‘Mirai malware gaat in toenemende mate voor problemen zorgen’

De recente aanval met de Mirai malware op routers van Deutsche Telekom is voorteken van de groeiende dreiging die van deze malware variant uitgaat. Door een extra exploit toe te voegen aan de malware hebben de aanvallers zich op een groot aantal apparaten weten te richten die eerder niet voor de Mirai malware kwetsbaar was.

Hiervoor waarschuwt Johannes Ulrich van het SANS Institute in een SANS Internet Storm Center advisory. De broncode van de Mirai malware is eind oktober gepubliceerd op internet. De malware werd in eerste instantie gebruikt om Internet of Things apparaten zoals routers, webcams en digitale videorecorders aan te vallen die zijn voorzien van standaard of zwakke wachtwoorden.

Routers van Deutsche Telekom

Zondag 27 oktober bleken aanvallers de malware echter te hebben aangepast en voorzien van een extra exploit. Met behulp van deze exploit hebben de aanvallers geprobeerd 900.000 routers van Deutsche Telekom met de Mirai malware te infecteren, met als doel deze apparaten onderdeel te maken van een botnet. De aanval mislukte, maar zorgde er wel voor dat de routers van Deutsche Telekom offline gingen.

Ulrich waarschuwt dat de kwetsbaarheid waarvan de aanvallers misbruik hebben gemaakt veelvoorkomend is. “Wat we nu zien is slechts het puntje van de ijsberg. Door deze exploit toe te voegen heeft Mirai toegang gekregen tot veel meer apparaten dan het al had”, aldus de beveiligingsonderzoeker. Het gaat om een kwetsbaarheid die onder andere aanwezig is in de managementinterface die door de routers van Deutsche Telekom wordt gebruikt.

TR-069

Bij de aanval is misbruik gemaakt van een kwetsbaarheid in TR-069, een standaard van het Broadband Forum die Internet Service Providers (ISP’s) in staat stelt routers op afstand te beheren. Standaard maakt dit protocol gebruik van poort 7547, al wordt op sommige apparaten gebruik gemaakt van poort 5555. Op 7 november 2016 is online een blogpost verschenen van een gebruiker genaamd ‘kenzo2017’ waarin wordt uitgelegd hoe de ‘NewNTPServer’ functie van TR-064 (de voorloper van TR-069) kan worden misbruikt om op afstand commando’s uit te voeren op apparaten. Deze post heeft betrekking op de D1000 modem die door de Ierse ISP Eir wordt gebruikt, maar kan ook worden gebruikt om andere apparaten.

Ulrich meldt dat gelijktijdig met de aanval op de routers van Deutsche Telekom een grote toename is gezien van het aantal aanvallen gericht op poort 7547. Korte tijd later werd een zelfde toename ontdekt in het aantal aanvallen gericht op poort 5555. Honeypots bevestigen volgens Ulrich dat deze aanvallen bedoeld zijn om de kwetsbaarheid in de NewNTPServer functie van TR-069 te misbruiken. Door het commando dat via deze kwetsbaarheid op routers wordt uitgevoerd wordt de malware ‘tr069.pw’ gedownload en uitgevoerd.

Toegang via poort 7547 en 5555 beperken

De beveiligingsonderzoeker adviseert ISP’s toegang via poort 7547 en poort 5555 te beperken indien deze worden gebruikt om routers op afstand te beheren. Modems zouden daarnaast alleen inkomende verbindingen van af specifieke configuratieservers moeten accepteren. Ulrich wijst erop dat er eerder kwetsbaarheden zijn gevonden in TR-069, en dat het waarschijnlijk is dat in de toekomst nieuwe problemen zullen worden ontdekt. Het beperken van toegang via poort 7547 en 5555 is dan ook noodzakelijk om misbruik van deze kwetsbaarheden te voorkomen.

Ulrich schat dat door de nieuwe kwetsbaarheid één tot twee miljoen nieuwe bots zijn toegevoegd aan het Mirai botnet. Op dit moment heeft het SANS Institute zo’n 600.000 IP-adressen gedetecteerd waarmee actief wordt gescand op deze kwetsbaarheid. Een klein deel van deze apparaten luistert naar poort 443. Een analyse van het SANS Institute wijst uit dat deze apparaten gebruik maken van TLS-ccertificaten die zijn uitgegeven door Zyxel. Ulrich vermoedt dan ook dat de scans worden uitgevoerd vanaf geïnfecteerde apparaten van het merk Zyxel.

Volledige analyse

Meer informatie en de volledige analyse van Ulrich is hier te vinden.