из группы Qihoo 360 обнаружили ботнет BCMUPnP_Hunter, заражающий роутеры на чипах BroadCom. Ботнет использует старую уязвимость UPnP, которая позволяет выполнить произвольный код с правами системы. Вирус занимается рассылкой спама, а также служит прокси для самих хакеров.В списке уязвимых устройств есть в том числе и популярный в России D-Link DSL-2640.
Сейчас число зараженных роутеров превысило 100 тысяч.
Специалисты рекомендуют перейти на альтернативные прошивки, т.к. большинство устройств уже скорее всего не получат официального обновления ПО.
Источники на русском:
https://www.linux.org.ru/news/security/14626066
https://xakep.ru/2018/11/12/bcmupnp_hunter/
Оригинал http://blog.netlab.360.com/bcmpupnp_hunter-a-100k-botnet-turns-home-routers-to-email-spammers-en/
Смотрим список заражённых:
ADB Broadband S.p.A, HomeStation ADSL Router ADB Broadband, ADB ADSL Router ADBB, ADB ADSL Router ALSiTEC, Broadcom ADSL Router ASB, ADSL Router ASB, ChinaNet EPON Router ASB, ChinaTelecom E8C(EPON) Gateway Actiontec, Actiontec GT784WN Actiontec, Verizon ADSL Router BEC Technologies Inc., Broadcom ADSL Router Best IT World India Pvt. Ltd., 150M Wireless-N ADSL2+ Router Best IT World India Pvt. Ltd., iB-WRA300N Billion Electric Co., Ltd., ADSL2+ Firewall Router Billion Electric Co., Ltd., BiPAC 7800NXL Billion, BiPAC 7700N Billion, BiPAC 7700N R2 Binatone Telecommunication, Broadcom LAN Router Broadcom, ADSL Router Broadcom, ADSL2+ 11n WiFi CPE Broadcom, Broadcom Router Broadcom, Broadcom ADSL Router Broadcom, D-Link DSL-2640B Broadcom, D-link ADSL Router Broadcom, DLink ADSL Router ClearAccess, Broadcom ADSL Router Comtrend, AR-5383n Comtrend, Broadcom ADSL Router Comtrend, Comtrend single-chip ADSL router D-Link Corporation., D-Link DSL-2640B D-Link Corporation., D-Link DSL-2641B D-Link Corporation., D-Link DSL-2740B D-Link Corporation., D-Link DSL-2750B D-Link Corporation., D-LinkDSL-2640B D-Link Corporation., D-LinkDSL-2641B D-Link Corporation., D-LinkDSL-2741B D-Link Corporation., DSL-2640B D-Link, ADSL 4*FE 11n Router D-Link, D-Link ADSL Router D-Link, D-Link DSL-2640U D-Link, D-Link DSL-2730B D-Link, D-Link DSL-2730U D-Link, D-Link DSL-2750B D-Link, D-Link DSL-2750U D-Link, D-Link DSL-6751 D-Link, D-Link DSL2750U D-Link, D-Link Router D-Link, D-link ADSL Router D-Link, DVA-G3672B-LTT Networks ADSL Router DARE, Dare router DLink, D-Link DSL-2730B DLink, D-Link VDSL Router DLink, DLink ADSL Router DQ Technology, Inc., ADSL2+ 11n WiFi CPE DQ Technology, Inc., Broadcom ADSL Router DSL, ADSL Router DareGlobal, D-Link ADSL Router Digicom S.p.A., ADSL Wireless Modem/Router Digicom S.p.A., RAW300C-T03 Dlink, D-Link DSL-225 Eltex, Broadcom ADSL Router FiberHome, Broadcom ADSL Router GWD, ChinaTelecom E8C(EPON) Gateway Genew, Broadcom ADSL Router INTEX, W150D INTEX, W300D INTEX, Wireless N 150 ADSL2+ Modem Router INTEX, Wireless N 300 ADSL2+ Modem Router ITI Ltd., ITI Ltd.ADSL2Plus Modem/Router Inteno, Broadcom ADSL Router Intercross, Broadcom ADSL Router IskraTEL, Broadcom ADSL Router Kasda, Broadcom ADSL Router Link-One, Modem Roteador Wireless N ADSL2+ 150 Mbps Linksys, Cisco X1000 Linksys, Cisco X3500 NB, DSL-2740B NetComm Wireless Limited, NetComm ADSL2+ Wireless Router NetComm, NetComm ADSL2+ Wireless Router NetComm, NetComm WiFi Data and VoIP Gateway OPTICOM, DSLink 279 Opticom, DSLink 485 Orcon, Genius QTECH, QTECH Raisecom, Broadcom ADSL Router Ramptel, 300Mbps ADSL Wireless-N Router Router, ADSL2+ Router SCTY, TYKH PON Router Star-Net, Broadcom ADSL Router Starbridge Networks, Broadcom ADSL Router TP-LINK Technologies Co., Ltd, 300Mbps Wireless N ADSL2+ Modem Router TP-LINK Technologies Co., Ltd, 300Mbps Wireless N USB ADSL2+ Modem Router TP-LINK, TP-LINK Wireless ADSL2+ Modem Router TP-LINK, TP-LINK Wireless ADSL2+ Router Technicolor, CenturyLink TR-064 v4.0 Tenda, Tenda ADSL2+ WIFI MODEM Tenda, Tenda ADSL2+ WIFI Router Tenda, Tenda Gateway Tenda/Imex, ADSL2+ WIFI-MODEM WITH 3G/4G USB PORT Tenda/Imex, ADSL2+ WIFI-MODEM WITH EVO SUPPORT UTStarcom Inc., UTStarcom ADSL2+ Modem Router UTStarcom Inc., UTStarcom ADSL2+ Modem/Wireless Router UniqueNet Solutions, WLAN N300 ADSL2+ Modem Router ZTE, Broadcom ADSL Router ZTE, ONU Router ZYXEL, ZyXEL VDSL Router Zhone, Broadcom ADSL Router Zhone, Zhone Wireless Gateway Zoom, Zoom Adsl Modem/Router ZyXEL, CenturyLink UPnP v1.0 ZyXEL, P-660HN-51 ZyXEL, ZyXEL xDSL Router huaqin, HGU210 v3 Router iBall Baton, iBall Baton 150M Wireless-N ADSL2+ Router iiNet Limited, BudiiLite iiNet, BoB2 iiNet, BoBLite
Как видим железки говорят сами за себя, и анализируя статью можно понять, что все они были скомпрометированы через какую-то древнюю уязвимость какого-то из компонентов ПО.
Если верить статьям, то для компроментации использовался древнейший баг в проприретарном UPNP сервере от Broadcom.
И судя по выборке таки да, всё это железо построено именно на BCM и никто из вендоров не удосужился просто выкинуть проприретарную поделку и использовать внятную OSS реализацию.
Как обычно проблема в разгильдяйстве.
Так же интерес представляет наличие Eltex и QTECH в списке. Привет коллегам. ;) Мягко скажем неприятно удивили.
Хочется задать вопрос. Как так-то? Вы хвастаетесь огромными R&D, сотнями инженеров и т.д., но с 2008г (именно тогда UPNP в общем и реализация BCM в частности, подверглись изучению под микроскопом) не пофиксили известные баги?
Надеюсь у вас хватит сил, что бы поднять исходники и выпустить исправленную версию. Стыдно товарищи, ооочень стыдно!
