Hackers har infekterat 500.000st Small Business / Hemma-routers med skadlig kod /Malware kallat VPNFilter.
Detta har pågått sedan 2016. Cisco har haft ögonen på detta under flera månader.
Senaste tiden har man sett en eskalering och nu är minst 500.000st routers/nas-enheter över 54 länder är infekterade.

Det är en så pass sofistikerad attack, att man tror den är sanktionerad av någon stat. Attacken utförs i tre steg, se illustration.
VPNFilter utnyttjar en sårbarhet koden för RC4-krypteringen. Denna är identisk med den sårbarhet i koden man hittade BlackEnergy, som skapade ett stort strömbortfall i Ukraina under den kallaste månaden, 2016.

Drabbade produkter:

  • Linksys E1200
  • Linksys E2500
  • Linksys WRVS4400N
  • Mikrotik RouterOS for Cloud Core Routers: Versions 1016, 1036, and 1072
  • Netgear DGN2200
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • QNAP TS251
  • QNAP TS439 Pro
  • Other QNAP NAS devices running QTS software
  • TP-Link R600VPN

Rekommendation:
Om någon av ovan produkter används i organisationen, så rekommenderar vi att byta ut dessa omgående.
Anledningen till att vi rekommenderar en sån drastisk åtgärd, är för man helt enkelt inte vet hur man får bort detta Malware (dags datum). Med största sannolikhet ligger det även kvar vid en omstart av enheten.

Vidare rekommendation är att se över sitt perimeterskydd. Verifiera att dom senaste definitionerna för UTM-funktionalitet finns nedladdad och även firmware uppdaterat.
Om det inte finns DDoS-skydd (Distributed Denial of Service attack) för kritiska tjänster med ansiktet mot Internet, så bör omgående värdera om det behövs.

Vidare, så se över Endpoint-skydd för klienter och servrar. Se till att dom senaste definitionerna finns nedladdade.
För hemanvändare, så rekommenderar vi att köra en ”Factory Reset” (Fabriksåterställning) och uppdatera enheten med senaste firmware. Se tillverkarens supportsida för instruktioner.
Vi fortsätter följa detta hot på NSEC. Bild från Cisco.

 

Ytterligare info:
https://blog.talosintelligence.com/2018/05/VPNFilter.html
https://arstechnica.com/information-technology/2018/05/hackers-infect-500000-consumer-routers-all-over-the-world-with-malware/
https://cert.se/2018/05/vpnfilter-skadlig-kod-for-natverksutrustning/