Ein kürzlich entdecktes Botnet mit dem Namen BCMUPnP_Hunter (Broadcom UPnP Hunter) besteht aus mindestens 100.000 Routern von Heimanwendern und SoHo-Installationen. Es macht sich eine seit fünf Jahren bestehende UPnP-Lücke zu Nutze, um die Geräte zu befallen.
Anzeige
Die Schwachstelle aus 2013
Bereits im Jahr 2013 hat DefenseCode ein Security Advisory Broadcom UPnP Remote Preauth Root Code Execution veröffentlicht und auf eine kritische Schwachstelle bei der Broadcom UPnP-Software hingewiesen.
(Quelle: NetLab, Scanner IP der letzten 7 Tage weltweit)
Botnetz BCMUPnP_Hunter ist aktiv
Jetzt scheint dieser Sans-Eintrag von Ende März 2018 wohl das Interesse der Netlab-Forscher geweckt zu haben. Jemand schildert dort eine Beobachtung:
Have been observing this for about 45 days now (since 02/08/2018). Traffic is very bursty — scanning occurs for just an hour or two and stops, then repeats every 3-4 days or so. I have also noticed an (oddly) fixed source port of port 6/tcp on the scan packets. Not sure of the intent — perhaps looking for Broadcom UPnP? But curious that the scanning starts and stops so abruptly from 10's of thousands of source IPs. Feels botnet-like, but no evidence to support that.
Dann sind die Sicherheitsforscher von Netlab wohl im September 2018 auf ein Botnet gestoßen, welches sich genau diese UPnP-Schwachstelle zunutze macht. In diesem Beitrag beschreiben sie die Entdeckung des Botnet mit dem Namen BCMUPnP_Hunter, welches seit September 2018 aktiv zu sein scheint. Es wurden mindestens 100.000 Geräte bei Scans des TCP Port 5431 festgestellt. The Register berichtete vor einigen Tagen darüber.
Anzeige
Router werden als Spam-Schleuder missbraucht
Ist ein Router unter der Kontrolle des Botnetzes, wird er mutmaßlich als Spam-Schleuder missbraucht. Dazu verbindet sich der Knoten mit zahlreichen E-Mail-Servern wie beispielsweise Outlook, Hotmail und Yahoo!, um Spam zu versenden. 360 Netlab hat eine Liste der von Ihnen gefundenen Router veröffentlicht:
- ADB Broadband: HomeStation ADSL Router
- ADB Broadband: ADB ADSL Router
- ADB Broadband: ADB ADSL Router
- ALSiTEC: Broadcom ADSL Router
- ASB: ADSL Router
- ASB: ChinaNet EPON Router
- ASB: ChinaTelecom E8C(EPON) Gateway
- Actiontec: Actiontec GT784WN
- Actiontec: Verizon ADSL Router
- BEC Technologies Inc.: Broadcom ADSL Router
- Best IT World India Pvt. Ltd.: 150M Wireless-N ADSL2+ Router
- Best IT World India Pvt. Ltd.: iB-WRA300N
- Billion: ADSL2+ Firewall Router
- Billion: BiPAC 7800NXL
- Billion: BiPAC 7700N
- Billion: BiPAC 7700N R2
- Binatone Telecommunication: Broadcom LAN Router
- Broadcom: ADSL Router
- Broadcom: ADSL2+ 11n WiFi CPE
- Broadcom: Broadcom Router
- Broadcom: Broadcom ADSL Router
- Broadcom: D-Link DSL-2640B
- Broadcom: D-link ADSL Router
- Broadcom: DLink ADSL Router
- ClearAccess: Broadcom ADSL Router
- Comtrend: AR-5383n
- Comtrend: Broadcom ADSL Router
- Comtrend: Comtrend single-chip ADSL router
- D-Link: D-Link DSL-2640B
- D-Link: D-Link DSL-2641B
- D-Link: D-Link DSL-2740B
- D-Link: D-Link DSL-2750B
- D-Link: D-LinkDSL-2640B
- D-Link: D-LinkDSL-2641B
- D-Link: D-LinkDSL-2741B
- D-Link: DSL-2640B
- D-Link: ADSL 4*FE 11n Router
- D-Link: D-Link ADSL Router
- D-Link: D-Link DSL-2640U
- D-Link: D-Link DSL-2730B
- D-Link: D-Link DSL-2730U
- D-Link: D-Link DSL-2750B
- D-Link: D-Link DSL-2750U
- D-Link: D-Link DSL-6751
- D-Link: D-Link DSL2750U
- D-Link: D-Link Router
- D-Link: D-link ADSL Router
- D-Link: DVA-G3672B-LTT Networks ADSL Router
- D-Link: D-Link DSL-2730B
- D-Link: D-Link VDSL Router
- D-Link: DLink ADSL Router
- D-Link: D-Link DSL-225
- DARE: Dare route
- DQ Technology: ADSL2+ 11n WiFi CPE
- DQ Technology: Broadcom ADSL Router
- DSL: ADSL Router
- DareGlobal: D-Link ADSL Router
- Digicom: ADSL Wireless Modem/Router
- Digicom: RAW300C-T03
- Eltex: Broadcom ADSL Router
- FiberHome: Broadcom ADSL Router
- GWD: ChinaTelecom E8C(EPON) Gateway
- Genew: Broadcom ADSL Router
- huaqin: HGU210 v3 Router
- iBall Baton: iBall Baton 150M Wireless-N ADSL2+ Router
- iiNet: BudiiLite
- iiNet: BoB2
- iiNet: BoBLite
- INTEX: W150D
- INTEX: W300D
- INTEX: Wireless N 150 ADSL2+ Modem Router
- INTEX: Wireless N 300 ADSL2+ Modem Router
- ITI: ITI Ltd.ADSL2Plus Modem/Router
- Inteno: Broadcom ADSL Router
- Intercross: Broadcom ADSL Router
- IskraTEL: Broadcom ADSL Router
- Kasda: Broadcom ADSL Router
- Link-One: Modem Roteador Wireless N ADSL2+ 150 Mbps
- Linksys: Cisco X1000
- Linksys: Cisco X3500
- NB: DSL-2740B
- NetComm: NetComm ADSL2+ Wireless Router
- NetComm: NetComm ADSL2+ Wireless Router
- NetComm: NetComm WiFi Data and VoIP Gateway
- OPTICOM: DSLink 279
- Opticom: DSLink 485
- Orcon: Genius
- QTECH: QTECH
- Raisecom: Broadcom ADSL Router
- Ramptel: 300Mbps ADSL Wireless-N Router
- Router: ADSL2+ Router
- SCTY: TYKH PON Router
- Star-Net: Broadcom ADSL Router
- Starbridge Networks: Broadcom ADSL Router
- TP-LINK: 300Mbps Wireless N ADSL2+ Modem Router
- TP-LINK: 300Mbps Wireless N USB ADSL2+ Modem Router
- TP-LINK: TP-LINK Wireless ADSL2+ Modem Router
- TP-LINK: TP-LINK Wireless ADSL2+ Router
- Technicolor: CenturyLink TR-064 v4.0
- Tenda: Tenda ADSL2+ WIFI MODEM
- Tenda: Tenda ADSL2+ WIFI Router
- Tenda: Tenda Gateway
- Tenda/Imex: ADSL2+ WIFI-MODEM WITH 3G/4G USB PORT
- Tenda/Imex: ADSL2+ WIFI-MODEM WITH EVO SUPPORT
- UTStarcom: UTStarcom ADSL2+ Modem Router
- UTStarcom: UTStarcom ADSL2+ Modem/Wireless Router
- UniqueNet Solutions: WLAN N300 ADSL2+ Modem Router
- ZTE: Broadcom ADSL Router
- ZTE: ONU Router
- ZYXEL: ZyXEL VDSL Router
- Zhone: Broadcom ADSL Router
- Zhone: Zhone Wireless Gateway
- Zoom: Zoom Adsl Modem/Router
- ZyXEL: CenturyLink UPnP v1.0
- ZyXEL: P-660HN-51
- ZyXEL: ZyXEL xDSL Router
Die Liste erhebt aber keinen Anspruch auf Vollständigkeit. Schützen kann man sich, indem man UPnP in der Konfiguration des Routers deaktiviert. Alternativ kann man schauen, ob der Router-Hersteller ein Firmware-Update bereitstellt. Weitere Details sind dem NetLab-Bericht (Englisch) oder den Beiträgen von heise.de und ComputerBase.
Schwachstellen bei D-LINK
Weil es gerade passt: Bei D-LINK finden sich im Central WiFiManager CWM-100 mehrere Sicherheitslücken.
- CVE-2018-15516 / D- LINK Central WifiManager CWM-100 / FTP Server PORT Bounce Scan hyp3rlinx (Nov 09)
- CVE-2018-15517 / D-LINK Central WifiManager CWM-100 / Server Side Request Forgery hyp3rlinx (Nov 09)
- CVE-2018-15515 / D-LINK Central WifiManager CWM-100 / Trojan File SYSTEM Privilege Escalation hyp3rlinx (Nov 09)
Tipp: Bei heise.de kann man diese Seite aufrufen und einen Scan seiner Ports durchführen lassen. Die Seite zeigt sehr schnell, ob es dort Probleme mit offenen Ports gibt.
Anzeige
In Zukunft sehe ich es schon wir werden die Computer und alles technische abschaffen und wieder auf Trommeln umsteigen,.