikennyksiä.
user@org (vahvistamaton)12/24
Joidenkin uutisten mukaan kyse bugista.
Lumikki13/24
Tarkoitat siis että se että portti oli avoimena johtuisi bugista. No jaa, selityksiä on monia yhtiöllä joka töpeksii.
Lumikki14/24
Mielenkiintoinen tulkinta.
Selityksesi on siis että kun laite valmistaja tahallisesti (tai töpeksii muuten, viitaten edel. mainittuun bugi asiaan) aiheuttaa avoimen etähallinta portin niin vika on lähtöisin siitä että ohjelmisto on tehty avoimelle alustalle. ;-)
perhana15/24
Älähän nyt naurata vanhaa miestä :D
Vaikka olitkin hakoteillä tuossa avoimen lähdekoodin tulkinnassasi, niin älä nyt yritä kiemurrella eroon asiasta tuollaisilla väitteillä.
En minä missään vaiheessa ole tuollaista väittänyt, vaikka toinkin esille sen että avoin lähdekoodi mahdollistaa sen että ohjelmiston tietoturvaa heikennetään laitevalmistajan toimesta.
Sakke8816/24
Haavoittuvuus tosiaan edellyttää, että portti 7547 on auki ja siellä pyörii etähallintaan tarkoitettua TR-069-protokollaa tukeva palvelu ja modeemin default salasanoja ei ole vaihdettu.
Tällöin "iptables -I INPUT -p tcp --dport 80 -j ACCEPT" komennolla on mahdollista avata laitteen web-käyttöliittymä ulkomaailmaan.
Lumikki17/24
Eikö sinun mielestä suljettu ohjelmisto mahdollista porttien aukaisua laitevalmistajan toimesta?
Koska tuntuu että sinulla ei ole mitään pointtia asian esille tuomiseen.
jartar18/24
Lopeta jo hyvän sään aikana. Sulle on jo selitetty mitä avoin ja suljettu ohjelma tarkoittaa joten olkiukkojen rakentelun voit unohtaa.
Niin ja kyllä ne kaikki tietoturvaongelmat joita löytyy paljon joka päivä johtuu ohjelmistovirheistä. Kyse on lähinnä siitä, että ohjelmointi ei ole helppoa. Jos olet eri mieltä niin siitä vaan näyttämään mallia.
Lumikki19/24
Olen kanssasi samaa mieltä että suurin osa kaikista tietoturvaongelmista joita löytyy johtuu juuri ohjelmointi virheistä. Mutta miten helvetissä joku yritys pystyy tekemään useisiin laitteisiin ohjelmointi virheen joka aukaisee etähallinta portin. Eikö ne edes viitsi tarkistaa mitä portteja on auki omissa laitteissa ennen kuin jakelee niitä laitteistoja joissa sitä ohjelmistoa käytetään tai testata päivityksiään. Itse en usko mihinkään ohjelmistovirheeseen tässä tapauksessa. Voisin uskoa huolimattomuuteen eli unohdettiin sulkea portti, eikä tarkistettu mitään.
perhana20/24
Itse kyllä uskoisin että tuo etähallintaportti on ihan tarkoituksella jätetty auki, se on varmaan tarkoitettu... etähallintaan verkon välityksellä, doh
(esimerkiksi ohjelmistopäivityksiä varten)
Mutta se mitä sitten ei ole osattu huomioida, on ohjelmiston muu tietoturva, eli tuota etähallintaa varten auki olevaa porttia on sitten ollutkin mahdollista käyttää syöttämään haittaohjelma laitteelle.
Se pointti mikä minulla tuossa hyvin vaikeasti tajuttavassa avoimen lähdekoodin ongelmassa on, niin eräs mahdollinen skenaario on se että ohjelmiston alkuperäinen laatija ei ole ehkä edes tarkoittanut ohjelmistoa ulkopuolisen verkon kautta etäkäytettäväksi, eikä siksi ole tehnyt mitään suurempia suojauksiakaan haittaohjelmia vastaan, mutta sitten laitevalmistajien ohjelmistokehittäjät ovat muokanneet lähdekoodia niin että laitetta on mahdollista ohjata myös kotiverkon ulkopuolelta, mutta he eivät ole sitten ottaneet huomioon että tämän jälkeen laite voidaan kaapata haittaohjelman käyttöön.
Sakke8821/24
Haittaohjelmaa ei ole syötetty tuota 7547 porttia käyttäen vaan sen kautta on ollut mahdollista avata portti 80 ulkomaailmaan.
Laitteen oma web-käyttöliittymä pyörii portissa 80 ja jos käytössä on modeemin oletus salasanat, niin hyökkääjä pääsee helposti kirjautumaan sisään. Bugi voi sitten olla jossain muualla mikä sallii oman koodin suorittamisen eli tässä tapauksessa tuon mirai-haittaohjelman.
Jos modeemin oletus salasanat on vaihdettu, niin on turvassa tältä hyökkäykseltä.
Ja mielenkiintoisena huomatuksena, että mirai-haittaohjelma on sen verran ystävällinen, että se sulkee itse tuon 7547 portin. Tosin tämä estää valmistaa päivittämästä ja tukkimasta tätä haavoittuvuutta.
perhana22/24
Ilmeisesti sinulla on sitten jotain tarkempaa sisäpiirin tietoa aiheesta, itse en tiedä muuta kuin sen mitä aiheesta on uutisissa ja tiedotteissa kerrottu, ja niissä kyllä edelleen kerrotaan että laitteeseen tunkeudutaan tuon portin 7547 kautta eikä kyllä missään ole kerrottu että salasanan muuttaminen auttaisi.
mm. tässä afterdawnin uutisessa sanotaan näin:
ja viestintävirasto kertoo näin:
Viestintävirasto toki painottaa salasanojen muuttamisen tärkeyttä kaikissa verkkoon kytketyissä laitteissa, mutta käsittääkseni sen ei kerrota estävän tätä nimeomaista ongelmaa joka johtuu ohjelmiston haavoittuvuudesta.
Sakke8823/24
Lyhyissä uutisissa ja tiedotteissa käsitellään asioita hyvin pintapuoleisesti ja jos asia todella kiinnostaa tai jotain päätelmiä pitäisi tehdä, niin olisi syytä tutustua asiaan hieman tarkemmin.
Pelkkä avoin portti ei ole se ongelma_
-"The Shodan search engine shows that 41 million devices leave port 7547 open, while about five million expose TR-064 services to the outside world."
http://arstechnica.com/security/2016/11...f-home-routers/
Salasanan vaihto auttaa:
-"just like the Metasploit code, the malicious payloads use the exploit to open the remote administration interface and then attempt to log in using three different default passwords"
http://arstechnica.com/security/2016/11...f-home-routers/
-"This exploit drops the firewall to allow access to the web administration interface on port 80 and it also retrieves the wifi password. The default login password to the web interface is the default wifi password."
https://www.exploit-db.com/exploits/40740/
user@org (vahvistamaton)24/24
Joissain uutissa on puhuttu että aukko johtuu bugista.
Mitä muita selityksiä yhtiöltä on tullut ?
Onko tuo bugi rapottikaan yhtiön ? Ja ongelma saattaa koskea useampaa valmsitajaa, joilla samat välineet.
TÄMÄN UUTISEN KOMMENTOINTI ON PÄÄTTYNYT