![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Ein k\u00fcrzlich entdecktes Botnet mit dem Namen BCMUPnP_Hunter (Broadcom UPnP Hunter) besteht aus mindestens 100.000 Routern von Heimanwendern und SoHo-Installationen. Es macht sich eine seit f\u00fcnf Jahren bestehende UPnP-L\u00fccke zu Nutze, um die Ger\u00e4te zu befallen. <\/p>\n
<\/p>\n
Jetzt scheint dieser Sans-Eintrag<\/a> von Ende M\u00e4rz 2018 wohl das Interesse der Netlab-Forscher geweckt zu haben. Jemand schildert dort eine Beobachtung:<\/p>\n Have been observing this for about 45 days now (since 02\/08\/2018). Traffic is very bursty — scanning occurs for just an hour or two and stops, then repeats every 3-4 days or so. I have also noticed an (oddly) fixed source port of port 6\/tcp on the scan packets. Not sure of the intent — perhaps looking for Broadcom UPnP? But curious that the scanning starts and stops so abruptly from 10's of thousands of source IPs. Feels botnet-like, but no evidence to support that.<\/p>\n<\/blockquote>\n Dann sind die Sicherheitsforscher von Netlab wohl im September 2018 auf ein Botnet gesto\u00dfen, welches sich genau diese UPnP-Schwachstelle zunutze macht. In diesem Beitrag<\/a> beschreiben sie die Entdeckung des Botnet mit dem Namen BCMUPnP_Hunter, welches seit September 2018 aktiv zu sein scheint. Es wurden mindestens 100.000 Ger\u00e4te bei Scans des TCP Port 5431 festgestellt. The Register berichtete<\/a> vor einigen Tagen dar\u00fcber. <\/p>\n Ist ein Router unter der Kontrolle des Botnetzes, wird er mutma\u00dflich als Spam-Schleuder missbraucht. Dazu verbindet sich der Knoten mit zahlreichen E-Mail-Servern wie beispielsweise Outlook, Hotmail und Yahoo!, um Spam zu versenden. 360 Netlab hat eine Liste der von Ihnen gefundenen Router ver\u00f6ffentlicht:<\/p>\n Die Liste erhebt aber keinen Anspruch auf Vollst\u00e4ndigkeit. Sch\u00fctzen kann man sich, indem man UPnP in der Konfiguration des Routers deaktiviert. Alternativ kann man schauen, ob der Router-Hersteller ein Firmware-Update bereitstellt. Weitere Details sind dem NetLab-Bericht<\/a> (Englisch) oder den Beitr\u00e4gen von heise.de<\/a> und ComputerBase<\/a>.<\/p>\n Weil es gerade passt: Bei D-LINK finden sich im Central WiFiManager CWM-100 mehrere Sicherheitsl\u00fccken. <\/p>\nBereits im Jahr 2013 hat DefenseCode ein Security Advisory Broadcom UPnP Remote Preauth Root Code Execution<\/a> ver\u00f6ffentlicht und auf eine kritische Schwachstelle bei der Broadcom UPnP-Software hingewiesen. <\/p>\n
![](\"https:\/\/web.archive.org\/web\/20190513150141\/https:\/\/blog.netlab.360.com\/content\/images\/2018\/11\/Snip20181102_9.png\")
(Quelle: NetLab, Scanner IP der letzten 7 Tage weltweit)<\/p>\nBotnetz BCMUPnP_Hunter ist aktiv<\/h2>\n
\n
Router werden als Spam-Schleuder missbraucht<\/h2>\n
\n
Schwachstellen bei D-LINK <\/h2>\n
\n
\n